Sposoby ochrony informacji w sieci. Ochrona informacji w sieciach komputerowych

Wysyłanie dobrej pracy do bazy wiedzy jest proste. Skorzystaj z poniższego formularza

Studenci, doktoranci, młodzi naukowcy korzystający z bazy wiedzy w swoich studiach i pracy będą Ci bardzo wdzięczni.

Wysłany dnia http://www.allbest.ru/

Wstęp

1. Problemy bezpieczeństwa informacji w systemy komputerowe Oh

2. Zapewnienie ochrony informacji w sieciach

3. Mechanizmy bezpieczeństwa

3.1 Kryptografia

3.2 Podpis elektroniczny

3.3 Uwierzytelnianie

3.4 Bezpieczeństwo sieci

4. Wymagania dotyczące nowoczesne środki ochrona informacji

Wniosek

Literatura

Wstęp

W informatyce pojęcie bezpieczeństwa jest bardzo szerokie. Oznacza to zarówno niezawodność komputera, jak i bezpieczeństwo cennych danych, ochronę informacji przed zmianami przez osoby nieuprawnione oraz zachowanie tajemnicy korespondencji w komunikacji elektronicznej. Oczywiście we wszystkich cywilizowanych krajach przepisy strzegą bezpieczeństwa obywateli, ale w dziedzinie technologii komputerowych praktyka organów ścigania nie jest jeszcze wystarczająco rozwinięta, a proces legislacyjny nie nadąża za rozwojem systemów komputerowych i w dużej mierze opiera się na w sprawie środków samoobrony.

Zawsze pojawia się problem wyboru między niezbędnym poziomem ochrony a wydajnością sieci. W niektórych przypadkach użytkownicy lub konsumenci mogą postrzegać środki bezpieczeństwa jako ograniczające dostęp i skuteczność. Jednak narzędzia takie jak kryptografia mogą znacznie zwiększyć stopień ochrony bez ograniczania dostępu użytkownika do danych.

1. Problemy bezpieczeństwa informacji wkomputersystemy

Szerokie zastosowanie technologia komputerowa w zautomatyzowanych systemach przetwarzania i kontroli informacji doprowadziło do nasilenia problemu ochrony informacji krążących w systemach komputerowych przed nieuprawnionym dostępem. Ochrona informacji w systemach komputerowych ma szereg specyficznych cech związanych z tym, że informacja nie jest sztywno powiązana z mediami, może być łatwo i szybko kopiowana i przekazywana kanałami komunikacyjnymi. Znana jest bardzo duża liczba zagrożeń dla informacji, które mogą zostać zaimplementowane zarówno przez intruzów zewnętrznych, jak i intruzów wewnętrznych.

Radykalne rozwiązanie problemów bezpieczeństwa informacja elektroniczna można uzyskać wyłącznie w oparciu o wykorzystanie metod kryptograficznych, które pozwalają rozwiązać najważniejsze problemy bezpiecznego zautomatyzowanego przetwarzania i przesyłania danych. Jednocześnie nowoczesne, szybkie metody transformacji kryptograficznej umożliwiają zachowanie oryginalnej wydajności zautomatyzowanych systemów. Przekształcenia danych kryptograficznych są najbardziej skuteczne narzędzie zapewnienie poufności, integralności i autentyczności danych. Tylko ich zastosowanie w połączeniu z niezbędnymi środkami technicznymi i organizacyjnymi może zapewnić ochronę przed szerokim spektrum potencjalnych zagrożeń.

Problemy pojawiające się z bezpieczeństwem transmisji informacji podczas pracy w sieciach komputerowych można podzielić na trzy główne typy:

· przechwytywanie informacji - zachowana jest integralność informacji, ale naruszana jest ich poufność;

· modyfikacja informacji – pierwotna wiadomość zostaje zmieniona lub całkowicie zastąpiona inną i wysłana do adresata;

· zmiana autorstwa informacji. Ten problem może mieć poważne konsekwencje. Na przykład ktoś może wysłać wiadomość e-mail w Twoim imieniu (ten rodzaj oszustwa jest powszechnie nazywany podszywaniem się) lub serwer sieci Web może udawać, że sklep internetowy, przyjmuj zamówienia, numery kart kredytowych, ale nie wysyłaj żadnych towarów.

Potrzeby współczesnej informatyki praktycznej doprowadziły do ​​pojawienia się nietradycyjnych problemów ochrony informacji elektronicznej, jednym z nich jest uwierzytelnianie informacji elektronicznej w warunkach braku zaufania między stronami wymieniającymi informacje. Problem ten związany jest z tworzeniem systemów elektronicznego podpisu cyfrowego. Teoretyczną podstawą rozwiązania tego problemu było odkrycie przez amerykańskich badaczy Diffie i Hemimana w połowie lat 70. kryptografii dwukluczowej, co było wspaniałym osiągnięciem wielowiekowego ewolucyjnego rozwoju kryptografii. Rewolucyjne idee kryptografii dwukluczowej doprowadziły do ​​gwałtownego wzrostu liczby otwartych badań w dziedzinie kryptografii i pokazały nowe sposoby rozwoju kryptografii, jej nowe możliwości i unikalna wartość jej metody w nowoczesnych warunkach masowego zastosowania elektronicznych technologii informacyjnych.

Podstawą techniczną przejścia do społeczeństwa informacyjnego są nowoczesne technologie mikroelektroniczne, które zapewniają ciągły wzrost jakości sprzętu komputerowego i służą jako podstawa do utrzymania głównych trendów w jego rozwoju - miniaturyzacji, zmniejszenia zużycia energii, zwiększenia wolumenu pamięć o dostępie swobodnym(OP) i pojemności dysków wbudowanych i wymiennych, wzrost wydajności i niezawodności, rozszerzenie zakresu i skali aplikacji. Te trendy rozwoju technologii komputerowej spowodowały, że na obecnym etapie ochrona systemów komputerowych przed nieuprawnionym dostępem charakteryzuje się wzrostem roli mechanizmów ochrony programowej i kryptograficznej w porównaniu do sprzętowych.

Rosnąca rola programu i środki kryptograficzne ochrona przejawia się w tym, że pojawiają się nowe problemy w zakresie ochrony systemy komputerowe przed nieautoryzowanym dostępem, wymagają zastosowania mechanizmów i protokołów o stosunkowo wysokim złożoność obliczeniowa i może być skutecznie rozwiązany przy użyciu zasobów komputerowych.

Jednym z ważnych problemów społecznych i etycznych generowanych przez coraz powszechniejsze stosowanie kryptograficznych metod ochrony informacji jest sprzeczność między chęcią użytkowników do ochrony ich informacji a przesyłaniem wiadomości a pragnieniem specjalnych służb rządowych, aby mieć dostęp do informacji niektórych innych organizacji i osób w celu stłumienia nielegalnej działalności. W krajach rozwiniętych istnieje wiele opinii na temat podejść do kwestii uregulowania wykorzystania algorytmów szyfrujących. Propozycje są czynione od całkowitego zakazu powszechnego używania metod kryptograficznych do całkowitej swobody ich używania. Niektóre propozycje dotyczą zezwalania na stosowanie tylko słabszych algorytmów lub wymagania rejestracji kluczy szyfrujących. Niezwykle trudno jest znaleźć optymalne rozwiązanie tego problemu. Jak ocenić stosunek strat praworządnych obywateli i organizacji z tytułu nielegalnego wykorzystania ich informacji do strat państwa z powodu niemożności uzyskania dostępu do zaszyfrowanych informacji określonych grup ukrywających swoją nielegalną działalność? Skąd możesz mieć pewność, że zapobiegniesz nielegalnemu wykorzystywaniu algorytmów kryptograficznych przez osoby łamiące inne prawa? Ponadto zawsze istnieją sposoby na ukryte przechowywanie i przekazywanie informacji. Na te pytania nie zajmowali się jeszcze socjologowie, psychologowie, prawnicy i politycy.

Pojawienie się globalnych sieci informacyjnych, takich jak INTERNET, jest ważnym osiągnięciem technologii komputerowej, jednak z INTERNETEM wiąże się wiele przestępstw komputerowych.

Efektem doświadczeń korzystania z sieci INTERNET jest ujawniona słabość tradycyjnych mechanizmów ochrony informacji oraz opóźnienie w stosowaniu nowoczesnych metod. Kryptografia daje możliwość zapewnienia bezpieczeństwa informacji w INTERNECIE, a obecnie trwają prace nad wprowadzeniem do tej sieci niezbędnych mechanizmów kryptograficznych. Nie odrzucenie postępu w informatyzacji, ale wykorzystanie osiągnięć współczesnej kryptografii jest strategicznie poprawną decyzją. Możliwość szerokiego wykorzystania globalnych sieci informacyjnych i kryptografii jest osiągnięciem i oznaką społeczeństwa demokratycznego.

Podstawowa znajomość kryptografii społeczeństwo informacyjne Obiektywnie nie może być przywilejem poszczególnych służb publicznych, ale jest pilną potrzebą bardzo szerokich warstw pracowników naukowo-technicznych, którzy korzystają z komputerowego przetwarzania danych lub rozwijają systemy informatyczne, pracowników ochrony oraz kierownictwa organizacji i przedsiębiorstw. Tylko to może stanowić podstawę efektywnego wdrażania i działania narzędzi bezpieczeństwa informacji.

Jedna organizacja nie jest w stanie zapewnić wystarczająco pełnej i skutecznej kontroli nad przepływami informacji w całym państwie oraz zapewnić należytej ochrony narodowego zasobu informacyjnego. Poszczególne agencje rządowe mogą jednak stworzyć warunki do powstania rynku wysokiej jakości narzędzi bezpieczeństwa, wyszkolić odpowiednią liczbę specjalistów oraz opanować podstawy kryptografii i ochrony informacji przez masowych użytkowników.

W Rosji i innych krajach WNP na początku lat 90. istniała wyraźna tendencja do wyprzedzania ekspansji skali i zakresu technologii informatycznych nad rozwojem systemów ochrony danych. Sytuacja ta do pewnego stopnia była i jest typowa dla rozwiniętych krajów kapitalistycznych. To naturalne: najpierw musi powstać problem praktyczny, a potem zostaną znalezione rozwiązania. Początek pierestrojki w sytuacji silnego zapóźnienia państw WNP w dziedzinie informatyzacji pod koniec lat 80. stworzył podatny grunt do gwałtownego przełamania istniejącej luki.

Przykład krajów rozwiniętych, możliwość zakupu oprogramowania systemowego i technologia komputerowa inspiracją dla użytkowników domowych. Włączenie masowego konsumenta, zainteresowanego operacyjnym przetwarzaniem danych i innymi zaletami nowoczesnych systemów informatycznych i obliczeniowych, w rozwiązywanie problemu komputeryzacji doprowadziło do bardzo wysokiego tempa rozwoju tego obszaru w Rosji i innych krajach WNP. Jednak naturalny wspólny rozwój narzędzi do automatyzacji przetwarzania informacji i narzędzi do ochrony informacji został w dużej mierze zakłócony, co stało się przyczyną masowych przestępstw komputerowych. Nie jest tajemnicą, że przestępstwa komputerowe są obecnie jednym z najbardziej palących problemów.

Tej nierównowagi nie zlikwiduje stosowanie zagranicznych systemów bezpieczeństwa, ponieważ produkty tego typu wchodzące na rynek rosyjski nie spełniają wymagań ze względu na istniejące ograniczenia eksportowe przyjęte w Stanach Zjednoczonych, głównym producencie narzędzi bezpieczeństwa informacji. Innym ważnym aspektem jest to, że produkty tego typu muszą przejść ustaloną procedurę certyfikacji w organizacjach uprawnionych do wykonywania takich prac.

Certyfikaty firm i organizacji zagranicznych nie mogą zastępować certyfikatów krajowych. Już sam fakt korzystania z obcego oprogramowania systemowego i aplikacyjnego stwarza zwiększone potencjalne zagrożenie dla zasobów informacji. Stosowanie obcych środków ochrony bez odpowiedniej analizy zgodności z pełnionymi funkcjami i zapewnianego poziomu ochrony może znacznie skomplikować sytuację.

Wymuszenie procesu informatyzacji wymaga odpowiedniego zapewnienia konsumentom środków ochrony. Brak dostatecznej liczby środków ochrony informacji krążących w systemach informatycznych na rynku krajowym nie pozwalał na podjęcie znacznej ilości czasu na przeprowadzenie środków ochrony danych na wymaganą skalę. Sytuację pogarszał brak wystarczającej liczby specjalistów w dziedzinie bezpieczeństwa informacji, ponieważ ci ostatni z reguły byli szkoleni tylko dla specjalnych organizacji. Restrukturyzacja tych ostatnich, związana ze zmianami zachodzącymi w Rosji, doprowadziła do powstania niezależnych organizacji specjalizujących się w dziedzinie bezpieczeństwa informacji, absorbujących zwalniany personel, a w efekcie do powstania ducha rywalizacji, który doprowadziło do pojawienia się dość dużej liczby certyfikowanych narzędzi bezpieczeństwa przez krajowych programistów.

Jedną z ważnych cech masowego wykorzystania technologii informatycznych jest to, że w celu skutecznego rozwiązania problemu ochrony państwowego zasobu informacyjnego konieczne jest rozproszenie środków ochrony danych wśród masowych użytkowników. Informacje muszą być chronione przede wszystkim tam, gdzie są tworzone, gromadzone, przetwarzane oraz przez te organizacje, które ponoszą bezpośrednią szkodę w przypadku nieuprawnionego dostępu do danych. Zasada ta jest racjonalna i skuteczna: ochrona interesów poszczególnych organizacji jest elementem realizacji ochrony interesów państwa jako całości.

