Μέσα προστασίας πληροφοριών σε δίκτυα υπολογιστών. Προστασία πληροφοριών σε δίκτυα υπολογιστών. Παρόμοια έργα με - Μέθοδοι και μέσα προστασίας πληροφοριών σε δίκτυα

Η προστασία πληροφοριών στα συστήματα υπολογιστών έχει μια σειρά από συγκεκριμένα χαρακτηριστικά που σχετίζονται με το γεγονός ότι οι πληροφορίες δεν συνδέονται αυστηρά με τα μέσα, μπορούν εύκολα και γρήγορα να αντιγραφούν και να μεταδοθούν μέσω καναλιών επικοινωνίας. Είναι γνωστός ένας πολύ μεγάλος αριθμός απειλών για πληροφορίες που μπορούν να εφαρμοστούν τόσο από εξωτερικούς όσο και από εσωτερικούς παραβάτες. Τα προβλήματα που προκύπτουν με την ασφάλεια της μετάδοσης πληροφοριών κατά την εργασία σε δίκτυα υπολογιστών μπορούν να χωριστούν σε τρεις κύριους τύπους: - υποκλοπή πληροφοριών - διατηρείται η ακεραιότητα των πληροφοριών, αλλά παραβιάζεται η εμπιστευτικότητά τους. - τροποποίηση πληροφοριών - το αρχικό μήνυμα αλλάζει ή αντικαθίσταται πλήρως από άλλο και αποστέλλεται στον παραλήπτη. - αντικατάσταση της πατρότητας των πληροφοριών. Αυτό το πρόβλημα μπορεί να έχει σοβαρές συνέπειες. Για παράδειγμα, κάποιος μπορεί να στείλει ένα email εκ μέρους σας (αυτός ο τύπος εξαπάτησης ονομάζεται συνήθως πλαστογράφηση) ή ένας διακομιστής Ιστού μπορεί να προσποιηθεί ότι είναι ηλεκτρονικό κατάστημα, να δέχεται παραγγελίες, αριθμούς πιστωτικών καρτών, αλλά να μην στέλνει αγαθά. Μελέτες της πρακτικής λειτουργίας συστημάτων επεξεργασίας δεδομένων και υπολογιστών έχουν δείξει ότι υπάρχουν αρκετές πιθανές κατευθύνσεις για διαρροή πληροφοριών και τρόποι μη εξουσιοδοτημένης πρόσβασης σε συστήματα και δίκτυα. Ανάμεσα τους:

Ανάγνωση υπολειπόμενων πληροφοριών στη μνήμη του συστήματος μετά την εκτέλεση εξουσιοδοτημένων αιτημάτων.

Αντιγραφή αρχείων πολυμέσων και πληροφοριών με υπέρβαση μέτρων προστασίας.

Μεταμφίεση ως εγγεγραμμένος χρήστης.

Μεταμφίεση κατόπιν αιτήματος του συστήματος.

Χρήση παγίδων λογισμικού.

Εκμετάλλευση των αδυναμιών του λειτουργικού συστήματος.

Παράνομη σύνδεση με εξοπλισμό και γραμμές επικοινωνίας.

Κακόβουλη απενεργοποίηση μηχανισμών προστασίας.

Εισαγωγή και χρήση ιών υπολογιστών.

Η διασφάλιση της ασφάλειας των πληροφοριών στις Ένοπλες Δυνάμεις και στους αυτόνομα λειτουργούντες Η/Υ επιτυγχάνεται με ένα σύνολο οργανωτικών, οργανωτικών, τεχνικών, τεχνικών και λογισμικών μέτρων. Τα οργανωτικά μέτρα για την προστασία των πληροφοριών περιλαμβάνουν:

Περιορισμός πρόσβασης στις εγκαταστάσεις όπου πραγματοποιείται η προετοιμασία και η επεξεργασία των πληροφοριών.

Να επιτρέπεται μόνο σε αξιόπιστους αξιωματούχους να επεξεργάζονται και να μεταφέρουν εμπιστευτικές πληροφορίες.

