Захист інформації в системах і мережах. Програмні засоби захисту інформації в мережах. Необхідно реалізувати оперативне виділення даних, контроль цілісності яких є виправданим

Сьогодні жоден концерн, що складається з підприємств, що виконують частину загального виробничого циклу, торговельна мережа або облікова система не може обійтися без обміну даними через інтернет.

Це може бути або трафік інформації між окремими точками обробки, або створення єдиного центру зберігання.

У кожному разі необхідна ретельно продумана захист інформації в інтернеті, яка здатна позбавити від безлічі неприємностей і фінансових втрат.

Ризики виникають прі не захищеному використанні інтернету

Перерахувати, які саме можуть виникнути небезпеки, якщо захист інформації в мережі інтернет не організована або організована погано - практично неможливо.

Кожен окремий випадок - це зазвичай сукупність, часто найнеприємніше поєднання кількох факторів.

Їх короткий список можна сформулювати так:

отримання несанкціонованого доступу до інформації;
крадіжка критично важливих даних;
підміна або навмисне зміна інформації в сховищі або безпосередньо під час передачі;
зловмисне видалення важливих даних;
розголошення конфіденційної інформації після отримання доступу до неї різними методами;
навмисне шифрування даних з метою подальшого шантажу, вимагання.

При організації системи заходів по збереженню даних, які будуть ретельно читав всі закони про захист інформації в інтернеті - варто розуміти існуючі проблемні зони.

Збереження корпоративної інформації шляхом її викупу у зловмисників

Одна з них відноситься до людського фактору, інша стосується методик передачі, третя формулює схему організації зберігання.

Кому необхідний захист інформації

Варто розуміти, що кожному без винятку людині потрібні засоби захисту інформації в інтернеті.

Викрадення або отримання доступу до особистих даних сторонніми особами - може викликати найрізноманітніші наслідки.

Наприклад, поширені випадки побудови фіктивної особистості, що займається кримінальною діяльністю в інтернеті і постійно діючу ідентифікаційної інформацією іншого індивідуума.

Ще одна небезпека - навмисне нанесення шкоди репутації, матеріальних втрат шляхом продажу особистої нерухомості, оформлення кредитів і так далі.

Тому захист особистої інформації в інтернеті сьогодні регламентується законодавчими актами.

Але це не означає, що кожна людина не повинна особисто виконувати правила поводження з даними, їх передачі та зберігання.

Однак найбільше система захисту інформації в інтернеті потрібна виробничим і комерційним компаніям.

При несанкціонованому доступі до даних, їх викрадення, навмисному зміні можуть відбуватися найрізноманітніші небезпечні випадки:

Нанесення шкоди якості товару в результаті зміни ключових параметрів процесу виробництва або вихідної сировини.
Порушення взятих на себе зобов'язань внаслідок порушення логістики поставок, зміни якості, зривів договірних термінів.
Прямий збиток внаслідок промислового шпигунства, прямого продажу розробок конкурентам.
Непрямі збитки через розкриття планів розвитку та інших стратегічних даних.
Комплексний збиток при крадіжці, шифруванні даних з метою шантажу, вимагання, що веде до прямих фінансових втрат, чревате наслідками промислового шпигунства, порушення робочих процесів і багатьом іншим.

Наведений список, хоча і не повний - дає достатнє уявлення про те, чому проблеми захисту інформації в інтернеті великими компаніями оцінюються дуже серйозно. Щоб знизити до передбачуваного мінімуму потенційну шкоду, розробляються і впроваджуються досить розгорнуті комплекси заходів протидії.

Основні методи і засоби захисту інформації в мережі інтернет

Конкретний список заходів, що вживаються і вибрані технології захисту інформації в мережах інтернет залежить від безлічі факторів.

Це може бути характер інформації, методика її поділу і зберігання, формат використовуваних технічних засобів і багато іншого. Однак на практиці все рішення умовно формалізуються і діляться на великі категорії.

апаратні

Апаратні засоби застосовуються на всіх організаційних рівнях. Однак особливо важливо правильно організувати зберігання інформації.

Завдання апаратних засобів при цьому:

забезпечувати потрібну швидкість доступу до даних;
гарантувати належну швидкість систем проведення розрахунків;
забезпечувати цілісність даних і гарантію їх збереження при виході з ладу окремих засобів зберігання;
організовувати резервне копіювання, швидке відновлення інформації при збоях;
забезпечувати взаємодію із засобами зв'язку;
реагувати і мінімізувати збиток при аварійних ситуаціях (пожежа, затоплення);
зберігати працездатність основного обладнання під час відключення основного джерела енергії (генератори, джерела безперебійного живлення).
обробляти запити підключених користувачів.

У сховищах даних для вирішення поставлених завдань застосовуються сервери, оснащені RAID масивами, дисками необхідної продуктивності.

Обов'язково в тій чи іншій мірі реалізується принцип дублювання ключових систем. Використовуються мережеві контролери, розподільні кошти і багато іншого.

Картинка показує роботу брандмауера (firewall)

Апаратні технології захисту інформації в інтернеті включають також міжмережеві екрани, програмно керований обладнання, системи ідентифікації, управління доступом і багато іншого.

програмні

Область програмних засобів - найбільша. Вибір конкретного списку пакетів залежить від використовуваних платформ і операційних систем, прийнятих механік доступу.

Середньостатистичний список захисних заходів включає:

систему виявлення мережевих атак і спроб несанкціонованого доступу на вузол у складі програмно керованого обладнання;
комплекси шифрування (програмні або апаратні);
засоби підтвердження справжності, електронні ключі і системи для роботи з ними;
засоби управління доступом, які можуть включати і апаратні засоби.

На практиці, правильно обраний комплекс програмних засобів може практично виключити пряму атаку на сховище або окремий вузол системи обробки даних.

Заходи захисту включають також стандартні шифровані протоколи передачі інформації.

змішані

Змішані заходи захисту розробляються для мережі зберігання і обробки в тому випадку, коли характер дій з даними відрізняється для різних груп користувачів.

У перелік використовуваних засобів можуть входити програмні комплекси на окремих робочих місцях, системи розподілу прав і рівнів доступу в межах одного сектора і загальної структури відповідальності.

Популярно застосування різних схем взаємодії виконавців між собою, а також - методики контролю і моніторингу.

До найпростішого нагоди змішаних заходів захисту можна віднести обов'язкове використання антивірусів, стандартних шифрованих протоколів передачі, системи ідентифікації (в тому числі - апаратної) з різнорівневим доступом до роботи з інформацією.

організаційні

До організаційних заходів захисту інформації відноситься розробка оптимальних схем взаємодії персоналу з інформацією і суспільством.

Сюди належить:

розробка інструкцій, розпоряджень, чітких схем роботи з даними для зайнятого персоналу;
надання персоналу обмеженого набору сертифікованих, надійних програмних засобів;
обов'язкове застосування принципів відповідальності за розголошення конфіденційної інформації;
поділ зон відповідальності кожної трудової одиниці, ранжування областей доступних даних, формулювання обсягу доступних дій;
створення засобів для запобігання випадкового, навмисного видалення інформації;
застосування програмних засобів, повністю виключають прямий доступ до даних;
формулювання у вигляді інструкцій, правил дії співробітників, охорони - системи роботи з внутрішніми носіями інформації, регламенти виносу документації;
застосування засобів перевірки та підтвердження справжності (електронні ключі).

У близькою до ідеальної схемою роботи з персоналом - проводяться постійні перевірки дій кожної трудової одиниці.

При цьому працівнику надається стандартизоване робоче місце, Де встановлений регламентований для його рівня доступу набір програм.

Корпуси комп'ютерів та іншої електронної техніки, частини якої можуть служити носіями важливої \u200b\u200bінформації - опечатуються і знаходяться під постійним контролем.

На підприємствах, де постійно ведеться робота з важливими даними - рекомендується вводити систему ідентифікації персоналу для доступу в мережу (приміщення), засновану на періодично змінних і знаходяться під суворим обліком електронних перепусток та інших міток.

висновок

Для захисту даних в мережі інтернет за допомогою пропонованих на ринку апаратних і програмних рішень - можна побудувати ефективний і відмовостійкий комплекс.

Але варто пам'ятати: всі знамениті хакери отримували доступ до даних шляхом роботи з людьми і використання їх помилок.

Тому не варто соромитися того, що на підприємстві з метою безпеки до межі обмежується свобода персоналу.

Все, що може запобігти витоку, а також поділ доступу і відповідальності - здатне допомогти зберегти важливі дані і уникнути серйозних неприємностей.

Відео: «Пізнавальний фільм»: Захист інформації

Системи захисту комп'ютера від чужого вторгнення вельми різноманітні і можуть бути класифіковані на такі групи, як:

- кошти власного захисту, передбачені загальним програмним забезпеченням;
- засоби захисту в складі обчислювальної системи;
- засоби захисту із запитом інформації;
- кошти активного захисту;
- кошти пасивного захисту та ін.

Можна виділити наступні напрямки використання програм для забезпечення безпеки конфіденційної інформації, зокрема, такі:

- захист інформації від несанкціонованого доступу;
- захист інформації від копіювання;
- захист програм від копіювання;
- захист програм від вірусів;
- захист інформації від вірусів;
- програмна захист каналів зв'язку.

По кожному із зазначених напрямків є достатня кількість якісних, розроблених професійними організаціями і які розповсюджуються на ринках програмних продуктів.

Програмні засоби захисту мають такі різновиди спеціальних програм:

ідентифікації технічних засобів, файлів і аутентифікації користувачів;

реєстрації і контролю роботи технічних засобів і користувачів;

обслуговування режимів обробки інформації обмеженого користування;

захисту операційних коштів ПК і прикладних програм користувачів;

знищення інформації в ЗУ після використання;

сигналізують порушення використання ресурсів;

допоміжних програм захисту різного призначення

Ідентифікація технічних засобів і файлів, що здійснюється програмно, робиться на основі аналізу реєстраційних номерів різних компонентів і об'єктів інформаційної системи і зіставлення їх зі значеннями адрес і паролів, що зберігаються в ЗУ системи управління.

Для забезпечення надійності захисту за допомогою паролів робота системи захисту організовується таким чином, щоб ймовірність розкриття секретного пароля і встановлення відповідності того чи іншого ідентифікатора файлу або терміналу була якомога менше. Для цього треба періодично міняти пароль, а число символів в ньому встановити досить великим.

Ефективним способом ідентифікації адресованих елементів і аутентифікації користувачів є алгоритм запитання-відповідь типу, відповідно до якого система захисту видає користувачеві запит на пароль, після чого він повинен дати на нього чітку відповідь. Так як моменти введення запиту і відповіді на нього непередбачувані, це ускладнює процес відгадування пароля, забезпечуючи тим самим більш високу надійність захисту.

Отримання дозволу на доступ до тих чи інших ресурсів можна здійснити не тільки на основі використання секретного пароля і наступних процедур аутентифікації і ідентифікації. Це можна зробити більш детальним способом, що враховує різні

особливості режимів роботи користувачів, їх повноваження, категорії запитуваних даних і ресурсів. Цей спосіб реалізується спеціальними програмами, які аналізують відповідні характеристики користувачів, зміст завдань, параметри технічних і програмних засобів, пристроїв пам'яті та ін.

Вступники в систему захисту конкретні дані, що відносяться до запиту, порівнюються в процесі роботи програм захисту з даними, занесеними до реєстраційних секретні таблиці (матриці). Ці таблиці, а також програми їх формування і обробки зберігаються в зашифрованому вигляді і знаходяться під особливим контролем адміністратора (адміністраторів) безпеки інформаційної мережі.

Для розмежування звернення окремих користувачів до цілком певної категорії інформації застосовуються індивідуальні заходи секретності цих файлів і особливий контроль доступу до них користувачів. Гриф секретності може формуватися у вигляді Трехразрядное кодових слів, які зберігаються в самому файлі або в спеціальній таблиці. У цій же таблиці записуються ідентифікатор користувача, який створив цей файл, ідентифікатори терміналів, з яких може бути здійснений доступ до файлу, ідентифікатори користувачів, яким дозволений доступ до даного файлу, А також їх права на користування файлом (зчитування, редагування, стирання, оновлення, виконання та ін.). Важливо не допустити взаємовпливу користувачів в процесі звернення до файлів. Якщо, наприклад, одну і ту ж запис мають право редагувати кілька користувачів, то кожному з них необхідно зберегти саме його 'варіант редакції (робиться кілька копій записів з метою можливого аналізу і встановлення повноважень).

під програмними засобами захисту інформації розуміють спеціальні програми, що включаються до складу програмного забезпечення КС виключно для виконання захисних функцій.

До основних програмних засобів захисту інформації відносяться:

Програми ідентифікації і аутентифікації користувачів КС;

Програми розмежування доступу користувачів до ресурсів КС;

Програми шифрування інформації;

Програми захисту інформаційних ресурсів (системного і прикладного програмного забезпечення, баз даних, комп'ютерних засобів навчання і т. п.) від несанкціонованого зміни, використання і копіювання.

Зауважимо, що під ідентифікацією,стосовно забезпечення інформаційної безпеки КС, розуміють однозначне розпізнавання унікального імені суб'єкта КС. аутентифікаціяозначає підтвердження того, що пред'явлене ім'я відповідає даному суб'єкту (підтвердження автентичності суб'єкта).

Приклади допоміжних програмних засобів захисту інформації:

Програми знищення залишкової інформації (в блоках оперативної пам'яті, тимчасових файлах і т.п.);

Програми аудиту (ведення реєстраційних журналів) подій, пов'язаних з безпекою КС, для забезпечення можливості відновлення і доведення факту події цих подій;

Програми імітації роботи з порушником (відволікання його на отримання нібито конфіденційної інформації);

Програми тестового контролю захищеності КС і ін.

До переваг програмних засобів захисту інформації відносяться:

Простота тиражування;

Гнучкість (можливість настройки на різні умови застосування, що враховують специфіку загроз інформаційній безпеці конкретних КС);

Простота застосування - одні програмні засоби, наприклад шифрування, працюють в «прозорому» (непомітному для користувача) режимі, а інші не вимагають від користувача ніяких нових (порівняно з іншими програмами) навичок;

Практично необмежені можливості їх розвитку шляхом внесення змін для врахування нових загроз безпеці інформації.

Мал. 1.1 Приклад пристикованого програмного засобу захисту

Мал. 1.2. Приклад вбудованого програмного засобу захисту інформації

До недоліків програмних засобів захисту інформації відносяться:

Зниження ефективності КС за рахунок Споживання її ресурсів, необхідних для функціонування програм захисту;

Більш низька продуктивність (в порівнянні з виконують аналогічні функції апаратними засобами захисту, наприклад шифрування);

Прістикованность багатьох програмних засобів захисту (а не їх встроенность в програмне забезпечення КС, рис. 1.1 і 1.2), що створює для порушника принципову можливість їх обходу;

Можливість злочинного зміни програмних засобів захисту в процесі експлуатації КС.

2.2.4 «Аутентифікація користувачів»

Аутентифікація користувачів на основі паролів і моделі «рукостискання»

При виборі паролів користувачі КС повинні керуватися двома, по суті взаємовиключними, правилами - паролі повинні важко підбиратися і легко запам'ятовуватися (оскільки пароль ні за яких умов не повинен ніде записуватися, так як в цьому випадку необхідно буде додатково вирішувати задачу захисту носія пароля).

Складність підбору пароля визначається, в першу чергу, потужністю безлічі символів, що використовується при виборі пароля (N),і мінімально можливою довжиною пароля (К).У цьому випадку число різних паролів може бути оцінений знизу як З р \u003d N k.Наприклад, якщо безліч символів пароля утворюють малі латинські букви, а мінімальна довжина пароля дорівнює 3, то З р \u003d26 3 \u003d 17576 (що зовсім небагато для програмного підбору). Якщо ж безліч символів пароля складається з малих і великих латинських букв, а також з цифр і мінімальна довжина пароля дорівнює 6, то З р \u003d62 6 = 56800235584.