2. Zapewnienie ochrony informacji wsieci

SC koncentruje informacje, wyłączne prawo do korzystania, które należą do określonych osób lub grup osób działających z własnej inicjatywy lub zgodnie z obowiązkami służbowymi. Takie informacje muszą być chronione przed wszelkiego rodzaju ingerencją z zewnątrz: czytaniem przez osoby, które nie mają prawa dostępu do informacji oraz celowymi zmianami informacji. Ponadto CS powinien podjąć działania mające na celu ochronę zasobów obliczeniowych sieci przed ich nieuprawnionym użyciem, tj. należy wykluczyć dostęp do sieci osób, które nie mają do tego prawa. Fizyczna ochrona systemu i danych może być realizowana tylko w stosunku do pracujących komputerów i węzłów komunikacyjnych i jest niemożliwa dla obiektów transmisyjnych o dużym zasięgu. Z tego powodu AF musi stosować środki, które wykluczają nieuprawniony dostęp do danych i zapewniają ich poufność.

Badania praktyki funkcjonowania systemów przetwarzania danych i systemów obliczeniowych wykazały, że istnieje wiele możliwych kierunków wycieku informacji oraz sposobów nieuprawnionego dostępu w systemach i sieciach. Pomiędzy nimi:

· odczyt informacji resztkowych w pamięci systemu po wykonaniu autoryzowanych żądań;

· kopiowanie plików multimedialnych i informacyjnych z pokonywaniem środków ochrony;

· przebrać się za zarejestrowanego użytkownika;

· przebranie się na żądanie systemu;

· wykorzystanie pułapek programowych;

· wykorzystywanie wad systemu operacyjnego;

· nielegalne podłączenie do sprzętu i linii komunikacyjnych;

· złośliwe unieruchamianie mechanizmów ochronnych;

· wdrożenie i użytkowanie wirusy komputerowe.

Zapewnienie bezpieczeństwa informacji w Siłach Zbrojnych oraz na autonomicznie działających komputerach PC osiąga się za pomocą zestawu środków organizacyjnych, organizacyjnych, technicznych, technicznych i programowych.

Do organizacyjnych środków ochrony informacji odnieść się:

· ograniczenie dostępu do pomieszczeń, w których odbywa się przygotowywanie i przetwarzanie informacji;

· dopuszczenie do przetwarzania i przekazywania informacji poufnych tylko zweryfikowanym urzędnikom;

· przechowywanie nośników magnetycznych i dzienników meldunkowych w sejfach zamkniętych dla osób nieuprawnionych;

· wykluczenie przeglądania przez osoby nieuprawnione treści przetwarzanych materiałów poprzez wyświetlacz, drukarkę itp.;

· wykorzystanie kodów kryptograficznych w przekazywaniu cennych informacji kanałami komunikacyjnymi;

· niszczenie taśm barwiących, papieru i innych materiałów zawierających fragmenty cennych informacji.

Organizacyjne i techniczne środki ochrony informacji włączać:

· zasilanie urządzeń przetwarzających cenne informacje z niezależnego źródła zasilania lub poprzez specjalne filtry sieciowe;

· instalacja zamków szyfrowych na drzwiach lokali;

· zastosowanie wyświetlaczy ciekłokrystalicznych lub plazmowych do wyświetlania informacji podczas wejścia-wyjścia oraz do uzyskiwania wydruków - drukarek atramentowych i termicznych, ponieważ wyświetlacz emituje promieniowanie elektromagnetyczne o tak wysokiej częstotliwości, że obraz z jego ekranu można pobrać z dużej odległości kilkuset kilometrów;

· niszczenie informacji przechowywanych w pamięci ROM i na dysku twardym podczas likwidacji lub wysyłania komputera do naprawy;

· instalacja klawiatur i drukarek na miękkich podkładkach w celu ograniczenia możliwości usuwania informacji za pomocą środków akustycznych;

· ograniczenie promieniowanie elektromagnetyczne poprzez osłanianie pomieszczeń, w których przetwarzane są informacje, arkuszami metalu lub specjalnego tworzywa sztucznego.

Techniczne środki ochrony informacji- są to systemy ochrony terytoriów i pomieszczeń poprzez osłanianie maszynowni oraz organizowanie systemów kontroli dostępu. Ochrona informacji w sieciach i sprzęt komputerowy za pomocą środków technicznych realizowany jest w oparciu o organizację dostępu do pamięci z wykorzystaniem:

· kontrola dostępu do różnych poziomów pamięci komputera;

· blokowanie danych i wprowadzanie kluczy;

· przydzielanie bitów kontrolnych do rekordów w celu identyfikacji itp.

Architektura oprogramowania zabezpieczającego informacje obejmuje:

· kontrola bezpieczeństwa, w tym kontrola rejestracji wejścia do systemu, utrwalanie w logu systemowym, kontrola działań użytkowników;

· reakcja (w tym dźwięk) na naruszenie systemu ochrony kontroli dostępu do zasobów sieciowych;

· kontrola poświadczeń dostępu;

· formalna kontrola bezpieczeństwa systemów operacyjnych (podstawowa ogólnosystemowa i sieciowa);

· kontrola algorytmów ochrony;

· weryfikacja i potwierdzenie poprawności działania sprzętu i oprogramowania.

W celu niezawodnej ochrony informacji i wykrywania przypadków nieautoryzowanych działań prowadzona jest rejestracja pracy systemu: tworzone są specjalne dzienniki i protokoły, w których odnotowywane są wszystkie działania związane z ochroną informacji w systemie. Stały jest czas otrzymania żądania, jego typ, nazwa użytkownika oraz terminal, z którego inicjowane jest żądanie. Wybierając zdarzenia do rejestrowania należy pamiętać, że wraz ze wzrostem liczby rejestrowanych zdarzeń trudniej jest przeglądać dziennik i wykrywać próby obejścia ochrony. W takim przypadku możesz złożyć wniosek analiza programu i nagrywać podejrzane wydarzenia. Specjalne programy służą również do testowania systemu ochrony. Okresowo lub w losowo wybranych momentach sprawdzają działanie ochrony sprzętu i oprogramowania.

Odrębną grupę środków służących zapewnieniu bezpieczeństwa informacji i identyfikacji nieautoryzowanych żądań stanowią programy do wykrywania naruszeń w czasie rzeczywistym. Programy z tej grupy generują specjalny sygnał podczas rejestrowania działań, które mogą prowadzić do nielegalnych działań w odniesieniu do chronionych informacji. Sygnał może zawierać informacje o charakterze naruszenia, miejscu jego wystąpienia i innych cechach. Dodatkowo programy mogą zabronić dostępu do chronionych informacji lub zasymulować taki tryb działania (na przykład natychmiastowe ładowanie urządzeń I/O), co pozwoli na zidentyfikowanie i zatrzymanie intruza przez odpowiednią usługę. ochrona uwierzytelniania komputera informacji

Jedną z powszechnych metod ochrony jest wyraźne wskazanie tajności informacji wyjściowych. W systemach, które obsługują kilka poziomów tajności, wyświetlaniu dowolnej jednostki informacji (na przykład pliku, rekordu i tabeli) na ekranie terminala lub urządzenia drukującego towarzyszy specjalna pieczątka wskazująca poziom tajności. To wymaganie jest realizowane za pomocą odpowiednich narzędzi programowych.

W osobnej grupie wydzielono środki ochrony przed nieuprawnionym użyciem oprogramowania. Mają one szczególne znaczenie ze względu na powszechność korzystania z komputerów PC.

3. Futroanizmy bezpieczeństwa

3.1 Kryptografia

Aby zapewnić tajność, stosuje się szyfrowanie lub kryptografię, co pozwala na przekształcenie danych do postaci zaszyfrowanej, z której można wyodrębnić oryginalne informacje tylko wtedy, gdy masz klucz.

Systemy szyfrowania są tak stare, jak pisemna wymiana informacji.

„Kryptografia” po grecku oznacza „tajne pisanie”, co w pełni odzwierciedla jej pierwotny cel. Prymitywne (z dzisiejszego punktu widzenia) metody kryptograficzne znane są od czasów starożytnych i przez bardzo długi czas uważano je bardziej za sztuczkę niż ścisłą dyscyplinę naukową. Klasycznym problemem kryptografii jest odwracalne przekształcenie pewnego zrozumiałego tekstu źródłowego (tekstu jawnego) w pozornie losowy ciąg znaków, zwany szyfrogramem lub kryptogramem. W takim przypadku pakiet szyfru może zawierać zarówno nowe, jak i istniejące znaki w otwartej wiadomości. Liczba znaków w kryptogramie i w tekście oryginalnym w ogólnym przypadku może się różnić. Niezbędnym wymogiem jest to, aby dzięki logicznym podstawieniom znaków w zaszyfrowanym tekście możliwe było jednoznaczne i całkowite odtworzenie tekstu oryginalnego. Wiarygodność utrzymywania informacji w tajemnicy określano w czasach starożytnych faktem, że sama metoda konwersji była utrzymywana w tajemnicy.

Minęło wiele stuleci, podczas których kryptografia była przedmiotem elity – kapłanów, władców, głównych dowódców wojskowych i dyplomatów. Pomimo niewielkiej powszechności, zastosowanie metod kryptograficznych i sposobów na pokonanie wrogich szyfrów miało znaczący wpływ na wynik ważnych wydarzeń historycznych. Znany jest więcej niż jeden przykład tego, jak ponowna ocena używanych szyfrów doprowadziła do klęsk militarnych i dyplomatycznych. Pomimo zastosowania metod kryptograficznych w ważnych obszarach, okazjonalne użycie kryptografii nie mogło zbliżyć jej nawet do roli i znaczenia, jakie ma we współczesnym społeczeństwie. Kryptografia swoje przekształcenie w dyscyplinę naukową zawdzięcza potrzebom praktyki generowanym przez elektroniczne technologie informacyjne.

Rozbudzenie dużego zainteresowania kryptografią i jej rozwojem nastąpiło w XIX wieku, co wiąże się z narodzinami telekomunikacji. W XX wieku tajne służby większości krajów rozwiniętych zaczęły traktować tę dyscyplinę jako obowiązkowe narzędzie swojej działalności.

Szyfrowanie opiera się na dwóch podstawowych pojęciach: algorytmie i kluczu. Algorytm to sposób na zakodowanie oryginalnego tekstu, w wyniku którego powstaje zaszyfrowana wiadomość. Zaszyfrowaną wiadomość można zinterpretować tylko za pomocą klucz.

Oczywiście do zaszyfrowania wiadomości wystarczy algorytm.

Holenderski kryptograf Kerckhoff (1835 - 1903) jako pierwszy sformułował zasadę: siła szyfru, czyli cryptosystem - zestaw procedur kontrolowanych przez niektóre tajne informacje o niewielkiej ilości, powinien być dostarczony w przypadku, gdy wrogi kryptoanalityk zna cały mechanizm szyfrowania z wyjątkiem tajnego klucza - informacji sterującej procesem transformacji kryptograficznych. Najwyraźniej jednym z celów tego wymogu była świadomość konieczności testowania opracowanych schematów kryptograficznych w warunkach bardziej rygorystycznych w porównaniu do warunków, w których mógłby działać potencjalny naruszyciel. Ta zasada stymulowała pojawienie się lepszych algorytmów szyfrowania. Można powiedzieć, że zawiera pierwszy element standaryzacji w dziedzinie kryptografii, ponieważ ma rozwijać otwarte metody przekształceń. Obecnie zasada ta jest interpretowana szerzej: należy założyć, że wszystkie trwałe elementy systemu ochrony są znane potencjalnemu napastnikowi. Ostatnie sformułowanie kryptosystemu zostało uwzględnione jako szczególny przypadek systemów ochrony. Sformułowanie to zakłada, że ​​wszystkie elementy systemów ochronnych dzielą się na dwie kategorie – trwałe i łatwe do wymiany. Do elementów długoterminowych zaliczamy te elementy, które są związane z rozwojem systemów ochrony i wymagają do zmiany interwencji specjalistów lub programistów. Elementy łatwo wymienialne to elementy systemu, które przeznaczone są do dowolnej modyfikacji lub modyfikacji według z góry określonej zasady, na podstawie losowo wybranych parametrów początkowych. Elementy łatwo wymienialne to np. klucz, hasło, identyfikator i tym podobne. Rozważana zasada odzwierciedla fakt, że odpowiedni poziom tajności może być zapewniony tylko w odniesieniu do elementów łatwo wymienialnych.

Pomimo tego, że zgodnie ze współczesnymi wymaganiami dla kryptosystemów muszą one wytrzymać kryptoanalizę opartą na znanym algorytmie, dużej ilości znanego tekstu jawnego i odpowiadającego mu zaszyfrowanego tekstu, szyfry używane przez służby specjalne są utrzymywane w tajemnicy. Wynika to z konieczności posiadania dodatkowego marginesu bezpieczeństwa, ponieważ obecnie tworzenie kryptosystemów o udowodnionym bezpieczeństwie jest przedmiotem rozwijającej się teorii i jest dość trudnym problemem. Aby uniknąć ewentualnych słabości, algorytm szyfrowania można zbudować w oparciu o dobrze zbadane i przetestowane zasady oraz mechanizmy transformacji. Żaden poważny współczesny użytkownik nie będzie polegał wyłącznie na bezpieczeństwie zachowania swojego algorytmu w tajemnicy, ponieważ niezwykle trudno jest zagwarantować małe prawdopodobieństwo, że informacje o algorytmie zostaną ujawnione atakującemu.

