Ойындар

Бағдарламалық құралдар мен қорғау әдістері. Бағдарламалық қамтамасыз ету және техникалық қорғау құралдары

Жақсы жұмысыңызды білім қорына жіберу оңай. Төмендегі пішінді пайдаланыңыз

Білім қорын оқу мен жұмыста пайдаланатын студенттер, аспиранттар, жас ғалымдар сізге алғыстары шексіз.

Жарияланды http://www.allbest.ru/

Кіріспе

1. Компьютерлік жүйелердегі ақпаратты қорғау мәселелері

2. Желілердегі ақпаратты қорғауды қамтамасыз ету

3. Қауіпсіздік механизмдері

3.1 Криптография

3.2 Электрондық қолтаңба

3.3 Аутентификация

3.4 Желі қауіпсіздігі

4. Ақпаратты қорғаудың заманауи құралдарына қойылатын талаптар

Қорытынды

Әдебиет

Кіріспе

Есептеуіш техникада қауіпсіздік ұғымы өте кең. Ол компьютердің сенімділігін де, құнды деректердің сақталуын да, ақпаратты оған рұқсат етілмеген тұлғалардың өзгертулерінен қорғауды және электрондық коммуникациялардағы хат алмасу құпиясының сақталуын білдіреді. Әрине, барлық өркениетті елдерде азаматтардың қауіпсіздігі заңмен қорғалады, бірақ компьютерлік технология саласында құқық қолдану тәжірибесі әлі жеткілікті түрде дамымаған, заң шығару процесі компьютерлік жүйелердің дамуына ілеспейді, ал негізінен өзін-өзі қорғау шараларына сүйенеді.

Қажетті қорғаныс деңгейі мен желіні құру тиімділігінің арасында таңдау мәселесі әрқашан бар. Кейбір жағдайларда пайдаланушылар немесе тұтынушылар қауіпсіздік шараларын қол жеткізуді және тиімділікті шектейтін ретінде қабылдауы мүмкін. Дегенмен, криптография сияқты құралдар пайдаланушының деректерге қол жеткізуін шектеместен қорғау дәрежесін айтарлықтай арттыра алады.

1. Ақпараттық қауіпсіздік мәселелерікомпьютержүйелер

Кең қолданба компьютерлік технологияавтоматтандырылған ақпаратты өңдеу және басқару жүйелерінде компьютерлік жүйелерде айналатын ақпаратты рұқсатсыз кіруден қорғау мәселесінің шиеленісуіне әкелді. Компьютерлік жүйелердегі ақпаратты қорғау ақпараттың БАҚ-пен қатаң байланыспауымен байланысты бірқатар спецификалық ерекшеліктерге ие, оны оңай және жылдам көшіруге және байланыс арналары арқылы беруге болады. Ақпаратқа қауіп-қатерлердің өте үлкен саны белгілі, олар сыртқы зиянкестермен де, ішкі бұзушылармен де жүзеге асырылуы мүмкін.

Электрондық ақпаратты қорғау мәселелерінің түбегейлі шешімі деректерді қауіпсіз автоматтандырылған өңдеу мен берудің маңызды мәселелерін шешуге мүмкіндік беретін криптографиялық әдістерді қолдану арқылы ғана алуға болады. Сонымен бірге криптографиялық түрлендірудің заманауи жоғары жылдамдықты әдістері автоматтандырылған жүйелердің бастапқы өнімділігін сақтауға мүмкіндік береді. Криптографиялық деректерді түрлендіру ең көп тиімді құралдеректердің құпиялылығын, тұтастығын және түпнұсқалығын қамтамасыз ету. Оларды қажетті техникалық және ұйымдастырушылық шаралармен бірге пайдалану ғана ықтимал қауіптердің кең ауқымынан қорғауды қамтамасыз ете алады.

Компьютерлік желілерде жұмыс істеу кезінде ақпаратты тасымалдау қауіпсіздігіне байланысты туындайтын проблемаларды үш негізгі түрге бөлуге болады:

· ақпаратты ұстап алу – ақпараттың тұтастығы сақталады, бірақ оның құпиялылығы бұзылады;

· ақпаратты өзгерту - бастапқы хабарлама өзгертіледі немесе басқасымен толығымен ауыстырылады және адресатқа жіберіледі;

· ақпараттың авторының өзгеруі. Бұл мәселеауыр зардаптарға әкелуі мүмкін. Мысалы, біреу сіздің атыңыздан электрондық хат жібере алады (алудың бұл түрі әдетте спуфинг деп аталады) немесе веб-сервер электронды дүкен ретінде көрінуі мүмкін, тапсырыстарды, несие картасының нөмірлерін қабылдай алады, бірақ ешқандай тауар жібере алмайды.

Қазіргі заманғы практикалық информатиканың қажеттіліктері электрондық ақпаратты қорғаудың дәстүрлі емес мәселелерінің пайда болуына әкелді, олардың бірі ақпарат алмасатын тараптар бір-біріне сенбейтін жағдайда электрондық ақпараттың аутентификациясы болып табылады. Бұл мәселе электрондық цифрлық қолтаңба жүйелерін құрумен байланысты. Бұл мәселені шешудің теориялық негізі 1970 жылдардың ортасында американдық зерттеушілер Диффи мен Хемиманның екі кілтті криптографияны ашуы болды, бұл криптографияның көп ғасырлық эволюциялық дамуының тамаша жетістігі болды. Екі кілтті криптографияның революциялық идеялары криптография саласындағы ашық зерттеулердің санының күрт өсуіне әкелді және криптографияны дамытудың жаңа жолдарын, оның жаңа мүмкіндіктерін және электрондық технологияларды жаппай қолданудың қазіргі жағдайында оның әдістерінің бірегей маңыздылығын көрсетті. ақпараттық технологиялар.

Ақпараттық қоғамға көшудің техникалық негізі компьютерлік технология сапасының үздіксіз өсуін қамтамасыз ететін және оның дамуының негізгі тенденцияларын – миниатюризацияны, электр қуатын тұтынуды азайтуды, кездейсоқ электр энергиясын тұтыну көлемін арттыруды қолдаудың негізі ретінде қызмет ететін заманауи микроэлектрондық технологиялар болып табылады. қол жеткізу жады (RAM) және кірістірілген және сыйымдылығы алынбалы дискілер, өнімділігі мен сенімділігінің өсуі, қолдану аясы мен масштабының кеңеюі. Компьютерлік технологияның дамуындағы бұл тенденциялар қазіргі кезеңде компьютерлік жүйелерді рұқсатсыз кіруден қорғау аппараттық құралдармен салыстырғанда бағдарламалық қамтамасыз ету және криптографиялық қорғау механизмдерінің рөлінің жоғарылауымен сипатталатындығына әкелді.

Бағдарламаның рөлін арттыру және криптографиялық құралдарқорғау компьютерлік жүйелерді рұқсат етілмеген қол жеткізуден қорғау саласында туындайтын жаңа мәселелер салыстырмалы түрде жоғары есептеу күрделілігі бар механизмдер мен хаттамаларды қолдануды талап ететіндігінде және компьютерлік ресурстарды пайдалану арқылы тиімді шешілетіндігінде көрінеді.

Ақпаратты қорғаудың криптографиялық әдістерінің үнемі кеңеюі нәтижесінде туындайтын маңызды әлеуметтік және этикалық мәселелердің бірі пайдаланушылардың өз ақпаратын қорғауға және хабарламаларды жіберуге ұмтылысы мен арнайы мемлекеттік қызметтердің ақпаратқа қол жеткізуге ұмтылысы арасындағы қайшылық болып табылады. кейбір басқа ұйымдар мен жеке тұлғалардың заңсыз әрекеттерінің жолын кесу үшін. . Дамыған елдерде шифрлау алгоритмдерін қолдануды реттеу мәселесіне көзқарастар туралы пікірлер кең. Ұсыныстар криптографиялық әдістерді кеңінен қолдануға толық тыйым салудан, оларды толық пайдалану еркіндігінен жасалған. Кейбір ұсыныстар әлсізірек алгоритмдерді ғана пайдалануға рұқсат беруге немесе шифрлау кілттерін тіркеуді талап етуге қатысты. Бұл мәселенің оңтайлы шешімін табу өте қиын. Заңға бағынатын азаматтар мен ұйымдардың өз ақпаратын заңсыз пайдалануынан және өздерінің заңсыз әрекеттерін жасырып жүрген жекелеген топтардың шифрланған ақпаратына қол жеткізе алмауынан мемлекет шығынының арақатынасын қалай бағалауға болады? Басқа заңдарды бұзатын адамдардың криптографиялық алгоритмдерді заңсыз пайдалануына қалай жол бермеуге болады? Сонымен қатар, әрқашан ақпаратты жасырын сақтау және беру жолдары бар. Бұл сұрақтарды әлеуметтанушылар, психологтар, заңгерлер мен саясаткерлер әлі шешуі керек.

INTERNET сияқты ғаламдық ақпараттық желілердің пайда болуы компьютерлік технологияның маңызды жетістігі болып табылады, дегенмен көптеген компьютерлік қылмыстар INTERNET-пен байланысты.

INTERNET желісін пайдалану тәжірибесінің нәтижесі ақпаратты қорғаудың дәстүрлі механизмдерінің әлсіздігі және заманауи әдістерді қолданудың артта қалуы болып табылады. Криптография INTERNET желісіндегі ақпараттың қауіпсіздігін қамтамасыз ету мүмкіндігін береді, қазір бұл желіге қажетті криптографиялық механизмдерді енгізу жұмыстары жүргізілуде. Ақпараттандырудағы прогресті жоққа шығару емес, криптографияның заманауи жетістіктерін пайдалану стратегиялық тұрғыдан дұрыс шешім. Жаһандық ақпараттық желілер мен криптографияны кеңінен қолдану мүмкіндігі демократиялық қоғамның жетістігі және белгісі.

Криптография туралы негізгі білім ақпараттық қоғамОбъективті түрде бұл жеке мемлекеттік қызметтердің артықшылығы бола алмайды, бірақ компьютерлік деректерді өңдеуді пайдаланатын немесе ақпараттық жүйелерді әзірлейтін ғылыми-техникалық қызметкерлердің өте кең топтарына, қауіпсіздік қызметкерлеріне және ұйымдар мен кәсіпорындардың басшылығына шұғыл қажеттілік болып табылады. Тек осы ғана ақпаратты қорғау құралдарын тиімді енгізу және пайдалану үшін негіз бола алады.

Бір ғана ұйым бүкіл мемлекет ішіндегі ақпарат ағындарын жеткілікті толық және тиімді бақылауды қамтамасыз ете алмайды және ұлттық ақпараттық ресурстың тиісті қорғалуын қамтамасыз ете алмайды. Дегенмен, жекелеген мемлекеттік органдар жоғары сапалы қауіпсіздік құралдары нарығын қалыптастыруға, мамандардың жеткілікті санын дайындауға және жаппай пайдаланушылардың криптография мен ақпаратты қорғау негіздерін меңгеруіне жағдай жасай алады.

Ресейде және ТМД-ның басқа елдерінде 1990 жылдардың басында мәліметтерді қорғау жүйелерінің дамуымен салыстырғанда ақпараттық технологиялардың ауқымы мен ауқымының кеңеюінен озып кету тенденциясы айқын байқалды. Бұл жағдай белгілі дәрежеде дамыған капиталистік елдерге тән болды және тән. Бұл заңдылық: алдымен практикалық мәселе туындауы керек, содан кейін оны шешу жолдары табылады. ТМД елдерінің ақпараттандыру саласындағы күшті артта қалуы жағдайында қайта құрудың басталуы 1980 жылдардың аяғында қалыптасқан алшақтықты күрт еңсеру үшін қолайлы жағдай жасады.

Дамыған елдердің мысалы, жүйелік бағдарламалық қамтамасыз етуді сатып алу мүмкіндігі және компьютерлік технологияотандық пайдаланушыларды шабыттандырды. Мәліметтерді оперативті өңдеуге және қазіргі ақпараттық-есептеу жүйелерінің басқа да артықшылықтарына қызығушылық танытатын жаппай тұтынушыны компьютерлендіру мәселесін шешуге қосу Ресейде және басқа ТМД елдерінде бұл саланың өте жоғары даму қарқынына әкелді. Дегенмен, ақпаратты өңдеуді автоматтандыру құралдары мен ақпаратты қорғау құралдарының табиғи бірлескен дамуы айтарлықтай бұзылды, бұл жаппай компьютерлік қылмыстардың себебі болды. Жасыратыны жоқ, компьютерлік қылмыстар қазіргі уақытта ең өзекті мәселелердің бірі болып табылады.

Шетелдік қауіпсіздік жүйелерін пайдалану бұл теңгерімсіздікті түзете алмайды, өйткені ресейлік нарыққа түсетін осы түрдегі өнімдер ақпараттық қауіпсіздіктің негізгі өндірушісі АҚШ-та қабылданған экспорттық шектеулерге байланысты талаптарға сәйкес келмейді. Тағы бір маңызды аспект - бұл түрдегі өнімдер осындай жұмыстарды орындауға рұқсат етілген ұйымдарда белгіленген сертификаттау процедурасынан өтуі керек.

Шетелдік фирмалар мен ұйымдардың сертификаттары отандық сертификаттарды алмастыра алмайды. Шетелдік жүйелік және қолданбалы бағдарламалық қамтамасыз етуді пайдалану фактісінің өзі ақпараттық ресурстарға әлеуетті қауіп төндіреді. Орындалатын функциялар мен қамтамасыз етілген қорғаныс деңгейіне сәйкестігін дұрыс талдаусыз шетелдік қорғаныс құралдарын пайдалану жағдайды айтарлықтай қиындатады.

Ақпараттандыру процесін мәжбүрлеу тұтынушыларды қорғау құралдарымен барабар қамтамасыз етуді талап етеді. Ішкі нарықта компьютерлік жүйелерде айналатын ақпаратты қорғау құралдарының жеткілікті санының болмауы қажетті ауқымда деректерді қорғау шараларын жүргізуге айтарлықтай уақытты қажет етпеді. Жағдайды ақпараттық қауіпсіздік саласындағы мамандардың жеткілікті санының жоқтығы қиындата түсті, өйткені соңғылары, әдетте, арнайы ұйымдар үшін ғана дайындалды. Ресейде болып жатқан өзгерістерге байланысты соңғысының қайта құрылымдалуы ақпаратты қорғау саласында маманданған тәуелсіз ұйымдардың құрылуына әкелді, босатылған кадрларды сіңірді және нәтижесінде бәсекелестік рухының пайда болуына әкелді. қазіргі кезде жеткілікті пайда болуына әкелді үлкен санотандық әзірлеушілерді қорғаудың сертификатталған құралдары.

Ақпараттық технологияларды жаппай қолданудың маңызды ерекшеліктерінің бірі – мемлекеттік ақпараттық ресурсты қорғау мәселесін тиімді шешу үшін бұқаралық пайдаланушылар арасында деректерді қорғау шараларын тарату қажет. Ақпарат ең алдымен жасалған, жиналған, өңделген және деректерге рұқсатсыз қол жеткізу жағдайында тікелей зиян келтіретін ұйымдармен қорғалуы керек. Бұл принцип ұтымды және тиімді: жекелеген ұйымдардың мүдделерін қорғау жалпы мемлекеттің мүдделерін қорғауды жүзеге асырудың құрамдас бөлігі болып табылады.

2. Ақпаратты қорғауды қамтамасыз етужелілер

СК пайдаланудың айрықша құқығы белгілі бір тұлғаларға немесе жеке тұлғалар тобына тиесілі ақпаратты шоғырландырады. ресми міндеттері. Мұндай ақпарат сыртқы араласудың барлық түрлерінен қорғалуы керек: ақпаратқа қол жеткізуге құқығы жоқ адамдардың оқуы және ақпаратты әдейі өзгерту. Сонымен қатар, КС желінің есептеу ресурстарын рұқсатсыз пайдаланудан қорғау шараларын қабылдауы керек, яғни. құқығы жоқ тұлғалардың желісіне кіру мүмкіндігін алып тастау керек. Жүйе мен деректерді физикалық қорғау тек жұмыс істейтін компьютерлер мен байланыс түйіндеріне қатысты жүзеге асырылуы мүмкін және үлкен көлемдегі тасымалдау құралдары үшін мүмкін емес. Осы себепті Қарулы Күштер жоққа шығаратын құралдарды қолдануы керек рұқсатсыз кірудеректерге және оның құпиялығын қамтамасыз етуге.

Мәліметтерді өңдеу және есептеу жүйелерінің жұмыс істеу тәжірибесін зерделеу мәліметтердің ағып кетуінің бірнеше ықтимал бағыттары және жүйелер мен желілерге рұқсатсыз кіру жолдары бар екенін көрсетті. Олардың арасында:

· рұқсат етілген сұраныстарды орындағаннан кейін жүйелік жадтағы қалдық ақпаратты оқу;

· қорғау шараларын еңсере отырып, медиа және ақпараттық файлдарды көшіру;

· тіркелген пайдаланушы ретінде жасыру;

· жүйенің талабы бойынша бүркемелеу;

· бағдарламалық тұзақтарды пайдалану;

· кемшіліктерді пайдалану операциялық жүйе;

· жабдыққа және байланыс желілеріне заңсыз қосылу;

· қорғау механизмдерінің зиянды әрекетсіздігі;

· компьютерлік вирустарды енгізу және қолдану.

Қарулы Күштерде және дербес жұмыс істейтін ДК-да ақпараттың қауіпсіздігін қамтамасыз ету ұйымдық, ұйымдастырушылық, техникалық, техникалық және бағдарламалық қамтамасыз ету шараларының кешені арқылы жүзеге асырылады.

Ақпаратты қорғаудың ұйымдастыру шараларынабайланыстыру:

· ақпаратты дайындау және өңдеу жүзеге асырылатын үй-жайға кіруді шектеу;

· құпия ақпаратты өңдеуге және тек тексерілген лауазымды тұлғаларға беруге рұқсат беру;

· магниттік тасымалдағыштарды және тіркеу журналдарын бөгде адамдардың кіруі үшін жабық сейфтерде сақтау;

· дисплей, принтер және т.б. арқылы өңделген материалдардың мазмұнын бөгде адамдардың қарауын болдырмау;

· байланыс арналары арқылы құнды ақпаратты беру кезінде криптографиялық кодтарды қолдану;

· сия таспаларын, қағазды және құнды ақпараттың фрагменттері бар басқа материалдарды жою.

Ақпаратты қорғаудың ұйымдастыру-техникалық шараларымыналарды қамтиды:

· құнды ақпаратты тәуелсіз қуат көзінен немесе арнайы желілік сүзгілер арқылы өңдейтін жабдықты қуатпен қамтамасыз ету;

· үй-жайлардың есіктеріне кодтық құлыптарды орнату;

· сұйық кристалды немесе плазмалық дисплейлерді енгізу-шығару кезінде ақпаратты көрсету үшін және қағаз көшірмелерін алу үшін пайдалану - сиялы принтерлержәне термопринтерлер, өйткені дисплей соншалықты жоғары жиілікті электромагниттік сәулеленуді береді, оның экранынан кескінді бірнеше жүз километр қашықтықта алуға болады;

· ДК-ны пайдаланудан шығару немесе жөндеуге жіберу кезінде ROM-да және қатты дискіде сақталған ақпаратты жою;

· ақпаратты акустикалық құралдармен жою мүмкіндігін азайту мақсатында жұмсақ төсемдерге пернетақталар мен принтерлерді орнату;

· ақпарат өңделетін үй-жайларды металл парақтармен немесе арнайы пластмассадан қорғау арқылы электромагниттік сәулеленуді шектеу.

Ақпаратты қорғаудың техникалық құралдары- бұл аумақтар мен үй-жайларды машиналық бөлмелерді экрандау және кіруді басқару жүйелерін ұйымдастыру арқылы қорғау жүйелері. Техникалық құралдардың көмегімен желілердегі және есептеуіш құралдардағы ақпаратты қорғау мыналарды қолдану арқылы жадқа қолжетімділікті ұйымдастыру негізінде жүзеге асырылады:

· компьютер жадысының әртүрлі деңгейлеріне қол жеткізуді басқару;

· деректерді блоктау және кілттерді енгізу;

· сәйкестендіру мақсатында жазбалар үшін басқару биттерін бөлу және т.б.

Ақпаратты қорғау бағдарламалық қамтамасыз ету архитектурасымыналарды қамтиды:

· қауіпсіздікті бақылау, оның ішінде жүйеге кіруді тіркеуді, жүйелік журналға бекітуді, пайдаланушы әрекеттерін бақылауды;

· желі ресурстарына қол жеткізуді бақылау үшін қорғау жүйесінің бұзылуына реакция (соның ішінде дыбыс);

· қол жеткізу тіркелгі деректерін бақылау;

· операциялық жүйелердің қауіпсіздігін формальды бақылау (негізгі жүйе бойынша және желілік);

· қорғау алгоритмдерін бақылау;

· аппараттық және бағдарламалық қамтамасыз етудің дұрыс жұмыс істеуін тексеру және растау.

Ақпаратты сенімді қорғау және рұқсат етілмеген әрекеттер жағдайларын анықтау үшін жүйе жұмысын тіркеу жүзеге асырылады: жүйедегі ақпаратты қорғауға қатысты барлық әрекеттер жазылатын арнайы күнделіктер мен хаттамалар жасалады. Сұранысты қабылдау уақыты, оның түрі, пайдаланушының аты және сұрау инициализацияланған терминал бекітілген. Тіркелетін оқиғаларды таңдаған кезде, тіркелген оқиғалар санының ұлғаюымен күнделікті қарау және қорғанысты жеңу әрекеттерін анықтау қиындайтынын есте ұстаған жөн. Бұл жағдайда сіз бағдарламалық талдауды қолданып, күмәнді оқиғаларды түзете аласыз. Қорғаныс жүйесін тексеру үшін арнайы бағдарламалар да қолданылады. Мерзімді түрде немесе кездейсоқ таңдалған уақытта олар аппараттық және бағдарламалық құралдарды қорғаудың өнімділігін тексереді.

Ақпараттың сақталуын қамтамасыз ету және рұқсат етілмеген сұрауларды анықтау бойынша шаралардың жеке тобына нақты уақыт режимінде бұзушылықтарды анықтау бағдарламалары кіреді. Бұл топтың бағдарламалары қорғалатын ақпаратқа қатысты заңсыз әрекеттерге әкелуі мүмкін әрекеттерді тіркеген кезде арнайы сигнал жасайды. Сигнал бұзушылықтың сипаты, оның пайда болу орны және басқа да сипаттамалар туралы ақпаратты қамтуы мүмкін. Сонымен қатар, бағдарламалар қорғалған ақпаратқа қол жеткізуге тыйым сала алады немесе мұндай жұмыс режимін имитациялай алады (мысалы, енгізу-шығару құрылғыларын лезде жүктеу), бұл бұзушыны сәйкес қызметпен анықтауға және ұстауға мүмкіндік береді. ақпаратты компьютердің аутентификациясын қорғау

Қорғаудың кең таралған әдістерінің бірі - шығыс ақпараттың құпиялылығын айқын көрсету. Құпиялылықтың бірнеше деңгейін қолдайтын жүйелерде терминалдың немесе басып шығару құрылғысының экранына ақпараттың кез келген бірлігін (мысалы, файлды, жазбаны және кестені) шығару құпиялық деңгейін көрсететін арнайы мөртабанмен бірге жүреді. . Бұл талап тиісті бағдарламалық құралдардың көмегімен жүзеге асырылады.

Жеке топта бағдарламалық жасақтаманы рұқсатсыз пайдаланудан қорғау құралдары бөлінген. Олар ДК-нің кең таралуына байланысты ерекше маңызға ие.

3. Теріқауіпсіздік анизмдері

3.1 Криптография

Құпиялылықты қамтамасыз ету үшін деректерді шифрланған пішінге түрлендіруге мүмкіндік беретін шифрлау немесе криптография қолданылады, сізде кілт болған жағдайда ғана бастапқы ақпаратты алуға болады.

Шифрлау жүйелері ақпараттың жазбаша алмасуы сияқты ескі.

«Криптография» грек тілінен аударғанда «құпия жазу» дегенді білдіреді, бұл оның бастапқы мақсатын толығымен көрсетеді. Қарапайым (бүгінгі күн тұрғысынан) криптографиялық әдістер ежелгі дәуірден белгілі және өте ұзақ уақыт бойы олар қатаң ғылыми пәннен гөрі қулық ретінде қарастырылды. Криптографияның классикалық мәселесі кейбір түсінікті бастапқы мәтінді (ашық мәтінді) шифрлық мәтін немесе криптограмма деп аталатын кейбір таңбалардың кездейсоқ көрінетін тізбегіне қайтымды түрлендіру болып табылады. Бұл жағдайда шифр пакеті жаңасын да, барын да қамтуы мүмкін. ашық хабарламабелгілері. Жалпы жағдайда криптограммадағы және түпнұсқа мәтіндегі таңбалар саны әр түрлі болуы мүмкін. Шифрленген мәтіндегі таңбалардың кейбір логикалық алмастыруларын қолдана отырып, түпнұсқа мәтінді бір мәнді және толық қалпына келтіруге болатындығы таптырмас талап болып табылады. Ақпаратты құпия сақтаудың сенімділігі ерте заманда түрлендіру әдісінің өзі құпия сақталатындығымен анықталған.

Көптеген ғасырлар өтті, оның барысында криптография элитаның тақырыбы болды - діни қызметкерлер, билеушілер, ірі әскери жетекшілер мен дипломаттар. Таралудың төмендігіне қарамастан, криптографиялық әдістерді қолдану және жау шифрларын жеңу жолдары маңызды тарихи оқиғалардың нәтижесіне айтарлықтай әсер етті. Қолданылған шифрларды қайта бағалау әскери және дипломатиялық жеңілістерге әкелгені туралы бірнеше мысал белгілі. Маңызды салаларда криптографиялық әдістердің қолданылуына қарамастан, криптографияны кездейсоқ қолдану оны оның рөлі мен маңыздылығына жақындата алмады. қазіргі қоғам. Криптография өзінің ғылыми пәнге айналуы электрондық ақпараттық технологиялар арқылы туындайтын тәжірибе қажеттіліктеріне байланысты.

