Acces neautorizat - citirea, actualizarea sau distrugerea informațiilor fără autoritatea corespunzătoare pentru a face acest lucru.

Accesul neautorizat se realizează, de regulă, prin folosirea numelui altcuiva, modificarea adreselor fizice ale dispozitivelor, utilizarea informațiilor rămase după rezolvarea problemelor, modificarea software-ului și suport informativ, furtul suporturilor de stocare, instalarea aparaturii de înregistrare.

Pentru a vă proteja cu succes informațiile, utilizatorul trebuie să aibă o înțelegere absolut clară a posibilului modalități de acces neautorizat. Enumerăm principalele modalități tipice de obținere a informațiilor fără permisiune:

· furtul de medii de depozitare și deșeuri industriale;

· copierea suporturilor de stocare cu depășirea măsurilor de securitate;

· deghizarea în utilizator înregistrat;

· farsă (deghizată în cereri de sistem);

· exploatarea deficiențelor sistemelor de operare și ale limbajelor de programare;

· utilizarea marcajelor software și a blocurilor software de tip „Cal Troian”;

· interceptarea radiaţiilor electronice;

· interceptarea radiaţiilor acustice;

· fotografierea la distanță;

· utilizarea dispozitivelor de ascultare;

· dezactivarea intenționată a mecanismelor de protecție etc.

Pentru a proteja informațiile împotriva accesului neautorizat, se folosesc următoarele:

1) evenimente organizatorice;

2) mijloace tehnice;

3) software;

4) criptare.

Evenimente organizatorice include:

· mod de acces;

· stocarea media și a dispozitivelor într-un seif (dischete, monitor, tastatură etc.);

· restricționarea accesului persoanelor la sălile de calculatoare etc.

Mijloace tehnice include:

· filtre, ecrane pentru echipamente;

· tasta pentru blocarea tastaturii;

· dispozitive de autentificare – pentru citirea amprentelor, forma mâinii, irisul, viteza și tehnicile de tastare etc.;

· chei electronice pe microcircuite etc.

Software include:

· acces prin parolă – setarea permisiunilor utilizatorului;

· blocați ecranul și tastatura folosind o combinație de taste din utilitarul Diskreet din pachetul Norton Utilites;

· utilizarea fondurilor protecție cu parolă BIOS – pentru BIOS-ul propriu-zis și pentru PC în ansamblu etc.

Criptare– aceasta este o conversie (codificare) informații deschise criptate, inaccesibile străinilor. Criptarea este utilizată în primul rând pentru a transmite informații sensibile prin canale de comunicare nesecurizate. Puteți cripta orice informație - texte, imagini, sunet, baze de date etc. Omenirea a folosit criptarea încă din zorii timpurilor. informatii secrete, care trebuia ascuns de dușmani. Primul mesaj criptat cunoscut de știință este un text egiptean, în care au fost folosite alte caractere în locul hieroglifelor acceptate atunci. Știința studiază metode de criptare și decriptare a mesajelor. criptologie , a cărui istorie datează de aproximativ patru mii de ani. Este format din două ramuri: criptografie și criptoanaliza.

Criptografie este știința modalităților de criptare a informațiilor. Criptanaliză este știința metodelor și tehnicilor de spargere a cifrurilor.

De obicei, se presupune că algoritmul de criptare în sine este cunoscut de toată lumea, dar cheia sa este necunoscută, fără de care mesajul nu poate fi decriptat. Aceasta este diferența dintre criptare și codificare simplă, în care pentru a restabili un mesaj este suficient să cunoști doar algoritmul de codare.

Cheie- acesta este un parametru al algoritmului de criptare (cifrare), care vă permite să selectați o anumită transformare din toate opțiunile oferite de algoritm. Cunoașterea cheii vă permite să criptați și să decriptați liber mesajele.

Toate cifrurile (sistemele de criptare) sunt împărțite în două grupuri - simetrice și asimetrice (cu cheie publică). Cifru simetric înseamnă că aceeași cheie este folosită atât pentru a cripta, cât și pentru a decripta mesajele. În sistemele cu cheie publică sunt folosite două chei - publică și privată, care sunt legate între ele folosind unele dependențe matematice. Informațiile sunt criptate folosind o cheie publică, care este disponibilă pentru toată lumea, și decriptate folosind o cheie privată, cunoscută doar de destinatarul mesajului.

Puterea cifrului este rezistența unui cifr la decriptare fără a cunoaște cheia. Un algoritm este considerat rezistent dacă, pentru o dezvăluire cu succes, necesită din partea inamicului resurse de calcul de neatins, un volum de mesaje interceptate de neatins sau un timp în care, după expirarea sa, informațiile protejate nu vor mai fi relevante.

Unul dintre cele mai faimoase și mai vechi cifruri este Cifrul Caesar. În acest cifr, fiecare literă este înlocuită cu alta, aflată în alfabet un număr dat de poziții k la dreapta acesteia. Alfabetul este închis într-un inel, astfel încât ultimele caractere sunt înlocuite cu primele. Cifrul Caesar se referă la cifruri simple de substituție, deoarece fiecare caracter al mesajului original este înlocuit cu un alt caracter din același alfabet. Astfel de cifruri sunt ușor de rezolvat folosind analiza frecvenței, deoarece în fiecare limbă frecvența de apariție a literelor este aproximativ constantă pentru orice text suficient de mare.

Mult mai greu de spart Cifrul Vigenere, care a devenit o dezvoltare naturală a cifrului Caesar. Pentru a utiliza cifrul Vigenère, utilizați cuvânt cheie, care stabilește valoare variabilă schimb Cifrul Vigenère are o putere criptografică semnificativ mai mare decât cifrul Caesar. Aceasta înseamnă că este mai dificil să îl deschideți - să găsiți cuvântul cheie potrivit. Teoretic, dacă lungimea cheii este egală cu lungimea mesajului și fiecare cheie este folosită o singură dată, cifrul Vigenère nu poate fi spart.

La analizarea problemelor legate de obținerea informațiilor stocate și prelucrate în sisteme informatice, principalele metode de acces neautorizat s-au presupus a fi următoarele:

Depășirea măsurilor de securitate software;

Copierea neautorizată a informațiilor;

Interceptarea informațiilor în canalele de comunicare;

Utilizarea marcajelor software;

Utilizarea marcajelor hardware;

Interceptarea radiațiilor electromagnetice false și a interferențelor (PEMIN).

Când luăm în considerare metodele de protecție, nu le vom separa prin metodele de mai sus, deoarece în multe cazuri aceleași metode sunt eficiente în prevenire tipuri variate acces neautorizat.

Principalele metode de protecție sunt următoarele:

Autentificarea utilizatorilor în etapa de înregistrare a acreditărilor;

Protecția fizică a sistemelor informatice;

Identificarea marcajelor software și hardware;

Codificarea informațiilor.

Aceste metode (și alte) în diferite combinații sunt implementate în sistemele software și hardware-software pentru protejarea informațiilor computerului împotriva accesului neautorizat. Unele dintre aceste sisteme vor fi descrise mai jos.

Desigur, pentru protejarea informațiilor informatice trebuie aplicată întreaga gamă de măsuri organizatorice și tehnice, inclusiv securitatea fizică a teritoriului, introducerea controlului accesului, implementarea zgomotului liniar și spațial, identificarea dispozitivelor încorporate etc. Dar sunt tipice pentru orice sisteme informatice, deci aici acestea sunt separate nu vor fi luate în considerare.

Autentificarea utilizatorilor în etapa de înregistrare a acreditărilor. Limitarea accesului utilizatorilor la resursele de calcul implică utilizarea unor concepte precum identificarea și autentificarea.

Identificarea este atribuirea unei imagini individuale, nume sau număr unui subiect (persoană) sau obiect (calculator, disc etc.) prin care va fi identificat în sistem.

Autentificare - verificarea autenticității unui obiect sau subiect pe baza caracteristicilor sale de identificare.