Poufność informacji zapewnia wprowadzenie do algorytmów specjalnych kluczy (kodów). Użycie klucza w szyfrowaniu ma dwie istotne zalety. Po pierwsze, możesz użyć jednego algorytmu z różnymi kluczami do wysyłania wiadomości do różnych odbiorców. Po drugie, jeśli klucz zostanie naruszony, można go łatwo wymienić bez zmiany algorytmu szyfrowania. Zatem bezpieczeństwo systemów szyfrowania zależy od tajności użytego klucza, a nie od tajności algorytmu szyfrowania. Wiele algorytmów szyfrowania jest dostępnych publicznie.

Liczba możliwych kluczy dla danego algorytmu zależy od liczby bitów w kluczu. Na przykład klucz 8-bitowy umożliwia 256 (28) kombinacji klawiszy. Im więcej możliwych kombinacji kluczy, im trudniej jest znaleźć klucz, tym bezpieczniej jest szyfrowana wiadomość. Na przykład, jeśli użyjesz klucza 128-bitowego, będziesz musiał wyliczyć 2128 kluczy, co jest obecnie poza zasięgiem nawet najpotężniejszych komputerów. Należy zauważyć, że rosnąca wydajność technologii prowadzi do skrócenia czasu wymaganego do otwarcia kluczy, a systemy bezpieczeństwa muszą używać coraz dłuższych kluczy, co z kolei prowadzi do wzrostu kosztów szyfrowania.

Ponieważ tak ważne miejsce w systemach szyfrowania zajmuje tajemnica klucza, głównym problemem podobne systemy to generowanie i przesyłanie kluczy. Istnieją dwa główne schematy szyfrowania: szyfrowanie symetryczne(czasami nazywane również szyfrowaniem tradycyjnym lub tajnym) oraz szyfrowanie kluczem publicznym(czasami ten rodzaj szyfrowania nazywa się asymetrycznym).

Na szyfrowanie symetryczne nadawca i odbiorca mają ten sam klucz (sekret), za pomocą którego mogą szyfrować i odszyfrowywać dane. Szyfrowanie symetryczne wykorzystuje małe klucze, dzięki czemu można szybko zaszyfrować duże ilości danych. Szyfrowanie symetryczne jest stosowane na przykład przez niektóre banki w sieciach bankomatów. Szyfrowanie symetryczne ma jednak kilka wad. Po pierwsze, bardzo trudno jest znaleźć bezpieczny mechanizm, dzięki któremu nadawca i odbiorca mogą potajemnie wybrać klucz od innych. Istnieje problem z bezpieczną dystrybucją tajnych kluczy. Po drugie, dla każdego adresata konieczne jest przechowywanie osobnego tajnego klucza. Po trzecie, w schemacie szyfrowania symetrycznego niemożliwe jest zagwarantowanie tożsamości nadawcy, ponieważ dwóch użytkowników korzysta z tego samego klucza.

W schemacie szyfrowanie kluczem publicznym Do zaszyfrowania wiadomości używane są dwa różne klucze. Za pomocą jednego z nich wiadomość jest szyfrowana, a za pomocą drugiego odszyfrowywana. W ten sposób wymagane bezpieczeństwo można osiągnąć, czyniąc pierwszy klucz publicznym (publicznym), a drugi zachowując tylko u odbiorcy (prywatny, prywatny). W takim przypadku każdy użytkownik może zaszyfrować wiadomość za pomocą klucza publicznego, ale tylko właściciel klucza prywatnego może odszyfrować wiadomość. W tym przypadku nie ma potrzeby dbania o bezpieczeństwo przekazywania klucza publicznego, a aby użytkownicy wymieniali tajne wiadomości, wystarczy, że mają swoje klucze publiczne.

Wadą szyfrowania asymetrycznego jest konieczność używania dłuższych kluczy niż w przypadku szyfrowania symetrycznego w celu zapewnienia równoważnego poziomu bezpieczeństwa, co wpływa na zasoby obliczeniowe wymagane do zorganizowania procesu szyfrowania.

3.2 Podpis elektroniczny

Jeśli wiadomość, którą chcemy zabezpieczyć, jest prawidłowo zaszyfrowana, nadal istnieje możliwość zmodyfikowania oryginalnej wiadomości lub zastąpienia tej wiadomości inną. Jednym ze sposobów rozwiązania tego problemu jest wysłanie przez użytkownika krótkiej reprezentacji wysyłanej wiadomości do odbiorcy. Taka zwięzła reprezentacja nazywana jest sumą kontrolną lub skrótem wiadomości.

Sumy kontrolne są używane podczas tworzenia podsumowań o stałej długości do reprezentowania długich wiadomości. Algorytmy obliczania sum kontrolnych są zaprojektowane tak, aby były jak najbardziej unikalne dla każdej wiadomości. Tym samym eliminowana jest możliwość zamiany jednej wiadomości na drugą przy zachowaniu tej samej wartości sumy kontrolnej.

Jednak przy korzystaniu z sum kontrolnych pojawia się problem z przekazaniem ich do odbiorcy. Jednym z możliwych sposobów jego rozwiązania jest uwzględnienie sumy kontrolnej w tzw podpis elektroniczny.

Za pomocą podpisu elektronicznego odbiorca może upewnić się, że otrzymana przez niego wiadomość została wysłana nie przez osobę trzecią, ale przez nadawcę posiadającego określone uprawnienia. Podpisy elektroniczne są tworzone poprzez zaszyfrowanie sumy kontrolnej i dodatkowych informacji przy użyciu klucza prywatnego nadawcy. W ten sposób każdy może odszyfrować podpis za pomocą klucz publiczny, ale tylko właściciel klucza prywatnego może poprawnie utworzyć podpis. Aby zabezpieczyć się przed przechwyceniem i ponownym użyciem, podpis zawiera unikalny numer – numer kolejny.

3.3 Uwierzytelnianie

Uwierzytelnianie jest jednym z najważniejszych elementów organizacji ochrony informacji w sieci. Zanim użytkownik otrzyma prawo do uzyskania określonego zasobu, konieczne jest upewnienie się, że jest naprawdę tym, za kogo się podaje.

Po odebraniu żądania użycia zasobu w imieniu użytkownika serwer udostępniający zasób przekazuje kontrolę do serwera uwierzytelniania. Po otrzymaniu pozytywnej odpowiedzi z serwera uwierzytelniania, żądany zasób jest udostępniany użytkownikowi.

Uwierzytelnianie wykorzystuje z reguły zasadę zwaną „co wie” – użytkownik zna jakieś tajne słowo, które wysyła do serwera uwierzytelniającego w odpowiedzi na jego żądanie. Należy użyć jednego schematu uwierzytelniania standardowe hasła. Hasło- zestaw znaków znanych subskrybentowi podłączonemu do sieci - jest przez niego wprowadzany na początku sesji interakcji z siecią, a czasem na końcu sesji (w szczególnie krytycznych przypadkach hasło do normalnego wyjścia z sieci może różnić się od wejściowej). Ten schemat jest najbardziej wrażliwy pod względem bezpieczeństwa - hasło może zostać przechwycone i użyte przez inną osobę. Najczęściej używane schematy wykorzystują hasła jednorazowe. Nawet jeśli zostanie przechwycone, to hasło będzie bezużyteczne przy następnej rejestracji, a uzyskanie kolejnego hasła z poprzedniego jest niezwykle trudnym zadaniem. Do generowania haseł jednorazowych wykorzystywane są zarówno generatory programowe, jak i sprzętowe, czyli urządzenia wkładane do gniazda komputera. Znajomość tajnego słowa jest niezbędna, aby użytkownik mógł aktywować to urządzenie.

Jeden z najbardziej proste systemy, który nie wymaga dodatkowych kosztów sprzętowych, ale jednocześnie zapewnia dobry poziom ochrony, to S/Key, który można wykorzystać jako przykład do zademonstrowania procedury prezentowania haseł jednorazowych.

W proces uwierzytelniania S/Key zaangażowane są dwie strony — klient i serwer. Podczas rejestracji w systemie korzystającym ze schematu uwierzytelniania S/Key serwer wysyła do maszyny klienta zaproszenie zawierające ziarno przesyłane przez sieć w postaci zwykłego tekstu, bieżącą wartość licznika iteracji oraz żądanie wprowadzenia jedno- hasło czasowe, które musi odpowiadać aktualnej wartości licznika iteracji. Po otrzymaniu odpowiedzi serwer sprawdza ją i przekazuje serwerowi kontrolę nad żądaną przez użytkownika usługą.

3.4 Ochrona sieci

Ostatnio sieci korporacyjne coraz częściej łączą się z Internetem, a nawet wykorzystują go jako swój szkielet. Biorąc pod uwagę szkody, jakie może wyrządzić nielegalne wtargnięcie do sieci firmowej, konieczne jest opracowanie metod ochrony. Zapory ogniowe służą do ochrony firmowych sieci informacyjnych. Zapory sieciowe- jest to system lub kombinacja systemów, która pozwala podzielić sieć na dwie lub więcej części i wdrożyć zestaw reguł, które określają warunki przejścia pakietów z jednej części do drugiej. Z reguły granica ta przebiega między siecią lokalną przedsiębiorstwa a INTERNETOMEM, choć można ją wytyczyć również wewnętrznie. Jednak ochrona pojedynczych komputerów nie jest opłacalna, dlatego zazwyczaj chroniona jest cała sieć. Zapora przepuszcza cały ruch przez siebie i dla każdego przechodzącego pakietu podejmuje decyzję, czy go przepuścić, czy odrzucić. Aby zapora mogła podejmować te decyzje, zdefiniowany jest dla niej zestaw reguł.

Firewall może być zaimplementowany jako sprzęt (czyli jako osobny urządzenie fizyczne) oraz w postaci specjalnego programu działającego na komputerze.

Zazwyczaj zmiany są wprowadzane w systemie operacyjnym, w którym działa zapora, aby poprawić bezpieczeństwo samej zapory. Zmiany te dotyczą zarówno jądra systemu operacyjnego, jak i odpowiednich plików konfiguracyjnych. Na samym firewallu nie wolno mieć sekcji użytkownika, a więc potencjalnych dziur - tylko sekcja administratora. Niektóre zapory działają tylko w trybie pojedynczego użytkownika, a wiele z nich ma system sprawdzania integralności kodów programów.

Zapora zwykle składa się z kilku różnych komponentów, w tym filtrów lub ekranów, które blokują część ruchu.

Wszystkie zapory można podzielić na dwa typy:

· filtry pakietów, które filtrują pakiety IP za pomocą routerów filtrujących;

· serwery warstwy aplikacji, które blokują dostęp do niektórych usług w sieci.

W ten sposób zaporę można zdefiniować jako zestaw komponentów lub system, który znajduje się między dwiema sieciami i ma następujące właściwości:

· cały ruch z sieci wewnętrznej do zewnętrznej iz sieci zewnętrznej do wewnętrznej musi przechodzić przez ten system;

· tylko ruch zdefiniowany przez lokalną politykę bezpieczeństwa może przechodzić przez ten system;

· system jest niezawodnie chroniony przed penetracją.

4. Wymagania dla nowoczesnych obiektówochrona infformacje

Zgodnie z wymaganiami Państwowej Komisji Technicznej Rosji środki ochrony informacji przed nieautoryzowanym dostępem (SZI NSD), spełniające wysoki poziom ochrony, muszą zapewniać:

· uznaniowa i obowiązkowa zasada kontroli dostępu;

· czyszczenie pamięci;

· izolacja modułów;

· znakowanie dokumentów;

· ochrona wejścia i wyjścia do wyalienowanych nośników fizycznych;

· powiązanie użytkownika z urządzeniem;

· identyfikacja i uwierzytelnianie;

· gwarancje projektowe;

· rejestracja;

· interakcja użytkownika z zestawem narzędzi bezpieczeństwa;

· niezawodne odzyskiwanie;

· integralność kompleksu środków ochrony;

· kontrola modyfikacji;

· kontrola dystrybucji;

· gwarancje architektoniczne;

Kompleksowym informacjom NSD dotyczącym bezpieczeństwa informacji musi towarzyszyć pakiet następujących dokumentów:

· wytyczne dotyczące GIS;

· podręcznik użytkownika;

· dokumentacja testowa;

· dokumentacja projektowa (projektowa).

Tak więc, zgodnie z wymaganiami Państwowej Komisji Technicznej Rosji, zintegrowane narzędzia bezpieczeństwa informacji NSD powinny obejmować: zestaw podstawowy podsystemy. Specyficzne możliwości tych podsystemów do realizacji funkcji bezpieczeństwa informacji określają poziom bezpieczeństwa sprzętu komputerowego. Wyznaczana jest rzeczywista sprawność SZI NSD funkcjonalność nie tylko podstawowe, ale i dodatkowe podsystemy, a także jakość ich wykonania.