Αποθήκευση ηλεκτρονικών μέσων και αρχείων καταγραφής εγγραφής σε χρηματοκιβώτια κλειστά για πρόσβαση από μη εξουσιοδοτημένα άτομα.

Αποκλεισμός της προβολής από μη εξουσιοδοτημένα άτομα του περιεχομένου επεξεργασμένων υλικών μέσω της οθόνης, του εκτυπωτή κ.λπ.

Η χρήση κρυπτογραφικών κωδικών κατά τη μετάδοση πολύτιμων πληροφοριών μέσω καναλιών επικοινωνίας.

Καταστροφή μελανοταινιών, χαρτιού και άλλων υλικών που περιέχουν θραύσματα πολύτιμων πληροφοριών.

Κρυπτογραφική προστασία πληροφοριών.

Προς τηνΟι κρυπτογραφικές μέθοδοι προστασίας πληροφοριών είναι ειδικές μέθοδοι κρυπτογράφησης, κωδικοποίησης ή άλλου μετασχηματισμού πληροφοριών, με αποτέλεσμα το περιεχόμενό τους να γίνεται απρόσιτο χωρίς την παρουσίαση του κλειδιού κρυπτογράμματος και την αντίστροφη μετατροπή. Η κρυπτογραφική μέθοδος προστασίας είναι σίγουρα η πιο αξιόπιστη μέθοδος προστασίας, δεδομένου ότι οι ίδιες οι πληροφορίες προστατεύονται και όχι η πρόσβαση σε αυτές (για παράδειγμα, ένα κρυπτογραφημένο αρχείο δεν μπορεί να διαβαστεί ακόμα και αν το μέσο έχει κλαπεί). Αυτή η μέθοδος προστασίας εφαρμόζεται με τη μορφή προγραμμάτων ή πακέτων λογισμικού.

Η σύγχρονη κρυπτογραφία περιλαμβάνει τέσσερις κύριες ενότητες:

Συμμετρικά κρυπτοσυστήματα. Στα συμμετρικά κρυπτοσυστήματα, το ίδιο κλειδί χρησιμοποιείται τόσο για κρυπτογράφηση όσο και για αποκρυπτογράφηση. (Η κρυπτογράφηση είναι μια διαδικασία μετασχηματισμού: το αρχικό κείμενο, το οποίο ονομάζεται επίσης απλό κείμενο, αντικαθίσταται από κρυπτογραφημένο κείμενο, η αποκρυπτογράφηση είναι η αντίστροφη διαδικασία της κρυπτογράφησης. Με βάση το κλειδί, το κρυπτογραφημένο κείμενο μετατρέπεται στο πρωτότυπο).

Κρυπτοσυστήματα δημόσιου κλειδιού. Τα συστήματα δημόσιων κλειδιών χρησιμοποιούν δύο κλειδιά, δημόσιο και ιδιωτικό, που σχετίζονται μαθηματικά μεταξύ τους. Οι πληροφορίες κρυπτογραφούνται χρησιμοποιώντας ένα δημόσιο κλειδί, το οποίο είναι διαθέσιμο σε όλους, και αποκρυπτογραφούνται χρησιμοποιώντας ένα ιδιωτικό κλειδί, το οποίο είναι γνωστό μόνο στον παραλήπτη του μηνύματος.

Ηλεκτρονική Υπογραφή. Σύστημα ηλεκτρονικής υπογραφής. ονομάζεται ο κρυπτογραφικός μετασχηματισμός του που επισυνάπτεται στο κείμενο, ο οποίος επιτρέπει, κατά την παραλαβή του κειμένου από άλλο χρήστη, να επαληθεύσει την πατρότητα και τη γνησιότητα του μηνύματος.

Διαχείριση κλειδιών. Αυτή είναι η διαδικασία του συστήματος επεξεργασίας πληροφοριών, το περιεχόμενο του οποίου είναι η συλλογή και διανομή κλειδιών μεταξύ των χρηστών.

ΟΟι κύριες κατευθύνσεις χρήσης κρυπτογραφικών μεθόδων είναι η μετάδοση εμπιστευτικών πληροφοριών μέσω καναλιών επικοινωνίας (για παράδειγμα, e-mail), ο έλεγχος ταυτότητας των μεταδιδόμενων μηνυμάτων, η αποθήκευση πληροφοριών (έγγραφα, βάσεις δεδομένων) σε κρυπτογραφημένα μέσα.