Autentificarea poate fi efectuată de o persoană, un dispozitiv hardware sau un program de sistem de calculator. Dispozitivele de autentificare automată utilizează de obicei:

semne fiziologice individuale: amprenta (Fig. 185), conturul palmei (Fig. 189), imaginea retinei etc.

Orez. 185. Aspectul dispozitivului de autentificare a amprentei

Orez. 186. Vedere externă a dispozitivului de autentificare a parolei din palmă;

dispozitive speciale de identificare (Toys Metogu), realizate sub formă de brelocuri - „tablete”, carduri magnetice din plastic etc., identificate cu ajutorul dispozitivelor speciale de citire a informațiilor (vezi Fig. 187).

Orez. 187. Reader instalat pe un computer

Fiecare dintre aceste caracteristici are propriile sale avantaje și dezavantaje. De exemplu, parolele sunt adesea banale și ușor de ghicit, iar utilizatorii le notează de obicei în blocnotes; semnele fiziologice individuale ale unei persoane se pot schimba (de exemplu, o tăietură pe un deget); Dispozitivul de identificare poate fi pierdut sau furat de către utilizator. Prin urmare, în prezent în sistemele de autentificare încearcă să se integreze tipuri diferite caracteristici de identificare: parola - amprenta mainii, parola - card magnetic etc.

Ca urmare a autentificării, se determină autoritatea utilizatorului pentru accesul la resursele sistemului informatic (fișiere, baze de date, segmente de memorie) și pentru tipurile de operațiuni efectuate (citire, scriere, execuție etc.).

Autentificarea este un proces fundamental necesar, inerent tuturor sistemelor de securitate a informațiilor, rolul său crește în special acces de la distanță pe net.

Protecția fizică a sistemelor informatice presupune utilizarea unor dispozitive care ar împiedica accesul la informații fără a încălca integritatea fizică a computerului personal.

Într-un număr de cazuri, este fundamental să se utilizeze măsuri care exclud accesul secret (inclusiv obișnuit) la un computer în scopul copierii sau modificării informațiilor. Cele mai bune instrumente pentru rezolvarea acestei probleme sunt: protectie fizica.

1. Etanșare unitate de sistemși alte elemente ale sistemului informatic cu sigilii speciale sau sigiliul șefului serviciului de pază.

Sigilarea unității de sistem elimină necontrolat acces neautorizat la informațiile de pe hard disk (ocolind sistemul de securitate instalat) prin scoaterea unității și conectarea acesteia la un alt computer. In afara de asta, această procedură vă permite să eliminați pericolul marcajelor hardware în dispozitivul dvs. de calcul, desigur, dacă ați avut grijă să verificați absența lor înainte de a sigila computerul. După verificare, nu fi leneș să sigilați toate celelalte componente, inclusiv cablurile de corecție, deoarece tehnologii moderne vă permit să setați marcaje și în ele.

2. Instalare insertii speciale in buzunar" unitate de dischetă echipat cu broasca cu cheie.

Această măsură poate fi folosită ca mijloc de protecție împotriva copierii secrete a informațiilor, împotriva infecției computerului cu viruși și marcaje software.

3. Utilizarea încuietorilor speciale care blochează tastatura computerului. Acesta este un mijloc eficient de a proteja informațiile de posibile modificări intenționate, precum și de infecție. virusi informaticiși instalarea de marcaje software.

4. Organizarea depozitării magnetice şi medii optice informații în seifuri sau în dischete speciale cu blocare. Vă permite să excludeți copierea secretă a informațiilor de pe aceste medii, modificarea acesteia, infectarea cu viruși informatici și introducerea de marcaje software.

Identificarea marcajelor software și hardware. Eliminarea marcajelor software dintr-un computer personal este o sarcină apropiată în esență de sarcina de a lupta împotriva virușilor informatici. Faptul este că în prezent nu există o clasificare clară a programelor cu potențial influențe periculoase. De exemplu, programe precum „calul troian”, bombele logice, virușii și altele sunt de obicei distinse.

Prin „cal troian” înțelegem programe concepute pentru a rezolva unele probleme secrete, dar deghizate în produse software „nobile”. Un exemplu clasic de „troieni” sunt programele identificate în unele programe software. tranzactii financiare rețele bancare locale. Aceste programe efectuau operațiunea de creditare a sumelor echivalente cu „jumătate de ban” în contul proprietarilor săi. Asemenea sume rezultate din operațiunile de transfer bancar trebuie rotunjite, astfel că dispariția lor a trecut neobservată. Furtul a fost descoperit doar din cauza creșterii rapide a conturilor personale ale angajaților responsabili de software. Creșterea fără precedent s-a datorat unui număr mare de operațiuni de conversie. Programele troiene includ, de asemenea, marcajele software discutate mai sus.

De regulă, bombele logice sunt programe care își desfășoară acțiunile distructive atunci când sunt îndeplinite anumite condiții, de exemplu, dacă a treisprezecea zi a lunii cade vineri, vine 26 aprilie etc.

Virușii, așa cum sa menționat mai sus, sunt programe capabile să „reproducă” și să efectueze acțiuni negative.

Condiționalitatea unei astfel de clasificări poate fi spusă pe baza faptului că exemplul cu un program de marcaj în sistemul financiar al unei bănci poate fi, de asemenea, clasificat ca o bombă logică, deoarece a avut loc evenimentul creditării „jumătate de ban” într-un cont personal. ca urmare a îndeplinirii unei condiții – un sold fracționar ca urmare a tranzacțiilor care implică o sumă de bani. Bomba logică „Friday the Thirteenth” nu este altceva decât un virus, deoarece are capacitatea de a infecta alte programe. Și, în general, programele de marcaje pot fi încorporate într-un computer nu numai ca urmare a includerii lor directe în textul unor produse software specifice, ci și, ca un virus, prin indicarea unei adrese specifice pentru plasarea viitoare și puncte de intrare.

Din cele de mai sus rezultă că, pentru a vă proteja computerul de marcajele software, trebuie să respectați toate cerințele stabilite atunci când luați în considerare problemele de combatere a virușilor informatici. În plus, este necesar să excludeți accesul necontrolat la facilitățile dumneavoastră de calcul străini, care poate fi asigurată, inclusiv prin utilizarea mijloacelor de protecție fizică deja discutate.

În ceea ce privește problemele de combatere a marcajelor software - interceptoare de parole, trebuie reținute următoarele măsuri.

1. Cerințe pentru protecția împotriva simulatoarelor sistemului de înregistrare:

Procesul de sistem, care primește de la utilizator numele și parola sa la înregistrare, trebuie să aibă propriul desktop, inaccesibil celorlalți produse software;

Introducerea identificării utilizatorului (de exemplu, o parolă) trebuie făcută folosind combinații de taste care nu sunt disponibile altora programe de aplicație;

Timpul pentru autentificare ar trebui limitat (aproximativ 30 s), ceea ce va face posibilă identificarea programelor de simulare pe baza faptului că fereastra de înregistrare rămâne pe ecranul monitorului pentru o perioadă lungă de timp.

2. Condiții care asigură protecție împotriva programelor de interceptare a parolelor de tip filtru:

Preveniți schimbarea aspectului tastaturii în timp ce introduceți o parolă;

Oferiți acces la opțiunile de configurare a lanțului module softwareși la modulele înseși implicate în lucrul cu parola utilizatorului, doar la administratorul de sistem.

3. Protecția împotriva pătrunderii substituenților modulelor software ale sistemului de autentificare nu prevede recomandări specifice, ci poate fi implementată doar pe baza unei politici permanente, bine gândite a șefului serviciului de securitate și administrator de sistem; O oarecare consolare aici poate fi probabilitatea scăzută ca concurenții tăi să folosească programe de înlocuire datorită complexității implementării lor practice.

Cel mai îndeplinește pe deplin toate cerințele menționate pentru protecție împotriva marcajelor software - interceptoare de parole sistem de operare Windows NT și parțial UNIX.