Systemy i sieci komputerowe narażone są na szeroki zakres potencjalnych zagrożeń informacji, co powoduje konieczność zapewnienia dużej listy funkcji i podsystemów zabezpieczających. Wskazane jest przede wszystkim zapewnienie ochrony najbardziej informacyjnych kanałów wycieku informacji, którymi są:

· możliwość kopiowania danych z nośników maszynowych;

· kanały transmisji danych;

· kradzież komputerów lub wbudowanych napędów.

Problem nakładania się tych kanałów komplikuje fakt, że procedury ochrony danych nie powinny prowadzić do zauważalnego spadku wydajności systemów obliczeniowych. Problem ten można skutecznie rozwiązać w oparciu o omówioną w poprzednim rozdziale globalną technologię szyfrowania informacji.

Nowoczesny system ochrony masy powinien być ergonomiczny i mieć takie właściwości, które sprzyjają jego szerokiemu zastosowaniu, takie jak:

· złożoność – możliwość ustalenia różnych trybów bezpiecznego przetwarzania danych z uwzględnieniem specyficzne wymagania różnych użytkowników i zapewniają szeroki zakres możliwych działań domniemanego intruza;

· kompatybilność - system musi być kompatybilny ze wszystkimi programami napisanymi dla danego systemu operacyjnego oraz musi zapewniać chroniony tryb pracy komputera w śieć komputerowa;

· przenośność – możliwość instalacji systemu na różnego rodzaju systemach komputerowych, w tym przenośnych;

· łatwość obsługi – system powinien być łatwy w obsłudze i nie zmieniać dotychczasowej technologii użytkowników;

· działanie w czasie rzeczywistym – procesy konwersji informacji, w tym szyfrowanie, muszą odbywać się z dużą szybkością;

· wysoki poziom ochrona informacji;

· minimalny koszt systemu.

Wniosek

Po masowym wykorzystaniu nowoczesnych technologii informatycznych kryptografia wdziera się w życie współczesnego człowieka. Aplikacja oparta na metodach kryptograficznych płatności elektroniczne, możliwość przesyłania tajnych informacji przez otwarte sieci komunikacyjne, a także rozwiązywanie wielu innych problemów związanych z ochroną informacji w systemach komputerowych i sieciach informacyjnych. Potrzeby praktyki doprowadziły do ​​konieczności masowego zastosowania metod kryptograficznych, a co za tym idzie do konieczności rozszerzenia otwartych badań i rozwoju w tej dziedzinie. Znajomość podstaw kryptografii staje się istotna dla naukowców i inżynierów specjalizujących się w rozwoju nowoczesnych narzędzi bezpieczeństwa informacji, a także w obszarach eksploatacji i projektowania systemów informatycznych i telekomunikacyjnych.

Jednym z pilnych problemów współczesnej kryptografii stosowanej jest rozwój szybkich szyfrów programowych typu blokowego, a także szybkich urządzeń szyfrujących.

Obecnie zaproponowano szereg metod szyfrowania, chronionych patentami Federacji Rosyjskiej i opartych na pomysłach użycia:

· elastyczny harmonogram próbkowania połączeń;

· generowanie algorytmu szyfrowania na podstawie tajnego klucza;

· podstawienia zależne od konwertowanych danych.

Literatura

1. Ostreikovskiy V.A. Informatyka: Proc. dodatek dla studentów. śr. prof. podręcznik zakłady. - M.: Wyższe. szkoła, 2001. - 319 s.: chor.

2. Informatyka gospodarcza / wyd. P.V. Konyukhovsky i D.N. Kolesowa. - Petersburg: Piotr, 2000. - 560.: chory.

3. Informatyka: Kurs podstawowy/ S.V. Simonovich i inni - St. Petersburg: Peter, 2002. - 640 s.: chory.

4. Moldovyan A.A., Moldovyan N.A., Sovetov B.Ya. Kryptografia. - Petersburg: Wydawnictwo „Lan”, 2001. - 224 s., il. - (Podręczniki dla uniwersytetów. Literatura specjalna).

Hostowane na Allbest.ru

Podobne dokumenty

Problem wyboru między niezbędnym poziomem ochrony a wydajnością sieci. Mechanizmy zapewnienia ochrony informacji w sieciach: kryptografia, podpis elektroniczny, uwierzytelnianie, ochrona sieci. Wymagania stawiane nowoczesnym środkom ochrony informacji.

praca semestralna, dodano 1.12.2008 r.


Problem bezpieczeństwa informacji. Cechy ochrony informacji w sieciach komputerowych. Zagrożenia, ataki i kanały wycieku informacji. Klasyfikacja metod i środków zapewnienia bezpieczeństwa. Architektura sieci i jej ochrona. Metody bezpieczeństwa sieci.

praca dyplomowa, dodana 16.06.2012


Metody i środki ochrony informacji przed nieuprawnionym dostępem. Cechy ochrony informacji w sieciach komputerowych. Ochrona kryptograficzna i elektroniczny podpis cyfrowy. Metody ochrony informacji przed wirusami komputerowymi i atakami hakerów.

streszczenie, dodane 23.10.2011


Koncepcja ochrony celowych zagrożeń integralności informacji w sieciach komputerowych. Charakterystyka zagrożeń bezpieczeństwa informacji: włamanie, przerwanie świadczenia usług. Charakterystyka OOO NPO „Mekhinstrument”, główne sposoby i metody ochrony informacji.

praca dyplomowa, dodana 16.06.2012


Główne założenia teorii bezpieczeństwa informacji. Istota głównych metod i środków ochrony informacji w sieciach. ogólna charakterystyka działalność i sieć korporacyjna przedsiębiorstwa „Vestel”, analiza jego metod ochrony informacji w sieciach telekomunikacyjnych.

praca dyplomowa, dodana 30.08.2010


Problemy ochrony informacji w sieciach informatycznych i telekomunikacyjnych. Badanie zagrożeń informacji i sposobów ich oddziaływania na przedmioty ochrony informacji. Koncepcje bezpieczeństwa informacji przedsiębiorstwa. Kryptograficzne metody ochrony informacji.

praca dyplomowa, dodana 03.08.2013


Sposoby nieuprawnionego dostępu, klasyfikacja metod i środków ochrony informacji. Analiza metod bezpieczeństwa informacji w sieci LAN. Identyfikacja i uwierzytelnianie, logowanie i audyt, kontrola dostępu. Koncepcje bezpieczeństwa systemów komputerowych.

praca dyplomowa, dodana 19.04.2011


Metody i środki ochrony danych informacyjnych. Ochrona przed nieuprawnionym dostępem do informacji. Cechy ochrony systemów komputerowych metodami kryptograficznymi. Kryteria oceny bezpieczeństwa informatycznych technologii informatycznych w krajach europejskich.

test, dodany 06.08.2010


Podstawowe właściwości informacji. Operacje na danych. Dane są dialektycznym składnikiem informacji. Rodzaje umyślnych zagrożeń bezpieczeństwa informacji. Klasyfikacja złośliwego oprogramowania. Podstawowe metody i środki ochrony informacji w sieciach komputerowych.

praca semestralna, dodano 17.02.2010


Istota problemu i zadanie ochrony informacji w sieciach informatycznych i telekomunikacyjnych. Zagrożenia informacji, sposoby ich oddziaływania na przedmioty. Pojęcie bezpieczeństwa informacji przedsiębiorstwa. Metody kryptograficzne i środki ochrony informacji.

Ochrona danych w sieciach komputerowych staje się jednym z najpoważniejszych problemów współczesnej informatyki. Dotychczas sformułowano trzy podstawowe zasady bezpieczeństwa informacji, które powinny zapewniać:

Integralność danych – ochrona przed awariami prowadzącymi do utraty informacji, a także nieuprawnionym tworzeniem lub niszczeniem danych;

Poufność informacji i jednocześnie

Należy również zauważyć, że niektóre obszary działalności (instytucje bankowe i finansowe, sieci informacyjne, systemy administracji publicznej, obronność i struktury specjalne) wymagają szczególnych środków bezpieczeństwa danych i nakładają podwyższone wymagania na niezawodność systemów informatycznych.

Rozważając problemy ochrony danych w sieci, pierwszym pytaniem, jakie się pojawia, jest klasyfikacja awarii i naruszeń praw dostępu, które mogą prowadzić do zniszczenia lub niepożądanej modyfikacji danych. Potencjalne zagrożenia obejmują:

1. Awarie sprzętu:

Awarie systemu kablowego;

Przerwy w dostawie prądu;

Awarie systemu dyskowego;

Awarie systemów archiwizacji danych;

Awarie serwerów, stacji roboczych, kart sieciowych itp.;

2. Utrata informacji spowodowana nieprawidłowym działaniem oprogramowania:

Utratę lub zmianę danych z powodu błędów oprogramowania;

Straty, gdy system jest zainfekowany wirusami komputerowymi;

3. Straty związane z nieuprawnionym dostępem:

Nieautoryzowane kopiowanie, niszczenie lub fałszowanie informacji;

Zapoznanie się z informacjami poufnymi stanowiącymi tajemnicę, osoby nieuprawnione;

4. Utrata informacji związana z niewłaściwym przechowywaniem danych archiwalnych.

5. Błędy personelu serwisowego i użytkowników.

Przypadkowe zniszczenie lub zmiana danych;

Nieprawidłowe korzystanie z oprogramowania i sprzętu, prowadzące do zniszczenia lub zmiany danych.

W zależności od możliwych rodzajów zakłóceń sieci, wiele rodzajów ochrony informacji łączy się w trzy główne klasy:

Środki ochrony fizycznej, w tym ochrona systemów kablowych, systemów zasilania, narzędzi archiwizujących, macierzy dyskowych itp.

Oprogramowanie zabezpieczające, w tym: programy antywirusowe, systemy różnicowania uprawnień, oprogramowanie kontroli dostępu.

Zabezpieczenia administracyjne, w tym kontrola dostępu do pomieszczeń, opracowanie strategii bezpieczeństwa firmy, planów awaryjnych itp.

Należy zauważyć, że taki podział jest dość arbitralny, ponieważ nowoczesne technologie rozwijają się w kierunku łączenia ochrony oprogramowania i sprzętu.

Systemy archiwizacji i powielania informacji

Organizacja niezawodnego i wydajnego systemu archiwizacji danych jest jednym z najważniejszych zadań zapewniających bezpieczeństwo informacji w sieci. W małych sieciach, w których zainstalowany jest jeden lub dwa serwery, najczęściej stosuje się instalację systemu archiwizacji bezpośrednio w wolnych slotach serwerów. W dużych sieciach korporacyjnych najkorzystniejsze jest zorganizowanie dedykowanego specjalistycznego serwera archiwizacji.

Taki serwer automatycznie archiwizuje informacje z dyski twarde serwery i stacje robocze w czasie określonym przez administratora sieci lokalnej, wystawiając raport z wykonania kopii zapasowej. Zapewnia to kontrolę nad całym procesem tworzenia kopii zapasowej z poziomu konsoli administracyjnej, na przykład możesz określić określone woluminy, katalogi lub pojedyncze pliki, których kopię zapasową chcesz utworzyć.

Możliwe jest również zorganizowanie automatycznej archiwizacji po wystąpieniu takiego lub innego zdarzenia („kopia zapasowa sterowana zdarzeniami”), na przykład w przypadku otrzymania informacji, że na dysku twardym serwera lub stacji roboczej pozostało niewiele wolnego miejsca lub gdy awarii dysków „lustrzanych” na serwerze plików.

Aby zapewnić odzyskanie danych w przypadku awarii dysków magnetycznych, w ostatnim czasie najczęściej stosowane są macierze dyskowe - grupy dysków pracujące jako jedno urządzenie, które są zgodne ze standardem RAID (Redundant Arrays of Inexpensive Disks).

Ochrona przed wirusami komputerowymi

Do tej pory, oprócz tysięcy znanych już wirusów, co miesiąc pojawia się 100-150 nowych szczepów. Do dziś najczęstszymi metodami ochrony przed wirusami pozostają różne programy antywirusowe.

Jednak w ostatnich latach połączenie metod ochrony oprogramowania i sprzętu jest coraz częściej wykorzystywane jako obiecujące podejście do ochrony przed wirusami komputerowymi. Wśród tego typu urządzeń sprzętowych można zauważyć specjalne płytki antywirusowe, które są wkładane w standardowe komputerowe gniazda rozszerzeń.

Ochrona przed nieautoryzowanym dostępem

Problem ochrony informacji przed nieautoryzowanym dostępem stał się szczególnie dotkliwy w związku z powszechnym wykorzystaniem lokalnych, a zwłaszcza globalnych sieci komputerowych. Należy również zauważyć, że często szkoda powstaje nie z powodu „złośliwych intencji”, ale z powodu elementarnych błędów użytkowników, którzy przypadkowo uszkadzają lub usuwają istotne dane. W tym zakresie, obok kontroli dostępu, niezbędnym elementem ochrony informacji w sieciach komputerowych jest rozgraniczenie uprawnień użytkowników.

W sieciach komputerowych przy organizacji kontroli dostępu i różnicowania uprawnień użytkowników najczęściej wykorzystywane są wbudowane narzędzia sieciowych systemów operacyjnych.

Istnieje wiele możliwych kierunków wycieku informacji oraz sposobów nieuprawnionego dostępu do systemów i sieci. Pomiędzy nimi:

odczyt informacji resztkowych w pamięci systemu po wykonaniu autoryzowanych żądań;

kopiowanie plików multimedialnych i informacyjnych z pokonywaniem środków ochrony;

przebrać się za zarejestrowanego użytkownika;

przebranie się na żądanie systemu;

wykorzystanie pułapek programowych;

wykorzystywanie wad systemu operacyjnego;

Nielegalne podłączenie do sprzętu i linii komunikacyjnych;

Złośliwe ubezwłasnowolnienie mechanizmów ochronnych;

wprowadzanie i używanie wirusów komputerowych.