Криптографияға және оның дамуына елеулі қызығушылықтың оянуы 19 ғасырда басталды, бұл телекоммуникацияның пайда болуымен байланысты. 20 ғасырда дамыған елдердің көпшілігінің құпия қызметтері бұл тәртіпті өз қызметінің міндетті құралы ретінде қарастыра бастады.

Шифрлау екі негізгі ұғымға негізделген: алгоритм және кілт. Алгоритм бастапқы мәтінді кодтау тәсілі болып табылады, нәтижесінде шифрланған хабарлама пайда болады. Шифрланған хабарды тек қолдану арқылы түсіндіруге болады кілт.

Хабарды шифрлау үшін алгоритм жеткілікті екені анық.

Ережені бірінші рет тұжырымдаған голландиялық криптограф Керкхофф (1835 - 1903) болды: шифрдың күші, т.б. криптожүйе – криптографиялық түрлендірулер процесін бақылайтын ақпаратты – құпия кілтті қоспағанда, жау криптоаналитикі барлық шифрлау механизмін білген жағдайда, шағын көлемдегі кейбір құпия ақпаратпен басқарылатын процедуралар жиынтығы. Бұл талаптың мақсаттарының бірі әлеуетті бұзушы жұмыс істей алатын шарттармен салыстырғанда анағұрлым қатал жағдайларда әзірленген криптографиялық схемаларды сынау қажеттілігін жүзеге асыру болса керек. Бұл ереже шифрлаудың жақсырақ алгоритмдерінің пайда болуына түрткі болды. Ол криптография саласындағы стандарттаудың бірінші элементін қамтиды деп айта аламыз, өйткені ол дамуы керек. жолдары ашықтүрлендірулер. Қазіргі уақытта бұл ереже кеңірек түсіндіріледі: қорғаныс жүйесінің барлық ұзаққа созылатын элементтері ықтимал шабуылдаушыға белгілі деп есептелуі керек. Криптожүйенің соңғы тұжырымы қауіпсіздік жүйелерінің ерекше жағдайы ретінде енгізілген. Бұл тұжырымда қорғаныс жүйелерінің барлық элементтері екі санатқа бөлінеді - ұзақ мерзімді және оңай ауыстырылатын. Ұзақ мерзімді элементтерге қорғаныс жүйелерін әзірлеуге қатысты және өзгерту үшін мамандардың немесе әзірлеушілердің араласуын талап ететін элементтер жатады. Оңай ауыстырылатын элементтерге кездейсоқ таңдалған бастапқы параметрлерге негізделген алдын ала анықталған ережеге сәйкес ерікті өзгертуге немесе өзгертуге арналған жүйе элементтері кіреді. Оңай өзгеретін элементтерге, мысалы, кілт, құпия сөз, сәйкестендіру және т.б. Қарастырылып отырған ереже құпияның тиісті деңгейі оңай ауыстырылатын элементтерге қатысты ғана қамтамасыз етілуі мүмкін екендігін көрсетеді.

Криптожүйелерге қойылатын заманауи талаптарға сәйкес олар белгілі алгоритм негізінде криптоталдауға, белгілі ашық мәтіннің үлкен көлеміне және оған сәйкес шифрлық мәтінге төтеп беруге тиіс болғанымен, арнайы қызметтер қолданатын шифрлар құпия сақталады. Бұл қауіпсіздіктің қосымша маржасына ие болу қажеттілігімен түсіндіріледі, өйткені қазіргі уақытта дәлелденген қауіпсіздігі бар криптожүйелерді құру дамушы теорияның тақырыбы болып табылады және өте күрделі мәселе болып табылады. Ықтимал әлсіздіктерді болдырмау үшін шифрлау алгоритмін жақсы зерттелген және тексерілген принциптер мен түрлендіру механизмдері негізінде құруға болады. Қазіргі заманғы маңызды пайдаланушылардың ешқайсысы өзінің алгоритмін құпия сақтау қауіпсіздігіне ғана сенбейді, өйткені алгоритм туралы ақпарат шабуылдаушыға белгілі болу ықтималдығының төмендігіне кепілдік беру өте қиын.

Ақпараттың құпиялылығы алгоритмдерге арнайы кілттерді (кодтарды) енгізу арқылы қамтамасыз етіледі. Шифрлауда кілтті пайдалану екі маңызды артықшылық береді. Біріншіден, хабарларды әртүрлі алушыларға жіберу үшін әртүрлі кілттері бар бір алгоритмді пайдалануға болады. Екіншіден, кілт бұзылса, оны шифрлау алгоритмін өзгертпестен оңай ауыстыруға болады. Осылайша, шифрлау жүйелерінің қауіпсіздігі шифрлау алгоритмінің құпиялылығына емес, қолданылатын кілттің құпиялылығына байланысты. Көптеген шифрлау алгоритмдері жалпыға қолжетімді.

Берілген алгоритм үшін мүмкін кілттер саны кілттегі биттердің санына байланысты. Мысалы, 8-биттік кілт 256 (28) пернелер тіркесімін береді. Кілттер комбинациясы неғұрлым мүмкін болса, кілтті табу қиынырақ болса, хабарлама соғұрлым қауіпсіз шифрланады. Мәселен, мысалы, 128 биттік кілтті пайдалансаңыз, 2128 кілтті санау керек болады, бұл қазіргі уақытта тіпті ең қуатты компьютерлердің қуатына жетпейді. Технологияның өнімділігінің артуы кілттерді ашуға кететін уақыттың қысқаруына әкелетінін, ал қауіпсіздік жүйелері ұзағырақ және ұзағырақ кілттерді пайдалануға тура келетінін атап өту маңызды, бұл өз кезегінде шифрлау шығындарының өсуіне әкеледі.

Шифрлау жүйелерінде мұндай маңызды орын кілттің құпиялылығына берілгендіктен, мұндай жүйелердің негізгі мәселесі кілтті генерациялау және беру болып табылады. Екі негізгі шифрлау схемасы бар: симметриялық шифрлау(кейде дәстүрлі немесе құпия кілтті шифрлау деп те аталады) және ашық кілтті шифрлау(кейде шифрлаудың бұл түрі асимметриялық деп аталады).

Сағат симметриялық шифрлаужіберуші мен қабылдаушы деректерді шифрлайтын және шифрын шеше алатын бір кілтті (құпияны) ортақ пайдаланады.Симметриялық шифрлау шағын кілттерді пайдаланады, сондықтан үлкен көлемдегі деректерді жылдам шифрлай аласыз. Симметриялық шифрлауды, мысалы, кейбір банктер банкомат желілерінде қолданады. Дегенмен, симметриялық шифрлаудың бірнеше кемшіліктері бар. Біріншіден, жіберуші мен алушы жасырын түрде басқалардан кілт таңдай алатын қауіпсіз механизмді табу өте қиын. Құпия кілттерді қауіпсіз тарату мәселесі бар. Екіншіден, әрбір адресат үшін жеке құпия кілтті сақтау қажет. Үшіншіден, симметриялық шифрлау схемасында жіберушінің сәйкестігіне кепілдік беру мүмкін емес, себебі екі пайдаланушы бір кілтті ортақ пайдаланады.

Схемада ашық кілтті шифрлаухабарды шифрлау үшін екі түрлі кілт пайдаланылады. Олардың біреуінің көмегімен хабарлама шифрланады, ал екіншісінің көмегімен оның шифры ашылады. Осылайша, қажетті қауіпсіздікке бірінші кілтті жалпыға ортақ (ашық), ал екінші кілтті тек алушымен (жеке, жабық кілт) сақтау арқылы қол жеткізуге болады. Бұл жағдайда кез келген пайдаланушы хабарламаны ашық кілттің көмегімен шифрлай алады, бірақ құпия кілттің иесі ғана хабарламаның шифрын шеше алады. Бұл жағдайда ашық кілтті беру қауіпсіздігіне қамқорлық жасаудың қажеті жоқ және пайдаланушылар құпия хабарламалармен алмасу үшін оларда бір-бірінің ашық кілттері болса жеткілікті.

Асимметриялық шифрлаудың кемшілігі шифрлау процесін ұйымдастыруға қажетті есептеу ресурстарына әсер ететін қауіпсіздіктің баламалы деңгейін қамтамасыз ету үшін симметриялық шифрлаумен салыстырғанда ұзағырақ кілттерді пайдалану қажеттілігі болып табылады.

3.2 Электрондық қолтаңба

Қауіпсіздендіргіміз келетін хабар дұрыс шифрланған болса, бастапқы хабарды өзгертуге немесе бұл хабарды басқасына ауыстыруға болады. Бұл мәселені шешудің бір жолы – пайдаланушының алушыға жіберілетін хабарламаның қысқаша көрінісін жіберуі. Мұндай қысқаша бейнелеу бақылау сомасы немесе хабарлама дайджесті деп аталады.

Бақылау сомасы ұзақ хабарламаларды көрсету үшін бекітілген ұзындықты жиынтықтарды жасау кезінде пайдаланылады. Бақылау сомасын есептеу алгоритмдері әрбір хабарлама үшін мүмкіндігінше бірегей етіп жасалған. Осылайша, бақылау сомасының бірдей мәнін сақтай отырып, бір хабарламаны екіншісімен ауыстыру мүмкіндігі жойылады.

Дегенмен, бақылау сомасын пайдалану кезінде оларды алушыға беру мәселесі туындайды. Оны шешудің мүмкін жолдарының бірі бақылау сомасын деп аталатынға қосу болып табылады электрондық қолтаңба.

Электрондық қолтаңбаның көмегімен алушы өзі алған хабарламаны үшінші тұлға емес, белгілі бір құқықтары бар жіберуші жібергеніне көз жеткізе алады. Электрондық қолтаңбаларжіберушінің жеке кілті арқылы бақылау сомасын және қосымша ақпаратты шифрлау арқылы жасалады. Осылайша, кез келген адам ашық кілтті пайдаланып қолтаңбаның шифрын шеше алады, бірақ жеке кілттің иесі ғана қолтаңбаны дұрыс жасай алады. Ұстап алудан және қайта пайдаланудан қорғау үшін қолтаңба бірегей нөмірді - сериялық нөмірді қамтиды.

3.3 Аутентификация

Аутентификацияжелідегі ақпаратты қорғауды ұйымдастырудың маңызды құрамдас бөліктерінің бірі болып табылады. Пайдаланушыға белгілі бір ресурсты алу құқығын бермес бұрын, оның шынымен кім екеніне көз жеткізу керек.

Пайдаланушы атынан ресурсты пайдалану туралы сұрау алынған кезде, ресурсты қамтамасыз ететін сервер аутентификация серверіне басқаруды береді. Аутентификация серверінен оң жауап алғаннан кейін сұралған ресурс пайдаланушыға беріледі.

Аутентификация, әдетте, «ол не біледі» деп аталатын принципті пайдаланады - пайдаланушы өзінің сұрауына жауап ретінде аутентификация серверіне жіберетін қандай да бір құпия сөзді біледі. Аутентификация схемасының бірі - пайдалану стандартты құпия сөздер. Құпия сөз- желіге қосылған абонентке белгілі таңбалар жиынтығы - ол желімен өзара әрекеттесу сеансының басында, кейде сеанстың соңында енгізеді (ерекше маңызды жағдайларда, қалыпты шығу үшін пароль). желіден алынғаны кірістен басқаша болуы мүмкін). Бұл схема қауіпсіздік тұрғысынан ең осал болып табылады - құпия сөзді басқа адам ұстап алуы және пайдалануы мүмкін. Ең жиі қолданылатын схемалар бір реттік құпия сөздерді пайдаланады. Тіпті ұсталып қалса да, бұл құпия сөз келесі тіркеуде пайдасыз болады, ал алдыңғы парольден келесі құпия сөзді алу өте қиын міндет. Бір реттік құпия сөздерді жасау үшін компьютер ұясына салынған құрылғылар болып табылатын бағдарламалық және аппараттық генераторлар қолданылады. Құпия сөзді білу пайдаланушыға осы құрылғыны іске қосу үшін қажет.

Ең бірі қарапайым жүйелер, қосымша жабдық шығындарын қажет етпейтін, бірақ сонымен бірге жақсы қорғау деңгейін қамтамасыз ететін S/Key, оны бір реттік құпия сөздерді көрсету процедурасын көрсету үшін мысал ретінде пайдалануға болады.

S/Key аутентификация процесіне екі тарап қатысады - клиент және сервер. S/Key аутентификация схемасын пайдаланатын жүйеде тіркелу кезінде сервер клиенттік машинаға ашық мәтінде желі арқылы жіберілген тұқымды, итерация есептегішінің ағымдағы мәнін және бір-бірін енгізуге сұрауды қамтитын шақыруды жібереді. уақыт құпия сөзі, ол итерация есептегішінің ағымдағы мәніне сәйкес келуі керек. Жауапты алғаннан кейін сервер оны тексереді және басқаруды пайдаланушы талап ететін қызмет серверіне береді.

3.4 Желіні қорғау

Соңғы уақытта корпоративтік желілер Интернетке көбірек қосылуда немесе тіпті оны магистраль ретінде пайдалануда. Корпоративтік желіге заңсыз енудің келтіретін зиянын ескере отырып, қорғау әдістерін әзірлеу қажет. Брандмауэрлер корпоративтік ақпараттық желілерді қорғау үшін қолданылады. Брандмауэрлер- бұл желіні екі немесе одан да көп бөліктерге бөлуге және дестелерді бір бөліктен екінші бөлікке беру шарттарын анықтайтын ережелер жинағын жүзеге асыруға мүмкіндік беретін жүйе немесе жүйелер жиынтығы. Әдетте, бұл шекара кәсіпорынның локальді желісі мен INTERNETOM арасында сызылады, бірақ оны ішкі жағынан да салуға болады. Дегенмен, жеке компьютерлерді қорғау тиімді емес, сондықтан бүкіл желі әдетте қорғалған. Брандмауэр барлық трафикті өзі арқылы өткізеді және әрбір өткен пакет үшін оны беру немесе тастау туралы шешім қабылдайды. Брандмауэр осы шешімдерді қабылдауы үшін оған ережелер жинағы анықталған.

Брандмауэр аппараттық құралда (яғни жеке физикалық құрылғы ретінде) немесе компьютерде жұмыс істейтін арнайы бағдарлама ретінде жүзеге асырылуы мүмкін.

Әдетте желіаралық қалқанның қауіпсіздігін жақсарту үшін желіаралық қалқан жұмыс істейтін операциялық жүйеге өзгерістер енгізіледі. Бұл өзгерістер ОЖ ядросына да, сәйкес конфигурация файлдарына да әсер етеді. Брандмауэрдің өзінде пайдаланушы бөлімдерінің болуына жол берілмейді, сондықтан ықтимал саңылаулар - тек әкімші бөлімі. Кейбір желіаралық қалқандар тек бір пайдаланушылық режимде жұмыс істейді, ал көпшілігінде бағдарлама кодтарының тұтастығын тексеру жүйесі бар.

Брандмауэр әдетте трафиктің бір бөлігін блоктайтын сүзгілерді немесе экрандарды қоса алғанда, бірнеше түрлі құрамдастардан тұрады.

Барлық желіаралық қалқандарды екі түрге бөлуге болады:

· сүзу маршрутизаторлары арқылы IP пакеттерін сүзетін пакеттік сүзгілер;

· желідегі белгілі бір қызметтерге кіруді блоктайтын қолданбалы деңгей серверлері.

Осылайша, брандмауэр екі желі арасында орналасқан және келесі қасиеттерге ие компоненттер жиынтығы немесе жүйе ретінде анықталуы мүмкін:

· ішкі желіден сыртқыға және сыртқы желіден ішкіге барлық трафик осы жүйе арқылы өтуі керек;

· бұл жүйе арқылы жергілікті қауіпсіздік саясатымен анықталған трафик қана өте алады;

· жүйе енуден сенімді қорғалған.

4. Заманауи қондырғыларға қойылатын талаптарқорғау инфформациялар

Ресей Мемлекеттік техникалық комиссиясының талаптарына сәйкес ақпаратты рұқсат етілмеген қол жеткізуден қорғау құралдары (SZI NSD), қорғаудың жоғары деңгейіне сәйкес мыналарды қамтамасыз етуі керек:

· қол жеткізуді басқарудың дискрециялық және міндетті принципі;

· жадты тазалау;

· модульдерді оқшаулау;

· құжаттарды таңбалау;

· иеліктен шығарылған физикалық тасымалдаушыларға кіріс пен шығысты қорғау;

· пайдаланушының құрылғымен байланысы;

· сәйкестендіру және аутентификация;

· жобалау кепілдіктері;

· тіркеу;

· пайдаланушының қауіпсіздік құралдарының жиынтығымен әрекеттесуі;

· сенімді қалпына келтіру;

· қорғаныс құралдары кешенінің тұтастығы;

· модификацияны бақылау;

· таратуды бақылау;

· архитектуралық кепілдіктер;

NSD ақпараттық қауіпсіздігі туралы толық ақпарат келесі құжаттар пакетімен бірге болуы керек:

· ГАЖ бойынша нұсқаулық;

· пайдаланушы нұсқаулығы;

· сынақ құжаттамасы;

· жобалау (жобалау) құжаттамасы.

Осылайша, Ресейдің Мемлекеттік техникалық комиссиясының талаптарына сәйкес NSD ақпараттық қауіпсіздіктің интеграцияланған құралдары ішкі жүйелердің негізгі жиынтығын қамтуы керек. Ақпаратты қорғау функцияларын жүзеге асыру үшін осы ішкі жүйелердің нақты мүмкіндіктері компьютерлік техниканың қауіпсіздік деңгейін анықтайды. СЗИ НСД нақты тиімділігі анықталады функционалдықнегізгі ғана емес, сонымен қатар қосымша ішкі жүйелер, сондай-ақ оларды іске асыру сапасы.

Компьютерлік жүйелер мен желілер ақпараттық қауіптердің кең ауқымына ұшырайды, бұл қорғаныс функциялары мен ішкі жүйелердің үлкен тізімін қажет етеді. Ең алдымен ақпараттың ағып кетуінің ең ақпаратты арналарын қорғауды қамтамасыз еткен жөн, олар мыналар:

· деректерді машиналық тасымалдағыштан көшіру мүмкіндігі;

· мәліметтерді беру арналары;

· компьютерлерді немесе кірістірілген дискілерді ұрлау.

Бұл арналардың қабаттасу мәселесі деректерді қорғау процедуралары есептеу жүйелерінің өнімділігінің айтарлықтай төмендеуіне әкелмеуі керек екендігімен қиындайды. Бұл мәселені алдыңғы тарауда қарастырылған ғаламдық ақпаратты шифрлау технологиясы негізінде тиімді шешуге болады.

Заманауи жаппай қорғау жүйесі эргономикалық болуы керек және оны кеңінен қолдануға мүмкіндік беретін қасиеттерге ие болуы керек, мысалы:

· күрделілік - ескере отырып, деректерді қауіпсіз өңдеудің әртүрлі режимдерін орнату мүмкіндігі нақты талаптарәртүрлі пайдаланушылар және болжамды бұзушының ықтимал әрекеттерінің кең ауқымын қамтамасыз етеді;

· үйлесімділік – жүйе берілген операциялық жүйе үшін жазылған барлық бағдарламалармен үйлесімді болуы керек және компьютердің қорғалған жұмыс режимін қамтамасыз етуі керек. компьютерлік желі;

· портативтілік - жүйені орнату мүмкіндігі әртүрлі түрлерікомпьютерлік жүйелер, оның ішінде портативті;

· пайдаланудың қарапайымдылығы - жүйе оңай жұмыс істеуі керек және пайдаланушылардың әдеттегі технологиясын өзгертпеуі керек;

· нақты уақыт режиміндегі операция – ақпаратты түрлендіру процестері, соның ішінде шифрлау жоғары жылдамдықта орындалуы керек;

· ақпараттық қауіпсіздіктің жоғары деңгейі;

· жүйенің минималды құны.

Қорытынды

Заманауи ақпараттық технологияларды жаппай қолданудан кейін криптография заманауи адамның өміріне еніп кетті. Криптографиялық әдістерге негізделген қолдану электрондық төлемдер, ашық байланыс желілері арқылы құпия ақпаратты беру мүмкіндігі, сонымен қатар компьютерлік жүйелер мен ақпараттық желілердегі ақпаратты қорғаудың көптеген басқа мәселелерін шешу. Практиканың қажеттіліктері криптографиялық әдістерді жаппай қолдану қажеттілігіне, демек, осы саладағы ашық зерттеулер мен тәжірибелерді кеңейту қажеттілігіне әкелді. Криптография негіздерін білу ақпаратты қорғаудың заманауи құралдарын жасауға, сондай-ақ ақпараттық және телекоммуникациялық жүйелерді пайдалану және жобалау салаларында маманданған ғалымдар мен инженерлер үшін маңызды болып отыр.

Заманауи қолданбалы криптографияның өзекті мәселелерінің бірі жоғары жылдамдықты блоктық типті бағдарламалық шифрларды, сонымен қатар жоғары жылдамдықты шифрлау құрылғыларын жасау болып табылады.

Қазіргі уақытта Ресей Федерациясының патенттерімен қорғалған және пайдалану идеяларына негізделген шифрлаудың бірқатар әдістері ұсынылған:

· қосылымды іріктеудің икемді кестесі;

· құпия кілт негізінде шифрлау алгоритмін құру;

· түрлендірілетін деректерге тәуелді алмастырулар.

Әдебиет

1. Острейковский В.А. Информатика: Прок. студенттерге арналған жәрдемақы. орт. проф. оқулық мекемелер. - М.: Жоғары. мектеп, 2001. - 319 б.: сырқат.

2. Экономикалық информатика / ред. П.В. Конюховский мен Д.Н. Колесова. - Санкт-Петербург: Петр, 2000. - 560 ж.: ауру.

3. Информатика: Базалық курс / С.В. Симонович және басқалар - Петербург: Петр, 2002. - 640 б.: ауру.

4. Молдова А.А., Молдова Н.А., Советов Б.Я. Криптография. - Санкт-Петербург: «Лан» баспасы, 2001. - 224 б., илл. - (Жоғары оқу орындарына арналған оқулықтар. Арнайы әдебиеттер).

Allbest.ru сайтында орналастырылған

Ұқсас құжаттар

Қажетті қорғаныс деңгейі мен желінің тиімділігін таңдау мәселесі. Желілердегі ақпаратты қорғауды қамтамасыз ету механизмдері: криптография, электрондық қолтаңба, аутентификация, желіні қорғау. Ақпаратты қорғаудың заманауи құралдарына қойылатын талаптар.

курстық жұмыс, 01/12/2008 қосылды

Ақпараттық қауіпсіздік мәселесі. Компьютерлік желілердегі ақпаратты қорғаудың ерекшеліктері. Қауіптер, шабуылдар және ақпараттың ағу арналары. Қауіпсіздікті қамтамасыз ету әдістері мен құралдарының классификациясы. Желінің архитектурасы және оны қорғау. Желіні қорғау әдістері.

диссертация, 16.06.2012 қосылған

Ақпаратты рұқсатсыз кіруден қорғау әдістері мен құралдары. Компьютерлік желілердегі ақпаратты қорғаудың ерекшеліктері. Криптографиялық қорғау және электрондық цифрлық қолтаңба. Ақпаратты компьютерлік вирустардан және хакерлік шабуылдардан қорғау әдістері.

аннотация, 23.10.2011 қосылған

Компьютерлік желілердегі ақпараттың тұтастығына қасақана қатерлерден қорғау тұжырымдамасы. Ақпараттық қауіпсіздік қатерлерінің сипаттамасы: компромисс, қызметтің бұзылуы. «Мехинструмент» НПО ООО сипаттамасы, ақпаратты қорғаудың негізгі жолдары мен әдістері.

диссертация, 16.06.2012 қосылған

Ақпараттық қауіпсіздік теориясының негізгі ережелері. Желілердегі ақпаратты қорғаудың негізгі әдістері мен құралдарының мәні. «Vestel» кәсіпорнының қызметі мен корпоративтік желісінің жалпы сипаттамасы, оның телекоммуникациялық желілердегі ақпаратты қорғау әдістерін талдау.

диссертация, 30.08.2010 қосылған

Ақпараттық және телекоммуникациялық желілердегі ақпаратты қорғау мәселелері. Ақпаратқа қауіптер мен олардың ақпаратты қорғау объектілеріне әсер ету жолдарын зерттеу. Кәсіпорынның ақпараттық қауіпсіздігінің түсініктері. Ақпаратты қорғаудың криптографиялық әдістері.

диссертация, 08.03.2013 қосылған

Рұқсатсыз қол жеткізу жолдары, ақпаратты қорғау әдістері мен құралдарының классификациясы. Жергілікті желідегі ақпаратты қорғау әдістерін талдау. Сәйкестендіру және аутентификация, журналға тіркеу және аудит, қол жеткізуді бақылау. Компьютерлік жүйелердің қауіпсіздігі туралы түсініктер.

диссертация, 19.04.2011 қосылған

Ақпараттық деректерді қорғау әдістері мен құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Компьютерлік жүйелерді криптографиялық әдістермен қорғаудың ерекшеліктері. Еуропа елдеріндегі ақпараттық компьютерлік технологиялардың қауіпсіздігін бағалау критерийлері.

сынақ, 08.06.2010 қосылған

Ақпараттың негізгі қасиеттері. Деректермен операциялар. Деректер – диалектикалық құрамдасақпарат. Ақпараттық қауіпсіздікке қасақана қатерлердің түрлері. Зиянды бағдарламаның классификациясы. Компьютерлік желілердегі ақпаратты қорғаудың негізгі әдістері мен құралдары.

курстық жұмыс, 17.02.2010 қосылған

Мәселенің мәні және ақпараттық және телекоммуникациялық желілердегі ақпаратты қорғау міндеті. Ақпаратқа қауіптер, олардың объектілерге әсер ету жолдары. Кәсіпорынның ақпараттық қауіпсіздігі түсінігі. Ақпаратты қорғаудың криптографиялық әдістері мен құралдары.