Numai organizațiile autorizate de Agenția Federală pentru Comunicații și Informații Guvernamentale pentru acest tip de activitate pot identifica în mod profesional marcajele hardware. Aceste organizații au echipamente adecvate, tehnici și personal instruit. Este posibil să dezvăluiți femelei hardware primitiv doar folosind o metodă artizanală. Dacă întâmpinați anumite dificultăți financiare și nu vă puteți permite să încheiați un acord adecvat, atunci cel puțin luați măsuri pentru a vă proteja fizic computerul.

Codificarea informațiilor oferă cel mai înalt nivel de protecție împotriva accesului neautorizat. Cel mai simplu tip de codare poate fi considerat comprimarea obișnuită a datelor folosind programe de arhivare, dar deoarece poate proteja numai de un utilizator necalificat, arhivarea nu trebuie considerată o metodă independentă de protecție. Cu toate acestea, o astfel de codificare face posibilă creșterea puterii criptografice a altor metode atunci când sunt utilizate împreună.

Fără a atinge principalele metode de codare, vom lua în considerare doar exemple de sisteme hardware, software și de securitate a informațiilor în care codarea este unul dintre elementele egale împreună cu alte metode de securitate.

Complexul hardware și software „Accord”. Acesta constă dintr-un controler cu o singură placă care se conectează la un slot disponibil pentru computer, un dispozitiv de autentificare a contactelor, software și identificatori personali DS199x Touch Memory sub formă de tabletă. Dispozitivul de contact (extractor de informații) este instalat pe panoul frontal al computerului, iar autentificarea se realizează prin atingerea „pilulei” (identificatorul) cu extractor. Procesul de autentificare are loc înainte de pornirea sistemului de operare. co-

Stocarea datelor este oferită ca o funcție suplimentară și se realizează folosind software suplimentar.

Complexul software și hardware „Dallas LockZ.1”. Oferă oportunități ample privind protecția informațiilor, inclusiv: asigură înregistrarea utilizatorului înainte de încărcarea sistemului de operare și numai la prezentarea personalului card electronic Atingeți Memorie și introduceți o parolă; implementează blocarea automată și forțată a computerului cu golirea ecranului monitorului în absența utilizatorului înregistrat; efectuează ștergerea garantată a fișierelor atunci când acestea sunt șterse; realizează codificarea fișierelor rezistentă la zgomot.

Sistem software protecția informațiilor „Cobra”. Autentifică utilizatorii folosind o parolă și le diferențiază puterile. Vă permite să lucrați în criptare transparentă. Oferă grad înalt protecția informațiilor din computerele personale.

Sistem de protecție software „Snow-1.0”. Proiectat pentru a controla și restricționa accesul la informațiile stocate pe un computer personal, precum și pentru a proteja resursele de informații ale stației de lucru locale rețea de calculatoare. „Snow-1.0” include un sistem de codificare a informațiilor certificat „Rime”, construit folosind algoritmul standard de conversie a datelor criptografice GOST 28147-89.

Un exemplu de sistem care codifică doar informații este dispozitivul Krypton-ZM.

Vă reamintim că această subsecțiune a discutat despre metodele de protecție care sunt unice pentru rețelele de calculatoare. Cu toate acestea, protecția completă a informațiilor din facilitățile de calcul este imposibilă fără aplicarea cuprinzătoare a tuturor măsurilor organizatorice și tehnice descrise mai sus.

Dacă activitatea companiei dvs. este legată de implementarea ordinelor guvernamentale, atunci cel mai probabil nu vă puteți descurca fără obținerea unei licențe de lucru cu secrete de stat și, prin urmare, verificarea echipamentului pentru posibile „marcaje” încorporate și pentru prezența și pericolul tehnicilor. canale pentru scurgerea de informații. Cu toate acestea, dacă nu există o astfel de nevoie, atunci în unele cazuri o puteți face singur, deoarece costul unei astfel de lucrări este încă destul de mare.

Protecție împotriva accesului neautorizat la date

Accesul neautorizat (UA) al unui atacator la un computer este periculos nu numai din cauza posibilității de citire și/sau modificare a datelor prelucrate. documente electronice, dar și posibilitatea unui atacator controlat marcaj software, ceea ce îi va permite să întreprindă următoarele acțiuni:

2. Interceptați diverse informații cheie utilizate pentru protejarea documentelor electronice.

3. Utilizați computerul capturat ca o trambulină pentru a captura alte computere din rețeaua locală.

4. Distrugeți informațiile stocate pe computer sau dezactivați computerul rulând software rău intenționat.

Protejarea computerelor împotriva accesului neautorizat este una dintre principalele probleme ale securității informațiilor, motiv pentru care majoritatea sistemelor de operare și a pachetelor de software populare au încorporate diferite subsisteme de protecție anti-adversitate. De exemplu, efectuarea autentificării utilizatorilor atunci când se conectează la sistemele de operare Familia Windows. Cu toate acestea, nu există nicio îndoială că instrumentele încorporate ale sistemelor de operare nu sunt suficiente pentru o protecție serioasă împotriva accesului neautorizat. Din păcate, implementarea subsistemelor de securitate ale majorității sistemelor de operare provoacă destul de des critici din cauza vulnerabilităților descoperite în mod regulat care permit accesul la obiectele protejate prin ocolirea regulilor de control al accesului. Pachetele de actualizare și patch-uri lansate de producătorii de software rămân în mod obiectiv oarecum în urma informațiilor despre vulnerabilitățile detectate. Prin urmare, pe lângă mijloace standard trebuie folosită protecția mijloace speciale restricții sau restricții de acces.
Aceste fonduri pot fi împărțite în două categorii:

1. Mijloace de limitare a accesului fizic.

2. Mijloace de protecție împotriva accesului neautorizat prin rețea.

Mijloace de limitare a accesului fizic

Cea mai fiabilă soluție la problema limitării accesului fizic la un computer este utilizarea protecției hardware a informațiilor împotriva accesului neautorizat, care se execută înainte ca sistemul de operare să fie încărcat. Dispozitivele de securitate din această categorie sunt numite „încuietori electronice”. Un exemplu de blocare electronică este prezentat în Fig. 5.3.

Figura 5.3 – Blocare electronică pt Autobuze PCI

Teoretic, orice instrument de control al accesului software poate fi expus unui atacator pentru a distorsiona algoritmul de funcționare al unui astfel de instrument și, ulterior, a obține acces la sistem. Este aproape imposibil să faci acest lucru cu securitatea hardware: încuietoarea electronică efectuează toate acțiunile pentru a controla accesul utilizatorului în propriul mediu software de încredere, care nu este supus influente externe.
Pe etapa pregătitoare Când utilizați o încuietoare electronică, aceasta este instalată și configurată. Configurarea include următoarele acțiuni, de obicei efectuate de persoana responsabilă - administratorul de securitate:

1. Crearea unei liste de utilizatori cărora li se permite accesul la computerul protejat. Pentru fiecare utilizator este generat un mediu cheie (în funcție de interfețele suportate de o anumită lacăt - dischetă, tabletă electronică iButton sau smart card), care va fi folosit pentru autentificarea utilizatorului la intrare. Lista utilizatorilor este salvată în memoria nevolatilă a lacătului.

2. Formarea unei liste de fișiere, a căror integritate este controlată de un blocare înainte de încărcarea sistemului de operare al computerului. Supuse controlului fișiere importante sistem de operare, de exemplu următoarele:

Biblioteci de sistem Windows;

Module executabile ale aplicațiilor utilizate;

Șabloane de documente Microsoft Word etc.

Monitorizarea integrității fișierelor este calculul sumei de control de referință a acestora, de exemplu, hashing conform algoritmului GOST R 34.11-94, stocarea valorilor calculate în memoria nevolatilă a blocării și calculul ulterioar al sumelor de control reale ale dosarele și compararea cu cele de referință. În funcționare normală, încuietoarea electronică primește control din BIOS-ul computerului protejat după ce acesta din urmă este pornit. În această etapă sunt efectuate toate acțiunile de control al accesului la computer (vezi diagrama simplificată a algoritmului din Fig. 5.4), și anume:

Figura 5.4 – Diagrama simplificată a algoritmului de funcționare a blocării electronice

1. Lacătul solicită utilizatorului un mediu cu informații cheie necesare pentru autentificarea acestuia. Dacă informațiile cheie în formatul cerut nu sunt furnizate sau dacă utilizatorul identificat prin informațiile furnizate nu este inclus în lista de utilizatori ai computerului protejat, lacătul blochează încărcarea computerului.