Zapewnienie bezpieczeństwa informacji osiąga się za pomocą zestawu środków organizacyjnych, organizacyjnych, technicznych, technicznych i programowych.

Do środków organizacyjnych bezpieczeństwo informacji obejmuje:

Ograniczenie dostępu do pomieszczeń, w których odbywa się przygotowywanie i przetwarzanie informacji;

dopuszczenie do przetwarzania i przekazywania informacji poufnych tylko zweryfikowanym urzędnikom;

· przechowywanie nośników magnetycznych i dzienników meldunkowych w sejfach zamkniętych dla osób nieuprawnionych;

wykluczenie przeglądania przez osoby nieuprawnione treści przetwarzanych materiałów poprzez wyświetlacz, drukarkę itp.;

Wykorzystanie kodów kryptograficznych w przekazywaniu cennych informacji kanałami komunikacyjnymi;

· niszczenie taśm barwiących, papieru i innych materiałów zawierających fragmenty cennych informacji.

Środki organizacyjne i techniczne bezpieczeństwo informacji obejmuje:

· zasilanie urządzeń przetwarzających cenne informacje z niezależnego źródła zasilania lub poprzez specjalne filtry sieciowe;

instalacja zamków szyfrowych na drzwiach lokalu;

zastosowanie wyświetlaczy ciekłokrystalicznych lub plazmowych do wyświetlania informacji podczas wprowadzania-wyjścia oraz do uzyskiwania wydruków - drukarek atramentowych i termicznych, ponieważ wyświetlacz emituje promieniowanie elektromagnetyczne o tak wysokiej częstotliwości, że obraz z jego ekranu można uzyskać z odległości kilkaset kilometrów;

niszczenie informacji podczas likwidacji lub wysyłania komputerów do naprawy;

· Instalowanie klawiatur i drukarek na miękkich podkładkach w celu zmniejszenia możliwości usuwania informacji za pomocą środków akustycznych;

ograniczenie promieniowania elektromagnetycznego poprzez ekranowanie pomieszczeń, w których przetwarzane są informacje, arkuszami metalu lub specjalnego tworzywa sztucznego.

Środki techniczne bezpieczeństwo informacji - są to systemy ochrony terytoriów i pomieszczeń poprzez osłanianie maszynowni oraz organizowanie systemów kontroli dostępu. Ochrona informacji w sieciach i obiektach obliczeniowych za pomocą środków technicznych realizowana jest w oparciu o organizację dostępu do pamięci z wykorzystaniem:

kontrola dostępu do różnych poziomów pamięci komputera;

blokowanie danych i wprowadzanie kluczy;

przydzielanie bitów kontrolnych do rekordów w celu identyfikacji itp.

Architektura oprogramowania ochrona informacji obejmuje:

kontrola bezpieczeństwa, w tym kontrola rejestracji wejścia do systemu, utrwalanie w logu systemowym, kontrola działań użytkowników;

reakcja (w tym dźwięk) na naruszenie systemu ochrony kontroli dostępu do zasobów sieciowych;

kontrola poświadczeń dostępu;

Formalna kontrola bezpieczeństwa systemów operacyjnych (podstawowa ogólnosystemowa i sieciowa);

kontrola algorytmów ochrony;

Sprawdzanie i potwierdzanie poprawności działania sprzętu i oprogramowania.

W celu niezawodnej ochrony informacji i wykrywania przypadków nieautoryzowanych działań prowadzona jest rejestracja pracy systemu: tworzone są specjalne dzienniki i protokoły, w których odnotowywane są wszystkie działania związane z ochroną informacji w systemie. Specjalne programy służą również do testowania systemu ochrony. Okresowo lub w losowo wybranych momentach sprawdzają działanie ochrony sprzętu i oprogramowania.

Odrębną grupę środków służących zapewnieniu bezpieczeństwa informacji i identyfikacji nieautoryzowanych żądań stanowią programy do wykrywania naruszeń w czasie rzeczywistym. Programy z tej grupy generują specjalny sygnał podczas rejestrowania działań, które mogą prowadzić do nielegalnych działań w odniesieniu do chronionych informacji. Sygnał może zawierać informacje o charakterze naruszenia, miejscu jego wystąpienia i innych cechach. Dodatkowo programy mogą zabronić dostępu do chronionych informacji lub zasymulować taki tryb działania (na przykład natychmiastowe ładowanie urządzeń I/O), co pozwoli na zidentyfikowanie i zatrzymanie intruza przez odpowiednią usługę.

Jedną z powszechnych metod ochrony jest wyraźne wskazanie tajności informacji wyjściowych. To wymaganie jest realizowane za pomocą odpowiednich narzędzi programowych.

Wyposażając serwer lub stacje sieciowe np. w czytnik kart inteligentnych i specjalne oprogramowanie, można znacznie zwiększyć stopień ochrony przed nieuprawnionym dostępem. W takim przypadku, aby uzyskać dostęp do komputera, użytkownik musi włożyć kartę inteligentną do czytnika i wprowadzić swój osobisty kod.

Inteligentne karty kontroli dostępu umożliwiają realizację w szczególności takich funkcji jak kontrola dostępu, dostęp do urządzeń komputer osobisty, dostęp do programów, plików i poleceń.

Mosty i routery dostępu zdalnego stosują segmentację pakietów – ich separację i transmisję równolegle na dwóch liniach – co uniemożliwia „przechwycenie” danych, gdy „haker” nielegalnie łączy się z jedną z linii. Dodatkowo zastosowana w transmisji danych procedura kompresji przesyłanych pakietów gwarantuje brak możliwości odszyfrowania „przechwyconych” danych. Ponadto można zaprogramować mosty i routery zdalnego dostępu, aby: zdalni użytkownicy będzie ograniczony w dostępie do niektórych zasobów głównej sieci biurowej.

Mechanizmy bezpieczeństwa

1. Kryptografia.

Aby zapewnić tajność, stosuje się szyfrowanie lub kryptografię, co pozwala na przekształcenie danych do postaci zaszyfrowanej, z której można wyodrębnić oryginalne informacje tylko wtedy, gdy masz klucz.

Szyfrowanie opiera się na dwóch podstawowych pojęciach: algorytmie i kluczu. Algorytm to sposób na zakodowanie oryginalnego tekstu, w wyniku którego powstaje zaszyfrowana wiadomość. Zaszyfrowaną wiadomość można zinterpretować tylko za pomocą klucza.

Wszystkie elementy systemów ochronnych dzielą się na dwie kategorie - trwałe i łatwe do wymiany. Do elementów długoterminowych zaliczamy te elementy, które są związane z rozwojem systemów ochrony i wymagają do zmiany interwencji specjalistów lub programistów. Elementy łatwo wymienialne to elementy systemu, które przeznaczone są do dowolnej modyfikacji lub modyfikacji według z góry określonej zasady, na podstawie losowo wybranych parametrów początkowych. Elementy łatwo wymienialne to np. klucz, hasło, identyfikator i tym podobne.

Poufność informacji zapewnia wprowadzenie do algorytmów specjalnych kluczy (kodów). Użycie klucza w szyfrowaniu ma dwie istotne zalety. Po pierwsze, możesz użyć jednego algorytmu z różnymi kluczami do wysyłania wiadomości do różnych odbiorców. Po drugie, jeśli klucz zostanie naruszony, można go łatwo wymienić bez zmiany algorytmu szyfrowania. Zatem bezpieczeństwo systemów szyfrowania zależy od tajności użytego klucza, a nie od tajności algorytmu szyfrowania.

Należy zauważyć, że rosnąca wydajność technologii prowadzi do skrócenia czasu wymaganego do otwarcia kluczy, a systemy bezpieczeństwa muszą używać coraz dłuższych kluczy, co z kolei prowadzi do wzrostu kosztów szyfrowania.

Ponieważ tak ważne miejsce w systemach szyfrowania zajmuje tajemnica klucza, głównym problemem takich systemów jest generowanie i przesyłanie klucza.

Istnieją dwa główne schematy szyfrowania: szyfrowanie symetryczne (czasami nazywane również szyfrowaniem tradycyjnym lub szyfrowaniem z kluczem prywatnym) i szyfrowanie kluczem publicznym (czasami nazywane szyfrowaniem asymetrycznym).

W przypadku szyfrowania symetrycznego nadawca i odbiorca korzystają z tego samego klucza (tajnego), za pomocą którego mogą szyfrować i odszyfrowywać dane.

Podpis elektroniczny

Za pomocą podpisu elektronicznego odbiorca może upewnić się, że otrzymana przez niego wiadomość została wysłana nie przez osobę trzecią, ale przez nadawcę posiadającego określone uprawnienia. Podpisy elektroniczne są tworzone poprzez zaszyfrowanie sumy kontrolnej i dodatkowych informacji przy użyciu klucza prywatnego nadawcy. W ten sposób każdy może odszyfrować podpis za pomocą klucza publicznego, ale tylko właściciel klucza prywatnego może poprawnie utworzyć podpis. Aby zabezpieczyć się przed przechwyceniem i ponownym użyciem, podpis zawiera unikalny numer – numer kolejny.

Uwierzytelnianie

Uwierzytelnianie jest jednym z najważniejszych elementów organizacji bezpieczeństwa informacji w sieci. Zanim użytkownik otrzyma prawo do uzyskania określonego zasobu, konieczne jest upewnienie się, że jest naprawdę tym, za kogo się podaje.

Po odebraniu żądania użycia zasobu w imieniu użytkownika serwer udostępniający zasób przekazuje kontrolę do serwera uwierzytelniania. Po otrzymaniu pozytywnej odpowiedzi z serwera uwierzytelniania, żądany zasób jest udostępniany użytkownikowi.

Uwierzytelnianie wykorzystuje z reguły zasadę zwaną „co wie” – użytkownik zna jakieś tajne słowo, które wysyła do serwera uwierzytelniającego w odpowiedzi na jego żądanie. Jednym ze schematów uwierzytelniania jest użycie standardowych haseł. Hasło - wpisuje na początku sesji interakcji z siecią, a czasem pod koniec sesji (w szczególnie odpowiedzialnych przypadkach hasło do normalnego wyjścia z sieci może różnić się od hasła wejściowego). Ten schemat jest najbardziej wrażliwy pod względem bezpieczeństwa - hasło może zostać przechwycone i użyte przez inną osobę.

Najczęściej używane schematy wykorzystują hasła jednorazowe. Nawet jeśli zostanie przechwycone, to hasło będzie bezużyteczne przy następnej rejestracji, a uzyskanie kolejnego hasła z poprzedniego jest niezwykle trudnym zadaniem. Do generowania haseł jednorazowych wykorzystywane są zarówno generatory programowe, jak i sprzętowe, czyli urządzenia wkładane do gniazda komputera. Znajomość tajnego słowa jest niezbędna, aby użytkownik mógł aktywować to urządzenie.

Ochrona sieci

Ostatnio sieci korporacyjne coraz częściej łączą się z Internetem, a nawet wykorzystują go jako swój szkielet. Zapory ogniowe służą do ochrony firmowych sieci informacyjnych. Zapory ogniowe to system lub kombinacja systemów, które pozwalają podzielić sieć na dwie lub więcej części i wdrożyć zestaw reguł, które określają warunki przekazywania pakietów z jednej części do drugiej. Z reguły granica ta przebiega między siecią lokalną przedsiębiorstwa a INTERNETOMEM, choć można ją wytyczyć również wewnętrznie. Jednak ochrona pojedynczych komputerów nie jest opłacalna, dlatego zazwyczaj chroniona jest cała sieć. Zapora przepuszcza cały ruch przez siebie i dla każdego przechodzącego pakietu podejmuje decyzję, czy go przepuścić, czy odrzucić. Aby zapora mogła podejmować te decyzje, zdefiniowany jest dla niej zestaw reguł.

Firewall może być zaimplementowany sprzętowo (tj. jako oddzielne urządzenie fizyczne) lub jako specjalny program działający na komputerze.

Zazwyczaj zmiany są wprowadzane w systemie operacyjnym, w którym działa zapora, aby poprawić bezpieczeństwo samej zapory. Zmiany te dotyczą zarówno jądra systemu operacyjnego, jak i odpowiednich plików konfiguracyjnych. Na samym firewallu nie wolno mieć sekcji użytkownika, a więc potencjalnych dziur - tylko sekcja administratora.

Niektóre zapory działają tylko w trybie pojedynczego użytkownika, a wiele z nich ma system sprawdzania integralności kodów programów.

Zapora zwykle składa się z kilku różnych komponentów, w tym filtrów lub ekranów, które blokują część ruchu.

Wszystkie zapory można podzielić na dwa typy:

Filtry pakietów, które filtrują pakiety IP za pomocą routerów filtrujących;

Serwery warstwy aplikacji, które blokują dostęp do niektórych usług w sieci.