Компьютерлік желілердегі деректерді қорғау қазіргі информатиканың ең өзекті мәселелерінің біріне айналуда. Бүгінгі күні ақпараттық қауіпсіздіктің үш негізгі қағидасы тұжырымдалған, олар мыналарды қамтамасыз етуі тиіс:

Деректер тұтастығы – ақпараттың жоғалуына, сондай-ақ деректерді рұқсатсыз құруға немесе жоюға әкелетін ақаулардан қорғау;

Ақпараттың құпиялылығы және сонымен бірге

Сондай-ақ, қызметтің жекелеген бағыттары (банк және қаржы институттары, ақпараттық желілер, мемлекеттік басқару жүйелері, қорғаныс және арнайы құрылымдар) деректерді қорғаудың арнайы шараларын талап ететінін және ақпараттық жүйелердің сенімділігіне жоғары талаптар қоятынын атап өткен жөн.

Желідегі деректерді қорғау мәселелерін қарастырған кезде бірінші мәселе деректердің жойылуына немесе қажетсіз түрлендіруіне әкеп соғуы мүмкін қол жеткізу құқықтарының бұзылулары мен бұзылуларының жіктелуі болып табылады. Ықтимал қауіптерге мыналар жатады:

1. Аппараттық ақаулар:

Кабельдік жүйенің ақаулары;

Электр қуатының үзілуі;

Диск жүйесінің ақаулары;

Мәліметтерді мұрағаттау жүйелерінің ақаулары;

Серверлердің, жұмыс станцияларының ақаулары, желілік карталаржәне т.б.;

2. Бағдарламалық қамтамасыз етудің дұрыс жұмыс істемеуінен ақпараттың жоғалуы:

Бағдарламалық қамтамасыз ету қателеріне байланысты деректердің жоғалуы немесе өзгеруі;

Жүйе компьютерлік вирустармен зақымданған кездегі шығындар;

3. Рұқсат етілмеген қол жеткізуге байланысты шығындар:

Ақпаратты рұқсатсыз көшіру, жою немесе бұрмалау;

Құпияны құрайтын құпия ақпаратпен, рұқсат етілмеген тұлғалармен танысу;

4. Мұрағатталған мәліметтерді дұрыс сақтамаумен байланысты ақпараттың жоғалуы.

5. Қызмет көрсетуші персонал мен пайдаланушылардың қателері.

Деректерді кездейсоқ жою немесе өзгерту;

Деректердің жойылуына немесе өзгеруіне әкелетін бағдарламалық және аппараттық құралдарды дұрыс пайдаланбау.

Желідегі бұзылулардың ықтимал түрлеріне байланысты ақпаратты қорғаудың көптеген түрлері үш негізгі сыныпқа біріктірілген:

Физикалық қорғаныс құралдары, соның ішінде кабельдік жүйені қорғау, қоректендіру жүйелері, мұрағаттау құралдары, дискілер массивтері және т.б.

Қауіпсіздік бағдарламалық қамтамасыз ету, соның ішінде: антивирустық бағдарламалар, өкілеттіктерді саралау жүйелері, қол жеткізуді басқару бағдарламалық қамтамасыз ету.

Әкімшілік қорғау шаралары, соның ішінде үй-жайға кіруді бақылау, фирманың қауіпсіздік стратегиясын әзірлеу, төтенше жағдайлар жоспарлары және т.б.

Айта кету керек, мұндай бөлу өте ерікті, өйткені заманауи технологияларбағдарламалық-аппараттық қорғауды біріктіру бағытында дамып келеді.

Ақпаратты мұрағаттау және қайталау жүйелері

Мәліметтерді сенімді және тиімді мұрағаттау жүйесін ұйымдастыру желідегі ақпараттың сақталуын қамтамасыз етудің маңызды міндеттерінің бірі болып табылады. Бір немесе екі сервер орнатылған шағын желілерде архивтеу жүйесін тікелей серверлердің бос ұяшықтарына орнату жиі қолданылады. Ірі корпоративтік желілерде арнайы мамандандырылған мұрағаттау серверін ұйымдастырған дұрыс.

Мұндай сервер ақпаратты автоматты түрде мұрағаттайды қатты дискілерсерверлер мен жұмыс станциялары жергілікті желі әкімшісі белгілеген уақытта есеп беру сақтық көшірме. Бұл әкімші консолінен бүкіл сақтық көшірме жасау процесін басқаруды қамтамасыз етеді, мысалы, сақтық көшірме жасағыңыз келетін арнайы томдарды, каталогтарды немесе жеке файлдарды көрсетуге болады.

Сондай-ақ бір немесе басқа оқиға болған кезде («оқиғаға негізделген сақтық көшірме») автоматты мұрағаттауды ұйымдастыруға болады, мысалы, сервердің немесе жұмыс станциясының қатты дискісінде бос орын аз қалғаны туралы ақпаратты алған кезде немесе бір «айна» дискілерінің бірі істен шығады.Файлдық сервердегі дискілер.

Магниттік дискідегі ақаулар кезінде деректерді қалпына келтіруді қамтамасыз ету үшін жүйелер соңғы уақытта жиі қолданылады. диск массивтері- RAID (Арзан дискілердің артық массивтері) стандартына сәйкес келетін бір құрылғы ретінде жұмыс істейтін дискілер топтары.

Компьютерлік вирустардан қорғау

Бүгінгі күні мыңдаған белгілі вирустардан басқа, ай сайын 100-150 жаңа штаммдар пайда болады. Осы күнге дейін әртүрлі антивирустық бағдарламалар вирустардан қорғаудың ең кең таралған әдістері болып қала береді.

Дегенмен, соңғы жылдары компьютерлік вирустардан қорғаудың перспективалық тәсілі ретінде бағдарламалық және аппараттық құралдарды қорғау әдістерінің комбинациясы жиі қолданылуда. Осындай аппараттық құрылғылардың арасында стандартты компьютерді кеңейту слоттарына енгізілген арнайы антивирустық тақталарды атап өтуге болады.

Рұқсат етілмеген кіруден қорғау

Ақпаратты рұқсат етілмеген қол жеткізуден қорғау мәселесі жергілікті және әсіресе ғаламдық компьютерлік желілерді кеңінен қолданумен ерекшеленді. Сондай-ақ, көбінесе зиян «зиянды ниеттен» емес, өмірлік маңызды деректерді байқаусызда бүлдіретін немесе жойған пайдаланушылардың қарапайым қателерінен болатынын атап өткен жөн. Осыған байланысты қол жеткізуді басқарудан басқа, компьютерлік желілерде ақпаратты қорғаудың қажетті элементі пайдаланушылардың өкілеттіктерін шектеу болып табылады.

Компьютерлік желілерде қол жеткізуді басқаруды және пайдаланушының өкілеттіктерін саралауды ұйымдастыру кезінде көбінесе желілік операциялық жүйелердің кірістірілген құралдары қолданылады.

Ақпараттың ағып кетуінің көптеген ықтимал бағыттары және жүйелер мен желілерге рұқсатсыз кіру жолдары бар. Олардың арасында:

рұқсат етілген сұраныстарды орындағаннан кейін жүйелік жадтағы қалдық ақпаратты оқу;

қорғау шараларын еңсере отырып, медиа және ақпараттық файлдарды көшіру;

тіркелген пайдаланушы ретінде жасыру;

жүйенің сұрауы бойынша бүркемелеу;

бағдарламалық тұзақтарды пайдалану;

операциялық жүйенің кемшіліктерін пайдалану;

Жабдық пен байланыс желілеріне заңсыз қосылу;

Қорғаныс механизмдерінің зиянды әрекетсіздігі;

компьютерлік вирустарды енгізу және қолдану.

Ақпараттың қауіпсіздігін қамтамасыз ету ұйымдық, ұйымдастырушылық, техникалық, техникалық және бағдарламалық шаралар кешенімен жүзеге асырылады.

Ұйымдастыру шараларынаақпараттық қауіпсіздік мыналарды қамтиды:

Ақпаратты дайындау және өңдеу жүзеге асырылатын үй-жайларға кіруді шектеу;

құпия ақпаратты өңдеуге және тек тексерілген лауазымды тұлғаларға беруге рұқсат беру;

· магниттік тасымалдағыштарды және тіркеу журналдарын бөгде адамдардың кіруіне жабық сейфтерде сақтау;

дисплей, принтер және т.б. арқылы өңделген материалдардың мазмұнын бөгде адамдардың қарауын болдырмау;

Байланыс арналары арқылы құнды ақпаратты беруде криптографиялық кодтарды қолдану;

· құнды ақпараттың фрагменттері бар сия таспаларын, қағазды және басқа материалдарды жою.

Ұйымдастыру-техникалық шараларақпараттық қауіпсіздік мыналарды қамтиды:

үй-жайлардың есіктеріне кодтық құлыптарды орнату;

ақпаратты енгізу-шығару кезінде көрсету үшін сұйық кристалды немесе плазмалық дисплейлерді пайдалану, сондай-ақ қағаз көшірмелерін алу үшін - сия бүріккіш принтерлер мен термопринтерлер, өйткені дисплей соншалықты жоғары жиілікті электромагниттік сәулеленуді береді, сондықтан оның экранынан кескінді қашықтықтан алуға болады. бірнеше жүз километр;

компьютерлерді пайдаланудан шығару немесе жөндеуге жіберу кезінде ақпаратты жою;

· Ақпаратты акустикалық құралдармен жою мүмкіндігін азайту үшін жұмсақ тақталарға пернетақталар мен принтерлерді орнату;

ақпарат өңделетін үй-жайларды металл парақтармен немесе арнайы пластмассадан қорғау арқылы электромагниттік сәулеленуді шектеу.

Техникалық құралдарақпараттық қауіпсіздік - бұл аумақтар мен үй-жайларды машина бөлмелерін қорғау және қол жеткізуді басқару жүйелерін ұйымдастыру арқылы қорғау жүйелері. Техникалық құралдардың көмегімен желілердегі және есептеуіш құралдардағы ақпаратты қорғау мыналарды қолдану арқылы жадқа қолжетімділікті ұйымдастыру негізінде жүзеге асырылады:

компьютер жадысының әртүрлі деңгейлеріне қол жеткізуді басқару;

деректерді құлыптау және кілттерді енгізу;

сәйкестендіру мақсатында жазбалар үшін басқару биттерін бөлу және т.б.

Бағдарламалық қамтамасыз ету архитектурасыақпаратты қорғау мыналарды қамтиды:

қауіпсіздікті бақылау, оның ішінде жүйеге кіруді тіркеуді, жүйелік журналға бекітуді, пайдаланушы әрекеттерін бақылауды;

желі ресурстарына қол жеткізуді бақылау үшін қорғау жүйесінің бұзылуына реакция (соның ішінде дыбыс);

қол жеткізу тіркелгі деректерін бақылау;

Операциялық жүйелердің қауіпсіздігін формальды бақылау (негізгі жүйелік және желілік);

қорғау алгоритмдерін бақылау;

Аппараттық және бағдарламалық қамтамасыз етудің дұрыс жұмыс істеуін тексеру және растау.

Ақпаратты сенімді қорғау және рұқсат етілмеген әрекеттер жағдайларын анықтау үшін жүйе жұмысын тіркеу жүзеге асырылады: жүйедегі ақпаратты қорғауға қатысты барлық әрекеттер жазылатын арнайы күнделіктер мен хаттамалар жасалады. Қорғаныс жүйесін тексеру үшін арнайы бағдарламалар да қолданылады. Мерзімді түрде немесе кездейсоқ таңдалған уақытта олар аппараттық және бағдарламалық құралдарды қорғаудың өнімділігін тексереді.

Қорғаудың кең таралған әдістерінің бірі - шығыс ақпараттың құпиялылығын айқын көрсету. Бұл талап тиісті бағдарламалық құралдардың көмегімен жүзеге асырылады.

Серверді немесе желілік жұмыс станцияларын, мысалы, смарт-картаны оқу құралымен және арнайы бағдарламалық құралмен жабдықтау арқылы рұқсатсыз кіруден қорғау дәрежесін айтарлықтай арттыруға болады. Бұл жағдайда компьютерге кіру үшін пайдаланушы оқырманға смарт-картаны салып, өзінің жеке кодын енгізуі керек.

Смарт қол жеткізуді басқару карталары, атап айтқанда, кіруді басқару, құрылғыларға қол жеткізу сияқты функцияларды жүзеге асыруға мүмкіндік береді Дербес компьютер, бағдарламаларға, файлдарға және командаларға қол жеткізу.

Қашықтан қатынау көпірлері мен маршрутизаторлар пакетті сегменттеуді пайдаланады – олардың бөлінуі және екі жол бойына параллель берілуі – бұл «хакер» желілердің біріне заңсыз қосылған кезде деректерді «ұстап алу» мүмкін емес етеді. Сонымен қатар, деректерді беру кезінде қолданылатын тасымалданатын пакеттерді қысу процедурасы «ұстатылған» деректердің шифрын шешудің мүмкін еместігіне кепілдік береді. Сонымен қатар, қашықтан қол жеткізу көпірлері мен маршрутизаторлары қашықтағы пайдаланушылардың негізгі кеңсе желісінің белгілі бір ресурстарына қол жеткізуі шектелетіндей бағдарламалануы мүмкін.

Қауіпсіздік механизмдері

1. Криптография.

Шифрлау екі негізгі ұғымға негізделген: алгоритм және кілт. Алгоритм – бастапқы мәтінді кодтау тәсілі, нәтижесінде шифрланған хабарлама пайда болады. Шифрланған хабарды тек кілт арқылы түсіндіруге болады.

Қорғаныс жүйелерінің барлық элементтері екі санатқа бөлінеді - ұзақ мерзімді және оңай ауыстырылатын. Ұзақ мерзімді элементтерге қорғаныс жүйелерін әзірлеуге қатысты және өзгерту үшін мамандардың немесе әзірлеушілердің араласуын талап ететін элементтер жатады. Оңай ауыстырылатын элементтерге кездейсоқ таңдалған бастапқы параметрлерге негізделген алдын ала анықталған ережеге сәйкес ерікті өзгертуге немесе өзгертуге арналған жүйе элементтері кіреді. Оңай өзгеретін элементтерге, мысалы, кілт, құпия сөз, сәйкестендіру және т.б.

Технологияның өнімділігінің артуы кілттерді ашуға кететін уақыттың қысқаруына әкелетінін, ал қауіпсіздік жүйелері ұзағырақ және ұзағырақ кілттерді пайдалануға тура келетінін атап өту маңызды, бұл өз кезегінде шифрлау шығындарының өсуіне әкеледі.

Шифрлау жүйелерінде мұндай маңызды орын кілттің құпиялылығына берілгендіктен, мұндай жүйелердің негізгі мәселесі кілтті генерациялау және беру болып табылады.

Шифрлаудың екі негізгі схемасы бар: симметриялық шифрлау (кейде дәстүрлі немесе жеке кілтті шифрлау деп те аталады) және ашық кілтті шифрлау (кейде асимметриялық шифрлау деп аталады).

Симметриялық шифрлау кезінде жіберуші мен қабылдаушы деректерді шифрлайтын және шифрын шеше алатын бірдей кілтті (құпияны) ортақ пайдаланады.

Электрондық қолтаңба

Электрондық қолтаңбаның көмегімен алушы өзі алған хабарламаны үшінші тұлға емес, белгілі бір құқықтары бар жіберуші жібергеніне көз жеткізе алады. Электрондық қолтаңба жіберушінің жеке кілті арқылы бақылау сомасын және қосымша ақпаратты шифрлау арқылы жасалады. Осылайша, кез келген адам ашық кілтті пайдаланып қолтаңбаның шифрын шеше алады, бірақ жеке кілттің иесі ғана қолтаңбаны дұрыс жасай алады. Ұстап алудан және қайта пайдаланудан қорғау үшін қолтаңба бірегей нөмірді - сериялық нөмірді қамтиды.

Аутентификация

Аутентификация желідегі ақпараттық қауіпсіздікті ұйымдастырудың маңызды құрамдастарының бірі болып табылады. Пайдаланушыға белгілі бір ресурсты алу құқығын бермес бұрын, оның шынымен кім екеніне көз жеткізу керек.

Аутентификация, әдетте, «ол не біледі» деп аталатын принципті пайдаланады - пайдаланушы өзінің сұрауына жауап ретінде аутентификация серверіне жіберетін қандай да бір құпия сөзді біледі. Аутентификация схемаларының бірі стандартты құпия сөздерді пайдалану болып табылады. Құпия сөз - ол желімен өзара әрекеттесу сеансының басында, кейде сеанстың соңында кіреді (ерекше маңызды жағдайларда желіден қалыпты шығудың құпия сөзі кірістен өзгеше болуы мүмкін). Бұл схема қауіпсіздік тұрғысынан ең осал болып табылады - құпия сөзді басқа адам ұстап алуы және пайдалануы мүмкін.

Ең жиі қолданылатын схемалар бір реттік құпия сөздерді пайдаланады. Тіпті ұсталып қалса да, бұл құпия сөз келесі тіркеуде пайдасыз болады, ал алдыңғы парольден келесі құпия сөзді алу өте қиын міндет. Бір реттік құпия сөздерді жасау үшін компьютер ұясына салынған құрылғылар болып табылатын бағдарламалық және аппараттық генераторлар қолданылады. Құпия сөзді білу пайдаланушыға осы құрылғыны іске қосу үшін қажет.

Желіні қорғау

Соңғы уақытта корпоративтік желілер Интернетке көбірек қосылуда немесе тіпті оны магистраль ретінде пайдалануда. Брандмауэрлер корпоративтік ақпараттық желілерді қорғау үшін қолданылады. Желіаралық қалқандар – желіні екі немесе одан да көп бөліктерге бөлуге және пакеттердің бір бөліктен екінші бөлікке өту шарттарын анықтайтын ережелер жинағын жүзеге асыруға мүмкіндік беретін жүйе немесе жүйелер жиынтығы. Әдетте, бұл шекара кәсіпорынның локальді желісі мен INTERNETOM арасында сызылады, бірақ оны ішкі жағынан да салуға болады. Дегенмен, жеке компьютерлерді қорғау тиімді емес, сондықтан бүкіл желі әдетте қорғалған. Брандмауэр барлық трафикті өзі арқылы өткізеді және әрбір өткен пакет үшін оны беру немесе тастау туралы шешім қабылдайды. Брандмауэр осы шешімдерді қабылдауы үшін оған ережелер жинағы анықталған.

Кейбір желіаралық қалқандар тек бір пайдаланушылық режимде жұмыс істейді, ал көпшілігінде бағдарлама кодтарының тұтастығын тексеру жүйесі бар.

Барлық желіаралық қалқандарды екі түрге бөлуге болады:

Маршрутизаторларды сүзу арқылы IP пакеттерін сүзетін пакеттік сүзгілер;

Желідегі белгілі бір қызметтерге кіруді блоктайтын қолданбалы деңгей серверлері.

Ішкі желіден сыртқы және сыртқы желіден ішкі желіге барлық трафик осы жүйе арқылы өтуі керек;

· бұл жүйе арқылы жергілікті қауіпсіздік саясатымен анықталған трафик қана өте алады;

Компьютерді басқа біреудің енуінен қорғау жүйелері өте алуан түрлі және келесідей топтарға жіктелуі мүмкін:

- жалпы бағдарламалық қамтамасыз етумен қамтамасыз етілген өзін-өзі қорғау құралдары;
- компьютерлік жүйенің бөлігі ретіндегі қорғаныс құралдары;
- ақпаратты сұраумен қорғау құралдары;
- белсенді қорғаныс құралдары;
- пассивті қорғаныс құралдары және т.б.

Құпиялық ақпараттың қауіпсіздігін қамтамасыз ету үшін бағдарламаларды пайдаланудың келесі бағыттарын, атап айтқанда, мыналарды бөліп көрсетуге болады:

- ақпаратты рұқсатсыз кіруден қорғау;
- ақпаратты көшіруден қорғау;
- бағдарламаларды көшіруден қорғау;
- программаларды вирустардан қорғау;
- ақпаратты вирустардан қорғау;
- байланыс арналарын бағдарламалық қорғау.

Осы бағыттардың әрқайсысы үшін кәсіби ұйымдар әзірлеген және нарықтарда таратылатын жоғары сапалы бағдарламалық өнімдердің жеткілікті саны бар.

Қорғау бағдарламалық құралында арнайы бағдарламалардың келесі түрлері бар:

техникалық құралдарды, файлдарды сәйкестендіру және пайдаланушының аутентификациясы;

техникалық құралдар мен пайдаланушылардың жұмысын тіркеу және бақылау;

ақпаратты өңдеудің шектелген режимдерін қолдау;

қорғау операциялық қорларДК және пайдаланушылардың қолданбалы бағдарламалары;

пайдаланудан кейін жадтағы ақпаратты жою;

ресурстарды пайдаланудың сигналдық бұзушылықтары;

әртүрлі мақсаттарға арналған көмекші қорғаныс бағдарламалары

Бағдарламалық түрде жүзеге асырылатын техникалық құралдар мен файлдарды сәйкестендіру ақпараттық жүйенің әртүрлі құрамдас бөліктері мен объектілерінің тіркеу нөмірлерін талдау және оларды басқару жадысында сақталған мекенжайлар мен парольдердің мәндерімен салыстыру негізінде жүзеге асырылады. жүйесі.

Құпия сөздерді қолдану арқылы қорғаудың сенімділігін қамтамасыз ету үшін қорғау жүйесінің жұмысы құпия парольді ашу және файлдың немесе терминалдың сол немесе басқа идентификаторына сәйкестікті орнату ықтималдығы барынша аз болатындай етіп ұйымдастырылады. Мұны істеу үшін парольді мезгіл-мезгіл өзгертіп, ондағы таңбалар санын жеткілікті үлкен етіп орнату керек.

Адрестік нысандарды анықтаудың және пайдаланушыларды аутентификациялаудың тиімді әдісі қауіпсіздік жүйесі пайдаланушыдан құпия сөзді сұрайтын, содан кейін ол оған белгілі бір жауап беруі керек болатын шақыру-жауап алгоритмі болып табылады. Сұрау мен жауап беру уақытын болжау мүмкін емес болғандықтан, бұл құпия сөзді табу процесін қиындатады, осылайша жоғары қауіпсіздікті қамтамасыз етеді.

Белгілі бір ресурстарға қол жеткізуге рұқсат алу тек құпия парольді пайдалану негізінде және аутентификация мен сәйкестендірудің кейінгі процедуралары негізінде ғана емес жүзеге асырылуы мүмкін. Бұл әртүрлілікті ескере отырып, егжей-тегжейлі түрде жасалуы мүмкін

пайдаланушының жұмыс режимдерінің ерекшеліктері, олардың өкілеттіктері, сұралатын деректер мен ресурстар санаттары. Бұл әдіс пайдаланушылардың сәйкес сипаттамаларын, тапсырмалардың мазмұнын, аппараттық және бағдарламалық құралдардың, жад құрылғыларының параметрлерін және т.б. талдайтын арнайы бағдарламалар арқылы жүзеге асырылады.

Қауіпсіздік жүйесіне түсетін сұранысқа қатысты нақты деректер қауіпсіздік бағдарламаларының жұмысы кезінде тіркеу құпия кестелеріне (матрицаларына) енгізілген деректермен салыстырылады. Бұл кестелер, сондай-ақ оларды қалыптастыру және өңдеу бағдарламалары шифрланған түрде сақталады және ақпараттық желі қауіпсіздігінің әкімшісінің (администраторларының) ерекше бақылауында болады.

Бұл файлдар үшін жеке қауіпсіздік шаралары және пайдаланушының оларға қол жеткізуін арнайы бақылау жеке пайдаланушылардың ақпараттың нақты анықталған санатына қол жеткізуін ажырату үшін қолданылады. Қауіпсіздік белгісі файлдың өзінде немесе ішінде сақталатын үш таңбалы кодтық сөздер түрінде құрылуы мүмкін арнайы үстел. Сол кестеде осы файлды жасаған пайдаланушының идентификаторы, файлға қол жеткізуге болатын терминалдардың идентификаторлары, осы файлға кіруге рұқсат етілген пайдаланушылардың идентификаторлары, сондай-ақ олардың файлды пайдалану құқықтары (оқу , өңдеу, өшіру, жаңарту, орындау және т.б.). Файлдарға қатынасу кезінде пайдаланушылардың өзара әрекеттесуіне жол бермеу маңызды. Егер, мысалы, бірнеше пайдаланушының бір жазбаны өңдеуге құқығы болса, онда олардың әрқайсысы басылымның өз нұсқасын дәл сақтауы керек (мүмкін талдау және өкілеттікті белгілеу мақсатында жазбалардың бірнеше көшірмелері жасалады).

Жақсы жұмысыңызды білім қорына жіберу оңай. Төмендегі пішінді пайдаланыңыз

Білім қорын оқу мен жұмыста пайдаланатын студенттер, аспиранттар, жас ғалымдар сізге алғыстары шексіз.

http://www.allbest.ru/ сайтында орналасқан.

Негізгі жұмыс деректері

Үлгі нұсқасы 1.1

Нижний Новгород филиалы

Жұмыс түрі Электрондық жазбаша алдын ала қорғау

Пәннің атауы ДРК

Тақырып

Желідегі ақпаратты қорғауға арналған бағдарламалық құралдар

Мен жұмысты орындадым

Ипатов Александр Сергеевич

Шарт No 09200080602012

Кіріспе

1. Ақпараттық қауіпсіздік теориясының негізгі ережелері

1.1 Ақпараттық қауіпсіздік. Негізгі анықтамалар

1.2 Ақпараттық қауіпсіздік қатерлері

1.3 Ақпараттың құпиялылығын бұзу қауіптерінен қорғау жүйелерін құру

1.3.1 Қорғау жүйесінің үлгісі

1.3.2 Ұйымдастыру және қауіпсіздік шаралары

1.3.3 Сәйкестендіру және аутентификация

1.3.4 Қол жеткізуді басқару

1.3.5 Ақпараттың құпиялылығын қамтамасыз етудің криптографиялық әдістері

1.3.6 Сыртқы периметрді қорғау әдістері

1.3.7 Журналды тіркеу және тексеру

1.4 Тұтастығына қауіп төндіретін қорғаныс жүйелерін құру

1.4.1 Тұтастық принциптері

1.4.2 Ақпараттың тұтастығын қамтамасыз етудің криптографиялық әдістері

1.5 Қол жетімділік қауіптерінен қорғау жүйелерін құру

2. ОЖ-да ақпаратты қорғаудың бағдарламалық құралдары

2.1 Операциялық жүйе деңгейіндегі қауіпсіздік

2.2 Криптографиялық қауіпсіздік әдістері

2.3 Дискіні шифрлау

2.4 Ақпаратты қорғаудың мамандандырылған бағдарламалық қамтамасыз ету

2.5 Қауіпсіздіктің архитектуралық аспектілері

2.6 Ақпаратты мұрағаттау және қайталау жүйелері

2.7 Қауіпсіздікті талдау

Қорытынды

Глоссарий

Пайдаланылған көздер тізімі

Қысқартулар тізімі

Кіріспе

Прогресс адамзатқа көптеген жетістіктер сыйлады, бірақ сол прогресс көптеген проблемаларды да тудырды. Адамның санасы кейбір мәселелерді шеше отырып, міндетті түрде басқалармен, жаңалармен кездеседі. Мәңгілік мәселе – ақпаратты қорғау. Адамзат өзінің дамуының әртүрлі кезеңдерінде бұл мәселені осы дәуірге тән ерекшелікпен шешті. 20 ғасырдың екінші жартысында компьютердің ойлап табылуы және ақпараттық технологияның одан әрі қарқынды дамуы ақпараттық қауіпсіздік мәселесін ақпараттандыру бүгінгі күні бүкіл қоғам үшін өзекті және өзекті етіп қойды.