2. Dacă autentificarea utilizatorului are succes, blocarea calculează sumele de control ale fișierelor conținute în lista de controlate și compară sumele de control primite cu cele de referință. Dacă integritatea a cel puțin unui fișier din listă este deteriorată, computerul va fi blocat de la pornire. Pentru a putea lucra în continuare acest calculator este necesar ca problema să fie rezolvată de către Administrator, care trebuie să afle motivul modificării fișierului controlat și, în funcție de situație, să ia una dintre următoarele acțiuni pentru a permite continuarea lucrului cu computerul protejat:

Restabili dosarul original;

Eliminați un fișier din lista de fișiere controlate.

3. Dacă toate verificările au succes, blocarea returnează controlul computerului pentru a încărca sistemul de operare standard.

Deoarece pașii descriși mai sus au loc înainte ca sistemul de operare al computerului să se încarce, blocarea își încarcă de obicei propriul sistem de operare (situat în memoria nevolatilă - de obicei MS-DOS sau asemănător OS, care nu impune cerințe mari de resurse), în care se efectuează autentificarea utilizatorului și verificările integrității fișierelor. Acest lucru are sens și din punct de vedere al securității - propriul sistem de operare al lacătului nu este supus niciunei influențe externe, ceea ce împiedică atacatorul să influențeze procesele de control descrise mai sus. Informațiile despre autentificarea utilizatorului la computer, precum și despre încercările de acces neautorizat, sunt stocate într-un jurnal, care se află în memoria nevolatilă a lacătului. Jurnalul poate fi vizualizat de către administrator. Există o serie de probleme atunci când utilizați încuietori electronice, în special:

1. BIOS Unele computere moderne pot fi configurate astfel încât controlul să nu fie transferat în BIOS-ul lacătului în timpul pornirii. Pentru a contracara astfel de setări, blocarea trebuie să poată bloca computerul de la pornirea (de exemplu, prin închiderea contactelor Resetați) dacă încuietoarea nu primește control într-o anumită perioadă de timp după pornirea alimentării.

2. Un atacator poate pur și simplu să scoată lacătul din computer. Cu toate acestea, există o serie de contramăsuri:

Diverse măsuri organizatorice și tehnice: etanșarea carcasei computerului, asigurarea faptului că utilizatorii nu au acces fizic la unitatea de sistem informatică etc.

Există încuietori electronice care pot bloca carcasa sistemului computerului din interior cu o încuietoare specială la comanda administratorului - în acest caz, încuietoarea nu poate fi scoasă fără deteriorarea semnificativă a computerului.

Destul de des, încuietorile electronice sunt combinate structural cu un criptator hardware. În acest caz, măsura de securitate recomandată este utilizarea unui lacăt împreună cu un instrument software pentru criptarea transparentă (automată) a unităților logice ale computerului. În acest caz, cheile de criptare pot fi derivate din cheile utilizate pentru autentificarea utilizatorilor încuietoare electronică, sau chei separate, dar stocate pe același suport ca și cheile utilizatorului pentru a vă conecta la computer. Un astfel de instrument cuprinzător de protecție nu va solicita utilizatorului să efectueze niciunul acțiuni suplimentare, dar nu va permite unui atacator să obțină acces la informații chiar dacă hardware-ul de blocare electronică este eliminat.

Mijloace de protecție împotriva accesului neautorizat prin rețea

Cel mai metode eficiente protecția împotriva accesului neautorizat prin rețelele de calculatoare sunt rețele private virtuale ( VPN – Rețea privată virtuală) și firewalling. Să le privim în detaliu.

Rețele private virtuale

Rețelele private virtuale protejează automat integritatea și confidențialitatea mesajelor transmise prin diferite rețele uz comunîn primul rând prin Internet. De fapt, VPN este un ansamblu de rețele pe al căror perimetru exterior VPN-agenţi (Fig. 5.5). VPN-agent este un program (sau complex software și hardware) care asigură de fapt protecția informațiilor transmise prin efectuarea operațiunilor descrise mai jos.

Orez. 5.5 - Diagrama construirea unui VPN

Înainte de a trimite oricare IP-pachet VPN- agentul face următoarele:

1. Din titlu IP-pachet este alocată informații despre destinatarul său. Conform acestor informații, pe baza politicii de securitate a acesteia VPN-agent, algoritmii de protecție sunt selectați (dacă VPN-agentul suporta mai multi algoritmi) si chei criptografice cu care va fi protejat acest pachet. În cazul în care politica de securitate VPN- nu este asigurată dispeceratul agentului IP-pachet către acest destinatar sau IP-pachet cu aceste caracteristici, expediere IP-pachetul este blocat.

2. Folosind algoritmul de protecție a integrității selectat, acesta este generat și adăugat la IP- pachet de semnătură digitală electronică (EDS), prefix de imitație sau sumă de control similară.

3. Criptarea se realizează utilizând algoritmul de criptare selectat IP-pachet.

4. Cu algoritm stabilitîncapsularea pachetelor este criptată IP- pachetul este plasat într-un pachet IP gata de transmisie, al cărui antet, în loc de informațiile originale despre destinatar și expeditor, conține informații despre VPN-agentul destinatarului și VPN- agentul expeditorului. Acestea. Se realizează traducerea adresei de rețea.

5. Pachetul este trimis VPN- agentul destinatarului. Dacă este necesar, este împărțit și pachetele rezultate sunt trimise unul câte unul.

La admitere IP-pachet VPN- agentul face următoarele:

1. Din titlu IP-informațiile pachetului despre expeditorul acestuia sunt evidențiate. Dacă expeditorul nu este permis (conform politicii de securitate) sau este necunoscut (de exemplu, la primirea unui pachet cu un antet corupt în mod deliberat sau accidental), pachetul nu este procesat și este aruncat.

2. Algoritmii de protecție sunt selectați conform politicii de securitate a acestui pachetși cheile care vor fi folosite pentru a decripta pachetul și a verifica integritatea acestuia.

3. Partea de informații (încapsulată) a pachetului este izolată și decriptată.

4. Integritatea pachetului este monitorizată pe baza algoritmului selectat. Dacă este detectată o încălcare a integrității, pachetul este aruncat.

5. Pachetul este trimis la destinație (prin rețeaua internă) conform informațiilor din antetul său original.

VPN-agentul poate fi localizat direct pe computerul protejat (de exemplu, calculatoarele „utilizatori la distanță” din Fig. 5.5). În acest caz, este folosit pentru a proteja schimb de informatii doar computerul pe care este instalat, dar principiile de funcționare descrise mai sus rămân neschimbate.
Regula de bază a construcției VPN– comunicarea între o rețea LAN securizată și o rețea deschisă trebuie efectuată numai prin intermediul VPN-agenți. Nu ar trebui să existe absolut niciun mijloc de comunicare care să ocolească bariera de protecție din formular VPN-agent. Acestea. trebuie definit un perimetru protejat, comunicarea cu care se poate realiza numai printr-un mijloc adecvat de protectie. O politică de securitate este un set de reguli conform cărora sunt stabilite canale de comunicare securizate între abonați VPN. Astfel de canale sunt de obicei numite tuneluri, analogia cu care poate fi văzută în următoarele:

1. Toate informațiile transmise într-un tunel sunt protejate atât de vizionarea neautorizată, cât și de modificare.

2. Încapsulare IP pachetele vă permite să ascundeți topologia rețelei LAN interne: de pe Internet, schimbul de informații între două LAN-uri protejate este vizibil ca un schimb de informații doar între ele VPN-agenți, deoarece totul este intern IP-adrese transmise prin internet IP-pachetele nu apar in acest caz.