Ο κίνδυνος κακόβουλων μη εξουσιοδοτημένων ενεργειών με πληροφορίες έχει γίνει ιδιαίτερα απειλητικός με την ανάπτυξη δικτύων υπολογιστών. Τα περισσότερα συστήματα επεξεργασίας πληροφοριών δημιουργήθηκαν ως ξεχωριστά αντικείμενα: σταθμοί εργασίας, LAN, μεγάλοι υπολογιστές mainframe κ.λπ. Κάθε σύστημα χρησιμοποιεί τη δική του πλατφόρμα εργασίας (Windows, Linux), καθώς και διαφορετική πρωτόκολλα δικτύου(TCP/IP). Η πολύπλοκη οργάνωση των δικτύων δημιουργεί ευνοϊκές συνθήκες για τη διάπραξη διαφόρων ειδών αδικημάτων που σχετίζονται με μη εξουσιοδοτημένη πρόσβαση σε εμπιστευτικές πληροφορίες. Η πλειοψηφία λειτουργικά συστήματα, τόσο μεμονωμένα όσο και δικτυωμένα, δεν περιέχουν αξιόπιστους μηχανισμούς προστασίας πληροφοριών.

Η συνέπεια του κινδύνου των δικτυακών συστημάτων ήταν το συνεχώς αυξανόμενο κόστος και οι προσπάθειες για την προστασία των πληροφοριών που μπορούν να προσπελαστούν μέσω των καναλιών επικοινωνίας του δικτύου. Η ακεραιότητα των δεδομένων μπορεί να διατηρηθεί μόνο εάν ληφθούν ειδικά μέτρα για τον έλεγχο της πρόσβασης στα δεδομένα και την κρυπτογράφηση των μεταδιδόμενων πληροφοριών. Διαφορετικά συστήματα χρειάζονται διαφορετικούς βαθμούς προστασίας. Το έργο του συνδυασμού συστημάτων με διαφορετικούς βαθμούς ασφάλειας (για παράδειγμα, σε πλατφόρμες Unix και Windows) έχει γίνει επίκαιρο.

Είναι απαραίτητο να έχουμε μια σαφή ιδέα για πιθανά κανάλια διαρροής πληροφοριών και τρόπους μη εξουσιοδοτημένης πρόσβασης σε προστατευμένες πληροφορίες. Μόνο σε αυτή την περίπτωση είναι δυνατό να δημιουργηθούν αποτελεσματικοί μηχανισμοί για την προστασία των πληροφοριών δίκτυα υπολογιστών.

Απειλές για την Ασφάλεια Δικτύου

Οι τρόποι διαρροής πληροφοριών και μη εξουσιοδοτημένης πρόσβασης σε δίκτυα υπολογιστών, ως επί το πλείστον, συμπίπτουν με εκείνους στα αυτόνομα συστήματα. Πρόσθετες ευκαιρίες προκύπτουν λόγω της ύπαρξης καναλιών επικοινωνίας και της δυνατότητας απομακρυσμένης πρόσβασης στις πληροφορίες. Αυτά περιλαμβάνουν:

ηλεκτρομαγνητικός φωτισμός γραμμών επικοινωνίας.
παράνομη σύνδεση με γραμμές επικοινωνίας·
απομακρυσμένη υπέρβαση συστημάτων προστασίας.
Σφάλματα εναλλαγής καναλιών.
διακοπή γραμμών επικοινωνίας και εξοπλισμού δικτύου.

Τα ζητήματα ασφάλειας δικτύου αντιμετωπίζονται εντός της αρχιτεκτονικής

ασφάλεια, στη δομή της οποίας υπάρχουν:

απειλές για την ασφάλεια·
υπηρεσίες (υπηρεσίες) ασφαλείας·
μηχανισμούς ασφαλείας.