Тіпті Юлий Цезарь да беру процесінде құнды ақпаратты қорғауға шешім қабылдады. Ол Цезарь шифрын ойлап тапты. Бұл шифр ұсталған жағдайда ешкім оқи алмайтын хабарламаларды жіберуге мүмкіндік берді.

Бұл тұжырымдама Екінші дүниежүзілік соғыс кезінде жасалған. Германия әскери бөлімдерге жіберілген хабарламаларды шифрлау үшін Enigma деп аталатын машинаны пайдаланды.

Әрине, қоғамымыз бен технологиямыз өзгеріп жатқандықтан, ақпаратты қорғау тәсілі үнемі өзгеріп отырады. Компьютерлердің пайда болуы және кең таралуы көптеген адамдар мен ұйымдардың ақпаратты сақтауды бастауына әкелді. электронды форматта. Мұндай ақпаратты қорғау қажет болды.

70-жылдардың басында. 20 ғасырда Дэвид Белл мен Леонард Ла Падула компьютерлік операциялар үшін қауіпсіздік моделін жасады. Бұл модель үкіметтің ақпаратты жіктеу деңгейлері (құпияланбаған, құпия, құпия, өте құпия) және рұқсат ету деңгейлері тұжырымдамасына негізделген. Егер тұлғаның (субъектінің) жіктеу бойынша файл (объекті) деңгейінен жоғары рұқсат деңгейі болса, онда ол файлға рұқсат алды, әйтпесе кіруге тыйым салынады. Бұл тұжырымдама 1983 жылы АҚШ Қорғаныс министрлігі әзірлеген 5200.28 «Сенімді есептеу жүйесін бағалау критерийлері» (TCSEC) стандартында жүзеге асырылды. Мұқабасының түсіне байланысты «Апельсин кітап» деп аталды.

«Қызғылт сары кітап» әрбір бөлім үшін функционалдық және кепілдік талаптарын анықтады. Сертификаттаудың белгілі бір деңгейіне сай болу үшін жүйе осы талаптарға сай болуы керек еді.

Қауіпсіздік сертификаттарының көпшілігі үшін кепілдік талаптарын сақтау уақытты және қымбатты болды үлкен ақша. Нәтижесінде C2 деңгейінен жоғары сертификатталған жүйелер өте аз (шын мәнінде, тек бір жүйе A1 деңгейіне сертификатталған - Honeywell SCOMP) Cole E. Хакерлерді қорғау нұсқаулығы. - М.: Уильямс баспасы, 2002 - S. 25.

Басқа критерийлерді әзірлеу кезінде функционалдық талаптарды растау талаптарынан бөлуге әрекет жасалды. Бұл әзірлемелер 1989 жылы Неміс Жасыл кітабына, 1990 жылы Канадалық критерийлерге, 1991 жылы Ақпараттық технологиялар қауіпсіздігін бағалау критерийлеріне (ITSEC) және 1992 жылы Федералдық критерийлерге (Жалпы критерийлер – «Жалпы критерийлер» ретінде белгілі) енгізілді. Әрқайсысы стандарт компьютерлік жүйелердің қауіпсіздігін растаудың өзіндік әдісін ұсынды.

ГОСТ 28147-89 -- Кеңестік және Ресей стандарты 1990 жылы енгізілген симметриялық шифрлау да ТМД стандарты болып табылады. Толық атауы – «ГОСТ 28147-89 Ақпаратты өңдеу жүйелері. Криптографиялық қорғау. Криптографиялық түрлендіру алгоритмі». Блокты шифрлау алгоритмі. Гаммамен шифрлау әдісін пайдаланған кезде ол ағынды шифрлау алгоритмінің функцияларын орындай алады.

Кейбір мәліметтер бойынша А.Винокуров. ГОСТ 28147-89 шифрлау алгоритмі, оны Intel x86 платформасының компьютерлері үшін қолдану және енгізу (http://www.enlight.ru), бұл шифрдың тарихы әлдеқайда көне. Кейіннен стандарттың негізіне айналған алгоритм КСРО КГБ сегізінші бас басқармасының (қазіргі ФСБ құрамына кіреді), ең алдымен оған бағынатын жабық ғылыми-зерттеу институттарының бірінде дүниеге келген. 1970 жылдары әртүрлі компьютерлік платформалар үшін шифрдың бағдарламалық және аппараттық іске асырылуын жасау жобаларының бөлігі ретінде болуы мүмкін.

ГОСТ жарияланған сәттен бастап оның «Ресми пайдалану үшін» шектеу мөрі болды және ресми түрде шифр 1994 жылдың мамырында ғана «толығымен ашық» деп жарияланды. Шифрдың жасалу тарихы және 2010 жылғы әзірлеушілерге арналған критерийлер жарияланған жоқ.

Жүйелердің қауіпсіздігін бағалау критерийлерімен байланысты мәселелердің бірі желі жұмысының механизмдерін түсінбеу болды. Компьютерлер біріктірілгенде, ескі қауіпсіздік мәселелеріне жаңалары қосылады. «Қызғылт сары кітап» компьютерлерді ортақ желіге қосу кезінде туындайтын мәселелерді қарастырмады, сондықтан 1987 жылы TNI (Сенімді желілік интерпретация) немесе «Қызыл кітап» пайда болды. «Қызыл кітап» «Қызғылт сары кітаптан» барлық қауіпсіздік талаптарын сақтап қалды, желі кеңістігін шешуге және желілік қауіпсіздік тұжырымдамасын жасауға әрекет жасалды. Өкінішке орай, «Қызыл кітап» функционалдылықты кепілдікпен де байланыстырды. TNI бірнеше жүйені ғана бағалады және ешқайсысы коммерциялық тұрғыдан сәтті болмады.

Бүгінгі таңда проблемалар одан да күрделене түсті. Ұйымдар «Қызыл кітаптың» пайда болуын болжай алмайтын сымсыз желілерді пайдалана бастады. Үшін сымсыз желілерҚызыл кітап сертификаты ескірген болып саналады.

Компьютерлік жүйелер мен желілердің технологиялары тым жылдам дамып келеді. Тиісінше, ақпаратты қорғаудың жаңа тәсілдері де қарқынды түрде пайда болуда. Сондықтан менің біліктілік жұмысымның тақырыбы «Желілердегі ақпаратты қорғау бағдарламалық қамтамасыз ету» өте өзекті.

Зерттеу объектісі – телекоммуникациялық желілер арқылы берілетін ақпарат.

Зерттеу пәні желілердің ақпараттық қауіпсіздігі болып табылады.

Біліктілік жұмысының негізгі мақсаты – желілердегі ақпаратты қорғаудың бағдарламалық құралдарын зерттеу және талдау. Бұл мақсатқа жету үшін бірқатар міндеттерді шешу қажет:

Қауіпсіздік қауіптерін және олардың жіктелуін қарастырыңыз;

Желідегі ақпаратты қорғау әдістері мен құралдарын, олардың жіктелуі мен қолдану ерекшеліктерін сипаттау;

Компьютерлік желілерде (CN) физикалық, аппараттық және бағдарламалық ақпаратты қорғау мүмкіндіктерін ашу, олардың артықшылықтары мен кемшіліктерін анықтау.

1. Ақпараттық қауіпсіздік теориясының негізгі ережелері

1.1 Ақпараттық қауіпсіздік. Негізгі анықтамалар

«Ақпарат» терминіне әртүрлі ғылымдар анықтама береді әртүрлі жолдар. Мәселен, философияда ақпарат әртүрлі материалдық-энергетикалық формаларда бір объектіден екінші объектіге берілуі мүмкін белгілі бір күйді сақтау және жасау үшін материалдық объектілер мен процестердің қасиеті ретінде қарастырылады. Кибернетикада ақпаратты белгісіздікті жою өлшемі деп атайды. Болашақта біз ақпаратты ақырлы (мысалы, екілік) алфавиттің таңбаларында көрсетуге болатын барлық нәрсе деп түсінетін боламыз.

Мұндай анықтама біршама ерекше көрінуі мүмкін. Сонымен бірге ол қазіргі заманғы есептеуіш техниканың негізгі архитектуралық принциптерінен табиғи түрде шығады. Шынында да, біз автоматтандырылған жүйелердің ақпараттық қауіпсіздігі мәселелерімен шектелеміз - және қазіргі заманғы компьютерлік технологияның көмегімен өңделетін барлық нәрсе екілік түрде ұсынылған.Цирлов В.Л. Автоматтандырылған жүйелердің ақпараттық қауіпсіздігінің негіздері – «Феникс», 2008 – 8-б.

Біздің қарастыратын пәніміз – автоматтандырылған жүйелер. Ақпаратты өңдеудің автоматтандырылған жүйесі (АЖ) бойынша біз келесі объектілердің жиынтығын түсінеміз:

1. Компьютерлік жабдық;

2. Бағдарламалық қамтамасыз ету;

3. Байланыс арналары;

4. Әртүрлі ақпарат құралдары туралы ақпарат;

5. Жүйенің персоналы мен пайдаланушылары.

АС ақпараттық қауіпсіздігі жүйенің күйі ретінде қарастырылады, онда:

1. Жүйе ішкі және сыртқы қауіптердің тұрақсыздандыратын әсеріне төтеп бере алады.

2. Жүйенің жұмыс істеуі мен өмір сүруінің өзі сыртқы ортаға және жүйенің элементтеріне қауіп төндірмейді.

Іс жүзінде ақпараттық қауіпсіздік әдетте қорғалатын ақпараттың келесі үш негізгі қасиетінің жиынтығы ретінде қарастырылады:

? құпиялылық, яғни ақпаратқа тек заңды пайдаланушылар қол жеткізе алады;

? тұтастық, біріншіден, қорғалатын ақпаратты тек заңды және рұқсат етілген пайдаланушылар ғана өзгерте алатынын, екіншіден, ақпараттың ішкі сәйкестігін және (егер бұл қасиет қолданылса) заттардың нақты жағдайын көрсететінін қамтамасыз ету;

? қолжетімділік, ол заңды пайдаланушылар үшін қорғалған ақпаратқа кедергісіз қол жеткізуге кепілдік береді.

Ақпараттық қауіпсіздік шаралары әдетте ақпараттық қауіпсіздік деп аталады.

Ақпараттық қауіпсіздікті қамтамасыз ету әдістері (Қосымша А) өте алуан түрлі.

Желілік қауіпсіздік қызметтері таратылған түрде өңделетін ақпаратты қорғау механизмдері болып табылады есептеу жүйелеріжәне желілер.

Инженерлік және техникалық әдістер ақпаратты техникалық арналар арқылы ағып кетуден қорғауға бағытталған - мысалы, электромагниттік сәулеленуді немесе сөйлеу ақпаратын ұстау арқылы. Ақпараттық қауіпсіздікті қамтамасыз етудің құқықтық және ұйымдастырушылық әдістері ақпараттық қауіпсіздікке байланысты әртүрлі іс-әрекеттерді ұйымдастыру үшін нормативтік құқықтық базаны жасайды.

Ақпараттық қауіпсіздікті қамтамасыз етудің теориялық әдістері өз кезегінде екі негізгі мәселені шешеді. Олардың біріншісі – ақпараттық қауіпсіздікке байланысты әртүрлі процестерді формализациялау. Мәселен, мысалы, қол жеткізуді басқарудың формальды үлгілері жүйедегі барлық мүмкін болатын ақпарат ағындарын қатаң сипаттауға мүмкіндік береді, сондықтан қауіпсіздіктің қажетті қасиеттерінің орындалуына кепілдік береді. Бұл тікелей екінші міндетті білдіреді – олардың қауіпсіздігін талдау кезінде ақпараттық қауіпсіздік жүйелерінің жұмыс істеуінің дұрыстығы мен сәйкестігін қатаң негіздеу. Мұндай міндет, мысалы, ақпараттық қауіпсіздік талаптарына сәйкес автоматтандырылған жүйелерді сертификаттау кезінде туындайды.

1.2 Ақпараттық қауіпсіздік қатерлері

Ақпараттық қауіпсіздіктің АС анықтамасын тұжырымдаған кезде біз қауіп түсінігін атап өттік. Оған аздап толығырақ тоқталайық.

Жалпы жағдайда қауіп әдетте біреудің мүдделеріне зиян келтіруі мүмкін ықтимал оқиға, әрекет, процесс немесе құбылыс ретінде түсінілетінін ескеріңіз. Өз кезегінде, ақпараттық қауіпсіздікке қатер автоматтандырылған жүйе- бұл АС-та өңделетін ақпаратқа осы ақпараттың құпиялылығын, тұтастығын немесе қолжетімділігін бұзуға әкелетін әсерді жүзеге асыру мүмкіндігі, сондай-ақ олардың жоғалуына, жойылуына әкелетін АС құрамдастарына әсер ету мүмкіндігі. немесе ақаулық.

Қауіптердің жіктелуін көптеген критерийлер бойынша жүргізуге болады. Олардың ең көп тарағандарын қарастырайық. Цирлов В.Л. Автоматтандырылған жүйелердің ақпараттық қауіпсіздігінің негіздері – «Феникс», 2008 – 10 б.

1. Пайда болу сипаты бойынша табиғи және жасанды қауіптерді ажырату әдетке айналған.

Объективті физикалық процестердің немесе адамға тәуелді емес табиғи құбылыстардың АЭС-ке әсер ету нәтижесінде пайда болған табиғи қауіптер деп атайды. Өз кезегінде жасанды қауіптер адам факторының әрекетінен туындайды.

Табиғи қауіптерге мысал ретінде өрт, су тасқыны, цунами, жер сілкінісі және т.б. Мұндай қауіптердің жағымсыз ерекшелігі - оларды болжаудың өте қиындығы немесе тіпті мүмкін еместігі.

2. Қасақаналық дәрежесі бойынша кездейсоқ және қасақана жасалған қауіптер бөлінеді.

Кездейсоқ қауіптер абайсыздықтан немесе адамның қасақана қателігінен туындайды. Қасақана қауіп-қатер әдетте шабуылдаушының мақсатты әрекетінен туындайды.

Кездейсоқ қатерлердің мысалдарына қате деректерді байқаусызда енгізу, жабдықтың байқаусызда зақымдануы жатады. Қасақана қатердің мысалы ретінде күзетілетін аумаққа белгіленген ережелерді бұза отырып кіруі жатады. физикалық қол жеткізу.

3. Қауіптің қайнар көзіне қарай мыналарды ажырату әдетке айналған:

- Қоршаған ортаның қайнар көзі болып табылатын қауіптер. Мұндай қауіптердің мысалдары өрт, су тасқыны және басқа да табиғи апаттар болып табылады.

- Қайнар көзі адам болып табылатын қауіптер. Мұндай қауіптің мысалы ретінде бәсекелес ұйымның АЭС персоналының қатарына агенттерді енгізуі болып табылады.

- Рұқсат етілген бағдарламалық және аппараттық құралдан туындайтын қауіптер. Мұндай қауіпке мысал ретінде жүйелік утилиталарды сауатсыз пайдалану болып табылады.

- Рұқсат етілмеген бағдарламалық және аппараттық құралдардан туындайтын қауіптер. Мұндай қауіп-қатерлерге, мысалы, жүйеге кейлоггерлерді енгізу жатады.

4. Қауіп ошағы ұстанымы бойынша:

- көзі бақыланатын аймақтан тыс орналасқан қауіптер. Мұндай қатерлердің мысалдары тарапты ұстап алу болып табылады электромагниттік сәулелену(PEMIN) немесе байланыс арналары арқылы берілетін деректерді ұстап алу; қашықтан фото және бейне түсіру;

бағытталған микрофондар арқылы акустикалық ақпаратты ұстау.

- көзі бақыланатын аймақ шегінде орналасқан қауіптер.

Мұндай қатерлердің мысалдары тыңдау құрылғыларын пайдалану немесе құпия ақпаратты қамтитын тасымалдаушыларды ұрлау болып табылады.

5. АУ-ға әсер ету дәрежесі бойынша пассивті және белсенді қауіптер бөлінеді. Іске асыру кезіндегі пассивті қауіптер АС құрамында және құрылымында ешқандай өзгерістерді жүзеге асырмайды.

Белсенді қатерлерді жүзеге асыру, керісінше, автоматтандырылған жүйенің құрылымын бұзады.

Пассивті қауіптің мысалы деректер файлдарын рұқсатсыз көшіру болып табылады.

6. АС ресурстарына қол жеткізу әдісі бойынша мыналар бөлінеді:

- Стандартты қатынасты пайдаланатын қауіптер. Мұндай қауіп-қатердің мысалы ретінде пара алу, бопсалау, қорқыту немесе заңды иесіне физикалық күш көрсету арқылы құпия сөзді рұқсатсыз алу болып табылады.

- Стандартты емес қатынау жолын пайдаланатын қауіптер. Мұндай қауіпке мысал ретінде қорғаныс құралдарының жарияланбаған мүмкіндіктерін пайдалану болып табылады.

Қауіптерді жіктеу критерийлерін жалғастыруға болады, бірақ іс жүзінде қорғалған ақпараттың бұрын енгізілген үш негізгі қасиетіне негізделген келесі негізгі қауіп классификациясы жиі қолданылады:

1. Ақпараттың құпиялылығын бұзу қаупі, нәтижесінде ақпарат онымен танысуға құқығы жоқ субъектіге қолжетімді болады.

2. AS көмегімен өңделген ақпаратты кез келген зиянды бұрмалауды қамтитын ақпараттың тұтастығын бұзу қаупі.

3. Заңды пайдаланушылар үшін белгілі бір AS ресурсына қол жеткізу бұғатталған кезде туындайтын ақпараттың қолжетімділігін бұзу қаупі.

Ақпараттық қауіпсіздікке нақты қатерлерді әрқашан аталған санаттардың кез келгеніне қатаң жатқызуға болмайтынын ескеріңіз. Мәселен, мысалы, ақпарат тасымалдаушыларын ұрлау қаупін белгілі бір жағдайларда барлық үш санатқа жатқызуға болады.

Белгілі бір автоматтандырылған жүйеге тән қауіптердің тізімі, мысалы, ақпараттық қауіпсіздік аудитінің бөлігі ретінде жүзеге асырылатын AS осалдықтарын талдаудың маңызды қадамы болып табылатынын және тәуекелдерді кейінгі талдау үшін негіз жасайтынын ескеріңіз. Қауіптерді санаудың екі негізгі әдісі бар:

1. Құрылыс ерікті тізімдерқауіп-қатер. Мүмкін болатын қауіптерді сарапшылар анықтайды және кездейсоқ және құрылымсыз жолмен бекітіледі.

Бұл тәсіл алынған нәтижелердің толық еместігімен және сәйкес келмеуімен сипатталады.

2. Қауіпті ағаштарды салу. Қауіптер бір немесе бірнеше ағаштар ретінде сипатталады. Қауіптер жоғарыдан төмен қарай бұрғыланады және ақыр соңында ағаштың әрбір жапырағы белгілі бір қауіптің сипаттамасын береді. Ішкі ағаштар арасында, қажет болса, логикалық сілтемелер ұйымдастырылуы мүмкін.

Мысал ретінде желілік қолданбаға кіруді бұғаттау қаупі ағашын қарастырайық (Қосымша В).

Көріп отырғаныңыздай, қолданбаға кіруді бұғаттау желі интерфейсіндегі DoS шабуылы нәтижесінде немесе компьютерді өшіру нәтижесінде болуы мүмкін. Өз кезегінде, компьютерді өшіру шабуылдаушының компьютерге рұқсатсыз физикалық қол жеткізуіне байланысты немесе буфердің толып кету шабуылын жүзеге асыратын осалдықты пайдалану нәтижесінде болуы мүмкін.

1.3 Ақпараттың құпиялылығын бұзу қауіптерінен қорғау жүйелерін құру

1.3.1 Қорғау жүйесінің үлгісі

Автоматтандырылған жүйелерде ақпараттың құпиялылығын бұзу қаупінен қорғау жүйелерін құру кезінде кешенді тәсіл қолданылады. (Қосымша В).

Жоғарыда келтірілген диаграммадан көрініп тұрғандай, біріншілік қорғау АС-қа физикалық қол жеткізуді бақылаудың жүзеге асырылған ұйымдастыру шаралары мен механизмдерінің арқасында жүзеге асырылады. Кейінірек кіруді логикалық басқару сатысында қорғау әртүрлі желілік қауіпсіздік қызметтерін қолдану арқылы жүзеге асырылады. Барлық жағдайларда ақпаратты қорғаудың инженерлік-техникалық құралдарының кешені техникалық арналар арқылы ағып кету мүмкіндігін блоктай отырып, параллельді орналастырылуы керек.

Қорғауды жүзеге асыруға қатысатын ішкі жүйелердің әрқайсысына толығырақ тоқталайық.

1.3.2 Ұйымдастыру және қауіпсіздік шаралары

Бұл механизмдер негізінен мыналарды қамтиды:

- автоматтандырылған жүйенің элементтеріне физикалық қол жеткізуді бақылау және шектеу жүйесін енгізу.

- Күзет және физикалық қауіпсіздік қызметін құру.

- қызметкерлер мен келушілердің қозғалысын бақылау тетіктерін ұйымдастыру (бейнебақылау жүйелерін, жақындық карталарын және т.б. пайдалану);

- нормативтік құқықтық актілерді әзірлеу және енгізу; лауазымдық нұсқаулықтаржәне ұқсас нормативтік құжаттар;

- құпия ақпаратты қамтитын ақпарат құралдарымен жұмыс істеу тәртібін реттеу.

АС жұмыс істеу логикасына әсер етпей, бұл шаралар, егер дұрыс және барабар орындалса, өте тиімді қорғау механизмі болып табылады және кез келген нақты жүйенің қауіпсіздігін қамтамасыз ету үшін өте маңызды.

1.3.3 Сәйкестендіру және аутентификация

Еске салайық, сәйкестендіру әдетте субъектілерге қол жеткізу үшін бірегей идентификаторларды тағайындау және мұндай идентификаторларды мүмкін болатындар тізімімен салыстыру ретінде түсініледі. Өз кезегінде, аутентификация қатынас субъектісінің өзі ұсынған идентификаторға ие екендігін тексеру және оның түпнұсқалығын растау ретінде түсініледі.

Осылайша, сәйкестендіру міндеті «бұл кім?», ал аутентификация – «ол шынымен бе?» деген сұраққа жауап беру.

Қазіргі уақытта қолданылатын аутентификация әдістерінің барлық жиынтығын 4 үлкен топқа бөлуге болады:

1. Кейбір құпия ақпаратты білуге негізделген әдістер.

Мұндай әдістердің классикалық мысалы - аутентификация құралы ретінде пайдаланушыға парольді - белгілі бір таңбалар тізбегін енгізуді сұраған кезде парольмен қорғау. Бұл аутентификация әдістері ең кең таралған.

2. Бірегей затты қолдануға негізделген әдістер. Смарт карта, жетон, электрондық кілтжәне т.б.

3. Адамның биометриялық сипаттамаларын пайдалануға негізделген әдістер. Іс жүзінде келесі биометриялық сипаттамалардың біреуі немесе бірнешеуі жиі қолданылады:

- саусақ іздері;

- көздің торлы қабығын немесе ирисін салу;

- қолдың жылу үлгісі;

- тұлғаның фотосуреті немесе термиялық суреті;

- қолжазба (сурет салу);

- дауыс.

Саусақ ізін сканерлер және көздің торлы қабығы мен ирис сканерлері ең көп қолданылады.

4. Пайдаланушымен байланысты ақпаратқа негізделген әдістер.

Мұндай ақпараттың мысалы ретінде пайдаланушының GPS координаттары болады. Бұл тәсілдің жалғыз аутентификация механизмі ретінде пайдаланылуы екіталай, бірақ ол бірнеше ортақ механизмдердің бірі ретінде өте қолайлы.

Жоғарыда аталған бірнеше механизмдерді бірге қолдану әдеттегі тәжірибе - мұндай жағдайларда көп факторлы аутентификация туралы айтылады.

Құпия сөздің аутентификация жүйелерінің ерекшеліктері

Қолданыстағы аутентификация механизмдерінің алуан түрлілігімен олардың ең көп тарағаны құпия сөзбен қорғау болып қала береді. Мұның бірнеше себептері бар, олардың ішінде біз мыналарды атап өтеміз:

- Іске асырудың салыстырмалы жеңілдігі. Шынында да, парольді қорғау механизмін енгізу әдетте қосымша жабдықты тартуды қажет етпейді.

- Дәстүрлі. Құпия сөзді қорғау механизмдері автоматтандырылған жүйелерді пайдаланушылардың көпшілігіне таныс және психологиялық бас тартуды тудырмайды - мысалы, ретинальды үлгі сканерлерінен айырмашылығы.

Сонымен қатар, парольді қорғау жүйелері олардың тиімді орындалуына кедергі келтіретін парадокспен сипатталады: күшті парольдер адам пайдалануына екіталай жарайды.

Шынында да, құпия сөздің күші күрделене түскен сайын артады; бірақ құпия сөз неғұрлым күрделі болса, соғұрлым оны есте сақтау қиынға соғады және қолданушы ыңғайсыз құпия сөзді жазуға азғырылады, бұл оның беделін түсіретін қосымша арналарды жасайды.