Regulile pentru crearea tunelurilor se formează în funcție de diverse caracteristici IP-pachete, de exemplu, cel principal la construirea celor mai multe VPN protocol IPSec (Arhitectura de securitate pentru IP) setează următorul set de date de intrare prin care sunt selectați parametrii de tunel și se ia o decizie la filtrarea unui anumit IP-pachet:

1. IP- Sursa adresei. Aceasta poate fi nu numai o singură adresă IP, ci și o adresă de subrețea sau o serie de adrese.

2. IP-adresa de destinatie. De asemenea, poate exista o serie de adrese specificate în mod explicit, folosind o mască de subrețea sau un wildcard.

3. ID utilizator (expeditor sau destinatar).

4. Protocolul stratului de transport ( TCP/UDP).

5. Numărul portului de la sau către care a fost trimis pachetul.

Un firewall este un instrument software sau hardware-software care protejează rețelele locale și computerele individuale de accesul neautorizat din rețelele externe prin filtrarea fluxului bidirecțional de mesaje atunci când se schimbă informații. De fapt, firewall-ul este „demontat” VPN-un agent care nu criptează pachetele și nu controlează integritatea acestora, dar în unele cazuri are un număr de funcții suplimentare, dintre care cele mai frecvente sunt următoarele:

Scanare antivirus;

Monitorizarea corectitudinii pachetelor;

Monitorizarea corectitudinii conexiunilor (de exemplu, stabilirea, utilizarea și încetarea TCP-sedinte);

Controlul conținutului.

Sunt apelate firewall-uri care nu au funcțiile descrise mai sus și efectuează doar filtrarea pachetelor filtre de pachete. Prin analogie cu VPN-agenții există și ca firewall-uri personale care protejează doar computerul pe care sunt instalați. Firewall-urile sunt, de asemenea, amplasate pe perimetrul rețelelor protejate și filtrului trafic de rețea conform politicii de securitate configurate.

O încuietoare electronică poate fi dezvoltată pe baza unui codificator hardware. În acest caz, obțineți un dispozitiv care îndeplinește funcțiile de criptare, generare numere aleatoriiși protecție împotriva NSD. Un astfel de criptator poate fi centrul de securitate al întregului computer, pe baza acestuia se poate construi un sistem complet funcțional protecţie criptografică date, oferind, de exemplu, următoarele capabilități:

1. Protejați-vă computerul de accesul fizic.

2. Protejarea computerului împotriva accesului neautorizat prin intermediul rețelei și organizare VPN.

3. Criptarea fișierelor la cerere.

4. Criptarea automată a unităților logice ale computerului.

5. Calculul/verificarea semnăturii digitale.

6. Protejați mesajele de e-mail.

Protecția împotriva accesului neautorizat (protecția împotriva accesului neautorizat) reprezintă prevenirea sau dificultatea semnificativă a accesului neautorizat.

Un instrument pentru protejarea informațiilor împotriva accesului neautorizat (IPS de la NSD) este un instrument software, hardware sau software-hardware conceput pentru a preveni sau împiedica în mod semnificativ accesul neautorizat.

Scopul și clasificare generala SZI.

Sistemele de protecție a informațiilor din NSD pot fi împărțite în universale și specializate (pe domeniul de aplicare), în soluții private și complexe (după totalitatea sarcinilor rezolvate), în instrumente de sistem încorporate și altele suplimentare (prin metoda de implementare) .

Clasificarea este extrem de importantă, deoarece la construirea unui sistem de securitate a informațiilor de fiecare tip, dezvoltatorii formulează și decid complet sarcini diferite(uneori contradictorii unul cu altul). Astfel, conceptul de protecție a instrumentelor de sistem universale se bazează pe principiile „încrederii depline în utilizator” în care protecția acestora este în mare măsură inutilă sisteme corporative, de exemplu, la rezolvarea problemelor de contracarare a amenințărilor IT interne. Marea majoritate a sistemelor de securitate a informațiilor de astăzi sunt create pentru a consolida mecanismele de securitate încorporate în sistemele de operare universale pentru utilizare într-un mediu corporativ. Dacă vorbim despre un set de sarcini de rezolvat, atunci ar trebui să vorbim despre integrarea mecanismelor, ambele parțial solutie eficienta o sarcină specifică de protecție, precum și în ceea ce privește rezolvarea unui complex de probleme.

Proprietățile consumatorului (scopul) sistemului de protecție a informațiilor suplimentare din DNS sunt determinate de măsura în care instrumentul suplimentar elimină deficiențele arhitecturale ale mecanismelor de protecție încorporate în sistemul de operare, în legătură cu rezolvarea sarcinilor necesare în aplicații corporative, și cât de cuprinzător (eficient) rezolvă acest set de probleme de securitate a informațiilor.

Întrebări pentru evaluarea eficienței sistemelor de protecție a informațiilor din DNS

Eficacitatea securității informațiilor împotriva nediscriminării poate fi evaluată prin examinarea problemelor implementării corecte a mecanismelor de protecție și a suficienței unui set de mecanisme de protecție în raport cu condițiile practice de utilizare.

Evaluarea corectitudinii implementarii mecanismelor de protectie

La prima vedere, o astfel de evaluare nu este dificil de realizat, dar în practică nu este întotdeauna cazul. Un exemplu: în fișier NTFS un obiect poate fi identificat în diverse moduri: pentru a fi afisat obiectele specificate nume lungi, îl puteți accesa printr-un nume scurt (de exemplu, directorul „Fișiere de program” poate fi accesat cu numele scurt „Progra~1”), iar unele programe accesează obiectele fișierului nu după nume, ci prin ID. Dacă sistemul de securitate a informațiilor instalat în sistemul informațional nu interceptează și analizează doar o modalitate similară de accesare a unui obiect fișier, atunci, în mare, devine complet inutil (mai devreme sau mai târziu atacatorul va identifica acest dezavantaj echipament de protecție și folosiți-l). Să mai menționăm că obiectele fișier care nu sunt partajate între utilizatori de către sistem și aplicații pot servi drept „canal” pentru downgrade-ul unui document, ceea ce anulează protecția informațiilor confidențiale. Există multe exemple similare care pot fi date.

Cerințele pentru implementarea corectă a mecanismelor de protecție sunt definite în documentul de reglementare „Comisia tehnică de stat a Rusiei. Document de ghidare. Dotări informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate față de accesul neautorizat la informații”; este utilizat pentru certificarea sistemelor de protecție a informațiilor de la NSD.

Aceste cerințe sunt prezente în document în măsura cerută, sunt corecte, dar formulate în vedere generala(cum ar putea fi altfel, altfel ar fi necesar să se creeze propriul document de reglementare pentru fiecare familie de sisteme de operare și, eventual, pentru fiecare implementare a sistemului de operare dintr-o familie), iar pentru a îndeplini o cerință, poate fi necesară implementarea mai multor protecții mecanisme. Consecința acestui fapt este ambiguitatea interpretării acestor cerințe (în ceea ce privește abordările implementării lor) și posibilitatea unor abordări fundamental diferite ale implementării mecanismelor de protecție în sistemele de securitate a informațiilor de accesul neautorizat al dezvoltatorilor. Rezultatul este o eficacitate diferită a sistemelor de protecție a informațiilor față de informațiile nedescriptive în rândul producătorilor care implementează aceleași cerințe formalizate. Dar nerespectarea oricăreia dintre aceste cerințe poate anula toate eforturile de a asigura securitatea informațiilor.

Evaluarea suficienței (completitudinii) unui set de mecanisme de protecție

Cerințele pentru suficiența (completitudinea, în raport cu condițiile de utilizare) a setului de mecanisme de protecție sunt definite în documentul „Comisia tehnică de stat a Rusiei. Document de ghidare. Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate de la NSD la informație”, care este utilizat în certificarea obiectelor de informatizare, inclusiv atunci când este utilizat în sistemele automatizate de securitate a informațiilor de la NSD. Cu toate acestea, aici situația este în mare măsură similară cu cea descrisă mai sus.