W ten sposób zaporę można zdefiniować jako zestaw komponentów lub system, który znajduje się między dwiema sieciami i ma następujące właściwości:

Cały ruch z sieci wewnętrznej do zewnętrznej iz sieci zewnętrznej do wewnętrznej musi przechodzić przez ten system;

· przez ten system może przechodzić tylko ruch określony przez lokalną politykę bezpieczeństwa;

W pierwszej części „Podstawy bezpieczeństwa informacji” omówiliśmy główne rodzaje zagrożeń bezpieczeństwa informacji. Abyśmy mogli zacząć wybierać sposoby ochrony informacji, konieczne jest bardziej szczegółowe rozważenie, co można przypisać pojęciu informacji.

Informacje i ich klasyfikacja

Informacje można podzielić na kilka typów i w zależności od kategorii dostępu do nich dzieli się na: Informacja publiczna, a także informacje, do których dostęp jest ograniczony - poufne dane i tajemnice państwowe.

Informacje, w zależności od kolejności ich przekazywania lub rozpowszechniania, dzielą się na informacje:

1. swobodnie redystrybucyjny
2. Dostarczone za zgodą osób zaangażowany w odpowiedni związek
3. Które, zgodnie z prawem federalnym do dostarczenia lub dystrybucji
4. Dystrybucja, która w Federacji Rosyjskiej ograniczone lub zabronione

1. Cielsko- zawiera banalne informacje i operuje zestawem pojęć zrozumiałych dla większości społeczeństwa.
2. Specjalny- zawiera określony zestaw pojęć, które mogą nie być zrozumiałe dla większości społeczeństwa, ale są konieczne i zrozumiałe w wąskiej grupie społecznej, w której wykorzystuje się te informacje.
3. Sekret- do którego dostęp jest zapewniony dla wąskiego kręgu osób i przez zamknięte (bezpieczne) kanały.
4. Osobiste (prywatne)- zestaw informacji o osobie, który określa pozycję społeczną i rodzaje interakcji społecznych.

Zgodnie z prawem Federacji Rosyjskiej z 21.07.1993 N 5485-1 (zmieniony 03.08.2015) „O tajemnicy państwowej” Artykuł 5. „Wykaz informacji stanowiących tajemnicę państwową” dotyczy:

1. Informacje na terenie wojskowym.
2. Informacje z zakresu ekonomii, nauki i techniki.
3. Informacje z zakresu polityki zagranicznej i gospodarki.
4. Informacje z zakresu działań wywiadowczych, kontrwywiadowczych i operacyjno-rozpoznawczych, a także z zakresu przeciwdziałania terroryzmowi oraz z zakresu zapewnienia bezpieczeństwa osób, wobec których podjęto decyzję o zastosowaniu środków ochrony państwa.

Dane poufne- są to informacje, do których dostęp jest ograniczony zgodnie z prawem państwa i normami, które firmy ustalają niezależnie. Można wyróżnić następujące rodzaje danych poufnych:

• Wrażliwe dane osobowe: Informacje o faktach, zdarzeniach i okolicznościach życia prywatnego obywatela, pozwalające na identyfikację jego osobowości (dane osobowe), z wyjątkiem informacji przeznaczonych do rozpowszechniania w mediach w przypadkach określonych ustawami federalnymi. Jedynym wyjątkiem są informacje rozpowszechniane w mediach.
• Dane wrażliwe usługi: Informacje urzędowe, do których dostęp ograniczony jest przez władze publiczne zgodnie z Kodeksem Cywilnym Federacji Rosyjskiej i ustawami federalnymi (tajemnica urzędowa).
• Poufne dane kryminalistyczne: O ochronie państwowej sędziów, funkcjonariuszy organów ścigania i organów regulacyjnych. O ochronie państwa ofiar, świadków i innych uczestników postępowania karnego. Informacje zawarte w aktach osobowych skazanych, a także informacje dotyczące wykonywania czynności sądowych, aktów innych organów i urzędników, z wyjątkiem informacji publicznie dostępnych zgodnie z ustawą federalną z dnia 2 października 2007 r. N 229-FZ ” O postępowaniu egzekucyjnym” .
• Wrażliwe dane handlowe: wszelkiego rodzaju informacji związanych z obrotem (zysku) i do których dostęp jest ograniczony przepisami prawa lub informacji o istocie wynalazku, wzoru użytkowego lub wzoru przemysłowego przed urzędowym opublikowaniem informacji o nich przez przedsiębiorstwo (tajne opracowania, produkcja technologii itp.).
• Poufne dane zawodowe: Informacje związane z działalnością zawodową, do których dostęp jest ograniczony zgodnie z Konstytucją Federacji Rosyjskiej i ustawami federalnymi (medycyna, notariusz, adwokat, korespondencja, rozmowy telefoniczne, przesyłki pocztowe, telegraficznych lub innych wiadomości itp.)

Dane osobiste

Operatorem danych osobowych jest- organ państwowy, gminny, prawny lub indywidualny, samodzielnie lub wspólnie z innymi osobami organizującymi i (lub) prowadzącymi przetwarzanie danych osobowych, a także określającymi cele przetwarzania danych osobowych, skład danych osobowych, które mają być przetwarzane, czynności (operacje) wykonywane na danych osobowych.

Przetwarzanie danych osobowych- dowolna czynność (operacja) lub zestaw czynności (operacji) wykonywanych za pomocą narzędzi automatyzacji lub bez użycia takich narzędzi z danymi osobowymi, w tym zbieranie, rejestrowanie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wydobywanie, wykorzystywanie, przesyłanie (dystrybucja, udostępnianie, dostęp), depersonalizacja, blokowanie, usuwanie, niszczenie danych osobowych.

Prawo do przetwarzania danych osobowych jest zawarte w przepisach o organach państwowych, ustawach federalnych, licencjach na przetwarzanie danych osobowych wydanych przez Roskomnadzor lub FSTEC.

Firmy, które zawodowo pracują z danymi osobowymi szerokiego grona osób, na przykład firmy hostingowe serwerów wirtualnych lub operatorzy telekomunikacyjni, muszą wpisać się do rejestru prowadzonego przez Roskomnadzor.

Na przykład nasz hosting serwerów wirtualnych VPS.HOUSE działa w ramach ustawodawstwa Federacji Rosyjskiej i zgodnie z licencjami Służba Federalna w sprawie nadzoru w zakresie telekomunikacji, teleinformatyki i komunikacji masowej nr 139322 z dnia 25.12.2015 r. (Usługi łączności telematycznej) oraz nr 139323 z dnia 25.12.2015 r. (Usługi telekomunikacyjne dla transmisji danych, z wyłączeniem usług komunikacyjnych dla danych transmisja w celu przekazywania informacji głosowych).

Na tej podstawie każda witryna, która posiada formularz rejestracyjny użytkownika, który wskazuje, a następnie przetwarza informacje związane z danymi osobowymi, jest operatorem danych osobowych.

Biorąc pod uwagę art. 7 ustawy nr 152-FZ„O Danych Osobowych” operatorzy i inne osoby, które uzyskały dostęp do danych osobowych są zobowiązani do nieujawniania osobom trzecim i nie rozpowszechniania danych osobowych bez zgody podmiotu danych osobowych, chyba że prawo federalne stanowi inaczej. W związku z tym każdy operator danych osobowych jest zobowiązany do zapewnienia niezbędnego bezpieczeństwa i poufności tych informacji.

W celu zapewnienia bezpieczeństwa i poufności informacji konieczne jest określenie, jakie są nośniki, do których dostęp jest otwarty i zamknięty. W związku z tym metody i środki ochrony są również dobierane w zależności od rodzaju mediów.

Główne nośniki informacji:

• Media drukowane i elektroniczne, sieci społecznościowe, inne zasoby w Internecie;
• Pracownicy organizacji, którzy mają dostęp do informacji na podstawie ich przyjaźni, rodziny, więzów zawodowych;
• Komunikacja oznacza przesyłanie lub przechowywanie informacji: telefony, automatyczne centrale telefoniczne, inny sprzęt telekomunikacyjny;
• Dokumenty wszelkiego rodzaju: osobiste, urzędowe, państwowe;
• Oprogramowanie jako samodzielny obiekt informacyjny, zwłaszcza jeśli jego wersja została opracowana specjalnie dla konkretnej firmy;
• Elektroniczne nośniki pamięci, które automatycznie przetwarzają dane.

Klasyfikacja narzędzi bezpieczeństwa informacji

Zgodnie z ustawą federalną z dnia 27 lipca 2006 r. nr 149-FZ(ze zmianami z dnia 29 lipca 2017 r.) „O informacji, technologiach informacyjnych i ochronie informacji”, art. 7 ust. 1 i ust. 4:

1. Bezpieczeństwo informacji reprezentuje podjęcie środków prawnych, organizacyjnych i technicznych,, Celem:

• Bezpieczeństwo ochronę informacji przed nieuprawnionym dostępem, zniszczeniem, modyfikacją, blokowaniem, kopiowaniem, udostępnianiem, rozpowszechnianiem, a także przed innymi bezprawnymi działaniami w odniesieniu do takich informacji;
• Zgodność poufność informacji zastrzeżonych;
• Realizacja prawo dostępu do informacji.

• Zapobieganie nieuprawniony dostęp do informacji i (lub) ich przekazywanie osobom, które nie mają prawa dostępu do informacji;
• aktualny wykrycie fakty nieuprawnionego dostępu do informacji;
• Ostrzeżenie możliwość negatywnych konsekwencji naruszenia porządku dostępu do informacji;
• Zapobieganie wpływ na techniczne sposoby przetwarzania informacji, w wyniku którego zostaje zakłócone ich funkcjonowanie;
• Możliwość natychmiastowego powrót do zdrowia informacje zmodyfikowane lub zniszczone w wyniku nieuprawnionego dostępu do nich;
• Stały kontrola za zapewnienie poziomu bezpieczeństwa informacji;
• Odkrycie na terytorium Federacji Rosyjskiej informacyjne bazy danych, które służą do gromadzenia, rejestrowania, systematyzowania, gromadzenia, przechowywania, wyjaśniania (aktualizacji, zmiany), wydobywania danych osobowych obywateli Federacji Rosyjskiej (klauzula 7 została wprowadzona ustawą federalną 21.07.2014 nr 242-FZ).

1. Poziom prawny zapewnia zgodność z normami państwowymi w zakresie bezpieczeństwa informacji i obejmuje prawa autorskie, dekrety, patenty i opisy stanowisk.
   Dobrze zbudowany system ochrony nie narusza praw użytkowników i norm przetwarzania danych.
2. Poziom organizacyjny umożliwia tworzenie reguł pracy użytkowników z informacjami poufnymi, dobór personelu, organizowanie pracy z dokumentacją i nośnikami danych.
   Reguły pracy użytkowników z informacjami poufnymi nazywane są regułami kontroli dostępu. Zasady są ustalane przez kierownictwo firmy wraz ze służbą ochrony oraz dostawcą wdrażającym system bezpieczeństwa. Celem jest stworzenie warunków dostępu do zasobów informacyjnych dla każdego użytkownika, na przykład prawa do czytania, edycji, przenoszenia poufnego dokumentu.
   Reguły kontroli dostępu opracowywane są na poziomie organizacyjnym i wdrażane na etapie pracy z komponentem technicznym systemu.
3. Poziom techniczny warunkowo podzielone na fizyczne, sprzętowe, programowe i matematyczne (kryptograficzne).

Narzędzia bezpieczeństwa informacji

Nieformalne środki bezpieczeństwa informacji

ramy prawne ( środki prawne) bezpieczeństwo informacji zapewnia państwo. Ochrona informacji jest regulowana przez międzynarodowe konwencje, Konstytucję, ustawy federalne „O informacji, technologiach informacyjnych i ochronie informacji”, prawo Federacji Rosyjskiej „O bezpieczeństwie”, „O komunikacji”, „O tajemnicy państwowej” oraz różne regulaminy .

Ponadto niektóre z wymienionych powyżej przepisów zostały przez nas podane i omówione powyżej jako prawne podstawy bezpieczeństwa informacji. Nieprzestrzeganie tych przepisów pociąga za sobą zagrożenie dla bezpieczeństwa informacji, co może prowadzić do poważnych konsekwencji, co z kolei podlega karze zgodnie z tymi przepisami, aż do odpowiedzialności karnej.

Państwo określi również miarę odpowiedzialności za naruszenie przepisów prawa w zakresie bezpieczeństwa informacji. Na przykład rozdział 28 „Przestępstwa w dziedzinie informacji komputerowej” w kodeksie karnym Federacji Rosyjskiej zawiera trzy artykuły:

• Artykuł 272 „Nielegalny dostęp do informacje o komputerze»;
• Artykuł 273 „Tworzenie, używanie i dystrybucja szkodliwych programów komputerowych”;
• Art. 274 „Naruszenie zasad funkcjonowania środków przechowywania, przetwarzania lub przesyłania informacji informatycznych oraz sieci informacyjno-telekomunikacyjnych”.

Aby ograniczyć wpływ tych aspektów, potrzebny jest zestaw środków organizacyjnych, prawnych i organizacyjno-technicznych, które wykluczą lub zminimalizują możliwość wystąpienia zagrożeń dla informacji poufnych.

W tej działalności administracyjnej i organizacyjnej, mającej na celu ochronę informacji dla personelu ochrony, jest miejsce na kreatywność.

Są to rozwiązania architektoniczne i planistyczne, które pozwalają chronić sale konferencyjne i biura kadry kierowniczej przed podsłuchem oraz ustanawianie różnych poziomów dostępu do informacji.