Құпия сөз жүйелерінің қауіпсіздігіне төнетін негізгі қауіптерге толығырақ тоқталайық. Жалпы, құпия сөзді шабуылдаушы үш негізгі жолдың бірімен ала алады:

1. Адам факторының әлсіз жақтарын пайдалану арқылы. Мұнда құпия сөздерді алу әдістері өте әртүрлі болуы мүмкін: қарау, тыңдау, бопсалау, қоқан-лоққы жасау, ақырында, бейтаныс адамдарды пайдалану. шоттаролардың заңды иелерінің рұқсатымен.

2. Таңдау бойынша. Ол үшін келесі әдістер қолданылады:

- Толық санау. Бұл әдіс оның күрделілігіне қарамастан кез келген құпия сөзді таңдауға мүмкіндік береді, алайда күшті құпия сөз үшін бұл шабуылға қажетті уақыт шабуылдаушының рұқсат етілген уақыт ресурстарынан айтарлықтай асып кетуі керек.

- Сөздік таңдау. Практикада қолданылатын құпия сөздердің маңызды бөлігі мағыналы сөздер немесе өрнектер болып табылады. Ең көп таралған құпия сөздердің сөздіктері бар, олар көп жағдайда толық тізімсіз жасауға мүмкіндік береді.

Пайдаланушы ақпаратын пайдаланып таңдау. Құпия сөзді анықтаудың бұл интеллектуалды әдісі, егер жүйенің қауіпсіздік саясаты пайдаланушылардың парольдерді өздігінен тағайындауын қамтамасыз етсе, онда басым көпшілігінде кейбір Жеке ақпарат AS пайдаланушысымен байланысты. Мұндай ақпарат ретінде кез келген нәрсені таңдауға болады, ененің туған күнінен бастап сүйікті иттің лақап атына дейін, пайдаланушы туралы ақпараттың болуы ең көп таралған опцияларды (туған күндері, балалардың аты, т.б.).

3. Пароль жүйелерін енгізуде кемшіліктерді қолданумен байланысты. Іске асырудың мұндай әлсіз тұстары пайдаланатын осалдықтарды қамтиды желі қызметтері, құпия сөзді қорғау жүйесінің белгілі құрамдас бөліктерін немесе сәйкес бағдарламалық жасақтаманың немесе аппараттық құралдың жарияланбаған мүмкіндіктерін жүзеге асыратын.

Парольді қорғау жүйесін құру кезінде АС ерекшеліктерін ескеру және тәуекелді талдау нәтижелерін басшылыққа алу қажет. Бұл ретте келесі практикалық ұсыныстарды беруге болады:

- Ең аз құпия сөз ұзындығын орнату. Әлбетте, рұқсат етілген ең аз құпия сөз ұзындығын реттеу шабуылдаушыға толық іздеу арқылы құпия сөзді болжауды жүзеге асыруды қиындатады.

- Құпия сөз алфавитінің қуатын арттыру. Қуатты ұлғайту арқылы (мысалы, арнайы таңбаларды міндетті түрде пайдалану арқылы қол жеткізіледі), сонымен қатар жан-жақты іздеуді қиындатуға болады.

- Сөздіктегі құпия сөздерді тексеру және қабылдамау. Бұл механизм таңдауға оңай құпия сөздерді қабылдамау арқылы сөздіктен құпия сөздерді таңдауды қиындатады.

- Құпия сөздің максималды жасын орнатыңыз. Құпия сөздің жарамдылық мерзімі шабуылдаушы құпия сөзді табуға жұмсайтын уақытты шектейді. Осылайша, құпия сөздің жарамдылық мерзімін қысқарту сәтті болжау ықтималдығын азайтады.

- Орнату ең төменгі мерзімпароль әрекеттері. Бұл механизм пайдаланушының жаңа құпия сөзді алдыңғысына дереу өзгерту әрекетінен сақтайды.

- Құпиясөздер журналы бойынша сүзу. Механизм құпия сөздерді қайта пайдалануды болдырмайды - бұрын бұзылған болуы мүмкін.

- Құпия сөзді енгізу әрекеттерінің санын шектеу. Сәйкес механизм парольдерді интерактивті түрде табуды қиындатады.

- Бірінші пайдаланушы кірген кезде құпия сөзді мәжбүрлеп өзгерту. Егер барлық пайдаланушылар үшін құпия сөздердің негізгі буыны әкімші тарапынан орындалса, пайдаланушыға бірінші кіру кезінде бастапқы құпия сөзді өзгерту ұсынылуы мүмкін - бұл жағдайда жаңа құпия сөз әкімшіге белгісіз болады.

- Қате құпия сөзді енгізу кезінде кідіріс. Механизм құпия сөздерді интерактивті болжауды болдырмайды.

- Пайдаланушыға құпия сөзді таңдауға тыйым салу және құпия сөзді автоматты түрде жасау. Бұл механизм жасалған құпия сөздердің беріктігіне кепілдік беруге мүмкіндік береді - дегенмен, бұл жағдайда пайдаланушылар парольдерді есте сақтауда міндетті түрде қиындықтарға тап болатынын ұмытпаңыз.

Пароль жүйелерінің қауіпсіздігін бағалау Цирлов В.Л. Автоматтандырылған жүйелердің ақпараттық қауіпсіздігінің негіздері – «Феникс», 2008 – 16 б.

Пароль жүйелерінің негізгі параметрлері арасындағы элементар байланыстарды бағалайық. Келесі белгіні енгізейік:

- А - пароль алфавитінің күші;

- L - пароль ұзындығы;

- S=AL – пароль кеңістігінің қуаты;

- V - парольді болжау жылдамдығы;

- Т – парольдің әрекет ету мерзімі;

- P - оның жарамдылық мерзімі ішінде парольді болжау ықтималдығы.

Әлбетте, келесі қатынас дұрыс:

Әдетте парольді болжау жылдамдығы V және құпия сөздің жарамдылық мерзімі T белгілі деп санауға болады. Бұл жағдайда парольді оның әрекет ету мерзімі ішінде болжау ықтималдығының Р рұқсат етілген мәнін ескере отырып, S пароль кеңістігінің қажетті кардиналдығын анықтауға болады.

Құпия сөзді V болжау жылдамдығын азайту құпия сөзді табу ықтималдығын азайтатынын ескеріңіз. Бұдан, атап айтқанда, егер парольдерді таңдау хэш функциясын есептеу және нәтижені берілген мәнмен салыстыру арқылы жүзеге асырылса, онда баяу хэш функциясын пайдалану пароль жүйесінің үлкен қауіпсіздігін қамтамасыз етеді.

Құпия сөзді сақтау әдістері

Жалпы, АС-та құпия сөздерді сақтаудың үш механизмі бар:

1. Ашық. Әрине, бұл опция оңтайлы емес, өйткені ол автоматты түрде құпия сөз ақпаратының ағып кетуі үшін көптеген арналарды жасайды. Құпия сөздерді анық мәтінде сақтаудың нақты қажеттілігі өте сирек кездеседі және әдетте мұндай шешім әзірлеушінің біліксіздігінің салдары болып табылады.

2. Хэш мәні ретінде. Бұл механизм құпия сөздерді тексеру үшін пайдалы, өйткені хэш мәндері құпия сөзбен ерекше байланысты, бірақ олардың өздері шабуылдаушыны қызықтырмайды.

3. Шифрланған. Құпия сөздерді кейбір криптографиялық алгоритм арқылы шифрлауға болады және шифрлау кілтін сақтауға болады:

- жүйенің тұрақты элементтерінің бірінде;

- жүйені инициализациялау кезінде ұсынылған кейбір тасымалдаушыда (электрондық кілт, смарт карта және т.б.);

- кілт кейбір басқа AS қауіпсіздік параметрлерінен жасалуы мүмкін - мысалы, жүйені инициализациялау кезінде әкімші құпиясөзінен.

Құпия сөздерді желі арқылы тасымалдау

Ең көп тараған іске асырулар:

1. Құпия сөздерді анық мәтінде тасымалдау. Бұл әдіс өте осал, өйткені құпия сөздерді байланыс арналарында ұстауға болады. Осыған қарамастан, тәжірибеде қолданылатын көптеген желілік протоколдар (мысалы, FTP) парольдерді анық мәтінде беруді талап етеді.

2. Парольдерді хэш мәндері түрінде беру кейде тәжірибеде кездеседі, бірақ әдетте оның мағынасы жоқ – құпия сөз хэштерін байланыс арнасы арқылы шабуылдаушы ұстап алып, қайта жіберуі мүмкін.

3. Құпия сөздерді шифрланған түрде беру - көп жағдайда ең ақылға қонымды және негізделген нұсқа.

1.3.4 Қол жеткізуді басқару

Қол жеткізуді бақылау кезінде жүйеде бар ресурстарды рұқсат етілген пайдалануды кейіннен бақылау үшін субъектілердің өкілеттіктерін белгілеуді түсіну әдеттегідей. Қол жеткізуді басқарудың екі негізгі әдісін ажырату әдеттегідей: дискрециялық және міндетті.

Дискрециялық – аталған субъектілер мен атаулы объектілер арасындағы қатынасты саралау.

Әлбетте, рұқсаттар тізімдері қол жеткізу матрицасының орнына пайдаланылуы мүмкін: мысалы, әрбір пайдаланушы оған сәйкес құқықтары бар ресурстардың тізімімен байланыстырылуы мүмкін немесе әрбір ресурс олардың құқықтарын көрсететін пайдаланушылар тізімімен байланыстырылуы мүмкін. осы ресурсқа қол жеткізіңіз.

Міндетті қол жеткізуді басқару әдетте құпиялық деңгейлері бойынша қол жеткізуді басқару ретінде жүзеге асырылады. Әрбір пайдаланушының рұқсаттары ол рұқсат етілген құпиялылықтың максималды деңгейіне сәйкес орнатылады. Бұл жағдайда барлық AS ресурстары құпиялық деңгейлеріне сәйкес жіктелуі керек.

Дискрециялық және міндетті қол жеткізуді басқару арасындағы түбегейлі айырмашылық келесідей: егер дискрециялық қол жеткізуді басқару жағдайында иеленуші пайдаланушылар үшін ресурсқа қол жеткізу құқықтарын анықтаса, онда қол жеткізуді міндетті бақылау жағдайында қауіпсіздік деңгейлері келесіден белгіленеді. сыртында, ал ресурс иесі оларға әсер ете алмайды. «Міндетті» терминінің өзі міндетті – «міндетті» сөзінің сәтсіз аудармасы. Осылайша, қол жеткізуді міндетті бақылауды мәжбүрлі деп түсіну керек.

1.3.5 Ақпараттың құпиялылығын қамтамасыз етудің криптографиялық әдістері

Ақпараттың құпиялылығын қамтамасыз ету үшін келесі криптографиялық примитивтер қолданылады:

1. Симметриялық криптожүйелер.

Симметриялық криптожүйелерде өзара әрекеттесуші тараптар бұрын қандай да бір қауіпсіз арна арқылы алмасатын ақпаратты шифрлау және шифрын шешу үшін бірдей ортақ құпия кілт қолданылады.

Симметриялық криптожүйелердің мысалдары ретінде отандық ГОСТ 28147-89 алгоритмін, сонымен қатар оны алмастырған DES және AES халықаралық стандарттарын келтіруге болады.

2. Ассиметриялық криптожүйелер.

Асимметриялық криптожүйелер ақпаратты шифрлау және ашу үшін әртүрлі кілттерді қолдануымен сипатталады. Шифрлау кілтін (ашық кілт) кез келген адам белгілі бір алушы үшін хабарды шифрлай алатындай етіп жариялауға болады.

Алушы шифрды шешу кілтінің (құпия кілт) жалғыз иесі бола отырып, ол үшін шифрланған хабарламалардың шифрын шеше алатын жалғыз адам болады.

Асимметриялық криптожүйелердің мысалдары RSA және ElGamal схемасы болып табылады.

Симметриялық және асимметриялық криптожүйелер, сондай-ақ олардың әртүрлі комбинациялары АС-та ең алдымен әртүрлі тасымалдаушылардағы деректерді шифрлау және трафикті шифрлау үшін қолданылады.

ақпараттық желіні қорғау қаупі

1.3.6 Сыртқы периметрді қорғау әдістері

Автоматтандырылған жүйенің сыртқы периметрін қорғау ішкі жүйесі әдетте екі негізгі механизмді қамтиды: желіаралық қалқандар және енуді анықтау құралдары. Байланысты мәселелерді шешуде бұл механизмдер көбінесе бір өнім ішінде жүзеге асырылады және біртұтас ретінде қызмет етеді. Бұл ретте механизмдердің әрқайсысы өзін-өзі қамтамасыз етеді және жеке қарастыруға лайық.

Брандмауэр http://www.infotecs.ru

Брандмауэр (БҚ) қорғалатын автоматтандырылған жүйе шекарасында ақпарат ағындарын шектеу функцияларын орындайды. Бұл мүмкіндік береді:

- сыртқы ортадан рұқсат етілмеген сұраныстарды елемеу арқылы ішкі ортадағы объектілердің қауіпсіздігін арттыру;

- сыртқы ортаға ақпарат ағындарын басқару;

- ақпарат алмасу процестерін тіркеуді қамтамасыз ету.

Ақпараттық ағындарды бақылау ақпаратты сүзгілеу арқылы жүзеге асырылады, яғни. оны критерийлер жиынтығы бойынша талдау және AU-ға немесе AU-дан тарату туралы шешім қабылдау.

Жұмыс істеу принциптеріне байланысты желіаралық қалқандардың бірнеше кластары бар. Негізгі жіктеу мүмкіндігі ME жұмыс істейтін ISO/OSI үлгісінің деңгейі болып табылады.

1. Пакет сүзгілері.

ISO/OSI моделінің желілік және транспорттық қабаттарында жұмыс істейтін желіаралық қалқандардың ең қарапайым класы. Пакетті сүзу әдетте келесі критерийлер бойынша жүзеге асырылады:

- бастапқы IP мекенжайы;

- алушының IP мекенжайы;

- бастапқы порт;

- тағайындалған порт;

- желілік пакет тақырыптарының нақты параметрлері.

Сүзу желілік пакет тақырыптарының аталған параметрлерін сүзу ережелерінің негізімен салыстыру арқылы жүзеге асырылады.

2. Сеанс деңгейінің шлюздері

Бұл желіаралық қалқандар ISO/OSI үлгісінің сеанс деңгейінде жұмыс істейді. Пакеттік сүзгілерден айырмашылығы олар сеанс деңгейінің хаттамаларының параметрлерін талдау арқылы байланыс сеансының рұқсат етілгендігін басқара алады.

3. Қолданбалы деңгей шлюздері

Бұл сыныптың брандмауэрлері қолданбалы деңгей хаттамаларындағы пәрмендердің белгілі бір түрлерін немесе деректер жиынын сүзуге мүмкіндік береді. Ол үшін прокси қызметтері пайдаланылады - белгілі бір жоғары деңгейлі протоколдар (http, ftp, telnet және т.б.) үшін желіаралық қалқан арқылы трафикті басқаратын арнайы мақсаттағы бағдарламалар.

Прокси қызметтерді пайдалану тәртібі D қосымшасында көрсетілген.

Прокси қызметтерін пайдаланбай желі қосылымыөзара әрекеттесетін А және В тараптары арасында тікелей орнатылады, содан кейін прокси қызметін пайдаланған жағдайда делдал пайда болады - ақпарат алмасудың екінші қатысушысымен дербес әрекеттесетін прокси сервер. Бұл схема жоғары деңгейлі хаттамалардың жеке командаларын пайдаланудың рұқсат етілгендігін бақылауға, сонымен қатар сырттан прокси-серверге алынған деректерді сүзуге мүмкіндік береді; сонымен бірге прокси-сервер белгіленген саясаттарға сүйене отырып, бұл деректерді клиент А-ға беру мүмкіндігі немесе мүмкін еместігі туралы шешім қабылдай алады.

4. Эксперттік деңгейдегі желіаралық қалқандар.

Жоғарыда аталған үш санаттың элементтерін біріктіретін ең күрделі желіаралық қалқандар. Прокси қызметтерінің орнына бұл экрандар қолданба деңгейінде деректерді тану және өңдеу алгоритмдерін пайдаланады.

Қазіргі уақытта қолданылатын желіаралық қалқандардың көпшілігі сарапшы ретінде жіктеледі. Ең танымал және кең таралған өрт сөндіру машиналары CISCO PIX және CheckPoint FireWall-1 болып табылады.

Интрузияны анықтау жүйелері

Интрузияны анықтау – автоматтандырылған жүйе ресурстарына рұқсатсыз кіруді (немесе рұқсатсыз кіру әрекеттерін) анықтау процесі. Интрузияны анықтау жүйесі (IDS) әдетте осы мәселені шешетін бағдарламалық және аппараттық жүйе болып табылады.

IDS жүйелерінің екі негізгі санаты бар:

1. Желі деңгейінің IDS.

Мұндай жүйелерде сенсор қорғалған желі сегментіндегі арнайы хостта жұмыс істейді. Әдетте, берілген хосттың желілік адаптері сегментте өтетін барлық желілік трафикті талдауға мүмкіндік беретін беймәлім режимде жұмыс істейді.

2. Хост деңгейінің IDS.

Егер сенсор хост деңгейінде жұмыс істесе, талдау үшін келесі ақпаратты пайдалануға болады:

- операциялық жүйені тіркеудің стандартты құралдарының жазбалары;

- пайдаланылған ресурстар туралы ақпарат;

- күтілетін пайдаланушы әрекетінің профильдері.

IDS әр түрінің өзіндік артықшылықтары мен кемшіліктері бар. Желілік деңгейдегі IDS жүйенің жалпы өнімділігін төмендетпейді, бірақ хост деңгейіндегі IDS шабуылдарды анықтауда және жеке хостпен байланысты әрекетті талдауға мүмкіндік беруде тиімдірек. Іс жүзінде сипатталған екі тәсілді де біріктіретін жүйелерді қолданған жөн.

IDS жүйелерінде жасанды интеллект әдістерін қолдануға бағытталған әзірлемелер бар. Айта кету керек, қазіргі уақытта коммерциялық өнімдермұндай механизмдерді қамтымайды.

1.3.7 Журналды тіркеу және тексеру белсендіаудит .narod.ru

Тіркеу және аудит ішкі жүйесі кез келген АС-ның міндетті құрамдас бөлігі болып табылады. Тіркеу немесе тіркеу - қауіпсіздік мәселелеріне қатысты барлық оқиғаларды тіркейтін ақпараттық қауіпсіздік жүйесінің есеп беру механизмі. Өз кезегінде, аудит ақпараттық қауіпсіздік режимін бұзуды жедел анықтау және алдын алу мақсатында жазылған ақпаратты талдау болып табылады. Хост деңгейіндегі енуді анықтау жүйелерін белсенді аудит жүйелері ретінде қарастыруға болады.

Тіркеу және аудит механизмінің мақсаты:

- пайдаланушылар мен әкімшілердің жауапкершілігін қамтамасыз ету;

- оқиғалар тізбегін қайта құруға мүмкіндік беру (бұл, мысалы, ақпараттық қауіпсіздік инциденттерін тергеу кезінде қажет);

- ақпараттық қауіпсіздікті бұзу әрекеттерін анықтау;

- қауіпсіздікпен байланысты емес техникалық ақауларды анықтау және талдау үшін ақпарат беру.

Тіркелетін деректер соңғы нәтижені бақылау мақсатында іс-әрекеттер ретін қалпына келтіруге, қарауға және талдауға жеткілікті АС субъектілерінің қызметі нәтижелерін есепке алудың хронологиялық реттелген жиынтығы болып табылатын журналға орналастырылады.

Сислогтар кейінгі тексеру және қауіпсіздікті бұзу үшін ақпараттың негізгі көзі болғандықтан, жүйе журналдарын рұқсатсыз өзгертуден қорғау басты басымдық болуы керек. Тіркеу жүйесі ешбір пайдаланушы (соның ішінде әкімшілер!) жүйе журналының жазбаларын ерікті түрде өзгерте алмайтындай етіп жасалуы керек.

Жүйе журналдары қалай сақталады деген сұрақ бірдей маңызды. Журнал файлдары бір немесе басқа тасымалдағышта сақталғандықтан, жүйелік журналдың рұқсат етілген максималды өлшемін асып кету мәселесі сөзсіз туындайды. Бұл жағдайда жүйенің реакциясы әртүрлі болуы мүмкін, мысалы:

- дискідегі бос орын мәселесі шешілгенше жүйені блоктауға болады;

- жүйе журналының ең ескі жазбаларын автоматты түрде жоюға болады;

- жүйе ақпаратты тіркеуді уақытша тоқтата отырып, жұмысын жалғастыра алады.

Әрине, соңғы нұсқа көп жағдайда қабылданбайды және жүйелік журналдарды сақтау ұйымның қауіпсіздік саясатында нақты реттелуі керек.

1.4 Тұтастығына қауіп төндіретін қорғаныс жүйелерін құру

1.4.1 Тұтастық принциптері

Ақпаратты құпиялылық қатерлерінен қорғауды жүзеге асыратын тетіктердің көпшілігі ақпараттың тұтастығын қамтамасыз етуге сол немесе басқа дәрежеде ықпал етеді. Бұл бөлімде біз тұтастық ішкі жүйесіне тән механизмдерге толығырақ тоқталамыз. Алдымен Кларк пен Вилсон тұжырымдаған тұтастықты қамтамасыз етудің негізгі принциптерін тұжырымдаймыз:

1. Операциялардың дұрыстығы.

Принцип пайдаланушының деректерді ерікті түрде өзгертуінің мүмкін еместігін қамтамасыз етуді талап етеді. Деректерді тек оның тұтастығын сақтайтындай өзгерту керек.

2. Пайдаланушының аутентификациясы.

Деректерді өзгертуді сәйкес әрекеттерді орындау үшін аутентификацияланған пайдаланушылар ғана жүзеге асыра алады.

3. Артықшылықтарды азайту.

Процестерге АС-та оларды орындау үшін ең аз жеткілікті болатын артықшылықтар ғана берілуі керек.

4. Міндеттерді бөлу.

Критикалық немесе қайтымсыз операциялар бірнеше тәуелсіз пайдаланушылардың қатысуын талап етеді.

Іс жүзінде міндеттерді бөлу не таза ұйымдық түрде, не криптографиялық құпияны бөлісу схемаларын пайдалану арқылы жүзеге асырылуы мүмкін.

5. Өткен оқиғалардың аудиті.

Бұл принцип ақпараттың тұтастығын бұзу сәттерін қадағалауға мүмкіндік беретін пайдаланушының есеп беру механизмін құруды талап етеді.

6. Объективті бақылау.

Тұтастығын бақылау негізделген деректерді онлайн бөлуді енгізу қажет.

Шынында да, көп жағдайда жүйеде бар барлық деректердің тұтастығын қатаң бақылау мүмкін емес, егер өнімділік себептері бойынша ғана: тұтастықты бақылау өте ресурстарды қажет ететін операция болып табылады.

7. Артықшылықтарды беруді басқару.

Артықшылықтарды беру тәртібі кәсіпорынның ұйымдық құрылымына толық сәйкес келуі керек.

Аталған қағидаттар тұтастыққа қатерлерден қорғау жүйесінің жалпы құрылымын қалыптастыруға мүмкіндік береді (Қосымша D).

Е қосымшасынан көрініп тұрғандай, құпиялылықты бұзу қауіптерінен қорғау жүйесін құру үшін қолданылатын қызметтермен салыстырғанда принципті түрде жаңа болып криптографиялық тұтастық механизмдері табылады.

Транзакциялардың дұрыстығын қамтамасыз ету тетіктері тұқымдағы криптографиялық примитивтерді де қамтуы мүмкін екенін ескеріңіз.

1.4.2 Ақпараттың тұтастығын қамтамасыз етудің криптографиялық әдістері

Ақпараттың тұтастығын бұзу қаупінен қорғау жүйелерін құру кезінде келесі криптографиялық примитивтер қолданылады:

- электрондық цифрлық қолтаңбалар;

- криптографиялық хэш функциялары;

- аутентификация кодтары.

Цифрлық қолтаңбалар

ЭЦҚ – бұл цифрлық құжаттардың түпнұсқалығы мен тұтастығын тексеру механизмі. Көптеген жолдармен бұл қолжазба қолтаңбаның аналогы - атап айтқанда, оған ұқсас дерлік талаптар қойылады:

1. Электрондық цифрлық қолтаңба оның құжатқа саналы түрде қол қойған заңды автор екенін және басқа ешкім екенін дәлелдеуге мүмкіндік беруі керек.

2. ЭЦҚ құжаттың ажырамас бөлігі болуы тиіс.

Қолды құжаттан бөліп алып, оны басқа құжаттарға қол қою үшін пайдалануға болмайды.

3. ЭЦҚ қол қойылған құжатты өзгертуге болмайтынын (соның ішінде автордың өзі үшін де!) қамтамасыз етуі тиіс.

4. Құжатқа қол қою фактісі заңды түрде дәлелденген болуы керек. Қол қойылған құжаттан бас тартуға болмайды.

Ең қарапайым жағдайда цифрлық қолтаңбаны жүзеге асыру үшін асимметриялық криптожүйеге ұқсас механизмді қолдануға болады. Айырмашылығы мынада болады: шифрлау (бұл жағдайда қол қою болып табылады) құпия кілтті пайдаланады, ал қолтаңбаны тексеру болып табылатын шифрды шешу ашық кілтті пайдаланады.

Бұл жағдайда электрондық цифрлық қолтаңбаны пайдалану тәртібі келесідей болады:

1. Құжат қол қоюшының құпия кілтімен шифрланады, ал шифрланған көшірме түпнұсқа құжатпен бірге ЭЦҚ ретінде таратылады.

2. Алушы қол қоюшының ашық кілтін пайдалана отырып, қолтаңбаның шифрын ашады, оны түпнұсқамен салыстырады және қойылған қолдың дұрыстығына көз жеткізеді.