Astfel, ar fi indicat să se extindă formularea cerinței de suficiență a mecanismelor din sistemul de securitate a informațiilor din DNS pentru protejarea datelor confidențiale din documentele de reglementare, în care există ambiguitate în stabilirea a ceea ce este clasificat drept resurse protejate, de exemplu , după cum urmează: „Ar trebui să existe un control asupra conexiunii resurselor, în special a dispozitivelor, în conformitate cu condițiile de utilizare practică a instalației de calcul protejate, și controlul accesului subiecților la resursele protejate, în special la dispozitivele permise pentru conexiune."

Rețineți că mecanismele de control al accesului la resursele care sunt întotdeauna prezente în sistem - obiecte fișier, obiecte registry OS etc. - protejate a priori, și trebuie să fie prezente în sistemul de securitate a informațiilor de la DNS în orice caz, și în ceea ce privește resursele externe, ținând cont de scopul sistemului de securitate a informațiilor. Dacă scopul sistemului de securitate a informațiilor este de a proteja computerele din rețea, atunci acesta trebuie să aibă mecanisme de control al accesului la resursele rețelei; dacă serveşte la protecţie calculatoare de sine stătătoare, atunci ar trebui să ofere controlul (interzicerea) conectării resurselor de rețea la computer. Această regulă, în opinia noastră, se aplică tuturor resurselor fără excepție și poate fi folosită ca cerință de bază la un set de mecanisme de protecţie în timpul certificării obiectelor de informatizare.

Problemele de suficiență a mecanismelor de protecție ar trebui luate în considerare nu numai în raport cu setul de resurse, ci și în raport cu problemele de securitate a informațiilor care se rezolvă. Sarcini similare la furnizare Securitatea calculatorului doar două - contracararea amenințărilor IT interne și externe.

Sarcina generală de contracarare a amenințărilor IT interne este de a asigura diferențierea accesului la resurse în conformitate cu cerințele de prelucrare a datelor din diferite categorii de confidențialitate. Posibil abordări diferite să stabilească distincții: după conturi, pe procese, în funcție de categoria documentului citit. Fiecare dintre ele își stabilește propriile cerințe de suficiență. Deci, în primul caz, trebuie să izolați clipboard-ul între utilizatori; în al doilea - între procese; pentru cel de-al treilea caz, în general, este necesară reconsiderarea radicală a întregii politici de acces restrictiv la toate resursele, întrucât același utilizator, folosind aceeași aplicație, poate prelucra date din diferite categorii de confidențialitate.

Există zeci de moduri de comunicare între procese (canale denumite, sectoare de memorie etc.), deci este necesar să se asigure închiderea mediului software - pentru a preveni posibilitatea lansării unui program care implementează un astfel de canal de schimb. Apar întrebări și cu privire la resursele nepartajate de sistem și aplicații, controlul corectitudinii identificării subiectului accesului, protecția securității informațiilor în sine împotriva accesului neautorizat (lista mecanismelor de protecție necesare pentru a rezolva eficient această problemă este foarte impresionantă). Cele mai multe dintre ele nu sunt menționate în mod explicit în documentele de reglementare.

Sarcina de a contracara eficient amenințările IT externe, în opinia noastră, poate fi rezolvată numai dacă este stabilită o politică de demarcare pentru subiectul „proces” (adică „procesul” ar trebui considerat ca subiect independent al accesului la resurse). Acest lucru se datorează faptului că el este cel care poartă amenințarea unui atac extern. Nu există o astfel de cerință în mod explicit în documentele de reglementare, dar în acest caz, rezolvarea problemei protecției informațiilor necesită o revizuire radicală a principiilor de bază pentru implementarea politicii restrictive de acces la resurse.

Dacă problemele de suficiență a mecanismelor de protecție în raport cu un set de resurse protejate sunt încă susceptibile de formalizare, atunci în ceea ce privește sarcinile de securitate a informațiilor nu este posibilă formalizarea unor astfel de cerințe.

În acest caz, informații de securitate a informațiilor de la NSD diferiți producători, îndeplinind cerințele formalizate ale documentelor de reglementare, poate prezenta și diferențe fundamentale atât în ​​ceea ce privește abordările și soluțiile tehnice implementate, cât și în eficacitatea acestor instrumente în general.

În concluzie, observăm că nu se poate subestima importanța sarcinii de selectare a sistemelor de securitate a informațiilor din dispozitive nediscriminatorii, deoarece aceasta este o clasă specială de mijloace tehnice, a căror eficiență nu poate fi ridicată sau scăzută. Ținând cont de complexitatea evaluării eficacității reale a sistemelor de protecție a informațiilor din DNS, recomandăm ca consumatorului să implice specialiști (de preferință din rândul dezvoltatorilor care se confruntă practic cu aceste probleme) la etapa de alegere a sistemelor de protecție a informațiilor din DNS.

Utilizarea computerelor și a tehnologiilor automatizate creează o serie de probleme pentru managementul unei organizații. Calculatoarele, adesea conectate în rețea, pot oferi acces la cantități enorme de date diverse. Prin urmare, oamenii sunt îngrijorați de securitatea informațiilor și de riscurile asociate cu automatizarea și oferirea unui acces mult mai mare la date confidențiale, personale sau alte date critice. Suporturile de stocare electronice sunt chiar mai vulnerabile decât cele de hârtie: datele stocate pe ele pot fi distruse, copiate și modificate în liniște.

Numărul infracțiunilor informatice este în creștere, iar amploarea abuzurilor informatice este, de asemenea, în creștere. Potrivit experților americani, daunele cauzate de infracțiunile informatice cresc cu 35% pe an. Un motiv este suma de bani generată de infracțiune: în timp ce infracțiunea informatică costă în medie 560.000 de dolari, un jaf de bancă costă doar 19.000 de dolari.

Potrivit Universității din Minnesota, 93% dintre companiile care și-au pierdut accesul la datele pentru mai mult de 10 zile au încetat activitatea, iar jumătate dintre ele și-au declarat imediat insolvența.

Numărul de angajați dintr-o organizație care au acces la echipamente informatice și tehnologia de informație, este în continuă creștere. Accesul la informații nu se mai limitează doar la un cerc restrâns de oameni din vârful organizației. Cu cât mai mulți oameni au acces la tehnologia informației și la echipamente informatice, cu atât există mai multe oportunități de a comite infracțiuni informatice.

Oricine poate fi un criminal informatic.

Criminalul computerizat tipic nu este un tânăr hacker care folosește un telefon și computer de acasă pentru a avea acces la calculatoare mari. Infractorul informatic tipic este un angajat căruia i se permite accesul la un sistem al cărui utilizator nu este tehnic. În Statele Unite ale Americii, infracțiunile informatice cu guler alb reprezintă 70-80% din pierderile anuale legate de computer.

Semne infracțiuni informatice:

· furtul pieselor calculatorului;

· furt de programe;

· distrugerea fizică a echipamentelor;

· distrugerea datelor sau a programelor;

Acestea sunt doar cele mai evidente semne la care ar trebui să le acordați atenție atunci când identificați infracțiunile informatice. Uneori, aceste semne indică faptul că o infracțiune a fost deja comisă sau că măsurile de protecție nu sunt respectate. Ele pot indica, de asemenea, vulnerabilități și unde se află lacunele de securitate. În timp ce semnele pot ajuta la identificarea criminalității sau a abuzului, măsurile de protecție pot ajuta la prevenirea acestora.

Protejarea datelor – aceasta este o activitate pentru a preveni pierderea și scurgerea de informații protejate.

Securitatea informațiilor apelează la măsuri pentru a proteja informațiile împotriva accesului neautorizat, distrugerii, modificării, dezvăluirii și întârzierilor în accesare. Securitatea informațiilor include măsuri de protecție a proceselor de creare, intrare, procesare și ieșire a datelor.

Securitatea informațiilor asigură îndeplinirea următoarelor: obiective:

· confidențialitatea informațiilor critice;

· integritatea informațiilor și a proceselor aferente (creare, intrare, procesare și ieșire);

· disponibilitatea informațiilor atunci când este nevoie;

· contabilizarea tuturor proceselor legate de informare.