Складність обираних користувачами КС паролів повинна встановлюватися адміністратором при реалізації встановленої для даної системи безпекової політики. Іншими параметрами політики облікових записів при використанні парольної аутентифікації повинні бути:

Максимальний термін дії пароля (будь секрет не може зберігатися в таємниці вічно);

Розбіжність пароля з логічним ім'ям користувача, під яким він зареєстрований в КС;

Неповторяемость паролів одного користувача.

Вимога неповторяемости паролів може бути реалізовано двома способами. По-перше, можна встановити мінімальний термін дії пароля (в іншому випадку користувач, змушений після закінчення терміну дії свого пароля поміняти його, зможе тут же змінити пароль на старий). По-друге, можна вести список вже використовувалися даними користувачем паролів (максимальна довжина списку при цьому може встановлюватися адміністратором).

На жаль, забезпечити реальну унікальність кожного знову обраного користувачем пароля за допомогою наведених вище заходів практично неможливо. Користувач може, не порушуючи встановлених обмежень, вибирати паролі «Al», «A2», ... де А1 - перший пароль користувача, що задовольняє вимогам складності.

Забезпечити прийнятну ступінь складності паролів і їх реальну унікальність можна шляхом призначення паролів всім користувачам адміністратором КС з одночасною забороною на зміну пароля самим користувачем. Для генерації паролів адміністратор при цьому може використовувати програмний генератор, що дозволяє створювати паролі різної складності.

Однак при такому способі призначення паролів виникають проблеми, пов'язані з необхідністю створення захищеного каналу для передачі пароля від адміністратора до користувача, труднощами перевірки збереження користувачем не ним обраного пароля тільки в своїй пам'яті і потенційною можливістю адміністратора, який знає паролі всіх користувачів, зловживання своїми повноваженнями. Тому найбільш доцільним є вибір пароля користувачем на основі встановлених адміністратором правил з можливістю завдання адміністратором нового пароля користувачу в разі, якщо той забув свій пароль.

Ще одним аспектом політики облікових записів користувачів КС має стати визначення протидії системи спробам підбору паролів.

Можуть застосовуватися такі правила:

Обмеження кількості спроб входу в систему;

Приховування логічного імені останнього працював користувача (знання логічного імені може допомогти порушнику підібрати або вгадати його пароль);

Облік всіх спроб (успішних і невдалих) входу в систему в журналі аудиту.

Реакцією системи на невдалу спробу входу користувача можуть бути:

Блокування облікового запису, під якою здійснюється спроба входу, при перевищенні максимально можливого числа спроб (на заданий час або до ручного зняття блокування адміністратором);

Наростаюче збільшення тривалості затримки перед наданням користувачеві наступної спроби входу.

При первинному введенні або зміні пароля користувача зазвичай застосовуються два класичних правила:

Символи введеного пароля не відображаються на екрані (це ж правило, застосовується і для введення користувачем пароля при його вході в систему);

Для підтвердження правильності введення пароля (з урахуванням першого правила) цей введення повторюється двічі.

Для зберігання паролів можливо їх попереднє шифрування або хешування.

Шифрування паролів має два недоліки:

Оскільки при шифруванні необхідно використовувати ключ, потрібно забезпечити його безпечне зберігання в КС (знання ключа шифрування пароля дозволить виконати його розшифрування і здійснити несанкціонований доступ до інформації);

Існує небезпека розшифрування будь-якого пароля і отримання його у відкритому вигляді.

Хешування є незворотнім перетворенням і знання хеш-значення пароля не дасть порушника можливості його отримання у відкритому вигляді (він зможе тільки намагатися підібрати пароль при відомій функції хешування). Тому набагато більш безпечним є зберігання паролів в хешировать вигляді. Недоліком є \u200b\u200bте, що не існує навіть теоретичної можливості відновити забутий користувачем пароль.

Другий приклад - аутентифікація на основі моделі «рукостискання». При реєстрації в КС користувачеві пропонується набір невеликих зображень (наприклад, піктограм), серед яких він повинен вибрати заданий число картинок. При наступному вході в систему йому виводиться інший набір зображень, частина з яких він бачив при реєстрації. Для правильної аутентифікації користувач повинен зазначити ті картинки, які він вибрав при реєстрації.

Переваги аутентифікації на основі моделі «рукостискання» перед пральний аутентификацией:

Між користувачем і системою не передається ніякої конфіденційної інформації, яку потрібно зберігати в таємниці, I

Кожен наступний сеанс входу користувача в систему відмінний від попереднього, тому навіть тривале спостереження за цими сеансами нічого не дасть порушника.

До недоліків аутентифікації на основі моделі «рукостискання» відноситься велика тривалість цієї процедури в порівнянні з пральний аутентификацией.

Аутентифікація користувачів за їх біометричних характеристик

До основних біометричних характеристик користувачів КС, які можуть застосовуватися при їх аутентифікації, відносяться:

Відбитки пальців;

Геометрична форма руки;

Візерунок райдужної оболонки ока;

Малюнок сітківки ока;

Геометрична форма і розміри особи;

Геометрична форма і розміри вуха і ін.

Найбільш поширеними є програмно-апаратні засоби аутентифікації користувачів по їх відбитках пальців. Для зчитування цих відбитків зазвичай застосовуються оснащені спеціальними сканерами клавіатури і миші. Наявність досить великих банків даних з відбитками пальців) громадян є основною причиною досить широкого застосування подібних засобів аутентифікації в державний структурах, а також у великих комерційних організаціях. Недоліком таких засобів є потенційна можливість застосування відбитків пальців користувачів для контролю над їх приватним життям.

Якщо з об'єктивних причин (наприклад, через забруднення приміщень, в яких проводиться аутентифікація) отримання чіткого відбитка пальця неможливо, то може застосовуватися аутентифікація по геометричній формі руки користувача. В цьому випадку сканери можуть бути встановлені на стіні приміщення.

Найбільш достовірними (але і найбільш дорогими) є кошти аутентифікації користувачів, засновані на характеристиках очі (візерунку райдужної оболонки або малюнку сітківки). Можливість повторення цих ознак оцінюється в 10 -78.

Найбільш дешевими (але і найменш достовірними) є кошти аутентифікації, засновані на геометричній формі і розмірі особи користувача або на тембрі його голосу. Це дозволяє використовувати ці кошти і для аутентифікації при віддаленому доступі користувачів до КС.

Основні переваги аутентифікації користувачів по їх біометричних характеристик;

Труднощі фальсифікації цих ознак;

Висока вірогідність аутентифікації через унікальність таких ознак;

Невіддільність біометричних ознак від особистості користувача.

Для порівняння аутентифікації користувачів на основі тих чи інших біометричних характеристик застосовуються оцінки ймовірностей помилок першого і другого роду. Імовірність помилки першого роду (відмови в доступі до КС легальному користувачеві) становить 10 -6 ... 10 -3. Імовірність помилки другого роду (допуску до роботи в КС незареєстрованого користувача) в сучасних системах біометричної аутентифікації становить 10 -5 ... 10 -2.

Загальним недоліком коштів аутентифікації користувачів КС по їх біометричних характеристик є їх більш висока вартість в порівнянні з іншими засобами аутентифікації, що обумовлено, в першу чергу, необхідністю придбання додаткових апаратних засобів. Способи аутентифікації, засновані на особливостях клавіатурного почерку і розпису мишею користувачів, не вимагають застосування спеціальної апаратури.

Аутентифікація користувачів за їх клавіатурного почерку і розпису мишею

Одним з перших ідею аутентифікації користувачів за особливостями їх роботи з клавіатурою і мишкою запропонував С.П.Расторгуев. При розробці математичної моделі аутентифікації на основі клавіатурного почерку користувачів було зроблено припущення, що тимчасові інтервали між натисканнями сусідніх символів ключової фрази і між натисканнями певних поєднань клавіш в ній підкоряються нормальному закону розподілу. Суттю даного способу аутентифікації є перевірка гіпотези про рівність центрів розподілу двох нормальних генеральних сукупностей (отриманих при налаштуванні системи на характеристики користувача і при його аутентифікації).

Розглянемо варіант аутентифікації користувача по набору ключової фрази (однієї і тієї ж в режимах настройки і підтвердження автентичності).

Процедура настройки на характеристики реєстрованого в КС користувача:

1) вибір користувачем ключової фрази (її символи повинні бути рівномірно рознесені по клавіатурі);

2) набір ключової фрази кілька разів;

3) виключення грубих помилок (за спеціальним алгоритмом);

4) розрахунок і збереження оцінок математичних очікувань, дисперсій і числа, спостережень для тимчасових інтервалів між наборами кожної пари сусідніх символів ключової фрази.

Достовірність аутентифікації на основі клавіатурного почерку користувача нижче, ніж при використанні його біометричних характеристик.

Однак цей спосіб аутентифікації має і свої переваги:

Можливість приховування факту застосування додаткової аутентифікації користувача, якщо в якості ключової фрази використовується вводиться користувачем парольний фраза;

Можливість реалізації даного способу тільки за допомогою програмних засобів (зниження вартості коштів аутентифікації).

Тепер розглянемо спосіб аутентифікації, заснований на розпису мишею (За допомогою цього маніпулятора, природно, не можна виконати реальну розпис користувача, тому дана розпис буде досить простим розчерком). Назвемо лінією розпису ламану лінію, отриману з'єднанням точок від початку розпису до її завершення (сусідні точки при цьому не повинні мати однакових координат). Довжину лінії розпису розрахуємо як суму довжин відрізків, що з'єднують точки розпису.

Подібно аутентифікації на основі клавіатурного почерку справжність користувача по його розпису мишею підтверджується насамперед темпом його роботи з цим пристроєм введення.

До переваг аутентифікації користувачів по їх розпису мишею, подібно використанню клавіатурного почерку, відноситься можливість реалізації цього способу тільки за допомогою програмних засобів; до недоліків - менша вірогідність аутентифікації в порівнянні із застосуванням біометричних характеристик користувача, а також необхідність досить упевненого володіння користувачем навичками роботи з мишею.

Спільною особливістю способів аутентифікації, заснованих на клавіатурному почерку і розпису мишею є нестабільність їх характеристик у одного і того ж користувача, яка може бути викликана:

1) природними змінами, пов'язаними з поліпшенням навичок користувача по роботі з клавіатурою і мишкою або, навпаки, з їх погіршенням через старіння організму;

2) змінами, пов'язаними з ненормальним фізичним або емоційним станом користувача.

Зміни характеристик користувача, викликані причинами першого роду, не є стрибкоподібними, тому можуть бути нейтралізовані зміною еталонних характеристик після кожної успішної аутентифікації користувача.

Зміни характеристик користувача, викликані причинами другого роду, можуть бути стрибкоподібними і привести до відхилення його спроби входу в КС. Однак ця особливість аутентифікації на основі клавіатурного почерку і розпису мишею може стати і гідністю, якщо мова йде про користувачів КС напування, енергетичного і фінансового призначення.

Перспективним напрямком розвитку способів аутентифікації користувачів КС, заснованих на їх індивідуальні особливості, може стати підтвердження автентичності користувача на основі його знань і навичок, що характеризують рівень освіти і культури.

Вступ. 2

1. Основні положення теорії захисту інформації. 5

1.1 Класифікація загроз безпеки інформації. 5

1.2 Головні загрози .. 9

1.3 Програмні атаки. 11

1.4 Шкідливе програмне забезпечення. 13

1.5 Класифікація заходів забезпечення безпеки КС .. 14

2. Основні методи і засоби захисту інформації в мережах. 19

2.1 Фізичний захист інформації. 19

2.2 Апаратні засоби захисту інформації в КС .. 22

2.3 Програмні засоби захисту інформації в КС .. 24

3. Методи і засоби захисту інформації в телекомунікаційних мережах підприємства «Вестель». 44

3.1 Характеристика підприємства та корпоративної мережі. 44

3.2 Організаційно-правове забезпечення захисту інформації. 46

3.3 Захист інформації в корпоративній мережі «Вестель» на рівні операційної системи.. 48

3.4 Захист інформації від несанкціонованого доступу. 52

3.5 Антивірусний захист. 57

Висновок. 64

Глосарій. 68

Список використаних джерел. 70

Список скорочень. 74

Додаток А .. 75

Додаток Б. 76

Додаток В .. 77

Додаток Г. 78

Вступ

Проблема захисту інформації є далеко не новою. Вирішувати її люди намагалися з давніх часів.

На зорі цивілізації цінні відомості зберігалися в матеріальній формі: вирізалися на кам'яних табличках, пізніше записувалися на папір. Для їх захисту використовувалися такі ж матеріальні об'єкти: стіни, рови.

Інформація часто передавалася з посильним і в супроводі охорони. І ці заходи себе виправдовували, оскільки єдиним способом отримання чужої інформації було її викрадення. На жаль, фізичний захист мала великий недолік. При захопленні повідомлення вороги впізнавали все, що було написано в ньому. Ще Юлій Цезар прийняв рішення захищати цінні відомості в процесі передачі. Він винайшов шифр Цезаря. Цей шифр дозволяв посилати повідомлення, які ніхто не міг прочитати в разі перехоплення.

Дана концепція отримала свій розвиток під час Другої світової війни. Німеччина використовувала машину під назвою Enigma для шифрування повідомлень, що посилаються військовим частинам.

Звичайно, способи захисту інформації постійно змінюються, як змінюється наше суспільство і технології. Поява і широке поширення комп'ютерів призвело до того, що більшість людей і організацій стали зберігати інформацію в електронному вигляді. Виникла потреба в захисті такої інформації.

На початку 70-х рр. XX століття Девід Белл і Леонард Ла Падула розробили модель безпеки для операцій, вироблених на комп'ютері. Ця модель базувалася на урядовій концепції рівнів класифікації інформації (несекретна, конфіденційна, таємна, цілком таємна) і рівнів допуску. Якщо людина (суб'єкт) мав рівень допуску вище, ніж рівень файлу (об'єкта) за класифікацією, то він отримував доступ до файлу, в іншому випадку доступ відхилявся. Ця концепція знайшла свою реалізацію в стандарті 5200.28 "Trusted Computing System Evaluation Criteria" (TCSEC) ( "Критерій оцінки безпеки комп'ютерних систем"), Розробленому в 1983 р Міністерством оборони США. Через колір обкладинки він отримав назву" Помаранчева книга ".

"Помаранчева книга" визначала для кожного розділу функціональні вимоги і вимоги гарантованості. Система повинна була задовольняти цим вимогам, щоб відповідати певному рівню сертифікації.

Виконання вимог гарантованості для більшості сертифікатів безпеки забирало багато часу і коштувало великих грошей. В результаті дуже мало систем було сертифіковано вище, ніж рівень С2 (насправді тільки одна система за весь час була сертифікована за рівнем А1 - Honeywell SCOMP).

При складанні інших критеріїв були зроблені спроби розділити функціональні вимоги і вимоги гарантованості. Ці розробки увійшли в "Зелену книгу" Німеччини в 1989 р, в "Критерії Канади" в 1990 р, "Критерії оцінки безпеки інформаційних технологій" (ITSEC) в 1991 р і в "Федеральні критерії" (відомі як Common Criteria - "Загальні критерії") в 1992 р Кожен стандарт пропонував свій спосіб сертифікації безпеки комп'ютерних систем.