ЭЦҚ-ның бұл іске асырылуы жоғарыда аталған барлық талаптарды толығымен қанағаттандыратынын байқау қиын емес, бірақ сонымен бірге іргелі кемшілігі бар: жіберілетін хабарламаның көлемі кемінде екі есе артады. Бұл кемшіліктен құтылу үшін хэш функцияларын пайдалануға мүмкіндік береді.

Криптографиялық хэш функциялары

y=f(x) түріндегі функция, егер ол келесі қасиеттерді қанағаттандырса, криптографиялық хэш-функция деп аталады:

1. Хэш функциясының кірісі ерікті ұзындықтағы деректер тізбегі болуы мүмкін, ал нәтиже (хэш немесе дайджест деп аталады) бекітілген ұзындыққа ие болады.

2. х мәні берілген у мәні көпмүшелік уақытта есептеледі, ал у мәні берілген х мәнін барлық жағдайда дерлік есептеу мүмкін емес.

3. Бірдей хэштерді шығаратын екі хэш функциясы кірісін табу мүмкін емес.

4. Хэшті есептеу кезінде енгізу ретіндегі барлық ақпарат пайдаланылады.

5. Функцияның сипаттамасы ашық және ашық.

Цифрлық қолтаңба схемаларында хэш функцияларын қалай қолдануға болатынын көрсетейік. Егер сіз хабарламаның өзіне емес, оның хэшіне қол қойсаңыз, онда жіберілетін деректердің көлемін айтарлықтай азайтуға болады.

Түпнұсқа хабарламаның орнына оның хэшіне қол қою арқылы біз нәтижені бастапқы хабарламамен бірге жібереміз. Алушы қолтаңбаның шифрын шешеді және нәтижені хабарлама хэшімен салыстырады. Сәйкестік болса, қол дұрыс деген қорытынды жасалады.

2 . CS-дегі ақпаратты қорғау бағдарламалық қамтамасыз ету

Ақпаратты қорғау бағдарламалық құралы тек қорғаныс функцияларын орындау үшін CS бағдарламалық құралына енгізілген арнайы бағдарламаларды білдіреді.

Ақпаратты қорғаудың негізгі бағдарламалық құралы мыналарды қамтиды:

* КС пайдаланушыларды идентификациялау және аутентификациялау бағдарламалары;

* CS ресурстарына пайдаланушының рұқсатын шектеуге арналған бағдарламалар;

* ақпаратты шифрлау бағдарламалары;

* ақпараттық ресурстарды (жүйелік және қолданбалы бағдарламалық қамтамасыз ету, мәліметтер базасы, компьютерлік оқыту құралдары және т.б.) рұқсатсыз өзгертуден, пайдаланудан және көшіруден қорғауға арналған бағдарламалар.

КС ақпараттық қауіпсіздігін қамтамасыз етуге қатысты сәйкестендіру КС субъектісінің бірегей атауын бір мағыналы тану деп түсінген жөн. Аутентификация дегеніміз берілген атау берілген тақырыпқа сәйкестігін растау (субъектінің түпнұсқалығын растау) 8 Биячуев Т.А. Корпоративтік желілердің қауіпсіздігі. Оқулық / ред. Л.Г.Осовецкий - Санкт-Петербург: Санкт-Петербург мемлекеттік университеті ITMO, 2004, 64-бет.

Ақпараттық қауіпсіздік бағдарламалық қамтамасыз ету сонымен қатар мыналарды қамтиды:

* қалдық ақпаратты жоюға арналған программалар (ЖЖҚ блоктарында, уақытша файлдарда және т.б.);

* КС қауіпсіздігіне байланысты оқиғалардың аудит бағдарламалары (тіркеу журналдары), қалпына келтіру мүмкіндігін және осы оқиғалардың орын алуының дәлелдемелерін қамтамасыз ету;

* құқық бұзушымен жұмыс істеуге еліктеу бағдарламалары (оны жасырын деп есептелген ақпаратты алуға алаңдату);

* CS қауіпсіздігін тестілік бақылау бағдарламалары және т.б.

Ақпараттық қауіпсіздік бағдарламалық қамтамасыз етуінің артықшылықтары мыналарды қамтиды:

* репликацияның қарапайымдылығы;

* икемділік (нақты КС ақпараттық қауіпсіздігіне қауіп төндіретін ерекшеліктерді ескере отырып, пайдаланудың әртүрлі шарттарына бейімделу мүмкіндігі);

* қолданудың қарапайымдылығы – кейбір бағдарламалық құралдар, мысалы, шифрлау, «мөлдір» (пайдаланушыға көрінбейтін) режимде жұмыс істейді, ал басқалары пайдаланушыдан қандай да бір жаңа (басқа бағдарламалармен салыстырғанда) дағдыларды талап етпейді;

* ақпараттық қауіпсіздікке жаңа қатерлерді есепке алу үшін өзгерістер енгізу арқылы оларды дамытудың іс жүзінде шексіз мүмкіндіктері.

Ақпараттық қауіпсіздік бағдарламалық қамтамасыз етудің кемшіліктеріне мыналар жатады:

* қорғаныс бағдарламаларының жұмыс істеуі үшін қажетті ресурстарды тұтыну есебінен КС тиімділігінің төмендеуі;

* төмен өнімділік (шифрлау сияқты аппараттық құралдарды қорғаудың ұқсас функцияларын орындаумен салыстырғанда);

* көптеген бағдарламалық қорғау құралдарын қондыру (және олардың CS бағдарламалық құралына кіріктірілгені емес, 4 және 5-суреттер), бұл зиянкестің оларды айналып өтуіне негізгі мүмкіндік жасайды;

* COP жұмысы кезінде бағдарламалық қорғау құралдарын зиянды модификациялау мүмкіндігі.

2 .1 Операциялық жүйе деңгейінде қауіпсіздік

Операциялық жүйе кез келген компьютердің ең маңызды бағдарламалық құрамдас бөлігі болып табылады, сондықтан ақпараттық жүйенің жалпы қауіпсіздігі көбінесе әрбір нақты ОЖ-да қауіпсіздік саясатын жүзеге асыру деңгейіне байланысты.

MS-DOS операциялық жүйесі ОЖ болып табылады нақты режим Intel микропроцессоры, сондықтан процесстер арасында жедел жадты бөлісу туралы сөз болуы мүмкін емес. Барлық резиденттік бағдарламалар мен негізгі бағдарлама бірдей жедел жад кеңістігін пайдаланады. Файлдарды қорғау жоқ, желі қауіпсіздігі туралы нақты бірдеңе айту қиын, өйткені бағдарламалық жасақтаманы әзірлеудің сол кезеңінде желі драйверлерін MicroSoft емес, үшінші тарап әзірлеушілері жасаған.

Операция бөлмесі отбасы Windows жүйелері 95, 98, Millenium - бастапқыда үйдегі компьютерлерде жұмыс істеуге бағытталған клондар. Бұл операциялық жүйелер қорғалған режим артықшылық деңгейлерін пайдаланады, бірақ ешқандай қосымша тексерулер жасамайды және қауіпсіздік дескриптор жүйелеріне қолдау көрсетпейді. Нәтижесінде кез келген қолданба оқуға және жазуға қол жетімді ЖЖҚ-ның барлық көлеміне қол жеткізе алады. Желілік қауіпсіздік шаралары бар, бірақ олардың орындалуы талапқа сай емес. Оның үстіне, в Windows нұсқалары 95-де қашықтан, сөзбе-сөз бірнеше пакеттерде компьютердің «қатып қалуына» мүмкіндік беретін түбегейлі қате жіберілді, бұл ОЖ беделіне айтарлықтай нұқсан келтірді; кейінгі нұсқаларда желіні жақсарту үшін көптеген қадамдар жасалды. бұл клонның қауіпсіздігі Зима В., Молдова А., Молдова Н. Жаһандық қауіпсіздік желілік технологиялар. «Шебер» сериясы. - Санкт-Петербург: BHV-Петербург, 2001, б. 124. .

Windows NT, 2000 операциялық жүйелерінің генерациясы қазірдің өзінде MicroSoft компаниясының әлдеқайда сенімді әзірлемесі болып табылады. Олар қатты дискідегі әртүрлі пайдаланушылардың файлдарын сенімді қорғайтын шын мәнінде көп пайдаланушылық жүйелер (бірақ деректерді шифрлау әлі де орындалмайды және файлдарды басқа операциялық жүйенің дискісінен жүктеу арқылы қиындықсыз оқуға болады - мысалы, MS-DOS ). Бұл операциялық жүйелер Intel процессорларының қорғалған режим мүмкіндіктерін белсенді түрде пайдаланады және олар процестен тыс оларға қосымша рұқсат бергісі келмесе, басқа бағдарламалардан деректер мен процесс кодын сенімді түрде қорғай алады.

Ұзақ даму кезеңінде көптеген әртүрлі желілік шабуылдар мен қауіпсіздік қателері ескерілді. Оларға түзетулер жаңартулар блоктары түрінде шықты (ағылшынша қызмет пакеті).

Ұқсас құжаттар

Ақпараттың құпиялылығына, тұтастығына және қолжетімділігіне қауіптен қорғаудың негізгі әдістерін зерттеу. Құпия қасиет болып табылатын файлдарды шифрлау. Электрондық цифрлық қолтаңбаны қолдану, құжаттарды хэштеу. Интернеттегі желілік шабуылдардан қорғау.

курстық жұмыс, 12/13/2015 қосылды

Ақпараттың маңыздылығы бойынша жіктелуі. Қорғалатын ақпараттың құпиялылығы мен тұтастығының категориялары. Ақпараттық қауіпсіздік түсінігі, ақпараттық қауіптердің көздері. Ақпаратты қорғау бағыттары. Бағдарламалық криптографиялық қорғау әдістері.

курстық жұмыс, 21.04.2015 қосылған

диссертация, 16.06.2012 қосылған

диссертация, 08.03.2013 қосылған

Ақпаратты қорғау қажеттілігі. IP қауіпсіздік қатерлерінің түрлері. Автоматтандырылған ақпараттық технологияларда қолданылатын аппараттық қорғаудың негізгі бағыттары. Криптографиялық түрлендірулер: шифрлау және кодтау. Деректер ағып кетудің тікелей арналары.

курстық жұмыс, 22/05/2015 қосылды

Ақпараттық қауіпсіздік түсінігі, түсінігі және жіктелуі, қауіп түрлері. Ақпаратты кездейсоқ қауіптерден, рұқсат етілмеген араласу қаупінен қорғау құралдары мен әдістерінің сипаттамасы. Ақпаратты қорғаудың криптографиялық әдістері және желіаралық қалқандар.

курстық жұмыс, 30.10.2009 қосылған

Ақпараттық қауіпсіздікке қасақана қатерлердің түрлері. Ақпаратты қорғаудың әдістері мен құралдары. Ақпараттық қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпаратты қорғаудың криптографиялық әдістері. Күрделі қорғаныс құралдары.

аннотация, 17.01.2004 қосылған

Жаңа ақпараттық технологияларды және жалпы компьютерлендіруді дамыту. Ақпараттық қауіпсіздік. Ақпараттық қауіпсіздікке қасақана қатерлердің классификациясы. Ақпаратты қорғаудың әдістері мен құралдары. Ақпаратты қорғаудың криптографиялық әдістері.

курстық жұмыс, 17.03.2004 қосылған

Neurosoft ЖШҚ ақпараттық қауіпсіздік тұжырымдамасы; кешенді қорғау жүйесін дамыту. Компанияның ақпараттық объектілері, олардың құпиялылық дәрежесі, сенімділігі, тұтастығы; қауіптер мен қауіптердің көздерін анықтау, қорғау құралдарын таңдау.

курстық жұмыс, 23.05.2013 қосылған

Экономикалық ақпараттық жүйелердің қауіпсіздігіне қауіптердің негізгі түрлері. Зиянды бағдарламаның әсері. Шифрлау ақпаратты қорғаудың негізгі әдісі ретінде. Ақпараттық қауіпсіздікті қамтамасыз етудің құқықтық негіздері. Криптографиялық әдістердің мәні.

Ғаламдық компьютерлік желілерді пайдалану кезіндегі ақпараттық қауіпсіздікке тән қатерлерге мыналар жатады:

желілік трафикті талдау («ұстау»);
желінің субъектісін немесе объектісін ауыстыру («маскарад»);
жалған желі объектісін енгізу («ортадағы адам», «Ортадағы карта» - МиМ);
қызмет көрсетуден бас тарту (Deny of Service - DoS) немесе "таратылған" қызмет көрсетуден бас тарту (Distributed Deny of Service - DDoS).

Жоғарыда аталған типтік қауіптерден туындайтын Интернетте жұмыс істеу кезіндегі ақпараттық қауіпсіздікке жанама қауіптер:

пайдаланушының компьютерінде қауіпті (ықтимал зиянды) бағдарлама кодын орындау;
пайдаланушының құпия ақпаратының (жеке деректер, коммерциялық құпиялар) шығуы;
желі қызметінің жұмысын блоктау (веб-сервер, пошта сервері, ISP кіру сервері және т.б.).

Бүлінушіге таратылған компьютерлік жүйелерде ақпараттық қауіпсіздік қатерлерін енгізуді жеңілдететін негізгі себептер:

таратылған CN объектілері арасында бөлінген байланыс арнасының болмауы (бұзушыға осындай жүйелердегі желілік трафикті талдауға мүмкіндік беретін, мысалы, ENetet2 ортасы) таратылатын деректерді беру ортасының болуы;
бөлінген КС объектілерін олардың арасында виртуалды арна орнатусыз өзара әрекеттесу мүмкіндігі, бұл таратылған КЖ объектісін немесе субъектісін сенімді сәйкестендіруге және берілетін ақпаратты қорғауды ұйымдастыруға мүмкіндік бермейді;
таратылған CS объектілері үшін олардың арасында виртуалды арнаны орнатқанға дейін жеткіліксіз сенімді аутентификация хаттамаларын пайдалану, бұл зиянкестің жіберілген хабарламаларды ұстап алу кезінде қосылым тараптарының бірін көрсетуіне мүмкіндік береді;
таратылған КС объектілері арасында виртуалды арналарды құруға және пайдалануға бақылаудың жоқтығы, бұл бұзушыға КС қызмет көрсетуден бас тарту қаупіне қашықтан қол жеткізуге мүмкіндік береді (мысалы, таратылған КС кез келген объектісі кез келген нөмірді жасырын түрде жібере алады) басқа CS объектілерінің атынан хабарламалар);
деректерді жіберушінің мекенжайын растауға және CS-ге қашықтан шабуылдың бастамашысын анықтауға мүмкіндік бермейтін, қабылданған хабарламалардың бағытын басқару мүмкін еместігі;
қосылым жасағыңыз келетін CS нысандары туралы толық ақпараттың болмауы, бұл хабар тарату сұрауын жіберу немесе іздеу серверіне қосылу қажеттілігіне әкеледі (бұзушының таратылған CS-ге жалған нысанды енгізу және шығару мүмкіндігі бар) оның объектілерінің біреуі екіншісі үшін);
таралатын хабарламаларды шифрлаудың жоқтығы, бұл зиянкестің таратылған CS-дегі ақпаратқа рұқсатсыз қол жеткізуіне мүмкіндік береді.

Қауіпсіз таратылған CS құрудың негізгі әдістеріне мыналар жатады:

Арнайы байланыс арналарын пайдалану физикалық байланысбөлінген нысандардың әрбір жұбы

CS немесе жұлдыз топологиясын және объектілер арасындағы байланыс жүзеге асырылатын желілік коммутаторды пайдалану;

бөлінген КС объектілерін олардың арасында виртуалды байланыс арнасын құруға дейін сәйкестендірудің қосымша құралдарын әзірлеу және осы арна арқылы берілетін ақпаратты шифрлау құралдарын пайдалану;
кіріс хабарламалар бағытын бақылау;
таратылған CS объектілері арасындағы виртуалды байланысты құруды және пайдалануды бақылау (мысалы, желілік объектілердің бірінен қосылуды орнатуға сұраныстардың санын шектеу және белгілі бір уақыт аралығы өткеннен кейін орнатылған байланысты үзу) ;
мүмкіндігінше оның объектілері туралы толық ақпараты бар үлестірілген CS әзірлеу немесе КС объектісі мен КС арасындағы өзара әрекетті ұйымдастыру іздеу серверівиртуалды арна құру арқылы ғана.

Жоғарыда аталған қауіптерден қорғау әдістерінің бірі виртуалды жеке желілер технологиясы (Virtual Private Network – VPN) болып табылады. Арнайы байланыс арнасын жасау сияқты, VPN екі қатысушы (немесе желілер) арасында қауіпсіз цифрлық байланыс орнатуға және бар жергілікті желілерден ғаламдық желіні жасауға мүмкіндік береді. VPN трафигі IP трафигі арқылы тасымалданады және тасымалдау деңгейінің хаттамасы ретінде датаграммаларды пайдаланады, бұл оған Интернетте кедергісіз өтуге мүмкіндік береді. Жіберілген деректерді VPN жүйесінде жасыру үшін олар шифрланады. Максималды қорғанысты қамтамасыз ететін аппараттық VPN шешімдері, сондай-ақ бағдарламалық жасақтама немесе протоколға негізделген енгізулер бар.

Ұйымның екі жергілікті желілері (LAN) арасында VPN құру кезінде аппараттық шешімнің бір мысалы - крипторотерлерді пайдалану (1.24-сурет).

Аппараттық-бағдарламалық қорғаудың сипаттамасы – криптовалюта:

сыртқы (Интернет арқылы) және ішкі (қызмет көрсетілетін ішкі желідегі хосттармен) интерфейстерді физикалық бөлу (мысалы, екі түрлі желі картасын пайдалану);
барлық шығыс (ұйымның басқа жергілікті желілеріне) шифрлау және барлық кіріс (осы жергілікті желілерден) деректер пакеттерінің шифрын ашу мүмкіндігі.

Күріш. 1.24.

арқылы белгілеңіз CR Xжәне CR2тиісінше 1 және 2 криптоторлар және арқылы AD(A), AD(X), AD(CR X)және AD(CR2)-Жұмыс станцияларының IP мекенжайлары Ажәне Xжәне криптографиялық маршрутизаторлар. Cryptorouter жұмысының алгоритмі CR Xжұмыс станциясынан деректер пакетін жіберу кезінде Ажұмыс станциясына Xкелесідей болады:

1) пакеттің алушысы (. AD(CR2))
2) ішкі желіні қамтитын интерфейс анықталады CR2;
3) бүкіл пакет шифрланған А(тақырыппен бірге) сеанс сілтеме кілтінде CR Xжәне CR2,маршрут кестесінен алынған;
4) қамтылған алынған деректерге тақырып қосылады AD(CR X),жіберушінің мекенжайы ретінде және AD(CR2)пакетті алушының мекенжайы ретінде;
5) құрылған пакет Интернет арқылы жіберіледі.

Cryptorouter жұмысының алгоритмі CR2алғаннан кейін

жұмыс станциясының пакеті X:

1) қосылымның сеанс кілті маршрут кестесінен шығарылады CR Xжәне CR2;
2) қабылданған пакеттің деректері шифрден шығарылады;
3) егер шифрды шешкеннен кейін "кірістірілген" пакеттің құрылымы дұрыс болмаса немесе оны алушының мекенжайы көрсетілетінге сәйкес келмесе; CR2ішкі желілер (сәйкес келмейді AD(X)),содан кейін қабылданған пакет жойылады;
4) шифры шешілген буманы қамтитын AD(A)жіберуші өрісінде және AD(X)алушы өрісінде жіберіледі Xішкі LAN интерфейсі арқылы.

Рұқсат етілмеген қол жеткізуден қорғаудың қарастырылып отырған нұсқасында TCP/IP хаттамалар стегі арқылы кез келген желілік бағдарламалық қамтамасыз етудің жұмысы үшін криптовалюталардың жұмысының толық ашықтығына қол жеткізіледі. Ұйымның ішкі желілерінің мекенжай кеңістігі жасырын және Интернеттегі мекенжайларға тәуелсіз (Network Address Translation (NAT) желілік мекенжайды аудару технологиясына ұқсас). Жіберілетін ақпаратты қорғау дәрежесі толығымен қолданылатын шифрлау функциясының «жарылу» қарсылығымен анықталады. Қорғалған ішкі желілерді пайдаланушылар жіберілетін пакеттерді шифрлау және дешифрлеуге байланысты кейбір баяулауды қоспағанда, желі жұмысында ешқандай өзгерісті байқамайды.

Қорғалған ішкі желілердің үлкен санымен жұмыс істегенде, бұл жағдайда екі режимде - конфигурацияны жүктеп алу және негізгі - және жұмыс істей алатын криптовалюталардың жұптары арасындағы байланыс үшін шифрлау кілтін тарату орталығының функциялары бар арнайы криптографиялық құрылғыны бөлу қажет. кілтті тарату орталығымен байланысу үшін қорғалған ортада (басты кілт) бір маршрут және бір шифрлау кілті болуы керек.

Кілттерді тарату орталығы мен криптовалюталардың бірі арасындағы байланысты сәтті орнатқаннан кейін, орталықпен ортақ негізгі кілтпен шифрланған оның маршрут кестесі оған жіберіледі. Маршрут кестесін қабылдап, шифрын шешкеннен кейін криптовалюта негізгі жұмыс режиміне ауысады.

VPN бағдарламалық құралдары Open Systems Interconnection (OSI) үлгісінің әртүрлі деңгейлеріндегі екі желі нысаны арасындағы қауіпсіз байланысты қамтамасыз ете алады:

арна – PPTP (Point to Point Tunnel Protocol), L2TP (Layer 2 Tunnel Protocol), L2F (Layer 2 Forwarding) протоколдарын қолдану; Байланыс деңгейіндегі VPN әдетте қашықтағы компьютерді мыналардың біріне қосу үшін пайдаланылады LAN серверлері;
желі – SKIP (Internet Protocol үшін қарапайым кілттерді басқару), IPSec (Internetwork Protocol Security) хаттамаларын пайдалану; Желі деңгейіндегі VPN қашықтағы компьютер мен серверді қосу үшін де, екі жергілікті желіні қосу үшін де пайдаланылуы мүмкін;
сеанс - SSL хаттамалары (1.3 абзацты қараңыз), TLS (Transport Layer Security), SOCKS; Сеанс деңгейіндегі VPN деректер сілтемесі мен желі деңгейлерінде VPN арқылы жасалуы мүмкін.

VPN құру бағдарламалық құралы шифрланған деректер жіберілетін туннельді жасайды. SKIP протоколы негізінде VPN құруды қарастырыңыз. SKIP тақырыбы стандартты IP тақырыбы болып табылады, сондықтан SKIP арқылы қорғалған пакет кез келген TCP/IP желісіндегі стандартты құрылғылар арқылы таралады және бағытталады.

SKIP IP пакеттерін қолданбалар, пайдаланушылар немесе оларды жасайтын процестер туралы ештеңе білмей шифрлайды; ол барлық трафикті үстіңгі бағдарламалық құралға ешқандай шектеулер қоймастан өңдейді. SKIP сеанстан тәуелсіз: абоненттер жұбының қауіпсіз өзара әрекеттесуін ұйымдастыру үшін ешқандай қосымша ақпарат алмасу және байланыс арналары арқылы ашық ақпаратты беру қажет емес.

SKIP жүйесі Diffie-Hellman ашық кілт криптографиясына негізделген, оның әзірге Интернет сияқты желіде баламасы жоқ. Бұл криптографиялық жүйе әрбір қатысушыға өзінің жеке кілтін ашпау арқылы ақпараттың толық құпиялылығын қамтамасыз ету үшін қауіпсіз өзара әрекеттесуге мүмкіндік береді және сонымен бірге онымен ашық кілтті қауіпсіз алмасу арқылы кез келген, тіпті бейтаныс серіктеспен өзара әрекеттесуге мүмкіндік береді. SKIP тағы бір ерекшелігі оның симметриялық шифрлау жүйесінен тәуелсіздігі болып табылады. Пайдаланушы провайдер ұсынатын криптографиялық алгоритмдердің кез келгенін таңдай алады немесе өзінің шифрлау алгоритмін пайдалана алады.

SKIP протоколына сәйкес бүкіл қауіпсіз желі үшін үлкен жай сан таңдалады Ржәне бүтін сан а(1 ). Таңдау шарттары R:ұзындығы 512 биттен кем емес, сандарды ыдырату Р- 1 көбейткіште кемінде бір үлкен жай көбейткіш болуы керек.

SKIP протоколының негізгі қадамдары:

.L:кездейсоқ жеке кілт жасайды x Ажәне ашық кілтті есептейді y a = aХА (мод Р}.

2. А -» В(және желінің барлық басқа абоненттеріне): кезінде А(абоненттердің ашық кілттері ашық каталогта орналастырылады).
3. В: кездейсоқ жеке кілтті жасайды x инжәне ашық кілтті есептейді y in = a xv (мод R).
4. В -> A: v.
5. A: K AB \u003d y B XA (mod p) = = XV ХА(мод R).
6. V:ортақ құпия кілтті есептейді K AB =ж/д (топ Р} = \u003d a XA "xv| mocj R)

ортақ құпия кілт K ABжазылушылар арасындағы трафикті шифрлау үшін тікелей пайдаланылмайды Ажәне Вжәне оны бұзуға болмайды (криптоаналитикте оны ашу үшін жеткілікті материал жоқ). Деректер алмасуды жеделдету үшін қауіпсіз желінің әрбір түйініндегі ортақ құпия кілттерді алдын ала есептеуге және асимметриялық шифрлаудың жеке кілттерімен бірге шифрланған түрде сақтауға болады.

SKIP хаттамасының жалғасы:

7. А(жіберуші): кездейсоқ пакет (сеанс) кілтін жасайды K r,бастапқы IP пакетін осы кілтпен шифрлайды P C \u003d E KR (P),оны SKIP пакетінің деректер блогына қояды (инкапсуляциялайды), шифрлайды Қ Рортақ құпия кілтті пайдалану EC \u003d E cav (К R),оны SKIP пакетінің тақырыбына қояды (тақырып кеңістігінде басқару мәні үшін сақталған /), қабылданған SKIP пакетін жаңа IP пакетінің деректер блогында инкапсуляциялайды R"(оның тақырыбы тақырыппен бірдей R),/= бағалайды H (K R, R")және орындар I SKIP пакетінің тақырыбында.