Sub critic date se referă la datele care necesită protecție din cauza probabilității de deteriorare și amploarea acestora în cazul în care are loc dezvăluirea, modificarea sau distrugerea accidentală sau intenționată a datelor. Datele critice includ și date care, dacă sunt utilizate greșit sau dezvăluite, ar putea avea un impact negativ asupra capacității organizației de a-și îndeplini misiunile; date cu caracter personal și alte date, a căror protecție este cerută de decretele președintelui Federației Ruse, legile Federației Ruse și alte reglementări.

Orice sistem de securitate, în principiu, poate fi spart. Protecția este considerată eficientă dacă costul hacking-ului este proporțional cu valoarea informațiilor obținute.

În ceea ce privește mijloacele de protecție împotriva accesului neautorizat, sunt definite șapte clase de securitate (1 - 7) de echipamente informatice și nouă clase (1A, 1B, 1B, 1G, 1D, 2A, 2B, 3A, 3B) de sisteme automatizate. Pentru echipamentele informatice, cea mai mică este clasa 7, iar pentru sistemele automate - 3B.

Mijloace tehnice, organizatorice și software de asigurare a siguranței și protecției împotriva accesului neautorizat

Există patru niveluri de protecție a resurselor informatice și informatice:

Prevenireapresupune că numai personalul autorizat are acces la informații și tehnologii protejate.

Detectareimplică depistarea precoce a infracțiunilor și abuzurilor, chiar dacă mecanismele de protecție au fost ocolite.

Prescripţiereduce valoarea pierderilor în cazul în care se produce o infracțiune, în ciuda măsurilor de prevenire și depistare a acesteia.

RecuperareAsigură reconstrucția eficientă a informațiilor cu planuri de recuperare documentate și verificate.

Măsuri de protecție- sunt masuri introduse de conducere pentru a asigura securitatea informatiilor. Măsurile de siguranță includ elaborarea de ghiduri administrative, instalarea dispozitivelor hardware sau programe suplimentare, al cărui scop principal este prevenirea criminalității și abuzului.

Formarea unui regim de securitate a informațiilor este o problemă complexă. Măsurile de rezolvare pot fi împărțite în patru niveluri:

- legislativ: legi, reglementări, standarde etc.;

- administrativ: actiuni generalîntreprinse de conducerea organizației;

- procedural: masuri specifice de securitate in legatura cu persoane;

- software și hardware: măsuri tehnice specifice.

În prezent, cel mai detaliat document legislativ din Rusia în domeniul securității informațiilor este Codul Penal. În secțiunea „Infracțiuni împotriva siguranței publice” există un capitol „Infracțiuni în domeniul informației informatice”. Conține trei articole - „Accesul ilegal la informațiile computerizate”, „Crearea, utilizarea și distribuirea de programe informatice rău intenționate” și „Încălcarea regulilor de operare a computerelor, sistemelor informatice sau rețelelor acestora”. Codul penal păzește toate aspectele securității informațiilor – disponibilitate, integritate, confidențialitate, prevăzând sancțiuni pentru „distrugerea, blocarea, modificarea și copierea informațiilor, întreruperea funcționării unui calculator, a unui sistem informatic sau a rețelei acestora”.

Să luăm în considerare câteva măsuri pentru a proteja securitatea informațională a sistemelor informatice.

1. Autentificarea utilizatorului. Această măsură impune utilizatorilor să finalizeze procedurile de conectare la computer ca mijloc de identificare atunci când încep să lucreze. Pentru a autentifica identitatea fiecărui utilizator, parolele unice, care nu sunt combinații de date personale ale utilizatorului, trebuie utilizate pentru utilizator. Este necesar să se implementeze măsuri de securitate la administrarea parolelor și să se familiarizeze utilizatorii cu cele mai frecvente greșeli care permit săvârșirea unei infracțiuni informatice. Dacă computerul are o parolă standard încorporată, trebuie să o modificați.

O soluție și mai fiabilă este organizarea controlului accesului la sediu sau la calculator specific rețele care utilizează carduri de identificare din plastic cu un microcircuit încorporat - așa-numitele carduri cu microprocesor (carduri inteligente). Fiabilitatea lor se datorează în primul rând imposibilității copierii sau contrafacerii folosind o metodă de casă. Instalarea unui cititor special pentru astfel de carduri este posibilă nu numai la intrarea în incinta unde se află computerele, ci și direct la stațiile de lucru și serverele de rețea.

Există, de asemenea diverse dispozitive pentru identificarea personală folosind informații biometrice - iris, amprente, dimensiunea mâinii etc.

2. Protecție prin parolă.

Următoarele reguli sunt utile pentru protecția prin parolă:

· Nu vă puteți partaja parola cu nimeni;

· parola trebuie să fie greu de ghicit;

· pentru a crea o parolă, trebuie să folosiți litere mici și mari sau chiar mai bine, lăsați computerul să genereze singur parola;

· este de preferat să folosiți parole lungi, deoarece acestea sunt mai sigure, cel mai bine este să fie formată din 6 sau mai multe caractere;

· parola nu ar trebui să fie afișată pe ecranul computerului când o introduceți;

· parolele nu trebuie incluse în imprimări;

· nu poți scrie parole pe o masă, perete sau terminal, acestea trebuie păstrate în memorie;

· parola trebuie schimbată periodic și nu într-un program;

· funcția de administrator de parole ar trebui să fie persoana cea mai de încredere;

· când un angajat pleacă, este necesară schimbarea parolei;

· angajații trebuie să semneze pentru parole.

O organizație care se ocupă de date critice trebuie să aibă proceduri de autorizare care să determine utilizatorii care ar trebui să aibă acces la care informații și aplicații.

Organizația trebuie să stabilească o procedură în care este necesară permisiunea anumitor superiori pentru a utiliza resursele computerului, a obține permisiunea de a accesa informații și aplicații și pentru a obține o parolă.

Dacă informațiile sunt procesate la un centru de calcul mare, atunci este necesar să se controleze acces fizic La tehnologia calculatoarelor. Metode precum bușteni, încuietori și permise și agenții de securitate pot fi adecvate. Răspunzător de securitatea informatiei trebuie să știe cine are dreptul de a accesa spațiile cu echipamente informatice și să expulzeze de acolo persoanele neautorizate.

4. Precauții în timpul funcționării.

· dezactivați terminalele neutilizate;

· închide încăperile în care se află terminalele;

· rotiți ecranele computerelor astfel încât să nu fie vizibile de la uși, ferestre și alte locuri care nu sunt controlate;

· instalați echipamente speciale care limitează numărul de încercări de acces nereușite sau efectuează un apel înapoi pentru a verifica identitatea utilizatorilor care folosesc telefoanele pentru a accesa computerul

· utilizați programe de oprire a terminalului după anumită perioadă neutilizare;

· oprirea sistemului în timpul orelor de lucru;

· utilizați sisteme care permit, după ce un utilizator s-a autentificat, să îl notifice cu privire la ora ultimei sale sesiuni și numărul de încercări nereușite de a stabili o sesiune după aceea. Acest lucru va permite utilizatorului parte integrantă sisteme de verificare a jurnalelor.

5. Securitate fizică.

Sistemele informatice protejate trebuie să ia măsuri pentru a preveni, detecta și minimiza daunele cauzate de incendii, inundații, poluare, căldură și supratensiuni.

Alarma de incendiu iar sistemele de stingere a incendiilor trebuie inspectate regulat. PC-urile pot fi protejate cu capace pentru a nu fi deteriorate de sistemul de stingere a incendiilor. Materialele combustibile nu trebuie depozitate în aceste săli de calculatoare.

Temperatura camerei poate fi controlată de aparatele de aer condiționat și ventilatoare, precum și de o bună ventilație în cameră. În rafturi pot apărea probleme de temperatură excesivă echipament periferic sau din cauza închiderii aerisireîn terminale sau PC-uri, deci trebuie verificate în mod regulat.

Este recomandabil să folosiți filtre de aer, care vor ajuta la curățarea aerului de substanțe care pot dăuna computerelor și discurilor. Ar trebui interzis fumatul, mâncatul și băutul lângă computer.