Одна з проблем, пов'язаних з критеріями оцінки безпеки систем, полягала в недостатньому розумінні механізмів роботи в мережі. При об'єднанні комп'ютерів до старих проблем безпеки додаються нові. В "Помаранчевої книзі" не розглядалися проблеми, що виникають при об'єднанні комп'ютерів в загальну мережу, тому в 1987 р з'явилася TNI (Trusted Network Interpretation), або "Червона книга". В "Червону книгу" збережені всі вимоги до безпеки з "Помаранчевої книги", зроблена спроба адресації мережевого простору і створення концепції безпеки мережі. На жаль, і "Червона книга" пов'язувала функціональність з гарантированностью. Лише деякі системи пройшли оцінку по TNI, і жодна з них не мала комерційного успіху.

В наші дні проблеми стали ще серйозніше. Організації стали використовувати бездротові мережі, появи яких "Червона книга" не могла передбачити. для бездротових мереж сертифікат "Червоної книги" вважається застарілим.

Технології комп'ютерних систем і мереж розвиваються занадто швидко. Відповідно, також швидко з'являються нові способи захисту інформації. Тому тема моєї кваліфікаційної роботи «Методи і засоби захисту інформації в мережах» є досить актуальною.

Об'єктом дослідження є інформація, що передається по телекомунікаційних мереж.

Предметом дослідження є інформаційна безпека мереж.

Основною метою кваліфікаційної роботи є вивчення та аналіз методів і засобів захисту інформації в мережах.

Для досягнення зазначеної мети необхідно вирішити ряд завдань:

Розглянути загрози безпеки і їх класифікацію;

Охарактеризувати методи і засоби захисту інформації в мережі, їх класифікацію та особливості застосування;

Розкрити можливості фізичних, апаратних і програмних засобів захисту інформації в КС, виявити їх переваги і недоліки;

Розглянути методи, способи і засоби захисту інформації в корпоративній мережі (на прикладі підприємства Вестель).

1.1 Класифікація загроз безпеки інформації

Під загрозою безпеки інформації в комп'ютерній мережі (КС) розуміють подія або дія, яка може викликати зміну функціонування КС, пов'язане з порушенням захищеності оброблюваної в ній інформації.

Уразливість інформації - це можливість виникнення такого стану, при якому створюються умови для реалізації загроз безпеці інформації.

Атакою на КС називають дії, що робляться порушником, яке полягає в пошуку і використанні тієї або іншої уразливості. Інакше кажучи, атака на КС є реалізацією загрози безпеки інформації в ній.

Проблеми, що виникають з безпекою передачі інформації при роботі в комп'ютерних мережах, можна розділити на три основні типи:

· Перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена;

· Модифікація інформації - вихідне повідомлення змінюється або повністю підміняється іншим і відсилається адресату;

· Підміна авторства інформації. Дана проблема може мати серйозні наслідки. Наприклад, хтось може надіслати листа від чужого імені (цей вид обману прийнято називати Спуфінга) або Web - сервер може прикидатися електронним магазином, приймати замовлення, номери кредитних карт, але не висилати ніяких товарів.

Специфіка комп'ютерних мереж, з точки зору їх вразливості, пов'язана в основному з наявністю інтенсивного інформаційної взаємодії між територіально рознесеними і різнорідними (різнотипними) елементами.

Вразливими є буквально всі основні структурно-функціональні елементи КС: робочі станції, сервери (Host-машини), міжмережеві мости (шлюзи, центри комутації), канали зв'язку і т.д.

Відома велика кількість різнопланових загроз безпеки інформації різного походження. В літературі зустрічається безліч різноманітних класифікацій, де в якості критеріїв розподілу використовуються види породжуваних небезпек, ступінь злого умислу, джерела появи загроз і т.д. Одна з найпростіших класифікацій наведена на рис. 1.

Мал. 1. Загальна класифікація загроз безпеки.

Природні загрози - це загрози, викликані впливами на КС і її елементи об'єктивних фізичних процесів або стихійних природних явищ, незалежних від людини.

Штучні загрози - це загрози КС, викликані діяльністю людини. Серед них, виходячи з мотивації дій, можна виділити:

ненавмисні (ненавмисні, випадкові) загрози, викликані помилками в проектуванні КС і її елементів, помилками в програмному забезпеченні, помилками в діях персоналу і т.п .;

навмисні (навмисні) загрози, пов'язані з корисливими устремліннями людей (зловмисників).

Джерела загроз по відношенню до КС можуть бути зовнішніми або внутрішніми (компоненти самої КС - її апаратура, програми, персонал).

Більш складна і детальна класифікація загроз приведена в Додатку А.

Аналіз негативних наслідків реалізації загроз передбачає обов'язкову ідентифікацію можливих джерел загроз, вразливостей, що сприяють їх прояву і методів реалізації. І тоді ланцюжок виростає в схему, представлену на рис. 2.

Мал. 2. Модель реалізації загроз інформаційної безпеки.

Загрози класифікуються за можливості нанесення шкоди суб'єкту відносин при порушенні цілей безпеки. Збиток може бути заподіяна будь-яким суб'єктом (злочин, вина або недбалість), а також стати наслідком, не залежних від суб'єкта проявів. Погроз не так вже й багато. При забезпеченні конфіденційності інформації це може бути розкрадання (копіювання) інформації і засобів її обробки, а також її втрата (ненавмисна втрата, витік). При забезпеченні цілісності інформації список загроз такий: модифікація (спотворення) інформації; заперечення автентичності інформації; нав'язування неправдивої інформації. При забезпеченні доступності інформації можливо її блокування, або знищення самої інформації і засобів її обробки.

Всі джерела погроз можна розділити на класи, обумовлені типом носія, а класи на групи за місцем розташування (рис. 3а). Уразливості також можна розділити на класи за належністю до джерела вразливостей, а класи на групи і підгрупи по проявах (рис. 3б). Методи реалізації можна розділити на групи за способами реалізації (рис. 3в). При цьому необхідно враховувати, що саме поняття «метод», застосовується лише при розгляді реалізації загроз антропогенними джерелами. Для техногенних та стихійних джерел це поняття трансформується в поняття «передумова».

Мал. 3. Структура класифікацій: а) «Джерела загроз»; б) «Уразливості»; в) «Методи реалізації»

Класифікація можливостей реалізації загроз (атак), являє собою сукупність можливих варіантів дій джерела загроз певними методами реалізації з використанням вразливостей, які призводять до реалізації цілей атаки. Мета атаки може не збігатися з метою реалізації загроз і може бути спрямована на отримання проміжного результату, необхідного для досягнення надалі реалізації загрози. У разі такого неспівпадання атака розглядається як етап підготовки до вчинення дій, спрямованих на реалізацію загрози, тобто як «підготовка до вчинення» протиправної дії. Результатом атаки є наслідки, які є реалізацією загрози і / або сприяють такої реалізації.

Вихідними даними для проведення оцінки та аналізу загроз безпеки при роботі в мережі служать результати анкетування суб'єктів відносин, спрямовані на з'ясування спрямованості їх діяльності, передбачуваних пріоритетів цілей безпеки, завдань, що вирішуються в мережі і умов розташування та експлуатації мережі.

Найчастішими і найнебезпечнішими (з точки зору розміру збитку) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів та інших осіб, які обслуговують комп'ютерну мережу.

Іноді такі помилки і є власне погрозами (неправильно введені дані або помилка в програмі, яка викликала крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (такі зазвичай помилки адміністрування). За деякими даними, до 65% втрат - наслідок ненавмисних помилок.

Пожежі та повені не приносять стільки бід, скільки безграмотність і недбалість у роботі.

Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками - максимальна автоматизація і строгий контроль.

Інші загрози доступності можна класифікувати за компонентами КС, на які націлені загрози:

відмова користувачів;

внутрішній відмова мережі;

відмова підтримуючої інфраструктури.

Зазвичай стосовно користувачам розглядаються наступні загрози:

небажання працювати з інформаційною системою (найчастіше проявляється при необхідності освоювати нові можливості і при розбіжності між запитами користувачів і фактичними можливостями і технічними характеристиками);

неможливість працювати з системою через відсутність відповідної підготовки (нестача загальної комп'ютерної грамотності, невміння інтерпретувати діагностичні повідомлення, невміння працювати з документацією і т.п.);

неможливість працювати з системою в силу відсутності технічної підтримки (неповнота документації, недолік довідкової інформації і т.п.).

Основними джерелами внутрішніх відмов є:

відступ (випадкове або навмисне) від встановлених правил експлуатації;

вихід системи з штатного режиму експлуатації в силу випадкових або навмисних дій користувачів або обслуговуючого персоналу (перевищення розрахункового числа запитів, надмірний обсяг оброблюваної інформації і т.п.);

помилки при (пере) конфігурації системи;

відмови програмного і апаратного забезпечення;

руйнування даних;

руйнування або пошкодження апаратури.

По відношенню до підтримуючої інфраструктурі рекомендується розглядати такі загрози:

порушення роботи (випадкове або навмисне) систем зв'язку, електроживлення, водо- і / або теплопостачання, кондиціонування;

руйнування або пошкодження приміщень;

неможливість або небажання обслуговуючого персоналу і / або користувачів виконувати свої обов'язки (цивільні безлади, аварії на транспорті, терористичний акт або його загроза, страйк і т.п.).

Досить небезпечні так звані "скривджені" співробітники - нинішні і колишні. Як правило, вони прагнуть завдати шкоди організації - "кривднику", наприклад:

зіпсувати обладнання;

вбудувати логічну бомбу, яка з часом зруйнує програми і / або дані;

видалити дані.

Ображені співробітники, навіть колишні, знайомі з порядками в організації і здатні завдати чималої шкоди. Необхідно стежити за тим, щоб при звільненні працівника його права доступу (логічного і фізичного) до інформаційних ресурсів анулювалися.

Як засіб виведення мережі з штатного режиму експлуатації може використовуватися агресивне споживання ресурсів (зазвичай - смуги пропускання мереж, обчислювальних можливостей процесорів або оперативної пам'яті). По розташуванню джерела загрози таке споживання підрозділяється на локальне та віддалене. При прорахунки в конфігурації системи локальна програма здатна практично монополізувати процесор і / або фізичну пам'ять, звівши швидкість виконання інших програм до нуля.

Найпростіший приклад віддаленого споживання ресурсів - атака, що отримала найменування "SYN-повінь". Вона являє собою спробу переповнити таблицю "напіввідкритих" TCP-з'єднань сервера (встановлення з'єднань починається, але не закінчується). Така атака щонайменше ускладнює встановлення нових з'єднань з боку легальних користувачів, тобто сервер виглядає як недоступний.

По відношенню до атаки "Papa Smurf" уразливі мережі, що сприймають ping-пакети з широкомовними адресами. Відповіді на такі пакети "з'їдають" смугу пропускання.

Віддалене споживання ресурсів останнім часом проявляється в особливо небезпечній формі - як скоординовані розподілені атаки, коли на сервер з безлічі різних адрес з максимальною швидкістю спрямовуються цілком легальні запити на з'єднання та / або обслуговування. Часом початку "моди" на подібні атаки можна вважати лютий 2000 року, коли жертвами виявилися кілька найбільших систем електронної комерції (точніше - власники і користувачі систем). Якщо має місце архітектурний прорахунок у вигляді розбалансованості між пропускною спроможністю мережі і продуктивністю сервера, то захиститися від розподілених атак на доступність вкрай важко.

Для виведення систем з штатного режиму експлуатації можуть використовуватися вразливі місця у вигляді програмних і апаратних помилок. Наприклад, відома помилка в процесорі Pentium I давала можливість локальному користувачеві шляхом виконання певної команди "підвісити" комп'ютер, так що допомагає тільки апаратний RESET.

Програма "Teardrop" віддалено "підвішує" комп'ютери, експлуатуючи помилку в збірці фрагментованих IP-пакетів.

1.4 Шкідливе програмне забезпечення

Одним з найнебезпечніших способів проведення атак є впровадження в яких атакували системи шкідливого програмного забезпечення.

Виділяють наступні аспекти шкідливого ПО:

шкідлива функція;

спосіб поширення;

зовнішнє уявлення.

Частина, що здійснює руйнівну функцію, призначається для:

впровадження іншого шкідливого ПЗ;

отримання контролю над атакується системою;

агресивного споживання ресурсів;

зміни або руйнування програм і / або даних.

По механізму поширення розрізняють:

Віруси - код, який має здатність до поширення (можливо, зі змінами) шляхом впровадження в інші програми;

"Черв'яки" - код, здатний самостійно, тобто без впровадження в інші програми, викликати поширення своїх копій по мережі і їх виконання (для активізації вірусу потрібно запуск зараженої програми).

Віруси зазвичай поширюються локально, в межах вузла мережі; для передачі по мережі їм потрібна зовнішня допомога, така як пересилання зараженого файлу. "Черви", навпаки, орієнтовані в першу чергу на подорожі по мережі.

Іноді саме поширення шкідливого ПЗ викликає агресивне споживання ресурсів і, отже, є шкідливою функцією. Наприклад, "черв'яки" "з'їдають" смугу пропускання мережі і ресурси поштових систем.

Шкідливий код, який виглядає як функціонально корисна програма, називається троянським. Наприклад, звичайна програма, будучи ураженої вірусом, стає троянської; часом троянські програми виготовляють вручну і підсовують довірливим користувачам в будь-якої привабливій упаковці (зазвичай при відвідуванні файлообмінних мереж або ігрових і розважальних сайтів).

1.5 Класифікація заходів забезпечення безпеки КС

За способами здійснення всіх заходів забезпечення безпеки комп'ютерних мереж підрозділяються на: правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні, технічні (апаратно-програмні).

До правових заходів захисту відносяться діючі в країні закони, укази та нормативні акти, які регламентують правила поводження з інформацією, що закріплюють права і обов'язки учасників інформаційних відносин у процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи тим самим неправомірному використанню інформації і є стримуючим фактором для потенційних порушників.

До морально-етичним заходів протидії належать норми поведінки, які традиційно склалися або складаються в міру поширення комп'ютерних мереж в країні або суспільстві. Ці норми здебільшого не є обов'язковими, як законодавчо затверджені нормативні акти, однак, їх недотримання веде зазвичай до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т.п.), так і писані, тобто оформлені в певний звід (статут) правил чи приписів.

Організаційні (адміністративні) заходи захисту - це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб в найбільшою мірою утруднити чи унеможливити реалізації загроз безпеки. Вони включають:

заходи, здійснювані при проектуванні, будівництві та обладнанні мереж та інших об'єктів систем обробки даних;

заходи щодо розробки правил доступу користувачів до ресурсів мереж (розробка політики безпеки);

заходи, здійснювані при підборі і підготовці персоналу;

організацію охорони і надійного пропускного режиму;

організацію обліку, зберігання, використання та знищення документів і носіїв з інформацією;

розподіл реквізитів розмежування доступу (паролів, ключів шифрування і т.п.);

організацію явного і прихованого контролю за роботою користувачів;

заходи, здійснювані при проектуванні, розробці, ремонті і модифікаціях обладнання та програмного забезпечення і т.п.

Фізичні заходи захисту засновані на застосуванні різного роду механічних, електро- або електронно-механічних пристроїв і споруд, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів мереж і захищається, а також технічних засобів візуального спостереження, зв'язку та охоронної сигналізації.

Технічні (апаратні) заходи захисту засновані на використанні різних електронних пристроїв, що входять до складу КС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.

Програмні методи захисту призначаються для безпосереднього захисту інформації за трьома напрямками: а) апаратури; б) програмного забезпечення; в) даних і керуючих команд.

Для захисту інформації при її передачі зазвичай використовують різні методи шифрування даних перед їх введенням в канал зв'язку або на фізичний носій з наступною розшифровкою. Як показує практика, методи шифрування дозволяють досить надійно приховати зміст повідомлення.

Всі програми захисту, які здійснюють управління доступом до машинної інформації, функціонують за принципом відповіді на питання: хто може виконувати, які операції і над якими даними.