Пакет кілті екі желі абонентінің ортақ құпия кілтінде шифрланғандықтан, кірістіру имитациясын ауыстыру / және бастапқы C IP пакетінің шифрын шешу мүмкіндігі жоққа шығарылады.

8. A ->Алушы B: R».
9. V:сығындылар ECжәне пакеттік кілттің шифрын шешеді K p - Dkab(EK), үзінділер /, тексеру мәнін есептейді H (K R, R")және оны /, үзінділерімен салыстырады МЕН,бастапқы IP пакетінің шифрын шешеді P = D KP (C).

Пакет кілтін өзгерту алмасудың қауіпсіздігін арттырады, өйткені оның ашылуы IP пакеттерінің тек біреуін (немесе кішкене бөлігін) шешуге мүмкіндік береді. SKIP жаңа енгізулерінде EK \u003d E SK (K P),сеанс кілті қайда SK \u003d H (K AB, N), N -жіберуші жасаған және бірге SKIP тақырыбына енгізілген кездейсоқ сан ECжәне мен (N-уақыты сағатпен 01.01.95). Ағымдағы уақыт басқаша болса Н 1-ден көп болса, алушы пакетті қабылдамайды.

SKIP протоколы ашық кілттерге негізделген, сондықтан ITU X.509 ұсынысында сипатталған сандық сертификаттар олардың түпнұсқалығын тексеру үшін пайдаланылуы мүмкін. Қосымша хаттама спецификациясы қауіпсіз желідегі берілген түйін үшін қолдау көрсетілетін шифрлау алгоритмдері туралы ақпарат алмасу процедурасын анықтайды.

IPSec протоколының архитектурасы күріште көрсетілген. 1.25. Аутентификация тақырыбы (AH) хаттамасы пакет мазмұнына рұқсатсыз өзгертулер енгізуге байланысты шабуылдардан қорғауға арналған, соның ішінде желілік деңгей жіберушінің мекенжайын бұрмалау. Encapsulated Security Payload (ESP) протоколы деректердің құпиялылығын қамтамасыз ету үшін жасалған. Бұл протоколдағы қосымша аутентификация опциясы шифрланған деректердің тұтастығын тексеруді қосымша қамтамасыз ете алады.

Күріш. 1.25.

IPSec қауіпсіз байланыстар мен криптографиялық кілттерді басқару үшін Интернет қауіпсіздік қауымдастығы мен кілттерді басқару протоколын (ISAKMP) және кейде IKE (Интернет кілттері алмасуы) деп аталатын Oakley протоколын пайдаланады.

IPSec қосылу процесі екі фазаға бөлінеді (1.26-сурет). Бірінші кезеңде IPSec хосты қашықтағы хостқа немесе желіге қосылым орнатады. Қашықтағы хост/желі сұраушы хосттың тіркелгі деректерін тексереді және қос тарап қосылым үшін пайдаланылатын аутентификация әдісімен келіседі.

Компьютер АКомпьютер В

Мекеме

Күріш. 1.26.

IPSec қосылымының екінші кезеңінде IPSec әріптестері арасында Қауіпсіздік қауымдастығы (SA) жасалады. Бұл ретте конфигурация ақпараты SA дерекқорына (Domain of Interpretation - DOI), атап айтқанда, шифрлау алгоритмі, сеанс кілттерінің алмасу параметрлері және т.б. енгізіледі. Бұл фаза іс жүзінде қашықтағы түйіндер мен желілер арасындағы IPSec қосылымын басқарады.

ISAKMP хаттамасы SA құру үшін негізді анықтайды және қандай да бір нақты криптографиялық алгоритммен немесе хаттамамен байланысты емес. Oakley протоколы - бұл Diffie-Hellman (DH) кілт алмасу алгоритмін қолданатын негізгі анықтау протоколы.

Oakley протоколы ластаушы шабуылдармен байланысты DH хаттамасының кемшіліктерін жоюға арналған (шабуылдаушы жіберушінің IP-мекен-жайын бұрмалайды және алушыға өзінің ашық кілтін жібереді, оны бірнеше рет пайдасыз дәрежелеу модулін орындауға мәжбүрлейді) және ортадағы адам. шабуылдар.

Окли хаттамасындағы әрбір тарап бастапқы хабарламада кездейсоқ санды (рецепт) жіберуі керек R,екінші тарап өзінің жауап хабарламасында мойындауы керек (ашық кілті бар бірінші кілт алмасу хабарламасы). Егер жіберушінің IP мекенжайы жалған болса, онда шабуылдаушы растау хабарламасын алмайды, олардың растауын дұрыс құра алмайды және басқа түйінді пайдасыз жұмыспен жүктейді.

Рецепт талаптары:

1) ол құрушы тараптың параметрлеріне байланысты болуы керек;
2) рецепт құрушы түйін жіберілген рецептілердің көшірмелерін сақтау қажеттілігінсіз жергілікті құпия ақпаратты пайдалануы тиіс;
3) DoS шабуылдарына тосқауыл қою үшін растаудағы рецепттерді жасау және тексеру жылдам болуы керек.

Окли протоколы топтарды пайдалануды да қолдайды Г DH протоколы үшін. Әрбір топ екі ғаламдық параметрді (ашық кілттің бөліктері) және криптографиялық алгоритмді (Diffie - Hellman немесе эллиптикалық қисықтар негізінде) анықтайды. Қайталау шабуылдарынан қорғау үшін қолданыңыз кездейсоқ сандар(мүмкіндіктер) N,олар жауап хабарларында пайда болады және белгілі бір қадамдарда шифрланады.

Окли хаттамасындағы тараптардың өзара аутентификациясы үшін мыналарды пайдалануға болады:

1) екі тарапқа қолжетімді хэш мәніне қол қоюға арналған ЭСҚ механизмі;
2) қатысушының жеке (жеке) кілтімен сәйкестендіргіштер мен жағдайларды асимметриялық шифрлау;
3) қосымша алгоритмнің көмегімен жасалған сеанс кілтімен симметриялық шифрлау.

Oakley протоколын қолданатын қарқынды алмасу мысалы (негізгі нұсқа төрт қадамнан тұрады - бірінші және екінші қадамдар ашық кілттер мен сеанс кілтін есептемей-ақ қауіпсіз байланыс параметрлерін келіседі):

1. А -> Б: Ра, хабарлама түрі, G, y A,ұсынылған криптографиялық алгоритмдер C A, A, B, N a, Eska (H(A, B, N a, G, y A, Q).
2. В -> A: R B, R a, хабарлама түрі, G, y in,таңдалған криптографиялық алгоритмдер C in, B, A, N B, N a, Eskb (H(B, A, N b , N a , G, y B , y A , Q).
3. A -> B: мен А, мен В,хабарлама түрі, (?, A, C in, A, B, N in, B, M a, N in, (7, y A, y c, C c)).

2-қадамда Вкөмегімен ЭСҚ тексереді ҚР А,рецепт бойынша хабарламаны алғанын растайды L A,жауап хабарына өзінің рецептін және екі жағдайды қосады. 3-қадамда Акөмегімен ЭСҚ тексереді ҚР Б,жеке рецепт және жағдай, жауап хабарламасын жасайды және жібереді.

AH протоколының тақырыбы пішімі күріште көрсетілген. 1.27.

Күріш. 1.27.

Қауіпсіздік параметрлерінің индексі (SPI) өрісі қауіпсіздік байланысының көрсеткіші болып табылады. Пакеттік реттік нөмір өрісінің мәні жіберуші арқылы жасалады және аутентификация процесі деректерін қайта пайдалануға қатысты шабуылдардан қорғау үшін қызмет етеді. Аутентификация деректерін генерациялау процесінде хэш функциясы бастапқы пакет пен алдын ала келісілген кейбір кілттің комбинациясынан, содан кейін нәтиже мен түрлендірілген кілттің комбинациясынан дәйекті түрде есептеледі.

AH аутентификациясы пакеттерді ауыстыру кезінде IP тақырып өрістерінің манипуляциялануын болдырмайды, бірақ осы себепті бұл протоколды желілік мекенжайды аудару (NAT) пайдаланылатын ортада пайдалану мүмкін емес, өйткені оның жұмыс істеуі үшін IP тақырыптарын өңдеу қажет.

ESP протоколының тақырыбының пішімі күріште көрсетілген. 1.28. ESP негізгі мақсаты деректердің құпиялылығын қамтамасыз ету болғандықтан, әртүрлі түрлеріақпарат әртүрлі шифрлау алгоритмдерін пайдалануды талап етуі мүмкін және ESP пішімі қолданылатын криптографиялық алгоритмдерге байланысты елеулі өзгерістерге ұшырауы мүмкін. ESP тақырыбында аутентификация деректер өрісі міндетті емес. ESP пакетінің алушысы ESP тақырыбының шифрын шешеді және транспорттық деңгей ақпаратының шифрын ашу үшін қолданылатын криптографиялық алгоритмнің параметрлері мен деректерін пайдаланады.

Күріш. 1.28.

ESP және AN қолданудың екі түрі бар (сонымен қатар олардың комбинациясы) – көліктік және туннельдік:

тасымалдау режимі тасымалдау деңгейінің протоколдарын (TCP, UDP, ICMP) қамтитын IP пакетінің деректер өрісін қорғау үшін пайдаланылады, бұл өз кезегінде қолданбалы қызмет туралы ақпаратты қамтиды. Тасымалдау режимін пайдаланудың мысалы электрондық поштаны жіберу болып табылады. Жіберушіден қабылдаушыға дейінгі пакет жолындағы барлық аралық түйіндер тек жалпы желі деңгейіндегі ақпаратты және мүмкін кейбір қосымша пакет тақырыптарын пайдаланады. Тасымалдау режимінің кемшілігі пакеттің нақты жіберушісі мен алушысын жасыру механизмдерінің жоқтығы, сондай-ақ трафикті талдау мүмкіндігі болып табылады. Мұндай талдаудың нәтижесі ақпаратты беру көлемі мен бағыттары, жазылушыларды қызықтыратын салалар, менеджерлер туралы ақпарат болуы мүмкін;
туннель режимі бүкіл пакетті, соның ішінде желі деңгейінің тақырыбын қорғауды қамтиды. Туннель режимі ұйымның сыртқы әлеммен ақпарат алмасуын жасыру қажет болғанда қолданылады. Бұл ретте туннель режимін пайдаланатын пакеттің желілік деңгей тақырыбының мекенжай өрістерін VPN сервері толтырады (мысалы, ұйымның желіаралық қалқаны) және пакеттің нақты жіберушісі туралы ақпаратты қамтымайды. Сыртқы әлемнен ақпаратты ұйымның жергілікті желісіне тасымалдау кезінде тағайындалған мекенжай ретінде желіаралық қалқанның желілік мекенжайы пайдаланылады. Брандмауэр бастапқы желілік деңгей тақырыбын шифрдан шығарғаннан кейін, бастапқы пакет алушыға жіберіледі.

Кестеде. 1.3-кесте IPSec және SSL протоколдарын салыстырады.

1.3-кесте.IPSec және SSL протоколдарын салыстыру

Сипаттама
Аппараттық тәуелсіздік
Кодты өзгерту	Қолданбаларға өзгертулер қажет емес. Қол жеткізуді қажет етуі мүмкін бастапқы код TCP/IP протоколының стегі	Қолданбаға өзгертулер қажет. Жаңа DLL файлдарын немесе қолданбаның бастапқы кодына кіруді талап етуі мүмкін
	Толық IP пакеті. Жоғары деңгей протоколдары үшін қорғауды қосады	Тек қолданбалы қабат
Пакетті сүзу	Аутентификацияланған тақырыптарға, бастапқы және тағайындалған мекенжайларға және т.б. негізделген. Маршрутизаторлар үшін қолайлы	Жоғары деңгейдегі мазмұн мен семантикаға негізделген. Неғұрлым интеллектуалды және күрделірек
Өнімділік	Мәтінмәндік қосқыштар және деректер қозғалысы азырақ	Көбірек контекстік қосқыштар және деректер қозғалысы. Деректердің үлкен блоктары криптографиялық операцияларды жылдамдатады және жақсырақ қысуды қамтамасыз етеді
Платформалар	Кез келген жүйелер, соның ішінде маршрутизаторлар	Негізінде соңғы жүйелер(клиенттер/серверлер), сонымен қатар желіаралық қалқандар
Желіаралық қалқан L/RI	Барлық трафик қорғалған	Тек қолданбалы деңгей трафигі ғана қорғалған. ICMP, RSVP, QoS, т.б. протокол хабарлары қауіпсіз болмауы мүмкін
Мөлдірлік	Пайдаланушылар мен қолданбаларға арналған	Тек пайдаланушы

Интернетте жұмыс істеу кезінде ақпараттық қауіпсіздікті қамтамасыз ететін аппараттық және бағдарламалық құралдардың арасында желіаралық қалқандарды, қауіпсіздікті талдау құралдарын (осалдық сканерлері), шабуылдарды анықтау жүйелерін және мазмұнды басқару жүйелерін (контентті талдау, мазмұнды сүзу) ажыратуға болады.

Брандмауэр (брандмауэр, желіаралық қалқан) таратылған CS (ашық) бір бөлігінен екіншісіне (қорғалған) деректер пакеттерінің өту шарттарын анықтайтын ережелер жинағын жүзеге асырады. Әдетте желіаралық қалқандар (FI) Интернет пен ұйымның жергілікті желісі арасында орнатылады (1.29-сурет), бірақ олар корпоративтік желі ішінде де орналасуы мүмкін (әр компьютердегі жеке желіаралық қалқандарды қоса). Желілік объектілердің өзара әрекеттесу деңгейіне байланысты ME негізгі түрлері сүзгі маршрутизаторлары, сеанс деңгейіндегі шлюздер және қолданбалы деңгейдегі шлюздер болып табылады. Эксперттік деңгейдегі ME көрсетілген сорттардың екеуіне немесе үшеуіне сәйкес келетін компоненттерді қамтиды.

Күріш. 1.29.

Анықтамалық модельдің желілік деңгейінде жұмыс істейтін маршрутизаторларды сүзудің негізгі функциясы желінің қорғалған бөлігіне кіретін немесе шығатын деректер пакеттерін сүзу болып табылады. Сүзгілеу кезінде пакет тақырыптарындағы ақпарат пайдаланылады:

Пакет жіберушінің 1Р мекенжайы;
Пакетті алушының 1Р мекенжайы;
пакет жіберуші порты;
пакетті алушы порты;
протокол түрі;
пакеттің фрагментациясының жалаушасы.

Еске салайық, порт клиент пен сервер бағдарламалары хабарламаларды жіберу және қабылдау үшін пайдаланатын сандық идентификатор (0-ден 65535-ке дейін).

Сүзу ережелері пакеттің осы ережелерде көрсетілген параметрлермен брандмауэр арқылы өтуіне рұқсат етілгенін немесе бұғатталғанын анықтайды. Суретте. 1.30 және 1.31 - мұндай ережені құрудың мысалы. Сүзгілеудің негізгі артықшылықтарына

1.6. Интернеттегі ақпаратты қорғау әдістері мен құралдары

Күріш. 1.30.

Күріш. 1.31.Маршрутизаторлардың сүзгілеу ережелеріне хаттама мен порт туралы ақпаратты қосу оларды құрудың, орнатудың және конфигурациялаудың қарапайымдылығын, CS қолданбалары мен пайдаланушылары үшін мөлдірлікті және олардың жұмысына ең аз әсер етуді, төмен бағаны қамтиды. Маршрутизаторларды сүзгілеудің кемшіліктері:

CS пайдаланушылар деңгейінде аутентификацияның болмауы;
пакет тақырыбындағы 1P мекенжайының бұрмалануының осалдығы;
берілетін ақпараттың құпиялылығы мен тұтастығын бұзу қаупіне осалдық;
сүзгілеу ережелері кешенінің тиімділігінің DOE әкімшісінің нақты хаттамаларды білу деңгейіне қатты тәуелділігі;
желінің қорғалған бөлігіндегі компьютерлердің IP мекенжайларының ашықтығы.

Сеанс деңгейінің шлюздері екі негізгі функцияны орындайды:

желінің қорғалған бөлігінің жұмыс станциясы мен оның қорғалмаған бөлігінің хосты арасындағы виртуалды байланысты басқару;
желінің қорғалған бөлігіндегі компьютерлердің IP мекенжайларын аудару.

Сеанс деңгейіндегі шлюз желінің қауіпсіз бөлігінен рұқсат етілген клиент атынан сыртқы хостпен байланыс орнатады, TCP протоколын пайдаланып виртуалды арна жасайды, содан кейін оларды сүзгісіз екі бағытта деректер пакеттерін көшіреді. Байланыс сеансы аяқталғанда, ME сыртқы хостпен орнатылған байланысты тоқтатады.

Сеанс деңгейіндегі шлюз орындайтын желінің қорғалған бөлігіндегі компьютерлердің IP мекенжайларын аудару процесінде олар ME-мен байланысты бір IP-адреске түрлендіріледі. Бұл қауіпсіз және ашық желілердің хосттары арасындағы тікелей өзара әрекеттесуді болдырмайды және шабуылдаушыға IP мекенжайларын бұрмалау арқылы шабуыл жасауға мүмкіндік бермейді.

Сеанс деңгейіндегі шлюздердің артықшылықтарына бағдарламалық қамтамасыз етуді енгізудің қарапайымдылығы мен сенімділігі де кіреді. Кемшіліктері жіберілген ақпараттың мазмұнын тексеру мүмкін еместігі болып табылады, бұл зиянкестерге зиянды кодтары бар пакеттерді ұқсас брандмауэр арқылы жіберуге тырысуға мүмкіндік береді, содан кейін шабуыл жасалған CS серверлерінің бірімен (мысалы, Veb-cepBepy) тікелей байланысады. .

Қолданба деңгейінің шлюздері желінің қорғалған бөлігіндегі авторизацияланған клиент пен оның ашық бөлігінен хост арасындағы тікелей әрекеттесуді болдырмайды, сонымен қатар қолданба деңгейінде барлық кіріс және шығыс деректер пакеттерін сүзеді (яғни, мазмұнды талдау негізінде). жіберілген деректер). Қолданбалы деңгей шлюздерінің негізгі функцияларына мыналар жатады:

байланыс орнату әрекеті кезінде CS пайдаланушысының сәйкестендіру және аутентификациясы;
берілетін деректердің тұтастығын тексеру;
бөлінген КС қорғалатын және жалпыға ортақ бөліктерінің ресурстарына қол жеткізуді шектеу;
жіберілетін хабарламаларды сүзу және түрлендіру (зиянды кодты анықтау, шифрлау және шифрды шешу және т.б.);
оқиғаларды арнайы журналға тіркеу;
ішкі желінің компьютерлерінде орналасқан сырттан сұралатын деректерді кэштеу (CS өнімділігін жақсарту үшін).

Қолданбалы деңгейдегі шлюздер CS-ті қашықтан шабуылдардан қорғаудың ең жоғары дәрежесін қамтамасыз етеді, өйткені желінің ашық бөлігіндегі хосттармен кез келген әрекеттесу барлық кіріс және шығыс трафикті толығымен басқаратын делдал бағдарламалар арқылы жүзеге асырылады. Қолданбалы деңгей шлюздерінің басқа артықшылықтары мыналарды қамтиды:

басқа хосттар үшін желінің қорғалған бөлігі құрылымының құпиялылығы (қолданбалы деңгей шлюзі бар компьютердің домендік атауы сыртқы серверлерге белгілі жалғыз атау болуы мүмкін);
сенімді аутентификация және жіберілетін хабарламаларды тіркеу;
желі деңгейінде пакеттерді сүзудің қарапайым ережелері, оған сәйкес маршрутизатор тек қолданбалы деңгей шлюзіне арналған трафикке рұқсат беруі және барлық басқа трафикті блоктауы керек;
CS-де ақпараттық қауіпсіздік қатерлерін енгізу үшін стандартты бағдарламалық қамтамасыз етудегі қателерді пайдалану ықтималдығын төмендететін қосымша тексерулерді жүзеге асыру мүмкіндігі.

Қолданбалы деңгей шлюздерінің негізгі кемшіліктері жоғары құны, әзірлеудің, орнатудың және конфигурациялаудың күрделілігі, CS өнімділігінің төмендеуі, CS қолданбалары мен пайдаланушылары үшін «мөлдірлік».

Брандмауэрлерді виртуалды жеке желілерді жасау үшін пайдалануға болады.

ME кез келген түрінің жалпы кемшілігі мынада: бұл бағдарламалық және аппараттық құралдарды қорғау құралдары негізінен шабуылдардың көптеген түрлерін болдырмайды (мысалы, жалған Интернет домендік атау сервисінің серверін пайдаланып ақпаратқа рұқсатсыз кіру қауіптері, желілік трафикті талдау қауіптері. VPN болмауы, қызмет көрсетуден бас тарту қаупі). Брандмауэр арқылы CS-де ақпараттың қолжетімділігіне қауіп төндіретін зиянкес үшін оңайырақ болуы мүмкін, өйткені желінің қорғалған бөлігіндегі барлық компьютерлерді желіден ажырату үшін желіаралық қалқаны бар хостқа ғана шабуыл жасау жеткілікті. сыртқы желі.

Ресейдің FSTEC жетекші құжатында «Компьютер құралдары. Брандмауэрлер. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсат етілмеген қол жеткізуге қарсы қауіпсіздік көрсеткіштері» Энергетика министрлігінің бес қауіпсіздік класын белгіледі (ең қауіпсізі бірінші класс). Мысалы, бесінші қауіпсіздік класы жіберуші мен алушының IP мекенжайлары негізінде желі деңгейінде пакетті сүзуді талап етеді, ал екінші класс қорғалатын желінің субъектілері мен объектілерін жасыра отырып, желілік, көліктік және қолданбалы деңгейлерде сүзуді талап етеді. және желілік мекенжайды аудару.

Ұйымның жергілікті желісіндегі желіаралық қалқандардың ең көп тараған макеттері:

1) сүзгі маршрутизаторы ретінде ұсынылған желіаралық қалқан;
2) екі портты шлюз негізіндегі желіаралық қалқан;
3) экрандалған шлюз негізіндегі брандмауэр;
4) экрандалған ішкі желі бар брандмауэр.

Компьютерлік желінің ішкі ресурстарына кіру ережелері

брандмауэр арқылы жүзеге асырылатын ұйымдар келесі принциптердің біріне негізделуі керек:

анық рұқсат етілмеген барлық кіру әрекеттерін қабылдамау;
анық тыйым салынбаған барлық кіру әрекеттеріне рұқсат беру.

Қорғалған желі мен Интернет арасында орналасқан сүзгі маршрутизаторы көрсетілген қауіпсіздік саясаттарының кез келгенін жүзеге асыра алады.

Қос портты қолданбалы шлюз брандмауэрі екі желі интерфейсі бар хост болып табылады.

Бұл интерфейстер арасында ақпарат жіберілген кезде негізгі сүзгілеу жүргізіледі. Қосымша қауіпсіздікті қамтамасыз ету үшін қолданба шлюзі мен Интернет арасында сүзгі маршрутизаторы орналастырылған. Бұл қолданба шлюзі мен маршрутизатор арасында ішкі экрандалған ішкі желіні жасайды. Оны сыртқы қол жетімді ақпараттық серверді орналастыру үшін пайдалануға болады. Ақпараттық серверді орналастыру желі қауіпсіздігін арттырады, себебі ол оны бұзса да, зиянкес екі интерфейсі бар шлюз арқылы корпоративтік желі қызметтеріне қол жеткізе алмайды.

Сүзгі маршрутизаторының брандмауэр схемасынан айырмашылығы, қолданба шлюзі Интернет пен қорғалған желі арасындағы IP трафигін толығымен блоктайды. Қолданба шлюзінде орналасқан рұқсат етілген қолданбалар ғана пайдаланушыларға қызметтерді және қолжетімділікті қамтамасыз ете алады.

Брандмауэрдің бұл нұсқасы «анық рұқсат етілмеген нәрсенің барлығына тыйым салынады» қағидасына негізделген қауіпсіздік саясатын жүзеге асырады және пайдаланушыға тиісті рұқсаттары анықталған желілік қызметтер ғана қолжетімді. Бұл тәсіл қауіпсіздіктің жоғары деңгейін қамтамасыз етеді, өйткені қорғалған ішкі желіге баратын жолдар тек желіаралық қалқанға белгілі және сыртқы жүйелерден жасырылады.

Қарастырылып отырған брандмауэрді ұйымдастыру схемасы салыстырмалы түрде қарапайым және жеткілікті тиімді. Брандмауэр бөлек хостты пайдаланатындықтан, оған күшті пайдаланушы аутентификациясына арналған бағдарламалар орнатылуы мүмкін. Брандмауэр сонымен қатар кірушілердің әрекеттерін анықтай алатын жүйеге кіруді, тексеру әрекеттерін және шабуылдарды тіркей алады.

Қорғалған шлюзге негізделген желіаралық қалқан қос интерфейс шлюзіне негізделген желіаралық қалқанға қарағанда көбірек икемділікке ие, бірақ бұл икемділік қауіпсіздіктің біршама нашарлауына байланысты болады. Брандмауэр сүзгі маршрутизаторынан және ішкі желінің жағында орналасқан қолданбалы шлюзден тұрады. Қолданбалы шлюз жеке хостта жүзеге асырылады және тек бір желі интерфейсі бар.

Бұл схемада қауіпсіздік алдымен сүзгі маршрутизаторымен қамтамасыз етіледі, ол әлеуетті қауіпті хаттамаларды қолданбалы шлюзге және корпоративтік желінің ішкі жүйелеріне жетпейтіндей етіп сүзеді немесе блоктайды. Сүзгі маршрутизаторындағы пакеттерді сүзу келесі ережелердің біріне негізделген жүзеге асырылуы мүмкін:

ішкі хосттарға белгілі бір қызметтер үшін Интернетте хосттарға қосылымдарды ашуға рұқсат етіледі;
ішкі хосттардың барлық қосылымдарына тыйым салынады (олар қолданба шлюзінде рұқсат етілген қолданбаларды пайдалануы керек).