Z punktu widzenia uregulowania działań personelu istotne będzie zaprojektowanie systemu wniosków o dostęp do Internetu, zewnętrznych e-mail, inne zasoby. oddzielny element będzie otrzymanie elektronicznego podpisu cyfrowego w celu zwiększenia bezpieczeństwa informacji finansowych i innych, które są przesyłane do agencji rządowych za pośrednictwem kanałów e-mail.

do moralności i etykiŚrodki można przypisać wypracowanym w społeczeństwie lub danym zespole normom moralnym lub zasadom etycznym, których przestrzeganie przyczynia się do ochrony informacji, a ich naruszenie utożsamiane jest z nieprzestrzeganiem zasad postępowania w społeczeństwo lub zespół. Normy te nie mają charakteru obligatoryjnego, jako norm prawnie zatwierdzonych, jednak ich nieprzestrzeganie prowadzi do spadku autorytetu, prestiżu osoby lub organizacji.

Formalne środki ochrony informacji

Fizyczne środki ochrony informacji- są to wszelkie mechanizmy mechaniczne, elektryczne i elektroniczne, które funkcjonują niezależnie od systemów informatycznych i tworzą bariery dostępu do nich.

Zamki, w tym elektroniczne, ekrany, rolety mają na celu tworzenie przeszkód w kontakcie czynników destabilizujących z systemami. Grupę uzupełniają systemy bezpieczeństwa, np. kamery wideo, magnetowidy, czujniki wykrywające ruch lub przekroczenie stopnia promieniowania elektromagnetycznego w obszarze, w którym znajdują się środki techniczne do rejestracji informacji.

Sprzętowe bezpieczeństwo informacji- są to wszelkie urządzenia elektryczne, elektroniczne, optyczne, laserowe i inne wbudowane w systemy informatyczne i telekomunikacyjne: komputery specjalne, systemy kontroli pracowników, ochrona serwerów i sieci korporacyjne. Uniemożliwiają dostęp do informacji, w tym poprzez ich maskowanie.

Sprzęt obejmuje: generatory szumów, filtry sieciowe, radiotelefony skanujące i wiele innych urządzeń, które „blokują” potencjalne kanały wycieku informacji lub umożliwiają ich wykrycie.

Oprogramowanie zabezpieczające informacje- są to proste i złożone programy przeznaczone do rozwiązywania problemów związanych z zapewnieniem bezpieczeństwa informacji.

Przykład rozwiązania zintegrowane służą jako systemy DLP i systemy SIEM.

Systemy DLP(„Zapobieganie wyciekom danych” dosłownie „zapobieganie wyciekom danych”) służą zapobieganiu wyciekom, ponownemu formatowaniu informacji i przekierowywaniu przepływów informacji.

Systemy SIEM(„Informacje o bezpieczeństwie i zarządzanie zdarzeniami”, co oznacza „Zarządzanie zdarzeniami i bezpieczeństwo informacji”) zapewnia analizę w czasie rzeczywistym zdarzeń związanych z bezpieczeństwem (alarmów) z urządzeń i aplikacji sieciowych. SIEM jest reprezentowany przez aplikacje, urządzenia lub usługi, a także służy do rejestrowania danych i raportowania w celu zapewnienia zgodności z innymi danymi biznesowymi.

Narzędzia programowe wymagają mocy urządzeń sprzętowych, a podczas instalacji należy zapewnić dodatkowe rezerwy.

Matematyczny (kryptograficzny)– wdrożenie kryptograficznych i skróconych metod ochrony danych w celu bezpiecznej transmisji w sieci korporacyjnej lub globalnej.

Kryptografia jest uważana za jeden z najbardziej niezawodnych sposobów ochrony danych, ponieważ chroni same informacje, a nie dostęp do nich. Informacje przekonwertowane kryptograficznie mają wysoki stopień ochrony.

Wprowadzenie ochrony informacji kryptograficznej oznacza stworzenie kompleksu programowo-sprzętowego, którego architektura i skład jest ustalana w oparciu o potrzeby konkretnego klienta, wymagania prawne, zadania i niezbędne metody oraz algorytmy szyfrowania.

Może to obejmować komponenty oprogramowania służące do szyfrowania (dostawcy kryptowalut), narzędzia organizacji VPN, narzędzia tożsamości, narzędzia do generowania i weryfikacji kluczy oraz podpisów cyfrowych.

Narzędzia szyfrujące mogą obsługiwać algorytmy szyfrowania GOST i zapewniać niezbędne klasy ochrony kryptograficznej w zależności od wymaganego stopnia ochrony, ram prawnych i wymagań dotyczących kompatybilności z innymi systemami, w tym zewnętrznymi. Jednocześnie narzędzia szyfrujące zapewniają ochronę całego zestawu komponenty informacyjne w tym pliki, katalogi z plikami, fizyczne i wirtualne nośniki pamięci, całe serwery i systemy przechowywania danych.

Na zakończenie drugiej części, po krótkim rozważeniu głównych metod i środków ochrony informacji oraz klasyfikacji informacji, możemy powiedzieć, co następuje: Potwierdza się po raz kolejny znana teza, że ​​zapewnienie bezpieczeństwa informacji jest cały szereg środków obejmujących wszystkie aspekty ochrony informacji, do których tworzenia i dostarczania należy podchodzić z największą ostrożnością i powagą.

Konieczne jest ścisłe przestrzeganie i pod żadnym pozorem nie wolno naruszać Złotej Zasady - jest to zintegrowane podejście.

Dla bardziej wizualnej prezentacji narzędzi bezpieczeństwa informacji, a mianowicie jako niepodzielnego zestawu środków, przedstawiono poniżej na rysunku 2, z których każda z cegieł reprezentuje ochronę informacji w pewnym segmencie, usuń jedną z cegiełek i zagrożenie bezpieczeństwa Powstanie.

Rysunek 2. Klasyfikacja narzędzi bezpieczeństwa informacji.

Oprogramowanie do ochrony informacji to specjalne programy i systemy oprogramowania przeznaczone do ochrony informacji w systemie informacyjnym.

Narzędzia programowe obejmują programy do identyfikacji użytkowników, kontroli dostępu, usuwania pozostałych (działających) informacji, takich jak pliki tymczasowe, kontrola testów systemu ochrony i inne. Zaletami narzędzi programowych są wszechstronność, elastyczność, niezawodność, łatwość instalacji, możliwość modyfikacji i rozwoju.

Wady - wykorzystanie części zasobów serwera plików i stacji roboczych, duża wrażliwość na przypadkowe lub celowe zmiany, możliwe uzależnienie od typów komputerów (ich sprzętu).

Narzędzia do ochrony oprogramowania obejmują:

wbudowane narzędzia bezpieczeństwa informacji – są to narzędzia realizujące autoryzację i uwierzytelnianie użytkowników (logowanie za pomocą hasła), różnicowanie praw dostępu, ochronę przed kopiowaniem oprogramowania, poprawne wprowadzanie danych zgodnie z zadanym formatem i tak dalej.

Ponadto w tej grupie narzędzi znajdują się wbudowane narzędzia systemu operacyjnego chroniące przed wpływem działania jednego programu na działanie innego programu, gdy komputer pracuje w trybie wieloprogramowym, gdy w jego pamięci może być jednocześnie uruchomionych kilka programów , naprzemiennie otrzymujące sterowanie w wyniku przerw. W każdym z tych programów prawdopodobnie występują awarie (błędy), które mogą wpływać na działanie funkcji przez inne programy. System operacyjny obsługuje przerwania i zarządza wieloprogramowaniem. Więc system operacyjny musi chronić siebie i inne programy przed takim wpływem, wykorzystując na przykład mechanizm ochrony pamięci i dystrybucję wykonywania programu w trybie uprzywilejowanym lub w trybie użytkownika;

zarządzanie systemem bezpieczeństwa.

Aby stworzyć optymalny zestaw narzędzi programowych i sprzętowych do ochrony informacji, konieczne jest wykonanie następujących kroków:

określenie informacji i zasobów technicznych, które mają być chronione;

identyfikacja pełnego zestawu potencjalnych zagrożeń i kanałów wycieku informacji;

· ocena podatności i ryzyka informacji w obecności wielu zagrożeń i kanałów wycieku;

Określenie wymagań dla systemu ochrony;

dobór narzędzi bezpieczeństwa informacji i ich charakterystyka;

wprowadzenie i organizacja stosowania wybranych środków, metod i środków ochrony;

Wdrożenie kontroli integralności i zarządzania systemem ochrony.

Informacje w dzisiejszych czasach są drogie i muszą być chronione. Informacje są własnością i są wykorzystywane przez wszystkie osoby bez wyjątku. Każda osoba sama decyduje, jakie informacje musi otrzymać, a jakie informacje nie powinny być dostępne dla innych. Aby zapobiec utracie informacji i opracował różne metody jej ochrona techniczna, które są używane na wszystkich etapach pracy z nim, chroniąc go przed uszkodzeniami i wpływami zewnętrznymi.

Pod oprogramowanie zabezpieczające informacje rozumieć specjalne programy zawarte w oprogramowaniu CS wyłącznie w celu wykonywania funkcji ochronnych.

Główne oprogramowanie zabezpieczające informacje obejmuje:

Programy do identyfikacji i uwierzytelniania użytkowników CS;

Programy do ograniczania dostępu użytkowników do zasobów CS;

Programy do szyfrowania informacji;

Programy chroniące zasoby informacyjne (oprogramowanie systemowe i aplikacyjne, bazy danych, komputerowe narzędzia szkoleniowe itp.) przed nieautoryzowaną modyfikacją, wykorzystaniem i kopiowaniem.

Zauważ, że poniżej identyfikacja, w odniesieniu do zapewnienia bezpieczeństwa informacji CS rozumieją jednoznaczne rozpoznanie unikalnej nazwy podmiotu CS. Uwierzytelnianie oznacza potwierdzenie, że prezentowana nazwa pasuje do tematu (uwierzytelnienie podmiotu).

Przykłady oprogramowania zabezpieczającego informacje pomocnicze:

Programy do niszczenia pozostałych informacji (w blokach pamięci RAM, plikach tymczasowych itp.);

Programy audytowe (prowadzące dzienniki) zdarzeń związanych z bezpieczeństwem COP, w celu zapewnienia możliwości odzyskania i udowodnienia wystąpienia tych zdarzeń;

Programy imitujące pracę ze sprawcą (odwracające jego uwagę w celu otrzymania rzekomo poufnych informacji);

Programy do testowania kontroli bezpieczeństwa CS itp.

Korzyści płynące z oprogramowania zabezpieczającego informacje obejmują:

Łatwość replikacji;

Elastyczność (możliwość dostosowania się do różnych warunków użytkowania z uwzględnieniem specyfiki zagrożeń bezpieczeństwa informacji poszczególnych CS);

Łatwość obsługi – niektóre narzędzia programowe, takie jak szyfrowanie, działają w trybie „przezroczystym” (niewidocznym dla użytkownika), podczas gdy inne nie wymagają od użytkownika żadnych nowych (w porównaniu do innych programów) umiejętności;

Praktycznie nieograniczone możliwości ich rozwoju poprzez wprowadzanie zmian uwzględniających nowe zagrożenia bezpieczeństwa informacji.

Ryż. 1.1 Przykład zadokowanego oprogramowania zabezpieczającego

Ryż. 1.2. Przykład wbudowanego narzędzia bezpieczeństwa informacji

Wady oprogramowania zabezpieczającego informacje obejmują:

Zmniejszenie efektywności CS ze względu na zużycie jej zasobów niezbędnych do funkcjonowania programów ochronnych;

Niższa wydajność (w porównaniu z podobnymi zabezpieczeniami sprzętowymi, takimi jak szyfrowanie);

Dokowanie wielu narzędzi ochrony oprogramowania (a nie ich wbudowanych w oprogramowanie CS, Rys. 1.1 i 1.2), co stwarza intruzowi fundamentalną możliwość ich ominięcia;

Możliwość złośliwej modyfikacji narzędzi ochrony oprogramowania podczas działania CS.

2.2.4 „Uwierzytelnianie użytkownika”

Uwierzytelnianie użytkowników na podstawie haseł i modelu uzgadniania

Przy wyborze haseł użytkownicy CS powinni kierować się dwiema, w zasadzie wzajemnie wykluczającymi się regułami - hasła powinny być trudne do odgadnięcia i łatwe do zapamiętania (ponieważ hasło nie powinno być nigdzie wpisywane w żadnych okolicznościach, gdyż w tym przypadku będzie to konieczne dodatkowo rozwiązać problem zabezpieczenia nośnika hasła).

O złożoności wyboru hasła decyduje przede wszystkim siła zestawu znaków używanych przy wyborze hasła (N) i minimalną możliwą długość hasła (Do). W tym przypadku liczbę różnych haseł można oszacować od dołu jako C p \u003d N k. Na przykład, jeśli zestaw znaków hasła składa się z małych liter łacińskich, a minimalna długość hasła wynosi 3, to C p = 26 3 \u003d 17576 (co jest całkiem sporo w przypadku wyboru oprogramowania). Jeśli zestaw znaków hasła składa się z małych i wielkich liter łacińskich oraz cyfr, a minimalna długość hasła wynosi 6, to C p = 62 6 = 56800235584.