Доступ може бути визначений як:

загальний (безумовно що надається кожному користувачеві);

відмова (безумовна відмова, наприклад дозвіл на видалення порції інформації);

залежний від події (керований подією);

залежний від змісту даних;

залежний від стану (динамічного стану комп'ютерної системи);

частотно-залежний (наприклад, доступ дозволений користувачеві тільки один чи певну кількість разів);

по імені або іншим ознакою користувача;

залежний від повноважень;

по вирішенню (наприклад, за паролем);

за процедурою.

Також до ефективних заходів протидії спробам несанкціонованого доступу відносяться засоби реєстрації. Для цих цілей найбільш перспективними є нові операційні системи спеціального призначення, широко застосовуються в зарубіжних країнах і отримали назву моніторингу (автоматичного спостереження за можливу комп'ютерної загрозою).

Моніторинг здійснюється самою операційною системою (ОС), причому в її обов'язки входить контроль за процесами введення-виведення, обробки та знищення машинної інформації. ОС фіксує час несанкціонованого доступу і програмних засобів, до яких був здійснений доступ. Крім цього, вона виробляє негайне сповіщення служби комп'ютерної безпеки про посягання на безпеку комп'ютерної системи з одночасною видачею на друк необхідних даних (лістингу). Останнім часом в США та низці європейських країн для захисту комп'ютерних систем діють також спеціальні підпрограми, що викликають самознищення основної програми при спробі несанкціонованого перегляду вмісту файлу з секретною інформацією по аналогії дії "логічної бомби".

Завдання забезпечення безпеки:

Захист інформації в каналах зв'язку і базах даних криптографічними методами;

Підтвердження справжності об'єктів даних і користувачів (аутентифікація сторін, що встановлюють зв'язок);

Виявлення порушень цілісності об'єктів даних;

Забезпечення захисту технічних засобів і приміщень, в яких ведеться обробка конфіденційної інформації, від витоку по побічних каналах і від можливо впроваджених в них електронних пристроїв знімання інформації;

Забезпечення захисту програмних продуктів і засобів обчислювальної техніки від впровадження в них програмних вірусів і закладок;

Захист від несанкціонованих дій по каналу зв'язку від осіб, що не допущені до засобів шифрування, але які мають мети компрометації секретної інформації та дезорганізації роботи абонентських пунктів;

Організаційно-технічні заходи, спрямовані на забезпечення схоронності конфіденційних даних.

2. Основні методи і засоби захисту інформації в мережах

Розібрати докладно всі методи і засоби захисту інформації в рамках ВКР просто неможливо. Охарактеризує тільки деякі з них.

До заходів фізичного захисту інформації відносяться:

захист від вогню;

захист від води і РЕАЛИЗАЦІЯ рідини

захист від корозійних газів;

захист від електромагнітного випромінювання;

захист від вандалізму;

захист від крадіжки і крадіжки;

захист від вибуху;

захист від падаючих уламків;

захист від пилу;

захист від несанкціонованого доступу в приміщення.

Які ж дії потрібно зробити, щоб забезпечити фізичну безпеку?

В першу чергу треба підготувати приміщення, де будуть стояти сервери. Обов'язкове правило: сервер повинен знаходитися в окремій кімнаті, доступ до якої має строго обмежене коло осіб. У цьому приміщенні слід встановити кондиціонер і хорошу систему вентиляції. Там же можна помістити міні-АТС та інші життєво важливі технічні системи.

Розумним кроком стане відключення невикористовуваних дисководів, паралельних і послідовних портів сервера. Його корпус бажано опечатати. Все це ускладнить крадіжку або підміну інформації навіть в тому випадку, якщо зловмисник якимось чином проникне в серверну кімнату. Не варто нехтувати і такими тривіальними заходами захисту, як залізні решітки та двері, кодові замки і камери відеоспостереження, які будуть постійно вести запис всього, що відбувається в ключових приміщеннях офісу.

Інша характерна помилка пов'язана з резервним копіюванням. Про його необхідність знають всі, так само як і про те, що на випадок загоряння потрібно мати вогнегасник. А ось про те, що резервні копії не можна зберігати в одному приміщенні з сервером, чомусь забувають. В результаті, захистившись від інформаційних атак, фірми виявляються беззахисними навіть перед невеликим пожежею, в якому завбачливо зроблені копії гинуть разом з сервером.

Часто, навіть захистивши сервери, забувають, що захисту потребують і всілякі дроти - кабельна система мережі. Причому, нерідко доводиться побоюватися не зловмисників, а самих звичайних прибиральниць, які заслужено вважаються найстрашнішими ворогами локальних мереж. Кращий варіант захисту кабелю - це короба, але, в принципі, підійде будь-який інший спосіб, що дозволяє приховати і надійно закріпити дроти. Втім, не варто випускати з виду і можливість підключення до них ззовні для перехоплення інформації або створення перешкод, наприклад, за допомогою розряду струму. Хоча, треба визнати, що цей варіант мало поширений і помічений лише при порушеннях роботи великих фірм.

Крім Інтернету, комп'ютери включені ще в одну мережу - звичайну електричну. Саме з нею пов'язана інша група проблем, що відносяться до фізичної безпеки серверів. Ні для кого не секрет, що якість сучасних силових мереж далеко від ідеального. Навіть якщо немає ніяких зовнішніх ознак аномалій, дуже часто напруга в електромережі вище або нижче норми. При цьому більшість людей навіть не підозрюють, що в їхньому будинку або офісі існують якісь проблеми з електроживленням.

Знижена напруга є найбільш поширеною аномалією і становить близько 85% від загального числа різних неполадок з електроживленням. Його звичайна причина - дефіцит електроенергії, який особливо характерний для зимових місяців. Підвищена напруга майже завжди є наслідком будь-якої аварії або пошкодження проводки в приміщенні. Часто в результаті від'єднання загального нульового проводу сусідні фази виявляються під напругою 380 В. Буває також, що висока напруга виникає в мережі через неправильну комутації проводів.

Джерелами імпульсних і високочастотних перешкод можуть стати розряди блискавок, включення або відключення потужних споживачів електроенергії, аварії на підстанціях, а також робота деяких побутових електроприладів. Найчастіше такі перешкоди виникають у великих містах і в промислових зонах. Імпульси напруги при тривалості від наносекунд (10 ~ 9 с) до мікросекунд (10 ~ 6 с) можуть по амплітуді досягати декількох тисяч вольт. Найбільш уразливими до таких перешкод виявляються мікропроцесори та інші електронні компоненти. Нерідко непогашена імпульсна перешкода може привести до перезавантаження сервера або до помилки в обробці даних. Вбудований блок живлення комп'ютера, звичайно, частково згладжує кидки напруги, захищаючи електронні компоненти комп'ютера від виходу з ладу, але залишкові перешкоди все одно знижують термін служби апаратури, а також призводять до зростання температури в блоці живлення сервера.

Для захисту комп'ютерів від високочастотних імпульсних перешкод служать фільтри (наприклад, марки Pilot), що оберігають техніку від більшості перешкод або збоїв із постачанням. Крім того, комп'ютери з важливою інформацією слід обов'язково оснащувати джерелом безперебійного живлення (UPS). Сучасні моделі UPS не тільки підтримують роботу комп'ютера, коли пропадає харчування, але і від'єднують його від електромережі, якщо значення напруги виходять з допустимого діапазону.

2.2 Апаратні засоби захисту інформації в КС

До апаратних засобів захисту інформації відносяться електронні та електронно-механічні пристрої, що включаються до складу технічних засобів КС і виконують (самостійно або в єдиному комплексі з програмними засобами) деякі функції забезпечення інформаційної безпеки. Критерієм віднесення пристрої до апаратних, а не до інженерно-технічних засобів захисту є обов'язкове включення до складу технічних засобів КС.

До основних апаратних засобів захисту інформації відносяться:

Пристрої для введення ідентифікує користувача інформації (магнітних і пластикових карт, відбитків пальців і т.п.);

Пристрої для шифрування інформації;

Пристрої для перешкоджання несанкціонованому включенню робочих станцій і серверів (електронні замки і блокатори).

Приклади допоміжних апаратних засобів захисту інформації:

Пристрої знищення інформації на магнітних носіях;

Пристрої сигналізації про спроби несанкціонованих дій користувачів КС і ін.

Апаратні засоби привертають дедалі більшу увагу фахівців не тільки тому, що їх легше захистити від пошкоджень і інших випадкових або зловмисних дій, але ще й тому, що апаратна реалізація функцій вище за швидкодією, ніж програмна, а вартість їх неухильно знижується.

На ринку апаратних засобів захисту з'являються все нові пристрої. Нижче наводиться як приклад опис електронного замка.

Електронний замок «Соболь»

«Соболь», розроблений і поставлений ЗАТ НІП «Інформзахист», забезпечує виконання таких функцій захисту:

ідентифікація та аутентифікація користувачів;

контроль цілісності файлів і фізичних секторів жорсткого диска;

блокування завантаження ОС з дискети і CD-ROM;

блокування входу в систему зареєстрованого користувача при перевищенні ним заданої кількості невдалих спроб входу;

реєстрація подій, що мають відношення до безпеки системи.

Ідентифікація користувачів здійснюється за індивідуальним ключу у вигляді «таблетки» Touch Memory, що має пам'ять до 64 Кбайт, а аутентифікація - по паролю довжиною до 16 символів.

Контроль цілісності призначений для того, щоб переконатися, що програми і файли користувача і особливо системні файли ОС не були модифіковані зловмисником або введеної їм програмної закладкою. Для цього в першу чергу в роботу вступає разборщик файлової системи ОС: розрахунок еталонних значень і їх контроль при завантаженні реалізований в «Соболь» на апаратному рівні. Побудова ж списку контролю цілісності об'єктів виконується за допомогою утиліти ОС, що в принципі дає можливість програмі-перехоплювачі модифікувати цей список, але ж добре відомо, що загальний рівень безпеки системи визначається рівнем захищеності найслабшої ланки.

Під програмними засобами захисту інформації розуміють спеціальні програми, що включаються до складу програмного забезпечення КС виключно для виконання захисних функцій.

До основних програмних засобів захисту інформації відносяться:

Програми ідентифікації і аутентифікації користувачів КС;

Програми розмежування доступу користувачів до ресурсів КС;

Програми шифрування інформації;

Програми захисту інформаційних ресурсів (системного і прикладного програмного забезпечення, баз даних, комп'ютерних засобів навчання і т. П.) Від несанкціонованого зміни, використання і копіювання.

Треба розуміти, що під ідентифікацією, стосовно забезпечення інформаційної безпеки КС, розуміють однозначне розпізнавання унікального імені суб'єкта КС. Аутентифікація означає підтвердження того, що пред'явлене ім'я відповідає даному суб'єкту (підтвердження автентичності суб'єкта).

Також до програмних засобів захисту інформації відносяться:

Програми знищення залишкової інформації (в блоках оперативної пам'яті, тимчасових файлах і т. П.);

Програми імітації роботи з порушником (відволікання його на отримання нібито конфіденційної інформації);

Програми тестового контролю захищеності КС і ін.

До переваг програмних засобів захисту інформації відносяться:

Простота тиражування;

Мал. 4. Приклад пристикованого програмного засобу захисту.

Мал. 5. Приклад вбудованого програмного засобу захисту.

До недоліків програмних засобів захисту інформації відносяться:

Зниження ефективності КС за рахунок споживання її ресурсів, необхідних для функціонування програм захисту;

Прістикованность багатьох програмних засобів захисту (а не їх встроенность в програмне забезпечення КС, рис. 4 і 5), що створює для порушника принципову можливість їх обходу;

Можливість злочинного зміни програмних засобів захисту в процесі експлуатації КС.

Операційна система є найважливішим програмним компонентом будь-якої обчислювальної машини, тому від рівня реалізації політики безпеки в кожній конкретній ОС багато в чому залежить і загальна безпека інформаційної системи.

Операційна система MS-DOS є ОС реального режиму мікропроцесора Intel, а тому тут не може йти мови про поділ оперативної пам'яті між процесами. Все скільки-небудь програми і основна програма використовують загальний простір ОЗУ. Захист файлів відсутній, про мережевої безпеки важко сказати щось певне, оскільки на тому етапі розвитку ПО драйвери для мережевої взаємодії розробляється не фірмою MicroSoft, а сторонніми розробниками.

Сімейство операційних систем Windows 95, 98, Millenium - це клони, спочатку орієнтовані на роботу в домашніх ЕОМ. Ці операційні системи використовують рівні привілеїв захищеного режиму, але не роблять ніяких додаткових перевірок і не підтримують системи дескрипторів безпеки. В результаті цього будь-який додаток може отримати доступ до всього обсягу доступної оперативної пам'яті як з правами читання, так і з правами запису. Заходи мережевої безпеки присутні, однак, їх реалізація не на висоті. Більш того, у версії Windows 95 була допущена грунтовна помилка, що дозволяє віддалено буквально за кілька пакетів приводити до "зависання" ЕОМ, що також значно підірвало репутацію ОС, в наступних версіях було зроблено багато кроків щодо поліпшення мережевої безпеки цього клону.

Покоління операційних систем Windows NT, 2000. уже значно надійніша розробка компанії MicroSoft. Вони є дійсно багато користувачів системами, що надійно захищають файли різних користувачів на жорсткому диску (правда, шифрування даних все ж не проводиться і файли можна без проблем прочитати, завантажившись з диска іншої операційної системи - наприклад, MS-DOS). Дані ОС активно використовують можливості захищеного режиму процесорів Intel, і можуть надійно захистити дані і код процесу від інших програм, якщо тільки він сам не захоче надавати до них додаткового доступу ззовні процесу.

За довгий час розробки було враховано безліч різних мережевих атак і помилок в системі безпеки. Виправлення до них виходили у вигляді блоків оновлень (англ. Service pack).

Інша гілка клонів зростає від операційної системи UNIX. Ця ОС спочатку розроблялася як мережева і розрахована на багато користувачів, а тому відразу ж містила в собі засоби інформаційної безпеки. Практично всі широко поширені клони UNIX пройшли довгий шлях розробки та в міру модифікації врахували всі відкриті за цей час способи атак. Досить себе зарекомендували: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Природно все сказане відноситься до останніх версій цих операційних систем. Основні помилки в цих системах відносяться вже не до ядра, яке працює бездоганно, а до системних і прикладних утилітам. Наявність помилок в них часто призводить до втрати всього запасу міцності системи.

Основні компоненти:

Локальний адміністратор безпеки - несе відповідальність за несанкціонований доступ, перевіряє повноваження користувача на вхід в систему, підтримує:

Аудит - перевірка правильності виконання дій користувача

Диспетчер облікових записів - підтримка БД користувачів їх дій і взаємодії з системою.

Монітор безпеки - перевіряє чи має користувач достатні права доступу на об'єкт

Журнал аудиту - містить інформацію про входах користувачів, фіксує роботи з файлами, папками.

Пакет перевірки автентичності - аналізує системні файли, на предмет того, що вони не замінені. MSV10 - пакет за замовчуванням.

Windows XP доповнена:

можна призначати паролі для архівних копій

засоби захисту від заміни файлів

система розмежування ... шляхом введення пароля і створення обліку записів користувача. Архівацію може проводити користувач, у якого є такі права.

NTFS: контроль доступу до файлів і папок

В XP і 2000 - більш повне і глибоке диференціювання прав доступу користувача.

EFS - забезпечує шифрування і дешифрування інформації (файли і папки) для обмеження доступу до даних.

Криптографія - це наука про забезпечення безпеки даних. Вона займається пошуками рішень чотирьох важливих проблем безпеки - конфіденційності, аутентифікації, цілісності і контролю учасників взаємодії. Шифрування - це перетворення даних в нечитабельним форму, використовуючи ключі шифрування-розшифровки. Шифрування дозволяє забезпечити конфіденційність, зберігаючи інформацію в таємниці від того, кому вона не призначена.

Криптографія займається пошуком і дослідженням математичних методів перетворення інформації.