Calculatoarele trebuie amplasate cât mai departe de surse posibil cantitate mare apă, cum ar fi conductele.

6. Protecția media (documente originale, benzi, cartușe, discuri, imprimate).

· menţinerea, monitorizarea şi verificarea registrelor purtătorilor de informaţii;

· instruirea utilizatorilor în metodele corecte de curățare și distrugere a suporturilor de stocare;

· face semne pe suporturile de stocare care reflectă nivelul de criticitate al informațiilor pe care le conțin;

· distruge mediile de stocare în conformitate cu planul organizației;

· să comunice angajaților toate documentele de conducere;

· depozitați discurile în plicuri, cutii, seifuri metalice;

· nu atingeți suprafețele discurilor care transportă informații

· introduceți cu grijă discuri în computer și țineți-le departe de surse de câmpuri magnetice și lumina solară;

· eliminați discuri și benzi cu care nu se lucrează în prezent;

· depozitați discurile dispuse pe rafturi într-o anumită ordine;

· nu dați mijloace media care conțin informații critice unor persoane neautorizate;

· aruncați sau dați discurile deteriorate cu informații critice numai după ce au fost demagnetizate sau o procedură similară;

· distruge informațiile critice de pe discuri prin demagnetizarea lor sau distrugerea fizică a acestora în conformitate cu procedura din organizație;

· distruge tipăritele și benzile de cerneală de la imprimante cu informații critice în conformitate cu procedurile organizației;

· Asigurați securitatea tipăririlor parolelor și a altor informații care permit accesul la computer.

7. Selectarea echipamentelor de încredere.

Performanța și toleranța la erori ale unui sistem informatic depind în mare măsură de performanța serverelor. Dacă este necesar, furnizați nonstop funcţionare neîntreruptă sistemul informatic utilizează calculatoare speciale tolerante la erori, adică astfel încât eșecul componentă separată ceea ce nu duce la defectarea mașinii.

Fiabilitatea sistemelor informatice este afectată negativ de prezența dispozitivelor asamblate din componente de calitate scăzută și de utilizarea de software fără licență. Economiile excesive la instruirea personalului, achiziționarea de software licențiat și echipamente de înaltă calitate duce la o scădere a timpului de funcționare și la costuri semnificative pentru restaurarea ulterioară a sistemului.

8. Surse de alimentare neîntreruptibile.

Un sistem informatic este consumator de energie și, prin urmare, prima condiție pentru funcționarea lui este furnizarea neîntreruptă de energie electrică. O parte necesară a sistemului informațional ar trebui să fie sursele de alimentare neîntreruptibile pentru servere și, dacă este posibil, pentru toate stațiile de lucru locale. De asemenea, se recomandă duplicarea sursei de alimentare folosind diferite substații din oraș. Pentru a rezolva radical problema, puteți instala linii electrice de rezervă de la generatorul propriu al organizației.

9. Dezvoltați planuri adecvate de redresare și continuitate a activității.

Scopul planurilor de continuitate a afacerii și de recuperare este de a se asigura că utilizatorii își pot continua să își îndeplinească cele mai esențiale responsabilități în cazul unei întreruperi în tehnologia informației. Personalul de întreținere trebuie să știe cum să procedeze cu aceste planuri.

Planurile de continuitate și recuperare (CRP) ar trebui să fie scrise, revizuite și comunicate în mod regulat angajaților. Procedurile planului trebuie să fie adecvate nivelului de securitate și criticitate a informațiilor. Planul NRT poate fi folosit în perioade de confuzie și panică, așa că personalul ar trebui să fie instruit în mod regulat.

10. Backup.

Unul dintre punctele cheie pentru a asigura recuperarea sistemului în caz de dezastru este backup-ul programelor și datelor de lucru. În rețelele locale în care sunt instalate mai multe servere, cel mai adesea sistemul Rezervați copie instalat direct în sloturi gratuite servere. Pe larg rețele corporative se preferă un server specializat de arhivare dedicat, care arhivează automat informațiile de pe hard disk-urile serverelor și stațiilor de lucru la o anumită oră stabilită de administratorul de rețea, emițând un raport privind backup-ul.

Pentru informații de arhivă de valoare deosebită, se recomandă asigurarea unei camere de securitate. Este mai bine să stocați duplicatele celor mai valoroase date într-o altă clădire sau chiar într-un alt oraș. Această din urmă măsură face datele invulnerabile în cazul unui incendiu sau al unui alt dezastru natural.

11. Duplicarea, multiplexarea și redundanța birourilor.

Pe lângă backup-urile, care sunt efectuate în caz de urgență sau conform unui program prestabilit, pentru o mai mare siguranță a datelor pe hard disk-uri aplica tehnologii speciale- oglindirea discului și crearea de matrice RAID, care sunt o combinație de mai multe hard disk-uri. La înregistrare, informațiile sunt distribuite în mod egal între ele, astfel încât, dacă unul dintre discuri eșuează, datele de pe acesta pot fi restaurate folosind conținutul celorlalte.

Tehnologia de grupare implică mai multe computere care funcționează ca o singură unitate. De regulă, serverele sunt grupate. Unul dintre serverele de cluster poate funcționa în modul de așteptare la cald, complet gata să înceapă să îndeplinească funcțiile mașinii principale în cazul defecțiunii acesteia. O continuare a tehnologiei de clustering este clusteringul distribuit, în care, prin retea globala sunt combinate mai multe servere de cluster separate pe o distanță lungă.

Clusterele distribuite sunt apropiate de conceptul de birouri de rezervă, axate pe asigurarea vieții unei întreprinderi în cazul distrugerii sediului central al acesteia. Birourile de rezervă sunt împărțite în cele reci, în care s-a efectuat cablarea comunicațiilor, dar nu există echipamente, și cele calde, care pot fi un centru de calcul de rezervă care primește toate informațiile de la sediul central, o sucursală, un birou pe roți etc.

12. Rezervarea canalelor de comunicare.

În lipsa comunicării cu lumea exterioară și cu departamentele acesteia, biroul devine paralizat, pentru că mare importanță are redundanță a canalelor de comunicare externe și interne. La efectuarea rezervărilor, se recomandă combinarea diferitelor tipuri de comunicații - linii de cablu și canale radio, așezarea comunicațiilor aeriene și subterane etc.

Pe măsură ce companiile apelează din ce în ce mai mult la internet, afacerea lor devine din ce în ce mai dependentă de funcționarea furnizorului de internet. Furnizorii de acces la rețea au uneori accidente destul de grave, așa că este important să păstrați totul aplicatii importante pe rețeaua internă a companiei și au contracte cu mai mulți furnizori locali. De asemenea, ar trebui să luați în considerare în avans cum să notificați clienții strategici despre schimbare. Adresa de e-mailși solicită furnizorului să ia măsuri pentru a asigura restabilirea promptă a serviciilor sale după dezastre.

12. Protecția datelor împotriva interceptării.

Pentru oricare dintre cele trei tehnologii principale de transmitere a informațiilor, există o tehnologie de interceptare: pt linii de cablu- conexiune la un cablu, pentru comunicații prin satelit - utilizarea unei antene pentru a recepționa un semnal de la un satelit, pentru unde radio - interceptare radio. Serviciile de securitate rusești împart comunicațiile în trei clase. Prima acoperă rețele locale situat într-o zonă de securitate, adică o zonă cu acces limitat și echipamente electronice și linii de comunicație ecranate și fără acces la canalele de comunicație din afara acesteia. Clasa a doua include canalele de comunicare din afara zonei de securitate, protejate prin masuri organizatorice si tehnice, iar clasa a treia include canalele de comunicare publica neprotejate. Utilizarea comunicațiilor de clasa a doua reduce semnificativ probabilitatea interceptării datelor.

Pentru a proteja informațiile dintr-un canal de comunicare extern, acestea sunt utilizate următoarele dispozitive: scramblers pentru apărare informații despre vorbire, criptoare pentru comunicații broadcast și mijloace criptografice, oferind criptarea datelor digitale.