Мұндай конфигурацияда брандмауэр екі саясаттың тіркесімін пайдалана алады, олардың арасындағы қатынас ішкі желіде қабылданған арнайы қауіпсіздік саясатына байланысты. Атап айтқанда, сүзгі маршрутизаторында пакетті сүзуді қолданбалы шлюз өзінің рұқсат етілген қолданбаларын пайдалана отырып, қорғалған желілік жүйелер үшін Telnet, FTP, SMTP сияқты қызметтерді ұсынатындай етіп ұйымдастырылуы мүмкін.

Қорғалған шлюз брандмауэр дизайнының негізгі кемшілігі, егер зиянкес берілген хостқа кіріп үлгерсе, оның алдында ішкі желілік жүйелер ашылады. Тағы бір кемшілік маршрутизатордың ықтимал компромиссімен байланысты, бұл ішкі желінің зиянкес үшін қол жетімді болуына әкеледі.

Экрандалған ішкі желі брандмауэрі қорғалған шлюз брандмауэр схемасының эволюциясы болып табылады. Экрандалған ішкі желіні жасау үшін екі экрандық маршрутизатор пайдаланылады. Сыртқы маршрутизатор Интернет пен экрандалған ішкі желі арасында, ал ішкі маршрутизатор экрандалған ішкі желі мен қорғалған ішкі желі арасында орналасқан.

Экрандалған ішкі желі қолданбалы шлюзді қамтиды және сонымен қатар басқарылатын қатынасты қажет ететін ақпараттық серверлер мен басқа жүйелерді қамтуы мүмкін. Бұл желіаралық қалқан дизайны қорғалған ішкі желіні Интернеттен одан әрі оқшаулайтын қорғалған ішкі желіні қамтамасыз ету арқылы қауіпсіздіктің жоғары деңгейін қамтамасыз етеді.

Сыртқы маршрутизатор экрандалған ішкі желіні де, ішкі желіні де Интернеттің енуінен қорғайды. Сыртқы маршрутизатор кіруге тыйым салуда жаһандық желікорпоративтік желідегі жүйелерге және қосылымдарды бастамауға тиіс жүйелерден Интернетке барлық трафикті блоктайды. Бұл маршрутизаторды ішкі желідегі компьютерлер немесе компьютерлер пайдаланбауы тиіс басқа осал протоколдарды блоктау үшін де пайдалануға болады.

Ішкі маршрутизатор ішкі желіні Интернеттен де, қорғалған ішкі желі ішінде де рұқсатсыз кіруден қорғайды. Бұған қоса, ол пакеттік сүзгілеудің көп бөлігін орындайды, сонымен қатар ішкі желі жүйелеріне және одан шығатын трафикті басқарады.

Қорғалған ішкі желі брандмауэр жоғары трафик көлемі немесе жоғары деректер жылдамдығы бар желілерді қорғау үшін өте қолайлы. Оның кемшіліктері қауіпсіздіктің қажетті деңгейін қамтамасыз ету үшін сүзгі маршрутизаторларының жұбына көп көңіл бөлуді қажет етеді, өйткені олардың конфигурациясындағы қателерге байланысты бүкіл желінің қауіпсіздігіндегі сәтсіздіктер болуы мүмкін. Сонымен қатар, қолданбалы шлюзді айналып өтудің негізгі мүмкіндігі бар.

CS қауіпсіздік талдау бағдарламалық құралының негізгі функциялары (осалдық сканерлері, осалдықты бағалау) мыналар болып табылады:

жүйеде қолданылатын сәйкестендіру және аутентификация құралдарын тексеру, қол жеткізуді бақылау, аудит және КС-те ақпараттық қауіпсіздік бөлігінде олардың баптауының дұрыстығы;
КС жүйесінің және қолданбалы бағдарламалық қамтамасыз етудің тұтастығын бақылау;
CS-де қолданылатын жүйелік және қолданбалы бағдарламалардағы белгілі (мысалы, өндірушінің веб-сайтында жарияланған, жағдайды түзету бойынша ұсыныстармен бірге жарияланған) жөнделмеген осалдықтардың болуын тексеру және т.б.

Қауіпсіздікті талдау құралдары арнайы деректер қорларында сақталған сканерлеу сценарийлері негізінде жұмыс істейді және олардың жұмыс нәтижелерін әртүрлі форматтарға түрлендіруге болатын есептер түрінде береді. Осалдық сканерлерінің екі санаты бар:

олар жұмыс істейтін компьютердің қауіпсіздігін талдауға арналған хост деңгейіндегі жүйелер;
Интернеттен корпоративтік жергілікті желінің қауіпсіздігін тексеруге арналған желілік деңгейдегі жүйелер.

Желілік деңгейдегі осалдық сканерлері қауіпсіздік тексерулерін орындау үшін клиент-сервер архитектурасын пайдаланады. Сервер сканерлеуді орындайды, ал клиент сканерленген компьютерде сканерлеу сеанстарын конфигурациялайды және басқарады. Клиент пен серверді бөлуге болатындығы бірнеше артықшылықтар береді. Біріншіден, сканерлеу сервері желіңізден тыс жерде орналасуы мүмкін, бірақ желі ішінен клиент арқылы қол жеткізуге болады. Екіншіден, әртүрлі клиенттер әртүрлі операциялық жүйелерді қолдауы мүмкін.

CS қауіпсіздік талдау құралдарының кемшіліктеріне мыналар жатады:

олардың нақты жүйелерге тәуелділігі;
жеткіліксіз сенімділік (оларды пайдалану кейде талданатын жүйелерде ақауларды тудыруы мүмкін, мысалы, қызмет көрсетуден бас тарту шабуылдарына қарсы қауіпсіздікті тексеру кезінде);
тиімді жұмыс істеудің қысқа мерзімі (ең қауіпті болып табылатын жаңадан ашылған осалдықтар есепке алынбайды);
CS шабуылына дайындалу үшін бұзушылардың пайдалану мүмкіндігі (қауіпсіздік әкімшісі өз ұйымының компьютерлік жүйесінің осалдықтарын сканерлеу үшін басшылықтан арнайы рұқсат алуы керек).

Интрузияны анықтау жүйелерінің (IDS) бағдарламалық құралдары келесі міндеттерді шешу үшін пайдаланылуы мүмкін:

операциялық жүйенің қауіпсіздік журналдарын, брандмауэр журналдарын және басқа қызметтерді (хост деңгейіндегі жүйелер) талдау негізінде шабуыл белгілерін анықтау;
деректер пакеттерін тікелей байланыс арналарында тексеру (оның ішінде мульти-агенттік жүйелерді пайдалану) – желілік деңгейдегі жүйелер.

Әдетте, нақты жүйелер осы категориялардың екеуінің де мүмкіндіктерін қамтиды.

Екі жағдайда да шабуылды анықтау құралдары тіркелген желі оқиғалары мен белгілі шабуылдардың үлгілері бар шабуыл қолтаңбаларының дерекқорларын пайдаланады. Бұл құралдар нақты уақыт режимінде жұмыс істейді және КЖ-нің белгілі осалдықтарын пайдалану әрекеттеріне немесе ұйым желісінің қорғалған бөлігін рұқсатсыз зерттеуге жауап береді, сонымен қатар кейінгі талдау үшін тіркелген оқиғалар журналын жүргізеді.

Енгізулерді анықтау жүйелері қорғалған жүйе үшін қосымша қорғаныс қабаттарын қамтамасыз етеді, өйткені олар басқа қорғау механизмдері үшін ең маңызды болып табылатын желіаралық қалқанның, крипторотерлердің, корпоративтік серверлердің және деректер файлдарының жұмысын басқарады. Қарсыластың стратегиясы көбінесе белгілі бір мақсатты қорғайтын қауіпсіздік құрылғыларына шабуыл жасауды немесе өшіруді қамтиды. Интрузияны анықтау жүйелері шабуылдың осы алғашқы белгілерін тани алады және, негізінен, ықтимал зақымдануды азайта отырып, оларға жауап береді. Сондай-ақ, бұл құрылғылар конфигурация қателеріне, шабуылға немесе пайдаланушы қатесіне байланысты істен шыққанда, басып кіруді анықтау жүйелері мәселені таниды және қызметкерге хабарлай алады.

Интрузияны анықтау құралдарының негізгі кемшіліктеріне мыналар жатады:

жоғары жылдамдықты желілерде тиімді жұмыс істей алмау (IDS өндірушілері барлық трафикті 100% талдаумен, орташа есеппен 65 Мбит/с жылдамдықпен бұл жүйелер жоғалтпай жұмыс істейтін максималды өткізу қабілеттілігін бағалайды);
белгісіз шабуылдарды өткізіп жіберу мүмкіндігі;
деректер базасын шабуыл қолтаңбаларымен үнемі жаңарту қажеттілігі;
шабуылдың анықталған белгілеріне осы құралдардың оңтайлы реакциясын анықтаудың қиындығы.

Желі деңгейіндегі IDS орнату брандмауэрдің екі жағындағы корпоративтік LAN периметрінде ең тиімді. Кейде IDS осы сервермен трафикті басқару үшін маңызды серверлердің (мысалы, дерекқор сервері) алдына орнатылады. Алайда, бұл жағдайда мәселе ішкі желідегі трафиктің сыртқы желіге қарағанда жоғары жылдамдықпен берілуі болып табылады, бұл IDS-тің барлық трафикті жеңе алмауы және соның нәтижесінде төмендеуіне әкеледі. жергілікті желінің өткізу қабілетінде. Сондықтан желі деңгейінің IDS белгілі бір қосылымдарды басқара отырып, белгілі бір сервердің алдына қойылады. Мұндай жағдайларда кейде әрбір қорғалған серверде хост деңгейіндегі шабуылдарды анықтау жүйесін орнатып, сол нақты серверге шабуылдарды анықтаған жөн.

Ұйым қызметкерлерінің жұмыс орнында интернетке қол жеткізуінің жағымсыз жақтары бар. Олар жұмыс уақытын әзіл оқумен, ойын ойнаумен, достарымен сөйлесумен және т.б. өткізе бастайды. Интернеттен фильмдер мен музыканың «жүктелуі» және іскерлік ақпарат ағынының кешігуіне байланысты корпоративтік желінің өнімділігі төмендейді. Қызметкерлер ұйымның клиенттеріне кездейсоқ енуі оның беделіне нұқсан келтіруі мүмкін орасан зор материалдарды жинақтап, бір-біріне жібереді (эротикалық суреттер, мультфильмдер және т.б.). Соңында, eL интерфейсі бар электрондық пошта қызметтері құпия ақпаратты ағызып жіберуі мүмкін.

Мазмұнды басқару жүйелері келесі қауіптерден қорғауға арналған:

интернет-трафикті төлеу бойынша ұйымның шығыстарын негізсіз арттыру;
ұйым қызметкерлерінің өнімділігінің төмендеуі;
бизнес қажеттіліктері үшін корпоративтік желінің өткізу қабілеттілігін азайту;
құпия ақпараттың шығуы;
ұйымның беделіне нұқсан келтіру.

Мазмұнды басқару жүйелерін бөлуге болады

электрондық пошта хабарламаларындағы түйінді сөздер мен сөз тіркестерін, ?eb трафигі мен сұралған HTML беттерін талдау. Бұл мүмкіндік құпия ақпараттың ағып кетуін, қызметкерлердің түйіндемелерді және спам жіберуін, сондай-ақ ұйымның компьютерлік жүйесінің қауіпсіздік саясатымен тыйым салынған басқа да материалдарды жіберуді анықтауға және дер кезінде алдын алуға мүмкіндік береді. Сұралған HTML беттерін талдау мүмкіндігі өте қызықты. Оның көмегімен сіз көптеген желіаралық қалқандар пайдаланатын IL блоктау механизмінен бас тарта аласыз және сұралған беттің мекенжайына қарамастан (соның ішінде динамикалық түрде жасалған) оның мазмұнын талдай аласыз;
электрондық пошта хабарламаларын жөнелтушілер мен алушыларды, сондай-ақ электрондық серверлерге және басқа интернет-ресурстарға кіру (және қайдан) жүзеге асырылатын мекенжайларды бақылау. Оның көмегімен сіз поштаны немесе веб-трафикті сүзуге болады, осылайша брандмауэрдің кейбір функцияларын жүзеге асыра аласыз;
спам жіберушілер мен басқа да бұзушылар жиі қолданатын электрондық пошта хабарламаларының спуфингін анықтау;
компьютерлік вирустарды және басқа да зиянды бағдарламаларды анықтауға, емдеуге немесе жоюға мүмкіндік беретін электрондық пошта мазмұнын және веб-трафикті вирусқа қарсы сканерлеу;
тым ұзақ хабарламаларды жіберуге мүмкіндік бермейтін немесе Интернетке кіру арнасы ең аз жүктелген сәтке дейін (мысалы, сағаттан кейін) оларды уақытша кейінге қалдыруды талап ететін хабарлама өлшемін басқару;
электрондық пошта хабарламаларына тіркемелердің саны мен түрін бақылау, сонымен қатар веб-трафик ішінде жіберілетін файлдарды бақылау. Бұл хабарлама мәтінін ғана емес, сонымен қатар белгілі бір файлдағы, мысалы, құжаттағы мәтінді талдауға мүмкіндік беретін ең қызықты мүмкіндіктердің бірі. Microsoft Wordнемесе ZIP мұрағаты. Бұл пішімдерге қосымша, кейбір жүйелер бейне және аудио файлдарды, графикалық файлдарды, PDF файлдарын, орындалатын файлдаржәне тіпті шифрланған хабарламалар. Графикалық форматтардың үлкен санында белгілі бір мазмұнның суреттерін тануға мүмкіндік беретін жүйелер бар;
cookie файлдарын бақылау және блоктау, сондай-ақ ұялы код Java, ActiveX, JavaScript, VBScript және т.б.;
интернет-ресурстарды санаттау («ересектерге арналған», «ойын-сауық», «қаржы» және т.б.) және ұйым қызметкерлерінің әртүрлі санаттағы ресурстарға қолжетімділігін саралау (соның ішінде тәулік уақытына байланысты);
хабарламаны жою немесе уақытша блоктау, тыйым салынған қосымшаны кесу және вирус жұққан файлды залалсыздандыру, сондай-ақ хабардың көшірмесін қауіпсіздік әкімшісіне немесе құқық бұзушының менеджеріне жіберуге дейін және қауіпсіздік әкімшісіне де, қауіпсіздік әкімшісіне де хабарлауға дейін әртүрлі жауап беру опцияларын жүзеге асыру. қауіпсіздік саясатын бұзатын хабарды жіберуші және алушы.

Пошта және электрондық пошта қозғалысын басқару жүйелерінің екі негізгі кемшілігі бар. Ең алдымен, бұл пайдаланушылар шифрлаған хабарламаларды басқару мүмкін еместігі. Сондықтан көптеген компаниялар мұндай хабарламаларды бақылаусыз жіберуге тыйым салады немесе пошта трафигін шифрлаудың орталықтандырылған құралдарын пайдаланады.

Мазмұнды басқару жүйелерінің екінші жалпы кемшілігі - тыйым салынған веб-беттердің мекенжайларын орнатудың қиындығы. Біріншіден, үнемі пайда болатын тыйым салынған ресурстарға қол жеткізуді жедел анықтау үшін мұндай тізімді жаңартып отыру қажет, екіншіден, қорғау механизмін айналып өтуге мүмкіндік беретін стандартты емес мекенжайларды орнату тәсілі бар. мазмұнды басқару жүйесінің: пайдаланушы домендік емес атауды, көп жағдайда не істейтінін және оған қажет сервердің 1P мекенжайын пайдалана алады. Брандмауэр болмаған жағдайда, мұндай кіруді блоктау қиын болады.

Бақылау сұрақтары

1. Компьютерлік жүйелердегі ақпаратқа рұқсатсыз кірудің қандай жолдары бар?
2. Компьютерлік жүйелерде пайдаланушының аутентификациясының қандай әдістерін қолдануға болады?
3. Құпия сөздің аутентификациясының негізгі кемшіліктері қандай және оны қалай күшейтуге болады?
4. «Қол алысу» үлгісіне негізделген аутентификацияның мәні, артықшылықтары мен кемшіліктері неде?
5. Пайдаланушылардың қандай биометриялық сипаттамалары оларды аутентификациялау үшін пайдаланылуы мүмкін? Бұл аутентификация әдісінің артықшылықтары қандай?
6. Компьютерлік жүйелерді пайдаланушыларды аутентификациялау үшін қандай аппараттық элементтерді пайдалануға болады?
7. Компьютер ресурстарына рұқсатсыз кіруді болдырмайтын бағдарламалық және аппараттық блоктау қалай жұмыс істейді?
8. CHAP неге негізделген? Онда қолданылатын кездейсоқ санға қандай талаптар қойылады?
9. Kerberos протоколының мақсаты қандай?
10. Тікелей аутентификация хаттамаларымен салыстырғанда жанама аутентификация хаттамаларының артықшылықтары қандай?
11. Компьютерлік жүйелердің объектілеріне қол жеткізуді дискрециялық шектеудің мәні, артықшылықтары мен кемшіліктері неде?
12. Объектілерге қол жеткізуді міндетті басқаруға қандай екі ереже қолданылады?
13. Брандмауэрдің қандай түрлері қолданылады?
14. URI дегеніміз не және олар не үшін қажет?
15. Барлық желіаралық қалқандардың жалпы кемшіліктері қандай?
16. Компьютерлік жүйелердің қауіпсіздігін талдау құралдарының қызметі және олардың негізгі кемшіліктері қандай?
17. Компьютерлік жүйелерге шабуылдарды анықтау жүйелерінің мәні неде?
18. Мазмұнды басқару жүйелері қандай қауіптерден қорғайды?

Бұл мақала пайдалы болды ма?

Иә

Жоқ

Пікіріңізге рахмет!

Бірдеңе дұрыс болмады және сіздің дауысыңыз есептелмеді.

Рақмет сізге. Сіздің хабарламаңыз жіберілді

Мәтіннен қате таптыңыз ба?

Оны таңдаңыз, басыңыз Ctrl+Enterжәне біз оны түзетеміз!

Қатысты кеңестер

Эргономикалық тінтуір: сипаттамасы, сипаттамалары, фото Эргономикалық тінтуір

Үйде компьютерде мультфильм жасаудың барлық кезеңдері

«Тірі суреттер»: заманауи мультфильмдер қалай жасалады

Сөздерді өзгертуге арналған бағдарлама

Пернетақта туралы қызықты және таң қалдыратын деректер Әлемдегі алғашқы компьютерлік пернетақта

Тексеру органдарының байланыс деректері

Бағдарламалық құралдар мен қорғау әдістері. Бағдарламалық қамтамасыз ету және техникалық қорғау құралдары

Жақсы жұмысыңызды білім қорына жіберу оңай. Төмендегі пішінді пайдаланыңыз

Ұқсас құжаттар

Жақсы жұмысыңызды білім қорына жіберу оңай. Төмендегі пішінді пайдаланыңыз

Негізгі жұмыс деректері

Үлгі нұсқасы 1.1

Нижний Новгород филиалы

Жұмыс түрі Электрондық жазбаша алдын ала қорғау

Пәннің атауы ДРК

Тақырып

Желідегі ақпаратты қорғауға арналған бағдарламалық құралдар

Мен жұмысты орындадым

Ипатов Александр Сергеевич

Шарт No 09200080602012

Кіріспе

1. Ақпараттық қауіпсіздік теориясының негізгі ережелері

1.1 Ақпараттық қауіпсіздік. Негізгі анықтамалар

1. Компьютерлік жабдық;

2. Бағдарламалық қамтамасыз ету;

3. Байланыс арналары;

4. Әртүрлі ақпарат құралдары туралы ақпарат;

5. Жүйенің персоналы мен пайдаланушылары.

АС ақпараттық қауіпсіздігі жүйенің күйі ретінде қарастырылады, онда:

1. Жүйе ішкі және сыртқы қауіптердің тұрақсыздандыратын әсеріне төтеп бере алады.

2. Жүйенің жұмыс істеуі мен өмір сүруінің өзі сыртқы ортаға және жүйенің элементтеріне қауіп төндірмейді.

Іс жүзінде ақпараттық қауіпсіздік әдетте қорғалатын ақпараттың келесі үш негізгі қасиетінің жиынтығы ретінде қарастырылады:

? құпиялылық, яғни ақпаратқа тек заңды пайдаланушылар қол жеткізе алады;

? қолжетімділік, ол заңды пайдаланушылар үшін қорғалған ақпаратқа кедергісіз қол жеткізуге кепілдік береді.

Ақпараттық қауіпсіздік шаралары әдетте ақпараттық қауіпсіздік деп аталады.

Ақпараттық қауіпсіздікті қамтамасыз ету әдістері (Қосымша А) өте алуан түрлі.

Желілік қауіпсіздік қызметтері таратылған түрде өңделетін ақпаратты қорғау механизмдері болып табылады есептеу жүйелеріжәне желілер.

1.2 Ақпараттық қауіпсіздік қатерлері

Ақпараттық қауіпсіздіктің АС анықтамасын тұжырымдаған кезде біз қауіп түсінігін атап өттік. Оған аздап толығырақ тоқталайық.

1. Пайда болу сипаты бойынша табиғи және жасанды қауіптерді ажырату әдетке айналған.

2. Қасақаналық дәрежесі бойынша кездейсоқ және қасақана жасалған қауіптер бөлінеді.

Кездейсоқ қауіптер абайсыздықтан немесе адамның қасақана қателігінен туындайды. Қасақана қауіп-қатер әдетте шабуылдаушының мақсатты әрекетінен туындайды.

3. Қауіптің қайнар көзіне қарай мыналарды ажырату әдетке айналған:

- Қоршаған ортаның қайнар көзі болып табылатын қауіптер. Мұндай қауіптердің мысалдары өрт, су тасқыны және басқа да табиғи апаттар болып табылады.

- Қайнар көзі адам болып табылатын қауіптер. Мұндай қауіптің мысалы ретінде бәсекелес ұйымның АЭС персоналының қатарына агенттерді енгізуі болып табылады.

- Рұқсат етілмеген бағдарламалық және аппараттық құралдардан туындайтын қауіптер. Мұндай қауіп-қатерлерге, мысалы, жүйеге кейлоггерлерді енгізу жатады.

4. Қауіп ошағы ұстанымы бойынша:

бағытталған микрофондар арқылы акустикалық ақпаратты ұстау.

- көзі бақыланатын аймақ шегінде орналасқан қауіптер.

Мұндай қатерлердің мысалдары тыңдау құрылғыларын пайдалану немесе құпия ақпаратты қамтитын тасымалдаушыларды ұрлау болып табылады.

Белсенді қатерлерді жүзеге асыру, керісінше, автоматтандырылған жүйенің құрылымын бұзады.

Пассивті қауіптің мысалы деректер файлдарын рұқсатсыз көшіру болып табылады.

6. АС ресурстарына қол жеткізу әдісі бойынша мыналар бөлінеді:

1. Ақпараттың құпиялылығын бұзу қаупі, нәтижесінде ақпарат онымен танысуға құқығы жоқ субъектіге қолжетімді болады.

2. AS көмегімен өңделген ақпаратты кез келген зиянды бұрмалауды қамтитын ақпараттың тұтастығын бұзу қаупі.

3. Заңды пайдаланушылар үшін белгілі бір AS ресурсына қол жеткізу бұғатталған кезде туындайтын ақпараттың қолжетімділігін бұзу қаупі.

1. Құрылыс ерікті тізімдерқауіп-қатер. Мүмкін болатын қауіптерді сарапшылар анықтайды және кездейсоқ және құрылымсыз жолмен бекітіледі.

Бұл тәсіл алынған нәтижелердің толық еместігімен және сәйкес келмеуімен сипатталады.

Мысал ретінде желілік қолданбаға кіруді бұғаттау қаупі ағашын қарастырайық (Қосымша В).

1.3 Ақпараттың құпиялылығын бұзу қауіптерінен қорғау жүйелерін құру

1.3.1 Қорғау жүйесінің үлгісі

Автоматтандырылған жүйелерде ақпараттың құпиялылығын бұзу қаупінен қорғау жүйелерін құру кезінде кешенді тәсіл қолданылады. (Қосымша В).

Қорғауды жүзеге асыруға қатысатын ішкі жүйелердің әрқайсысына толығырақ тоқталайық.

1.3.2 Ұйымдастыру және қауіпсіздік шаралары

Бұл механизмдер негізінен мыналарды қамтиды:

- автоматтандырылған жүйенің элементтеріне физикалық қол жеткізуді бақылау және шектеу жүйесін енгізу.

- Күзет және физикалық қауіпсіздік қызметін құру.

- қызметкерлер мен келушілердің қозғалысын бақылау тетіктерін ұйымдастыру (бейнебақылау жүйелерін, жақындық карталарын және т.б. пайдалану);

- нормативтік құқықтық актілерді әзірлеу және енгізу; лауазымдық нұсқаулықтаржәне ұқсас нормативтік құжаттар;

- құпия ақпаратты қамтитын ақпарат құралдарымен жұмыс істеу тәртібін реттеу.

1.3.3 Сәйкестендіру және аутентификация

Осылайша, сәйкестендіру міндеті «бұл кім?», ал аутентификация – «ол шынымен бе?» деген сұраққа жауап беру.

Қазіргі уақытта қолданылатын аутентификация әдістерінің барлық жиынтығын 4 үлкен топқа бөлуге болады:

1. Кейбір құпия ақпаратты білуге ​​негізделген әдістер.

2. Бірегей затты қолдануға негізделген әдістер. Смарт карта, жетон, электрондық кілтжәне т.б.

3. Адамның биометриялық сипаттамаларын пайдалануға негізделген әдістер. Іс жүзінде келесі биометриялық сипаттамалардың біреуі немесе бірнешеуі жиі қолданылады:

- саусақ іздері;

- көздің торлы қабығын немесе ирисін салу;

- қолдың жылу үлгісі;

- тұлғаның фотосуреті немесе термиялық суреті;

- қолжазба (сурет салу);

- дауыс.

Саусақ ізін сканерлер және көздің торлы қабығы мен ирис сканерлері ең көп қолданылады.

4. Пайдаланушымен байланысты ақпаратқа негізделген әдістер.

Жоғарыда аталған бірнеше механизмдерді бірге қолдану әдеттегі тәжірибе - мұндай жағдайларда көп факторлы аутентификация туралы айтылады.

Құпия сөздің аутентификация жүйелерінің ерекшеліктері

1. Кейбір құпия ақпаратты білуге негізделген әдістер.