Сучасна криптографія включає в себе чотири великих розділи:

симетричні криптосистеми;

криптосистеми з відкритим ключем;

системи електронного підпису;

управління ключами.

Основні напрямки використання криптографічних методів - передача конфіденційної інформації з каналів зв'язку (наприклад, електронна пошта), встановлення автентичності переданих повідомлень, зберігання інформації (документів, баз даних) на носіях у зашифрованому вигляді.

Зашифрований диск - це файл-контейнер, всередині якого можуть знаходитися будь-які інші файли або програми (вони можуть бути встановлені і запущені прямо з цього зашифрованого файлу). Цей диск доступний тільки після введення пароля до файлу-контейнера - тоді на комп'ютері з'являється ще один диск, упізнаваний системою як логічний і робота з яким не відрізняється від роботи з будь-яким іншим диском. Після відключення диска логічний диск зникає, він просто стає «невидимим».

На сьогоднішній день найбільш поширені програми для створення зашифрованих дисків - DriveCrypt, BestCrypt і PGPdisk. Кожна з них надійно захищена від віддаленого злому.

Всі зміни інформації в файлі-контейнері відбуваються спочатку в оперативній пам'яті, тобто жорсткий диск завжди залишається зашифрованим. Навіть в разі зависання комп'ютера секретні дані так і залишаються зашифрованими;

Програми можуть блокувати прихований логічний диск після закінчення певного проміжку часу;

Всі вони недовірливо ставляться до тимчасових файлів (своп-файлів). Є можливість зашифрувати всю конфіденційну інформацію, яка могла потрапити в своп-файл. дуже ефективний метод приховування інформації, що зберігається в своп-файлі - це взагалі відключити його, при цьому не забувши наростити оперативну пам'ять комп'ютера;

Фізика жорсткого диска така, що навіть якщо поверх одних даних записати інші, то попередній запис повністю не зітреться. За допомогою сучасних засобів магнітної мікроскопії (Magnetic Force Microscopy - MFM) їх все одно можна відновити. За допомогою цих програм можна надійно видаляти файли з жорсткого диска, не залишаючи ніяких слідів їх існування;

Всі три програми зберігають конфіденційні дані в надійно зашифрованому вигляді на жорсткому диску і забезпечують прозорий доступ до цих даних з будь-якої прикладної програми;

Вони захищають зашифровані файли-контейнери від випадкового видалення;

Дуже добре справляються з троянськими програмами та вірусами.

Перш ніж отримати доступ до ВС, користувач повинен ідентифікувати себе, а механізми захисту мережі потім підтверджують справжність користувача, т. Е. Перевіряють, чи є користувач дійсно тим, за кого він себе видає. Відповідно до логічною моделлю механізму захисту ЗС розміщені на робочої ЕОМ, до якої підключений користувач через свій термінал або будь-яким іншим способом. Тому процедури ідентифікації, підтвердження справжності і наділення повноваженнями виконуються на початку сеансу на місцевій робочої ЕОМ.

Надалі, коли встановлюються різні мережеві протоколи і до отримання доступу до мережевих ресурсів, процедури ідентифікації, підтвердження справжності і наділення повноваженнями можуть бути активізовані знову на деяких віддалених робочих ЕОМ з метою розміщення необхідних ресурсів або мережевих послуг.

Коли користувач починає роботу в обчислювальній системі, використовуючи термінал, система запитує його ім'я та ідентифікаційний номер. Відповідно до відповідями користувача обчислювальна система виробляє його ідентифікацію. У мережі більш природно для об'єктів, що встановлюють взаємну зв'язок, ідентифікувати один одного.

Паролі - це лише один із способів підтвердження автентичності. Існують інші способи:

1. Зумовлена \u200b\u200bінформація, що знаходиться в розпорядженні користувача: пароль, особистий ідентифікаційний номер, угода про використання спеціальних закодованих фраз.

2. Елементи апаратного забезпечення, що знаходяться в розпорядженні користувача: ключі, магнітні картки, мікросхеми і т.п ..

3. Характерні індивідуальні особливості користувача: відбитки пальців, малюнок сітківки ока, розміри фігури, тембр голосу і інші більш складні медичні та біохімічні властивості.

4. Характерні прийоми і риси поведінки користувача в режимі реального часу: особливості динаміки, стиль роботи на клавіатурі, швидкість читання, вміння використовувати маніпулятори і т.д.

5. Звички: використання специфічних комп'ютерних заготовок.

6. Навички і знання користувача, обумовлені освітою, культурою, навчанням, передісторією, вихованням, звичками і т.п.

Якщо хтось бажає увійти в обчислювальну систему через термінал або виконати пакетне завдання, обчислювальна система повинна встановити справжність користувача. Сам користувач, як правило, не перевіряє справжність обчислювальної системи. Якщо процедура встановлення автентичності є односторонньою, таку процедуру називають процедурою одностороннього підтвердження автентичності об'єкта.

Спеціалізовані програмні засоби захисту інформації від несанкціонованого доступу володіють в цілому кращими можливостями і характеристиками, ніж вбудовані засоби мережевих ОС. Крім програм шифрування, існує багато інших доступних зовнішніх засобів захисту інформації. З найбільш часто згадуваних слід зазначити наступні дві системи, що дозволяють обмежити інформаційні потоки.

Firewalls - брандмауери (дослівно firewall - вогненна стіна). Між локальної та глобальної мережами створюються спеціальні проміжні сервера, які інспектують і фільтрують весь проходить через них трафік мережевого / транспортного рівнів. Це дозволяє різко знизити загрозу несанкціонованого доступу ззовні в корпоративні мережі, але не усуває цю небезпеку зовсім. Більш захищена різновид методу - це спосіб маскараду (masquerading), коли весь вихідний з локальної мережі трафік посилається від імені firewall-сервера, роблячи локальну мережу практично невидимою.

Proxy-servers (proxy - довіреність, довірена особа). Весь трафік мережевого / транспортного рівнів між локальної та глобальної мережами забороняється повністю - просто відсутня маршрутизація як така, а звернення з локальної мережі в глобальну відбуваються через спеціальні сервери-посередники. Очевидно, що при цьому методі звернення з глобальної мережі в локальну стають неможливими в принципі. Очевидно також, що цей метод не дає достатнього захисту проти атак на більш високих рівнях - наприклад, на рівні додатку (віруси, код Java і JavaScript).

Розглянемо докладніше роботу брандмауера. Це метод захисту мережі від загроз безпеки, що виходять від інших систем і мереж, за допомогою централізації доступу до мережі і контролю за ним апаратно-програмними засобами. Брандмауер є захисним бар'єром, що складається з декількох компонентів (наприклад, маршрутизатора або шлюзу, на якому працює програмне забезпечення брандмауера). Брандмауер конфигурируется відповідно до прийнятої в організації політикою контролю доступу до внутрішньої мережі. Всі вхідні і вихідні пакети повинні проходити через брандмауер, який пропускає тільки авторизовані пакети.

Брандмауер з фільраціей пакетів - є маршрутизатором або комп'ютером, на якому працює програмне забезпечення, сконфигурированное таким чином, щоб бракувати певні види вхідних і вихідних пакетів. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP- і IP- заголовках пакетів (адреси відправника і одержувача, їх номери портів і ін.).

Брандмауер експертного рівня - перевіряє вміст прийнятих пакетів на трьох рівнях моделі OSI - мережевому, сеансовому і прикладному. Для виконання цього завдання використовуються спеціальні алгоритми фільтрації пакетів, за допомогою яких кожен пакет порівнюється з відомим шаблоном авторизованих пакетів.

Створення брандмауер ставиться до рішення задачі екранування. Формальна постановка задачі екранування полягає в наступному. Нехай є два безлічі інформаційних систем. Екран - це засіб розмежування доступу клієнтів з однієї безлічі до серверів з іншого безлічі. Екран здійснює свої функції, контролюючи всі інформаційні потоки між двома множинами систем (рис. 6). Контроль потоків полягає в їх фільтрації, можливо, з виконанням деяких перетворень.

Мал. 6. Екран як засіб розмежування доступу.

На наступному рівні деталізації екран (напівпроникну мембрану) зручно представляти як послідовність фільтрів. Кожен з фільтрів, проаналізувавши дані, може затримати (не пропустити) їх, а може і відразу "перекинути" за екран. Крім того, допускається перетворення даних, передача порції даних на наступний фільтр для продовження аналізу або обробка даних від імені адресата і повернення результату відправнику (рис. 7).

Мал. 7. Екран як послідовність фільтрів.

Крім функцій розмежування доступу, екрани здійснюють протоколювання обміну інформацією.

Зазвичай екран не є симетричним, для нього визначені поняття "всередині" і "зовні". При цьому завдання екранування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани (МЕ) найчастіше встановлюють для захисту корпоративної мережі організації, що має вихід в Internet.

Екранування допомагає підтримувати доступність сервісів внутрішньої області, зменшуючи або взагалі ліквідуючи навантаження, викликане зовнішньою активністю. Зменшується вразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен подолати екран, де захисні механізми сконфігуровані особливо ретельно. Крім того, екранує система, на відміну від універсальної, може бути влаштована більш простим і, отже, більш безпечним чином.

Екранування дає можливість контролювати також інформаційні потоки, спрямовані в зовнішнє область, що сприяє підтримці режиму конфіденційності в ІС організації.

Екранування може бути частковим, що захищає певні інформаційні сервіси (наприклад, екранування електронної пошти).

Обмежує інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому сенсі Web-інтерфейс має природний захист, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожен користувач бачить лише те, що йому належить бачити. Можна провести аналогію між динамічно формуються гіпертекстовими документами і поданнями в реляційних базах даних, з тією суттєвою застереженням, що в разі Web можливості істотно ширше.

Екрануюча роль Web-сервісу наочно проявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, інтегруючі) функції при доступі до інших ресурсів, наприклад таблиць бази даних. Тут не тільки контролюються потоки запитів, а й приховується реальна організація даних.

Боротися з погрозами, властивому мережному середовищі, засобами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, напевно що містить, крім явних помилок, деякі особливості, які можуть бути використані для нелегального отримання привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, який має справу зі складною системою, далеко не завжди в змозі врахувати всі наслідки вироблених змін. Нарешті, в універсальної системі пролому в безпеці постійно створюються самими користувачами (слабкі і / або рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.). Єдиний перспективний шлях пов'язаний з розробкою спеціалізованих сервісів безпеки, які в силу своєї простоти допускають формальну чи неформальну верифікацію. Брандмауер якраз і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережевих протоколів.

Міжмережевий екран розташовується між що захищається (внутрішньої) мережею і зовнішнім середовищем (зовнішніми мережами іншими сегментами корпоративної мережі). У першому випадку говорять про зовнішнє МЕ, у другому - про внутрішній. Залежно від точки зору, зовнішній міжмережевий екран можна вважати першою або останньою (але ніяк не єдиною) лінією оборони. Першою - якщо дивитися на світ очима зовнішнього зловмисника. Останньою - якщо прагнути до захищеності всіх компонентів корпоративної мережі та припинення неправомірних дій внутрішніх користувачів.

Брандмауер - ідеальне місце для вбудовування засобів активного аудиту. З одного боку, і на першому, і на останньому захисному рубежі виявлення підозрілої активності по-своєму важливо. З іншого боку, МЕ здатний реалізувати як завгодно потужну реакцію на підозрілу активність, аж до розриву зв'язку із зовнішнім середовищем. Правда, потрібно віддавати собі звіт в тому, що з'єднання двох сервісів безпеки в принципі може створити пролом, що сприяє атакам на доступність.

На міжмережевий екран доцільно покласти ідентифікацію / аутентифікацію зовнішніх користувачів, які потребують доступу до корпоративних ресурсів (з підтримкою концепції єдиного входу в мережу).

В силу принципів ешелонування оборони для захисту зовнішніх підключень зазвичай використовується двухкомпонентное екранування (див. Рис. 8). Первинна фільтрація (наприклад, блокування пакетів керуючого протоколу SNMP, небезпечного атаками на доступність, або пакетів з певними IP-адресами, включеними в "чорний список") здійснюється граничним маршрутизатором (див. Також наступний розділ), за яким розташовується так звана демілітаризована зона ( мережу з помірним довірою безпеки, куди виносяться зовнішні інформаційні сервіси організації - Web, електронна пошта і т.п.) і основний МЕ, що захищає внутрішню частину корпоративної мережі.

Теоретично міжмережевий екран (особливо внутрішній) повинен бути багатопротокольним, однак на практиці домінування сімейства протоколів TCP / IP настільки велике, що підтримка інших протоколів представляється надмірністю, шкідливим для безпеки (чим складніше сервіс, тим він більш вразливий).

Мал. 8. Двокомпонентне екранування з демілітаризованою зоною.

Взагалі кажучи, і зовнішній, і внутрішній міжмережевий екран може стати вузьким місцем, оскільки обсяг мережевого трафіку має тенденцію швидкого зростання. Один з підходів до вирішення цієї проблеми передбачає розбиття МЕ на кілька апаратних частин і організацію спеціалізованих серверів-посередників. Основний міжмережевий екран може проводити грубу класифікацію вхідного трафіку за видами і передоручати фільтрацію відповідним посередникам (наприклад, посереднику, що аналізує HTTP-трафік). Вихідний трафік спочатку обробляється сервером-посередником, який може виконувати і функціонально корисні дії, такі як кешування сторінок зовнішніх Web-серверів, що знижує навантаження на мережу взагалі і основний МЕ зокрема.

Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є скоріше винятком, ніж правилом. Навпаки, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожен з яких підключений до Internet. У цьому випадку кожне підключення має захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (управління та аудиту) всіх компонентів.

Протилежністю складовим корпоративним МЕ (або їх компонентами) є персональні міжмережеві екрани і персональні екранують пристрої. Перші є програмними продуктами, які встановлюються на персональні комп'ютери і захищають тільки їх. Другі реалізуються на окремих пристроях і захищають невелику локальну мережу, таку як мережа домашнього офісу.

при розгортанні міжмережевих екранів слід дотримуватися розглянуті нами раніше принципи архітектурної безпеки, в першу чергу подбавши про простоту і керованості, про ешелонування оборони, а також про неможливість переходу в небезпечний стан. Крім того, слід брати до уваги не тільки зовнішні, але і внутрішні загрози.

Системи архівування і дублювання інформації

Організація надійної та ефективної системи архівації даних є однією з найважливіших завдань щодо забезпечення схоронності інформації в мережі. У невеликих мережах, де встановлені один - два сервера, найчастіше застосовується установка системи архівації безпосередньо у вільні слоти серверів. У великих корпоративних мережах найбільш переважно організувати виділений спеціалізований архіваціонний сервер.

Такий сервер автоматично виробляє архівування інформації з жорстких дисків серверів і робочих станцій в вказане адміністратором локальної обчислювальної мережі час, видаючи звіт про проведене резервному копіюванні.

Зберігання архівної інформації, що представляє особливу цінність, має бути організовано в спеціальному приміщенні, що охороняється. Фахівці рекомендують зберігати дублікати архівів найбільш цінних даних в іншій будівлі, на випадок пожежі або стихійного лиха. Для забезпечення відновлення даних при збої магнітних дисків останнім часом найчастіше застосовуються системи дискових масивів - групи дисків, що працюють як єдиний пристрій, що відповідають стандарту RAID (Redundant Arrays of Inexpensive Disks). Ці масиви забезпечують найбільш високу швидкість запису / зчитування даних, можливість повного відновлення даних і заміни поламаних дисків в "гарячому" режимі (без відключення інших дисків масиву).

Організація дискових масивів передбачає різні технічні рішення, реалізовані на декількох рівнях:

RAID уровеня 0 передбачає простий розподіл потоку даних між двома або кількома дисками. Перевага такого рішення полягає в збільшенні швидкості введення / виводу пропорційно кількості задіяних в масиві дисків.