Złożoność haseł wybieranych przez użytkowników CS musi być ustawiona przez administratora podczas wdrażania polityki bezpieczeństwa ustanowionej dla tego systemu. Inne ustawienia zasad konta podczas korzystania z uwierzytelniania hasłem powinny być następujące:

Maksymalny wiek hasła (żadny sekret nie może być wiecznie utrzymywany w tajemnicy);

Hasło nie jest zgodne z logiczną nazwą użytkownika, pod którą jest zarejestrowany w CS;

Unikalność haseł dla jednego użytkownika.

Wymóg niepowtarzalności haseł można zrealizować na dwa sposoby. Po pierwsze, możesz ustawić minimalny wiek hasła (w Inaczej użytkownik zmuszony do zmiany hasła po wygaśnięciu hasła będzie mógł natychmiast zmienić hasło na stare). Po drugie, możesz zachować listę haseł już używanych przez tego użytkownika (maksymalną długość listy może ustawić administrator).

Niestety praktycznie niemożliwe jest zapewnienie rzeczywistej unikalności każdego nowo wybranego hasła przez użytkownika za pomocą powyższych środków. Użytkownik może bez naruszania ustalonych ograniczeń wybrać hasła „Al”, „A2”,… gdzie A1 jest pierwszym hasłem użytkownika spełniającym wymagania złożoności.

Możliwe jest zapewnienie akceptowalnego stopnia złożoności haseł i ich rzeczywistej unikalności poprzez przypisanie haseł wszystkim użytkownikom przez administratora CS przy jednoczesnym uniemożliwieniu użytkownikowi zmiany hasła. Aby wygenerować hasła, administrator może użyć generatora oprogramowania, który umożliwia tworzenie haseł o różnej złożoności.

Jednak przy tej metodzie przypisywania haseł pojawiają się problemy związane z koniecznością stworzenia bezpiecznego kanału przekazywania hasła od administratora do użytkownika, trudność w zweryfikowaniu, że użytkownik nie zapisuje wybranego hasła tylko w swojej pamięci, oraz możliwość nadużycia uprawnień przez administratora znającego hasła wszystkich użytkowników. Dlatego najbardziej celowe jest wybranie hasła przez użytkownika na podstawie reguł ustalonych przez administratora, z możliwością ustawienia przez administratora nowego hasła dla użytkownika w przypadku zapomnienia hasła.

Kolejnym aspektem polityki kont użytkowników CS powinno być określenie przeciwdziałania systemowi w przypadku prób odgadnięcia haseł.

Mogą obowiązywać następujące zasady:

Ograniczenie liczby prób logowania;

Ukrywanie nazwy logicznej ostatnio zalogowanego użytkownika (znajomość nazwy logicznej może pomóc intruzowi odgadnąć lub odgadnąć jego hasło);

Uwzględnij wszystkie próby logowania (udane i nieudane) w dzienniku audytu.

Reakcją systemu na nieudaną próbę logowania użytkownika może być:

Zablokowanie konta, w ramach którego dokonywana jest próba logowania, w przypadku przekroczenia maksymalnej możliwej liczby prób (na określony czas lub do momentu ręcznego odblokowania blokady przez administratora);

Przyrostowy wzrost opóźnienia, zanim użytkownik otrzyma kolejną próbę logowania.

Podczas pierwszego wprowadzania lub zmiany hasła użytkownika zwykle obowiązują dwie klasyczne zasady:

Znaki wprowadzonego hasła nie są wyświetlane na ekranie (ta sama zasada dotyczy użytkownika wprowadzającego hasło podczas logowania do systemu);

Aby potwierdzić poprawność wpisanego hasła (z uwzględnieniem pierwszej zasady), wpis ten jest powtarzany dwukrotnie.

Aby przechowywać hasła, można je wstępnie zaszyfrować lub zaszyfrować.

Szyfrowanie hasła ma dwie wady:

Ponieważ konieczne jest użycie klucza do szyfrowania, wymagane jest zapewnienie jego bezpiecznego przechowywania w CS (znajomość klucza szyfrowania hasła pozwoli na jego odszyfrowanie i nieuprawniony dostęp do informacji);

Istnieje niebezpieczeństwo odszyfrowania dowolnego hasła i uzyskania go w jasny sposób.

Haszowanie jest nieodwracalną transformacją i znajomość wartości skrótu hasła nie da atakującemu możliwości uzyskania go w postaci zwykłego tekstu (będzie mógł jedynie spróbować odgadnąć hasło za pomocą znanej funkcji haszującej). Dlatego znacznie bezpieczniejsze jest przechowywanie haseł w postaci zaszyfrowanej. Wadą jest to, że nie ma nawet teoretycznej możliwości odzyskania zapomnianego przez użytkownika hasła.

Drugi przykład to uwierzytelnianie oparte na wzory uścisku dłoni. Podczas rejestracji w CS użytkownik otrzymuje zestaw małych obrazków (np. piktogramów), spośród których musi wybrać określoną liczbę obrazków. Przy następnym logowaniu otrzymuje inny zestaw obrazów, z których część widział podczas rejestracji. W celu poprawnego uwierzytelnienia użytkownik musi zaznaczyć zdjęcia, które wybrał podczas rejestracji.

Zalety uwierzytelniania opartego na uścisku dłoni nad uwierzytelnianiem hasłem:

Pomiędzy użytkownikiem a systemem nie są przekazywane żadne poufne informacje, które należy zachować w tajemnicy, ja

Każda kolejna sesja logowania użytkownika różni się od poprzedniej, więc nawet długoterminowe monitorowanie tych sesji nic intruzowi nie da.

Wady uwierzytelniania opartego na modelu „uzgadniania” obejmują długi czas trwania tej procedury w porównaniu z uwierzytelnianiem hasłem.

Uwierzytelnianie użytkowników według ich cech biometrycznych

Główne cechy biometryczne użytkowników CS, które można wykorzystać do ich uwierzytelnienia, obejmują:

odciski palców;

Geometryczny kształt dłoni;

Wzór tęczówki oka;

Rysowanie siatkówki;

Geometryczny kształt i wymiary twarzy;

Geometryczny kształt i wielkość ucha itp.

Najczęściej spotykane są sprzęt i oprogramowanie do uwierzytelniania użytkowników na podstawie ich odcisków palców. Do odczytywania tych odcisków palców zwykle używa się klawiatur i myszy wyposażonych w specjalne skanery. Obecność wystarczająco dużych banków danych z odciskami palców) obywateli jest głównym powodem dość powszechnego stosowania takich narzędzi uwierzytelniających w agencjach rządowych, a także w dużych organizacjach komercyjnych. Wadą takich narzędzi jest potencjalne wykorzystanie odcisków palców użytkowników do kontrolowania ich prywatności.

Jeżeli z przyczyn obiektywnych (np. z powodu zanieczyszczenia lokalu, w którym dokonywane jest uwierzytelnianie) niemożliwe jest uzyskanie wyraźnego odcisku palca, wówczas można zastosować uwierzytelnienie na podstawie geometrycznego kształtu dłoni użytkownika. W takim przypadku skanery można zamontować na ścianie pomieszczenia.

Najbardziej niezawodne (ale też najdroższe) są narzędzia do uwierzytelniania użytkowników oparte na cechach oka (wzór tęczówki lub siatkówki). Prawdopodobieństwo nawrotu tych cech szacuje się na 10-78 .

Najtańsze (ale też najmniej niezawodne) są narzędzia uwierzytelniające oparte na geometrycznym kształcie i wielkości twarzy użytkownika lub na barwie jego głosu. Pozwala to na użycie tych narzędzi do uwierzytelniania, gdy zdalny dostęp użytkowników do CS.

Główne zalety uwierzytelniania użytkowników na podstawie ich cech biometrycznych;

Trudność w fałszowaniu tych znaków;

Wysoka niezawodność uwierzytelniania ze względu na unikalność takich funkcji;

Nierozłączność cech biometrycznych z tożsamością użytkownika.

Aby porównać uwierzytelnianie użytkownika na podstawie pewnych cech biometrycznych, wykorzystuje się szacunki prawdopodobieństwa błędów pierwszego i drugiego rodzaju. Prawdopodobieństwo błędu pierwszego rodzaju (odmowa dostępu do CS legalnemu użytkownikowi) wynosi 10 -6 ... 10 -3 . Prawdopodobieństwo błędu drugiego rodzaju (dopuszczenie do pracy w CS niezarejestrowanego użytkownika) w nowoczesne systemy uwierzytelnianie biometryczne wynosi 10-5...10-2.

Powszechną wadą narzędzi uwierzytelniania użytkowników CS w oparciu o ich cechy biometryczne jest ich wyższy koszt w porównaniu z innymi narzędziami uwierzytelniania, co wynika przede wszystkim z konieczności zakupu dodatkowego sprzętu. Metody uwierzytelniania oparte na cechach pisma odręcznego na klawiaturze i malowania myszką użytkowników nie wymagają użycia specjalnego sprzętu.

Uwierzytelnianie użytkowników przez ich pismo odręczne na klawiaturze i malowanie myszką

S.P. Rastorguev był jednym z pierwszych, którzy zaproponowali ideę uwierzytelniania użytkownika zgodnie ze specyfiką ich pracy z klawiaturą i myszą. Podczas opracowywania model matematyczny Uwierzytelnianie na podstawie pisma odręcznego użytkowników na klawiaturze przyjęto, że odstępy czasowe między naciśnięciami sąsiednich znaków hasła i między naciśnięciami w nim określonych kombinacji klawiszy są zgodne z normalnym prawem dystrybucji. istota Ta metoda Uwierzytelnianie ma na celu przetestowanie hipotezy o równości centrów dystrybucji dwóch normalnych populacji ogólnych (uzyskanej podczas konfigurowania systemu pod kątem charakterystyki użytkownika oraz podczas uwierzytelniania).

Rozważmy wariant uwierzytelniania użytkownika za pomocą zestawu fraz kluczowych (takich samych w trybach konfiguracji i uwierzytelniania).

Procedura dostosowania do cech użytkownika zarejestrowanego w CS:

1) wybór frazy kluczowej przez użytkownika (jej symbole muszą być równomiernie rozmieszczone na klawiaturze);

2) kilkakrotne wpisanie frazy kluczowej;

3) wykluczenie rażących błędów (według specjalnego algorytmu);

4) obliczanie i przechowywanie oszacowań oczekiwań matematycznych, wariancji i liczby, obserwacji dla przedziałów czasowych między zestawami każdej pary sąsiednich symboli frazy kluczowej.

Niezawodność uwierzytelniania na podstawie pisma odręcznego na klawiaturze użytkownika jest niższa niż w przypadku korzystania z jej cech biometrycznych.

Jednak ta metoda uwierzytelniania ma również swoje zalety:

Możliwość ukrycia faktu korzystania z dodatkowego uwierzytelnienia użytkownika w przypadku wpisania przez użytkownika frazy kluczowej hasło;

Możliwość wdrożenia tej metody tylko przy pomocy oprogramowania (obniżenie kosztów narzędzi uwierzytelniających).

Rozważmy teraz metodę uwierzytelniania opartą na malowanie myszy(przy pomocy tego manipulatora oczywiście nie da się wykonać przez użytkownika prawdziwego malowania, więc malowanie to będzie dość prostym pociągnięciem). Nazwijmy linię malarską linią przerywaną uzyskaną przez połączenie punktów od początku malowania do jego zakończenia (punkty sąsiadujące nie powinny mieć tych samych współrzędnych). Długość linii malowania obliczamy jako sumę długości odcinków łączących punkty malowania.

Podobnie jak uwierzytelnianie oparte na charakterystyce pisma odręcznego na klawiaturze, autentyczność użytkownika poprzez pisanie myszą potwierdza przede wszystkim tempo jego pracy z tym urządzeniem wejściowym.

Do zalet uwierzytelniania użytkowników poprzez bazgranie ich myszą, podobnie jak używanie pisma odręcznego na klawiaturze, można zaliczyć możliwość wdrożenia tej metody tylko przy pomocy oprogramowania; Wadami są niższa wiarygodność uwierzytelniania w porównaniu z wykorzystaniem cech biometrycznych użytkownika, a także konieczność posiadania przez użytkownika wystarczającej pewności co do umiejętności pracy z myszą.

Wspólną cechą metod uwierzytelniania opartych na charakterystyce pisma odręcznego na klawiaturze i malowaniu myszką jest niestabilność ich właściwości dla tego samego użytkownika, co może być spowodowane:

1) naturalne zmiany związane z poprawą umiejętności użytkownika w zakresie pracy z klawiaturą i myszą lub odwrotnie, z ich pogorszeniem na skutek starzenia się organizmu;

2) zmiany związane z nieprawidłowym stanem fizycznym lub emocjonalnym użytkownika.

Zmiany w charakterystyce użytkownika spowodowane przyczynami pierwszego rodzaju nie są nagłe, dlatego można je zneutralizować, zmieniając charakterystykę odniesienia po każdym pomyślnym uwierzytelnieniu użytkownika.

Zmiany w charakterystyce użytkownika spowodowane przyczynami drugiego rodzaju mogą być nagłe i prowadzić do odrzucenia jego próby wejścia do CS. Jednak ta cecha uwierzytelniania na podstawie pisma odręcznego na klawiaturze i malowania myszką może również stać się zaletą, jeśli mówimy o użytkownikach CS do celów wojskowych, energetycznych i finansowych.

Obiecującym kierunkiem w rozwoju metod uwierzytelniania użytkowników CS na podstawie ich cech osobowych może być potwierdzenie autentyczności użytkownika na podstawie jego wiedzy i umiejętności charakteryzujących poziom wykształcenia i kultury.