RAID рівня 1 полягає в організації так званих «дзеркальних» дисків. Під час запису даних інформація основного диска системи дублюється на дзеркальному диску, а при виході з ладу основного диска в роботу відразу включається "дзеркальний".

RAID рівні 2 і 3 передбачають створення паралельних дискових масивів, під час запису на які дані розподіляються по дискам на битовом рівні.

RAID рівні 4 і 5 є модифікацією нульового рівня, при якому потік даних розподіляється по дисках масиву. Відмінність полягає в тому, що на рівні 4 виділяється спеціальний диск для зберігання надлишкової інформації, а на рівні 5 надлишкова інформація розподіляється по всіх дисках масиву.

Підвищення надійності і захист даних в мережі, заснована на використанні надлишкової інформації, реалізуються не тільки на рівні окремих елементів мережі, наприклад дискових масивів, а й на рівні мережевих ОС. Наприклад, компанія Novell реалізує відмовостійкі версії операційної системи Netware - SFT (System Fault Tolerance):

SFT Level I. Перший рівень передбачає, створення додаткових копій FAT і Directory Entries Tables, негайну верифікацію кожного знову записаного на файловий сервер блоку даних, а також резервування на кожному жорсткому диску близько 2% від обсягу диска.

SFT Level II містила додатково можливості створення "дзеркальних" дисків, а також дублювання дискових контролерів, джерел живлення і телекомунікаційних каналів.

Версія SFT Level III дозволяє використовувати в локальній мережі дубльовані сервери, один з яких є "головним", а другий, що містить копію всієї інформації, вступає в роботу у разі виходу "головного" сервера з ладу.

Сервіс аналізу захищеності призначений для виявлення вразливих місць з метою їх оперативної ліквідації. Сам по собі цей сервіс ні від чого не захищає, але допомагає виявити (і усунути) прогалини в захисті раніше, ніж їх зможе використовувати зловмисник. В першу чергу, маються на увазі не архітектурні (їх ліквідувати складно), а "оперативні" проломи, що з'явилися в результаті помилок адміністрування або через неуважність до оновлення версій програмного забезпечення.

Системи аналізу захищеності (звані також сканерами захищеності), як і розглянуті вище засоби активного аудиту, засновані на накопиченні і використанні знань. В даному випадку маються на увазі знання про прогалини в захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.

Відповідно, ядром таких систем є база вразливих місць, яка визначає доступний діапазон можливостей і вимагає практично постійної актуалізації.

В принципі, можуть виявлятися проломи самої різної природи: наявність шкідливого ПЗ (зокрема, вірусів), слабкі паролі користувачів, невдало сконфігуровані операційні системи, небезпечні мережеві сервіси, невстановлені латки, уразливості в додатках і т.д. Однак найбільш ефективними є мережеві сканери (очевидно, в силу домінування сімейства протоколів TCP / IP), а також антивірусні засоби. Антивірусний захист ми зараховуємо до засобів аналізу захищеності, не рахуючи її окремим сервісом безпеки.

Сканери можуть виявляти вразливі місця як шляхом пасивного аналізу, тобто вивчення конфігураційних файлів, задіяних портів і т.п., так і шляхом імітації дій атакуючого. Деякі знайдені вразливі місця можуть усуватися автоматично (наприклад, лікування заражених файлів), про інших повідомляється адміністратору.

Контроль, що забезпечується системами аналізу захищеності, носить реактивний, запізнюється характер, він не захищає від нових атак, проте слід пам'ятати, що оборона повинна бути ешелонованої, і в якості одного з рубежів контроль захищеності цілком адекватний. Відомо, що переважна більшість атак носить рутинний характер; вони можливі тільки тому, що відомі проломи в захисті роками залишаються неусуненими.

3.1 Характеристика підприємства та корпоративної мережі

Група компаній Vestel об'єднує 19 компаній, що спеціалізуються на розробці, виробництві, маркетингу та дистрибуції побутової електроніки, дрібної і крупної побутової техніки. Будучи одним з лідерів ринку електроніки і побутової техніки в Європі, компанія має представництва в таких країнах, як Франція, Іспанія, Німеччина, Бельгія, Люксембург, Італія, Великобританія, Голландія, Румунія, Тайвань, Гонконг, Фінляндія, США. Виробничі та науково-дослідницькі потужності також зосереджені в багатьох регіонах світу. На даний момент Vestel Group входить у великий транснаціональний холдинг Zorlu зі штаб-квартирою в місті Стамбул (Туреччина).

Завод в м Александров був закладений в листопаді 2002 р, а в листопаді 2003 р почалося виробництво телевізорів. У 2006 році був побудований цех з виробництва пральних машин і холодильників. На даний момент на російському ринку представлені кінескопні, рідкокристалічні та плазмові телевізори, Пральні машини, холодильники, плити. На заводі застосовуються найсучасніші складальні технології і повністю автоматизовані системи контролю якості.

Число працюючих - більше 700 осіб (близько 500 з них - робочі).

На підприємстві відсутні відомості, що становлять державну таємницю, але ведеться робота з комерційною і службовою таємницею.

На підприємстві існує своя локальна мережа, доступ до якої мають лише працівники ВЕСТЕЛЬ. У більшості випадків є доступ лише до обмеженої кількості сайтів цієї мережі, необхідних в ході трудової діяльності. Інформація про кожному виході в мережу фіксується системним адміністратором. Це також відноситься до мережі Інтернет.

Кількість робочих станцій в мережі - 27. Вони об'єднані в кілька робочих груп:

директор підприємства - 1 робоча станція;

відділ №1 - 2 робочих станції;

секретар - 1 робоча станція;

відділення 1, 2 і 3 відділи №2 по 3, 2 і 4 робочих станції відповідно;

відділення 4 і 5 відділу №3 по 3 і 4 робочих станції;

відділення 6 відділу №4 - 3 робочих станції;

відділ №5 - 4 робочі станції;

відділ №6 - 4 робочі станції.

Вся мережа розташована на одному поверсі адміністративної будівлі.

План приміщень, де розташовані робочі станції і сервер представлений в Додатку Б.

Мережа, як це видно з рис. 9, має топологію «зірка».

Топологія типу «зірка» являє собою більш продуктивну структуру, кожен комп'ютер, в тому числі і сервер, з'єднується окремим сегментом кабелю з центральним концентратором (HAB).

Основною перевагою такої мережі є її стійкість до збоїв, що виникають внаслідок неполадок на окремих ПК або через пошкодження мережевого кабелю.

Використовуваний метод доступу - CSMA / CD. Саме цей метод доступу застосовує мережева архітектура Ethernet, яка використовується на підприємстві. Мережа побудована на основі на основі кручений пари (10Base - T) з використанням кабелю фірми Siemon, стандарту UTP (Unshielded Twisted Pair) (неекранована кручена пара) категорії 5, міжнародного стандарту Кабельних систем.

Використовувані операційні системи - Windows 2000 (на робочих станціях) і Windows 2003 Server.

Мал. 9. Топологія мережі підприємства.

На підприємстві розроблені наступні заходи щодо захисту інформації:

Укладено договір про охорону приміщення і території (діє пропускний режим);

Розроблено режим і правила протипожежної безпеки;

Режим відеоспостереження поверхів;

Розроблено посадові інструкції службовців, що розмежовують їх права та обов'язки;

Додаткові угоди до трудових договорів співробітників про нерозголошення ними конфіденційної інформації, що регламентують відповідальність в області захисту інформації;

Інструкції з охорони периметра, по експлуатації системи охоронної сигналізації та відеоспостереження;

Положення про конфіденційний документообіг;

Опис технологічного процесу обробки КІ;

встановлено антивірусна системи захисту на АРМ;

Розмежований доступ до АРМ паролями.

Правове забезпечення системи захисту конфіденційної інформації включає в себе комплекс внутрішньої нормативно-організаційної документації, в яку входять такі документи підприємства, як:

Колективний трудовий договір;

Трудові договори з працівниками підприємства;

Правила внутрішнього розпорядку службовців підприємства;

Посадові обов'язки керівників, фахівців і службовців підприємства.

Інструкції користувачів інформаційно-обчислювальних мереж і баз даних;

Інструкції співробітників, відповідальних за захист інформації;

Пам'ятка співробітника про збереження комерційної або іншої таємниці;

Договірні зобов'язання.

Аби не заглиблюватися в зміст перерахованих документів, можна сказати, що у всіх з них, в залежності від їх основного нормативного або юридичної призначення, вказуються вимоги, норми або правила щодо забезпечення необхідного рівня інформаційної захищеності підприємства, звернені, насамперед, до персоналу і керівництву.

Правове забезпечення дає можливість врегулювати багато спірних питань, які неминуче виникають в процесі інформаційного обміну на самих різних рівнях - від мовного спілкування до передачі даних в комп'ютерних мережах. Крім того, утворюється юридично оформлена система адміністративних заходів, що дозволяє застосовувати стягнення або санкції до порушників внутрішньої політики безпеки, а також встановлювати досить чіткі умови щодо забезпечення конфіденційності відомостей, що використовуються або формованих при співробітництві між суб'єктами економіки, виконання ними договірних зобов'язань, здійснення спільної діяльності і т.п. При цьому сторони, які не виконують ці умови, несуть відповідальність в рамках, передбачених як відповідними пунктами між сторонніх документів (договорів, угод, контрактів та ін.), Так і російським законодавством.

Основними об'єктами захисту є:

АРМ співробітників;

Сервер локальної мережі;

Конфіденційна інформація (документи);

Кабінети генерального директора, головного інженера і головного технолога;

Кабінети з конфіденційною документацією.

Windows 2003 Server має засоби забезпечення безпеки, вбудовані в операційну систему. Нижче розглянуті найбільш значимі з них.

Стеження за діяльністю мережі.

Windows 2003 Server дає багато інструментальних засобів для стеження за мережевою діяльністю і використанням мережі. ОС дозволяє:

переглянути сервер і побачити, які ресурси він використовує;

побачити користувачів, підключених в даний час до сервера і побачити, які файли вони відкриті;

перевірити дані в журналі безпеки;

проверітьзапісі в журналі подій;

вказати, про яких помилках адміністратор повинен бути попереджений, якщо вони відбудуться.

Початок сеансу на робочої станції

Всякий раз, коли користувач починає сеанс на робочої станції, екран початку сеансу затребувана ім'я користувача, пароль і домен. Потім робоча станція посилає ім'я користувача і пароль в домен для ідентифікації. Сервер в домені перевіряє ім'я користувача і пароль в базі даних облікових карток користувачів домену. Якщо ім'я користувача та пароль ідентичні даним в обліковій картці, сервер повідомляє робочу станцію про початок сеансу. Сервер також завантажує іншу інформацію при початку сеансу користувача, як наприклад установки користувача, свій каталог і змінні середовища.

За умовчанням в усіх облікові картки в домені дозволяють входити в систему. Тільки картками груп адміністраторів, операторів сервера, операторів управління печаткою, операторів управління дисконтними картками і операторів управління резервним копіюванням дозволено це робити.

Для всіх користувачів мережі підприємства передбачено своє ім'я та пароль (докладніше про це розповідається в наступному розділі ВКР).

Облікові картки користувачів

Кожен клієнт, який використовує мережу, має облікову картку користувача в домені мережі. Облікова картка користувача містить інформацію про користувача, що включає ім'я, пароль та обмеження щодо використання мережі, що накладаються на нього. Облікові картки дозволяють згрупувати користувачів, які мають аналогічні ресурси, в групи; групи полегшують надання прав і дозволів на ресурси, досить зробити тільки одну дію, дає права або дозволу всій групі.

Додаток В показує вміст облікової картки користувача.

Журнал подій безпеки

Windows 2003 Server дозволяє визначити, що увійде в ревізію і буде записано в журнал подій безпеки щоразу, коли виконуються певні дії або здійснюється доступ до файлів. Елемент ревізії показує виконану дію, користувача, який виконав його, а також дату і час дії. Це дозволяє контролювати як успішні, так і невдалі спроби будь-яких дій.

Журнал подій безпеки для умов підприємства є обов'язковим, так як в разі спроби злому мережі можна буде відстежити джерело.

Насправді протоколювання здійснюється тільки у відношенні підозрілих користувачів і подій. Оскільки якщо фіксувати всі події, обсяг реєстраційної інформації, швидше за все, буде рости занадто швидко, а її ефективний аналіз стане неможливим. Стеження важлива в першу чергу як профілактичний засіб. Можна сподіватися, що багато утримаються від порушень безпеки, знаючи, що їх дії фіксуються.

права користувача

Права користувача визначають дозволені типи дій для цього користувача. Дії, регульовані правами, включають вхід в систему на локальний комп'ютер, Вимикання, установку часу, копіювання і відновлення файлів сервера і виконання інших завдань.

В домені Windows 2003 Server права надаються і обмежуються на рівні домену; якщо група знаходиться безпосередньо в домені, учасники мають права у всіх первинних і резервних контролерів домену.

Для кожного користувача підприємства обов'язково встановлюються свої права доступу до інформації, дозвіл на копіювання та відновлення файлів.

Установка пароля і політика облікових карток

Для домену визначені всі аспекти політики пароля: мінімальна довжина пароля (6 символів), мінімальний і максимальний вік пароля і винятковість пароля, який охороняє користувача від зміни його пароля на той пароль, який користувач використовував недавно.

Дається можливість також визначити і інші аспекти політики облікових карток:

Чи повинна відбуватися блокування облікової картки;

Чи повинні користувачі насильно відключатися від сервера після закінчення годин початку сеансу;

Чи повинні користувачі мати можливість входу в систему, щоб змінити свій пароль.

Коли дозволена блокування облікової картки, тоді облікова картка блокується у разі кількох безуспішних спроб початку сеансу користувача, і не більше, ніж через певний період часу між будь-якими двома безуспішними спробами початку сеансу. Облікові картки, які заблоковані, не можуть бути використані для входу в систему.

Якщо користувачі примусово відключаються від серверів, коли час його сеансу минув, то вони отримують попередження саме перед кінцем встановленого періоду сеансу. Якщо користувачі не відключаються від мережі, то сервер зробить відключення примусово. Однак відключення користувача від робочої станції не відбудеться. Годинники сеансу на підприємстві не встановлені, так як в успішній діяльності зацікавлені всі співробітники і часто деякі залишаються працювати понаднормово або у вихідні дні.

Якщо від користувача потрібно змінити пароль, то, коли він цього не зробив при просроченном пароль, він не зможе змінити свій пароль. При простроченні пароля користувач повинен звернутися до адміністратора системи за допомогою в зміні пароля, щоб мати можливість знову входити в мережу. Якщо користувач не входив в систему, а час зміни пароля підійшло, то він попереджений про необхідність зміни, як тільки він буде входити.

Шифрована файлова система EFS

Windows 2000 надає можливість ще більше захистити зашифровані файли і папки на томах NTFS завдяки використанню шифрованого файлової системи EFS (Encrypting File System). При роботі в середовищі Windows 2000 можна працювати тільки з тими томами, на які є права доступу.

При використанні файлової системи EFS можна файли і папки, дані яких будуть зашифровані за допомогою пари ключів. Будь-який користувач, який захоче отримати доступ до певного файлу, повинен мати особистим ключем, за допомогою якого дані файлу будуть розшифровуватися. Система EFS так само забезпечує схему захисту файлів в середовищі Windows 2000. Однак, на підприємстві не використовується ця можливість, так як при використанні шифрування продуктивність роботи системи знижується.

Вище вже були вказані організаційно-правові аспекти захисту інформації від несанкціонованого доступу та можливості Windows 2000 цього плані. Тепер зупинюся трохи докладніше на інших аспектах.

Інформація, що циркулює в корпоративній мережі досить різноманітна. Усе інформаційні ресурси розділені на три групи:

Мережеві ресурси загального доступу;

Інформаційні ресурси файлового сервера;

Інформаційні ресурси СУБД.

Кожна група містить ряд найменувань інформаційних ресурсів, які в свою чергу мають індивідуальний код, рівень доступу, розташування в мережі, власника і т.п.

Ця інформація важлива для підприємства і його клієнтів, тому вона повинна мати гарний захист.

електронні ключі

Всі комп'ютери, що працюють з відомостями, що становлять комерційну таємницю, обладнані додатковими програмно-апаратними комплексами.

Такі комплекси являють собою сукупність програмних і апаратних засобів захисту інформації від несанкціонованого доступу.

Апаратна частина, подібних комплексів так званий електронний замок являє собою електронну плату, що вставляється в один зі слотів комп'ютера і забезпечену інтерфейсом для підключення зчитувача електронних ключів таких типів як: Smart Card, Touch Memory, Proximity Card, eToken. Типовим набором функцій, що надаються такими електронними замками, є:

Реєстрації користувачів комп'ютера і призначення їм персональних ідентифікаторів (імен та / або електронних ключів) і паролів для входу в систему;

Запит персонального ідентифікатора і пароля користувача при завантаженні комп'ютера. Запит здійснюється апаратною частиною до завантаження ОС;

Можливість блокування входу в систему зареєстрованого користувача;

Ведення системного журналу, в якому реєструються події, що мають відношення до безпеки системи;

Контроль цілісності файлів на жорсткому диску;

Контроль цілісності фізичних секторів жорсткого диска;

Апаратну захист від несанкціонованої завантаження операційної системи з гнучкого диска, CD-ROM або USB портів;

Можливість спільної роботи з програмними засобами захисту від несанкціонованого доступу.

Опікунська захист даних

На підприємстві використовується такий варіант захисту інформації як опікунська захист даних. Піклувальник - це користувач, якому надані привілеї або права доступу до файлових інформаційних ресурсів.

Кожен співробітник має одну з восьми різновидів прав:

Read - право Читання відкритих файлів;

Write - право Записи в відкриті файли;

Open - право Відкриття існуючого файлу;

Create - право Створення (і одночасно відкриття) нових файлів;

Delete - право Вилучення існуючих файлів;

Parental - Батьківські права:

Право Створення, Перейменування, Стирання підкаталогів каталогу;

Право Встановлення опікунів і прав в каталозі;

Право Встановлення опікунів і прав в підкаталозі;

Search - право Пошуку каталогу;

Modify - право Модифікації файлових атрибутів.

Для запобігання випадкових змін або видалення окремих файлів усіма працівниками використовується захист атрибутами файлів. Такий захист застосовується щодо інформаційних файлів загального користування, Які зазвичай читаються багатьма користувачами. У захисті даних використовуються чотири файлових атрибута:

Запис-читання,

Тільки читання,

розділяється,

За допомогою нерозривних.

Як я вже вказував, все комп'ютери на підприємстві захищені за допомогою паролів.

Оскільки на всіх комп'ютерах організації встановлений Microsoft Windows 2000 і Windows Server 2003 то використовується захист паролем операційної системи, яка встановлюється адміністратором в BIOS, так як найважливішу роль в запобіганні несанкціонованого доступу до даних комп'ютера грає саме захист BIOS.

Модифікація, знищення BIOS персонального комп'ютера можливо в результаті несанкціонованого скидання або роботи шкідливих програм, вірусів.

Залежно від моделі комп'ютера захист BIOS забезпечується:

Установкою перемикача, розташованого на материнській платі, в положення, що виключає модифікацію BIOS (проводиться службою технічної підтримки підрозділу автоматизації);

Установкою адміністративного пароля в ПО SETUP.

Захист BIOS від несанкціонованого скидання забезпечується опечатуванням корпусу комп'ютера захисної голографічну наклейку.

Використовуються два типи паролів доступу: адміністративні і призначені для користувача.

При установці адміністративного і призначеного для користувача паролів слід керуватися наступними правилами:

Пароль користувача надається користувач комп'ютера вибирає і вводить одноосібно (не менше 6-ти символів). Адміністратору інформаційної безпеки забороняється дізнаватися пароль користувача.

Адміністративний пароль (не менше 8-ми символів) вводиться адміністратором інформаційної безпеки. Адміністратору інформаційної безпеки забороняється повідомляти адміністративний пароль користувача.

У тому випадку якщо комп'ютер обладнаний апаратно-програмним засобом захисту від несанкціонованого доступу, яке забороняє завантаження ОС без пред'явлення призначеного для користувача персонального ідентифікатора, пароль користувача допускається не встановлювати.

При позитивному результаті перевірки достовірності пред'явленого користувачем пароля:

Система управління доступом надає користувачеві закріплені за ним права доступу;

Користувач реєструється вбудованими засобами реєстрації (якщо вони є).

Контроль доступу в Інтернет

Особливу увагу слід приділяти доступу працівників підприємства до мережі Інтернет.

Раніше доступ до мережі Internet здійснювався зі спеціалізованого робочого місця, званого Інтернет-кіоском. Інтернет-кіоск не був підключений до корпоративної мережі підприємства.

У підрозділі, що здійснював експлуатацію Інтернет-кіоску, велися:

Журнал обліку робіт в мережі Internet, в якому відображалися: ПІБ користувача, дата, час початку робіт, тривалість робіт, мета робіт, що використовуються ресурси, підпис;

Журнал допуску, в якому відображалися: ПІБ користувача, завдання, для вирішення яких він допускається до роботи в мережі Internet, час проведення робіт і максимальна тривалість, підпис керівника.

Але від цієї практики згодом відмовилися. Зараз все комп'ютери корпоративної мережі мають вихід в Інтернет.

Зростання спектру і обсягів послуг, що тягнуть за собою потребу підрозділів в інформаційному обміні з зовнішніми організаціями, а також необхідність надання віддаленого доступу до інформації через публічні канали зв'язку, значно підвищують ризики несанкціонованого доступу, вірусної атаки і т.п.

3.5 Антивірусний захист

Враховуються фактори ризику

Віруси можуть проникати в машину різними шляхами (через глобальну мережу, через заражену дискету або флешку). Наслідки їх проникнення дуже неприємні: від руйнування файлу до порушення працездатності всього комп'ютера. Достатньо всього лише одного зараженого файлу, щоб заразити всю наявну на комп'ютері інформацію, а далі заразити всю корпоративну мережу.

При організації системи антивірусного захисту на підприємстві враховувалися такі фактори ризику:

Обмежені можливості антивірусних програм

Можливість створення нових вірусів з орієнтацією на протидію конкретним антивірусним пакетам і механізмам захисту, використання вразливостей системного і прикладного програмного забезпечення призводять до того, що навіть тотальне застосування антивірусних засобів з актуальними антивірусними базами не дає гарантованого захисту від загрози вірусного зараження, оскільки можлива поява вірусу, процедури захисту від якого ще не додавали в новітні антивірусні бази.

Висока інтенсивність виявлення критичних вразливостей в системному ПО

Наявність нових неліквідованих критичних вразливостей в системному ПО, створює канали масового поширення нових вірусів по локальних і глобальних мереж. Включення до складу вірусів «троянських» модулів, що забезпечують можливість віддаленого управління комп'ютером з максимальними привілеями, створює не тільки ризики масового відмови в обслуговуванні, але і ризики прямих розкрадань шляхом несанкціонованого доступу в автоматизовані банківські системи.

Необхідність попереднього тестування оновлень системного і антивірусного ПО

Установка оновлень без попереднього тестування створює ризики несумісності системного, прикладного та антивірусного ПО і може призводити до порушень в роботі. У той же час тестування призводить до додаткових затримок в установці оновлень і відповідно збільшує ризики вірусного зараження.

Різноманітність і многоплатформенность використовуваних в автоматизованих системах технічних засобів і програмного забезпечення

Можливість роботи окремих типів вірусів на різних платформах, здатність вірусів до розмноження з використанням корпоративних поштових систем або обчислювальних мереж, відсутність антивірусних продуктів для деяких конкретних платформ роблять в ряді випадків неможливим або неефективним застосування антивірусного ПО.

Широка доступність сучасних мобільних засобів зв'язку, пристроїв зберігання і носіїв інформації великої ємності

сучасні мобільні засоби зв'язку дозволяють недобросовісним співробітникам зробити несанкціоноване підключення автоматизованого робочого місця до мережі Інтернет, створивши тим самим пролом в периметрі безпеки корпоративної мережі і піддавши її інформаційні ресурси ризику масового зараження новим комп'ютерним вірусом. Наявність доступних компактних пристроїв зберігання і перенесення великих обсягів інформації створює умови для несанкціонованого використання таких пристроїв і носіїв в особистих, що не виробничих цілях. Несанкціоноване копіювання на комп'ютери підприємства інформації, отриманої з неперевірених джерел, істотно збільшує ризики вірусного зараження.

Необхідність кваліфікованих дій з відбиття вірусної атаки

Некваліфіковані дії по відображенню вірусної атаки можуть призводити до збільшення наслідків зараження, часткової або повної втрати критичної інформації, неповної ліквідації вірусного зараження або навіть розширення вогнища зараження.

Необхідність планування заходів по виявленню наслідків вірусної атаки і відновленню ураженої інформаційної системи

У разі безпосереднього впливу вірусу на автоматизовану банківську систему, або при проведенні некваліфікованих лікувальних заходів може бути втрачена інформація або спотворено програмне забезпечення.

В умовах дії зазначених факторів тільки прийняття жорстких комплексних заходів безпеки по всім можливих видів загроз дозволить контролювати постійно зростаючі ризики повної або часткової зупинки бізнес процесів в результаті вірусних заражень.

пакет Dr.Web

Для антивірусного захисту був обраний пакет Dr.Web Enterprise Suite. Цей пакет забезпечує централізований захист корпоративної мережі будь-якого масштабу. Сучасне рішення на базі технологій Dr.Web для корпоративних мереж, являє собою унікальний технічний комплекс з вбудованою системою централізованого керування антивірусним захистом в масштабі підприємства. Dr.Web Enterprise Suite дозволяє адміністраторові, що працює як всередині мережі, так і на віддаленому комп'ютері (Через мережу Internet) здійснювати необхідні адміністративні завдання з управління антивірусним захистом організації.

Основні можливості:

Швидке і ефективне поширення сервером Dr.Web Enterprise Suite оновлень вірусних баз і програмних модулів на захищаються робочі станції.

Мінімальний, в порівнянні з аналогічними рішеннями інших виробників, мережевий трафік побудованих на основі протоколів IP, IPX і NetBIOS з можливістю застосування спеціальних алгоритмів стиснення.

Можливість установки робочого місця адміністратора (консолі управління антивірусним захистом) практично на будь-якому комп'ютері під керуванням будь-якої операційної системи.

Ключовий файл клієнтського ПЗ і сервера, за замовчуванням, зберігається на сервері.

Сканер Dr.Web з графічним інтерфейсом. Сканує вибрані користувачем об'єкти на дисках на вимогу, виявляє і нейтралізує віруси в пам'яті, перевіряє файли автозавантаження і процеси.

Резидентний сторож (монітор) SpIDer Guard. Контролює в режимі реального часу всі звернення до файлів, виявляє і блокує підозрілі дії програм.

Резидентний поштовий фільтр SpIDer Mail. Контролює в режимі реального часу всі поштові повідомлення, що входять по протоколу POP3 і вихідні по протоколу SMTP. Крім того, забезпечує безпечну роботу по протоколах IMAP4 і NNTP.

Консольний сканер Dr.Web. Сканує вибрані користувачем об'єкти на дисках на вимогу, виявляє і нейтралізує віруси в пам'яті, перевіряє файли автозавантаження і процеси.

Утиліта автоматичного оновлення. Завантажує оновлення вірусних баз і програмних модулів, а також здійснює процедуру реєстрації і доставки ліцензійного або демонстраційного ключового файлу.

Планувальник завдань. Дозволяє планувати регулярні дії, необхідні для забезпечення антивірусного захисту, наприклад, оновлення вірусних баз, сканування дисків комп'ютера, перевірку файлів автозавантаження.

Dr.Web для Windows 5.0 забезпечує можливість лікування активного зараження, включає технології обробки процесів в пам'яті і відрізняється вірусоустойчівость. Зокрема, Dr.Web здатний знешкоджувати складні віруси, такі як MaosBoot, Rustock.C, Sector. Як зазначається, технології, що дозволяють Dr.Web ефективно боротися з активними вірусами, а не просто детектувати лабораторні колекції, отримали в новій версії свій подальший розвиток.

У модулі самозахисту Dr.Web SelfProtect ведеться повноцінний контроль доступу і зміни файлів, процесів, вікон і ключів реєстру додатку. Сам модуль самозахисту встановлюється в систему як драйвер, вивантаження і несанкціонована зупинка роботи якого неможливі до перезавантаження системи.

У версії 5.0 реалізована нова технологія універсальної розпакування Fly-code, яка дозволяє детектувати віруси, приховані під невідомими Dr.Web пакувальниками, базуючись на спеціальних записах у вірусній базі Dr.Web і евристичних припущеннях пошукового модуля Dr.Web про можливо міститься в упакованому архіві шкідливий об'єкті.

Протистояти невідомим погрозам Dr.Web також допомагає і технологія несигнатурного пошуку Origins Tracing, що отримала в новій версії свій подальший розвиток. Як стверджують розробники, Origins Tracing доповнює традиційні сигнатурний пошук і евристичний аналізатор Dr.Web і підвищує рівень детектування раніше невідомих шкідливих програм.

Крім того, за даними «Доктор Веб», Dr.Web для Windows здатний не тільки детектувати, але і ефективно нейтралізувати віруси, що використовують руткіт-технології. У версії 5.0 реалізована принципово нова версія драйвера Dr.Web Shield, яка дозволяє боротися навіть з руткіт-технологіями майбутнього покоління. У той же час, Dr.Web здатний повністю перевіряти архіви будь-якого рівня вкладеності. Крім роботи з архівами, в Dr.Web для Windows версії 5.0 додана підтримка десятків нових пакувальників та проведено ряд поліпшень при роботі з упакованими файлами, в тому числі файлами, упакованими багато разів і навіть різними пакувальниками.

За рахунок включення нових і оптимізації існуючих технологій Dr.Web для Windows розробникам вдалося прискорити процес сканування. Завдяки зростанню швидкодії антивірусного ядра, сканер Dr.Web на 30% швидше попередньої версії перевіряє оперативну пам'ять, завантажувальні сектори, вміст жорстких дисків і змінних носіїв, стверджують в компанії.

Серед новинок можна відзначити HTTP-монітор SpIDer Gate. HTTP-монітор SpIDer Gate перевіряє весь вхідний і вихідний HTTP-трафік, при цьому сумісний з усіма відомими браузерами, і його робота практично не позначається на продуктивності ПК, швидкості роботи в інтернеті і кількості переданих даних. Фільтруються всі дані, що надходять з інтернету - файли, аплети, скрипти, що дозволяє завантажувати на комп'ютер тільки перевірений контент.

Тестування пакету Dr.Web

Щоб упевнитися, що обраний в якості корпоративного антивірусного пакета Dr.Web є дійсно надійним засобом, я вивчив кілька оглядів антивірусних програм і ознайомився з декількома результатами тестів.

Результати тесту з ймовірнісної методикою (сайт antivirus.ru) віддають Dr.Web перше місце (Додаток Г).

За результатами лютневого тестування антивірусних програм, проведеного журналом Virus Bulletin, вітчизняний полифаг Dr. Web зайняв 8-е місце серед кращих антивірусів в світі. Програма Dr. Web показала абсолютний результат 100% у важливій і престижною (технологічної) категорії - за ступенем виявлення складних поліморфних вірусів. Слід особливо відзначити, що в тестах журналу Virus Bulletin 100% -го результату по виявленню поліморфних вірусів програма Dr. Web стабільно домагається (січень 2007, липень-серпень 2007 і січень 2008) вже втретє поспіль. Такий стабільністю по цій категорії не може похвалитися жоден інший антивірусний сканер.

Найвищий рівень в 100% досягнуто програмою Dr. Web також і в дуже актуальною категорії - по виявленню макро-вірусів.

Прогрес подарував людству безліч досягнень, але той же прогрес породив і масу проблем. Людський розум, дозволяючи одні проблеми, неодмінно стикається при цьому з іншими, новими. Вічна проблема - захист інформації. На різних етапах свого розвитку людство вирішувало цю проблему з властивою для даної епохи характерністю. Винахід комп'ютера і подальший бурхливий розвиток інформаційних технологій в другій половині 20 століття зробили проблему захисту інформації настільки актуальною і гострою, наскільки актуальна сьогодні інформатизація для всього суспільства. Головна тенденція, яка характеризує розвиток сучасних інформаційних технологій - зростання числа комп'ютерних злочинів і пов'язаних з ними розкрадань конфіденційної та іншої інформації, а також матеріальних втрат.

Сьогодні, напевно, ніхто не зможе з упевненістю назвати точну цифру сумарних втрат від комп'ютерних злочинів, пов'язаних з несанкціонованих доступом до інформації. Це пояснюється, перш за все, небажанням постраждалих компаній оприлюднювати інформацію про свої втрати, а також тим, що не завжди втрати від розкрадання інформації можна точно оцінити в грошовому еквіваленті.

Причин активізації комп'ютерних злочинів і пов'язаних з ними фінансових втрат досить багато, істотними з них є:

Перехід від традиційної "паперової" технології зберігання і передачі відомостей на електронну і недостатнє при цьому розвиток технології захисту інформації в таких технологіях;

Об'єднання обчислювальних систем, створення глобальних мереж і розширення доступу до інформаційних ресурсів;

Збільшення складності програмних засобів і пов'язане з цим зменшення їх надійності та збільшенням числа вразливостей.

Комп'ютерні мережі, в силу своєї специфіки, просто не зможуть нормально функціонувати і розвиватися, ігноруючи проблеми захисту інформації.

У першому розділі моєї кваліфікаційної роботи були розглянуті різні види загроз і ризиків. Загрози безпеці діляться не природні і штучні, а штучні в свою чергу діляться на ненавмисні і навмисні.

До найпоширеніших загроз відносяться помилки користувачів комп'ютерної мережі, внутрішні відмови мережі або підтримуючої її інфраструктури, програмні атаки і шкідливе програмне забезпечення.

Заходи забезпечення безпеки комп'ютерних мереж підрозділяються на: правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні, технічні (апаратно-програмні).

У другому розділі ВКР я детально розглянув деякі з фізичних, апаратних і програмних засобів захисту. До сучасних програмних засобів захисту інформації відносяться криптографічні методи, шифрування дисків, ідентифікація і аутентифікація користувача. Для захисту локальної або корпоративної мережі від атак з глобальної мережі застосовують спеціалізовані програмні засоби: брендмауери або проксі-сервери. Брендмауери - це спеціальні проміжні сервери, які інспектують і фільтрують весь проходить через них трафік мережевого / транспортного рівнів. Проксі-сервер - це сервер-посередник, всі звернення з локальної мережі в глобальну відбуваються через нього.

Організація надійної та ефективної системи архівації даних також є однією з найважливіших завдань щодо забезпечення схоронності інформації в мережі. Для забезпечення відновлення даних при збої магнітних дисків останнім часом найчастіше застосовуються системи дискових масивів - групи дисків, що працюють як єдиний пристрій, що відповідають стандарту RAID.

Для виявлення вразливих місць з метою їх оперативної ліквідації призначений сервіс аналізу захищеності. Системи аналізу захищеності (звані також сканерами захищеності), як і розглянуті вище засоби активного аудиту, засновані на накопиченні і використанні знань. В даному випадку маються на увазі знання про прогалини в захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.

У третьому розділі ВКР мною розглянуті методи і засоби захисту інформації в телекомунікаційних мережах підприємства Вестель. Коротко описавши підприємство і його корпоративну мережу, я зупинився на організаційно-правовому забезпеченні захисту, докладно розглянув захисні можливості операційної системи Windows 2003 Server, використовуваної на підприємстві. Дуже важливо захистити корпоративну мережу від несанкціонованого доступу. Для цього на підприємстві використовуються електронні ключі, організована опікунська захист даних, встановлені паролі, здійснюється контроль доступу в Інтернет.

Щоб виключити зараження корпоративної мережі комп'ютерними вірусами, Вестель використовує пакет антивірусних програм Dr.Web Enterprise Suite. Перевагами цього пакета є:

масштабованість;

Єдиний центр управління;

Низьковитратне адміністрування;

Економія трафіку локальної мережі;

Широкий спектр підтримки протоколів.

До цього слід додати привабливість ціни.

Щоб упевнитися, що обраний в якості корпоративного антивірусного пакета Dr.Web є кращим рішенням, я вивчив кілька оглядів антивірусних програм і ознайомився з результатами декількох тестів. Результати тесту з ймовірнісної методикою (сайт antivirus.ru) віддають Dr.Web перше місце, а журнал Virus Bulletin ставить Dr. Web на 8-е місце серед кращих антивірусів в світі.

Проаналізувавши доступну мені інформацію про організацію захисту корпоративної мережі ВЕСТЕЛЬ, я зробив такий висновок:

6. Біячуев Т.А. Безпека корпоративних мереж. Навчальний посібник / під ред. Л.Г.Осовецкого - СПб .: СПбГУ ІТМО, 2004. - 161 с.

7. Блек У. Інтернет: протоколи безпеки. Навчальний курс. - СПб .: Пітер, 2001. - 288 с .: іл.

8. няється А.С., Фіногеев А.Г. Мережеві технології. Частина 1: Навчальний посібник. - Пенза: Изд-во ПГУ, 2005. - 107 с.

9. Бенкс М. Інформаційна захист ПК (з CD-ROM). - Київ: "Століття", 2001. - 272 с.

10. Василенко О.М. Теоретико-числові алгоритми в криптографії. - М .: Московський центр безперервної математичної освіти, 2003. - 328 с.

11. Вихорев С. В., Кобцев Р. Ю. Як дізнатися - звідки напасти або звідки виходить загроза безпеці інформації // Захист інформації. Конфидент, № 2, 2002.

12. Обчислювальні системи, мережі та телекомунікації: Підручник. - 2-е изд., Перераб. і доп. / Под ред. А.П. Пятібратова. - М .: Фінанси і статистика, 2003.

13. Галатенко В.А. Стандарти інформаційної безпеки. - М .: Изд-во "Інтернет-університет інформаційних технологій - ІНТУІТ.ру", 2004. - 328 c .: іл.

14. Гошко С.В. Енциклопедія по захисту від вірусів. - М .: Изд-во "СОЛОН-Пресс", 2004. - 301 с.

15. Денисов А., Белов А., Віхарєв І. Інтернет. Самовчитель. - СПб .: Пітер, 2000. - 464 с .: іл.

17. Зима В., Молдовян А., Молдовян Н. Безпека глобальних мережевих технологій. Серія "Майстер". - СПб .: БХВ-Петербург, 2001. - 320 с .: іл.

18. Зубов А.Ю. Вчинені шифри. - М .: Геліос АРВ, 2003. - 160 с., Іл.

19. Касперски К. Записки дослідника комп'ютерних вірусів. - СПб .: Пітер, 2004. - 320 с .: іл.

20. Козлов Д.А. Енциклопедія комп'ютерних вірусів. - М .: Изд-во "СОЛОН-Пресс", 2001. - 457 с.

21. Коул Е. Керівництво по захисту від хакерів. - М .: Видавничий дім "Вільямс", 2002. - 640 с.

22. Лапонін О.Р. Криптографічні основи безпеки. - М .: Изд-во "Інтернет-університет інформаційних технологій - ІНТУІТ.ру", 2004. - 320 c .: іл.

23. Лапонін О.Р. Основи мережевої безпеки: криптографічні алгоритми та протоколи взаємодії. - М .: Изд-во "Інтернет-університет інформаційних технологій - ІНТУІТ.ру", 2005. - 608 c .: іл.

24. Мак-Клар С., Скембрі Дж., Курц Дж. Секрети хакерів. Безпека мереж - готові рішення. 2-е видання. - М .: Видавничий дім "Вільямс", 2001. - 656 с.

25. Мамаєв М., Петренко С. Технології захисту інформації в Інтернеті. Спеціальний довідник. - СПб .: Пітер, 2001. - 848 с .: іл.

26. Медведовський І.Д. Атака з Internet. - М .: Изд-во "СОЛОН-Пресс", 2002. - 368 с.

27. Микляев А.П., Настільна книга користувача IBM PC 3-видання М.:, "Солон-Р", 2000, 720 с.

28. Норткат С., Новак Дж. Виявлення порушень безпеки в мережах. 3-е изд. - М .: Видавничий дім "Вільямс", 2003. - 448 с.

29. Оглрті Т. Firewalls. Практичне застосування міжмережевих екранів - М .: ДМК, 2003. - 401 с.

30. Оліфер В., Оліфер Н. Комп'ютерні мережі. Принципи, технології, протоколи: Підручник для вузів. 2-е изд. - СПб .: Пітер, 2002. - 864 с .: іл.

31. Партика Т.Л., Попов І.І. Інформаційна безпека. - М.: "Инфра-М", 2002. - 368 с.

32. Пархоменко П. Н., Яковлєв С. А., Пархоменко Н. Г. Правові аспекти проблем забезпечення інформаційної безопасності.- В зб. Матеріали V Міжнародної науково-практичної конференції «Інформаційна безпека» .- Таганрог: ТРТУ, 2003.

33. Персональний комп'ютер: діалог і програмні засоби. Навчальний посібник. Під ред. В.М. Матюшко - М .: Изд-во УДН, 2001..

34. Пятібpатов А. П. Обчислювальні системи, мережі та телекомунікації: Підручник; Під pед. А. П. Пятібpатова. - 2-е изд., Пеpеpаб. і доп. - М.: Фінанси і статистика, 2003. - 512 с.: Ил. - Бібліогp .: с. 495.

35. Расторгуєв С. П. Філософія інформаційної війни.- М .: Вузівська книга, 2001.- 468 с.

36. Симонис Д. та ін. Check Point NG. Керівництво по адмініструванню. - М .: ДМК Пресс, 2004. - 544 с.

37. Симонович С.В., Євсєєв Г.А., Мураховський В.І. Ви купили комп'ютер: Повне керівництво для початківців в питаннях і відповідях. - М .: АСТ-ПРЕСС КНИГА; Інфорком-Пресс, 2001., - 544 с .: іл.

38. Столлінгс В. Криптографія та захист мереж: принципи і практика. 2-е видання. - М .: Видавничий дім "Вільямс", 2001. - 672 с.

39. Цвики Е., Купер С., Чапмен Б. Створення захисту в Інтернеті (2 видання). - СПб .: Символ-Плюс, 2002. - 928 с.

40. Ярочкин В.І. Інформаційна безпека. - М .: Изд-во "Академічний проект", 2004. - 640 с.

Захист інформації в комп'ютерних системах має низку специфічних особливостей, пов'язаних з тим, що інформація не є жорстко пов'язаної з носієм, може легко і швидко копіюватися і передаватися по каналах зв'язку. Відомо дуже велика кількість загроз інформації, які можуть бути реалізовані як з боку зовнішніх, так і внутрішніх порушників. Проблеми, що виникають з безпекою передачі інформації при роботі в комп'ютерних мережах, можна розділити на три основні типи: - перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена; - модифікація інформації - вихідне повідомлення змінюється або повністю підміняється іншим і відсилається адресату; - підміна авторства інформації. Дана проблема може мати серйозні наслідки. Наприклад, хтось може надіслати листа від вашого імені (цей вид обману прийнято називати Спуфінга) або Web - сервер може прикидатися електронним магазином, приймати замовлення, номери кредитних карт, але не висилати ніяких товарів. Дослідження практики функціонування систем обробки даних і обчислювальних систем показали, що існує досить багато можливих напрямків витоку інформації і шляхів несанкціонованого доступу в системах і мережах. В тому числі:

Читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;

Відеозапис і файлів інформації з подоланням заходів захисту;

Маскування під зареєстрованого користувача;

Маскування під запит системи;

Використання програмних пасток;

Використання недоліків операційної системи;

Незаконне підключення до апаратури та ліній зв'язку;

Зловмисний виведення з ладу механізмів захисту;

Впровадження і використання комп'ютерних вірусів.

Забезпечення безпеки інформації в ВС і в автономно працюючих ПЕОМ досягається комплексом організаційних, організаційно-технічних, технічних і програмних заходів. До організаційних заходів захисту інформації відносяться:

Обмеження доступу в приміщення, в яких відбувається підготовка і обробка інформації;

Допуск до обробки і передачі конфіденційної інформації тільки перевірених посадових осіб;

Зберігання електронних носіїв і реєстраційних журналів в закритих для доступу сторонніх осіб сейфах;

Виняток перегляду сторонніми особами змісту оброблюваних матеріалів через дисплей, принтер і т. Д .;

Використання криптографічних кодів при передачі по каналах зв'язку цінної інформації;

Знищення фарбувальних стрічок, паперу та інших матеріалів, що містять фрагменти цінної інформації.

Криптографічний захист інформації.

Доріптографіческіе методи захисту інформації - це спеціальні методи шифрування, кодування або іншого перетворення інформації, в результаті якого її зміст стає недоступним без пред'явлення ключа криптограми і зворотного перетворення. Криптографічний метод захисту, безумовно, самий надійний метод захисту, так як охороняється безпосередньо сама інформація, а не доступ до неї (наприклад, зашифрований файл не можна прочитати навіть у випадку крадіжки носія). Даний метод захисту реалізується у вигляді програм або пакетів програм.

Сучасна криптографія включає в себе чотири великих розділи:

симетричні криптосистеми. У симетричних криптосистемах і для шифрування, і для дешифрування використовується один і той же ключ. (Шифрування - перетворюючі процес: вихідний текст, який носить також назву відкритого тексту, замінюється шифрованих текстом, дешифрування - зворотний процес шифрування. На основі ключа шифрований текст перетвориться у вихідний);

Криптосистеми з відкритим ключем. У системах з відкритим ключем використовуються два ключі - відкритий і закритий, які математично пов'язані один з одним. Інформація шифрується за допомогою відкритого ключа, що доступний усім бажаючим, а розшифровується за допомогою закритого ключа, відомого тільки одержувачу повідомлення. (Ключ - інформація, необхідна для безперешкодного шифрування і дешифрування текстів.);

Електронний підпис. Системою електронного підпису. називається що приєднуються до тексту його криптографічне перетворення, яке дозволяє при отриманні тексту іншим користувачем перевірити авторство і достовірність повідомлення.

управління ключами. Це процес системи обробки інформації, змістом яких є складання і розподіл ключів між користувачами.

ПроаГАЛЬНІ напрямки використання криптографічних методів - передача конфіденційної інформації з каналів зв'язку (наприклад, електронна пошта), встановлення автентичності переданих повідомлень, зберігання інформації (документів, баз даних) на носіях у зашифрованому вигляді.

Ризики виникають прі не захищеному використанні інтернету

Кому необхідний захист інформації

Основні методи і засоби захисту інформації в мережі інтернет

апаратні

програмні

змішані

організаційні

висновок

Відео: «Пізнавальний фільм»: Захист інформації

Криптографічний захист інформації.

Читайте також

Представлення даних в ЕОМ: двійкове кодування інформації Питання і завдання

Заправка картриджів Samsung-самостійно

Метод Дейкстри знаходження найкоротшого шляху

THE BELL