Κάτω από απειλή για την ασφάλειααναφέρεται σε ενέργεια ή συμβάν που μπορεί να οδηγήσει σε καταστροφή, παραμόρφωση ή μη εξουσιοδοτημένη χρήση πόρων δικτύου, συμπεριλαμβανομένων των αποθηκευμένων, μεταδιδόμενων και επεξεργασμένων πληροφοριών, καθώς και λογισμικού και υλικού.

Οι απειλές χωρίζονται σε:

ακούσια, ή τυχαία?
εκ προθέσεως.

Τυχαίες απειλέςπροκύπτουν ως αποτέλεσμα σφαλμάτων στο λογισμικό, αποτυχίας υλικού, λανθασμένων ενεργειών των χρηστών ή ενός διαχειριστή δικτύου κ.λπ.

Σκόπιμες απειλέςεπιδιώκουν τον στόχο της πρόκλησης ζημιών στους χρήστες και τους συνδρομητές του δικτύου και, με τη σειρά τους, διακρίνονται σε ενεργούς και παθητικούς.

Παθητικές Απειλέςστοχεύουν σε μη εξουσιοδοτημένη χρήση των πόρων πληροφοριών του δικτύου, αλλά δεν επηρεάζουν τη λειτουργία του. Παράδειγμα παθητικής απειλής είναι η λήψη πληροφοριών που κυκλοφορούν στα κανάλια του δικτύου μέσω ακρόασης.

Ενεργές Απειλέςστοχεύουν στη διακοπή της κανονικής λειτουργίας του δικτύου μέσω στοχευμένων επιπτώσεων στο υλικό, το λογισμικό και τους πόρους πληροφοριών του. Οι ενεργές απειλές περιλαμβάνουν, για παράδειγμα, καταστροφή ή ηλεκτρονική εμπλοκή γραμμών επικοινωνίας, απενεργοποίηση υπολογιστή ή λειτουργικού συστήματος, παραμόρφωση πληροφοριών σε βάσεις δεδομένων χρηστών ή πληροφορίες συστήματος κ.λπ.

Οι κύριες απειλές για την ασφάλεια των πληροφοριών στο δίκτυο περιλαμβάνουν:

αποκάλυψη εμπιστευτικών πληροφοριών·
συμβιβασμός πληροφοριών·
μη εξουσιοδοτημένη ανταλλαγή πληροφοριών·
άρνηση παροχής πληροφοριών·
άρνηση παροχής υπηρεσιών·
μη εξουσιοδοτημένη χρήση πόρων δικτύου·
εσφαλμένη χρήση πόρων δικτύου.

Απειλές αποκάλυψης εμπιστευτικών πληροφοριώνυλοποιείται με μη εξουσιοδοτημένη πρόσβαση σε βάσεις δεδομένων.

Συμβιβασμός πληροφοριώνυλοποιείται με την πραγματοποίηση μη εξουσιοδοτημένων αλλαγών στη βάση δεδομένων.

Μη εξουσιοδοτημένη χρήση πόρων δικτύουείναι ένα μέσο αποκάλυψης ή παραβίασης πληροφοριών και προκαλεί επίσης ζημιά στους χρήστες και τη διαχείριση του δικτύου.

Κατάχρηση πόρωνείναι αποτέλεσμα σφαλμάτων στο λογισμικό LAN.

Μη εξουσιοδοτημένη ανταλλαγή πληροφοριώνμεταξύ συνδρομητών δικτύου καθιστά δυνατή τη λήψη πληροφοριών, η πρόσβαση στις οποίες απαγορεύεται, δηλαδή οδηγεί στην πραγματικότητα στην αποκάλυψη πληροφοριών.

Αποποίηση ευθυνώνσυνίσταται στη μη αναγνώριση από τον παραλήπτη ή τον αποστολέα των πληροφοριών αυτών των γεγονότων της παραλαβής ή αποστολής τους.

Άρνηση παροχής υπηρεσιώνείναι μια πολύ κοινή απειλή που προέρχεται από το ίδιο το δίκτυο. Μια τέτοια αποτυχία είναι ιδιαίτερα επικίνδυνη σε περιπτώσεις όπου μια καθυστέρηση στην παροχή πόρων δικτύου μπορεί να οδηγήσει σε σοβαρές συνέπειες για τον συνδρομητή.

Υπηρεσίες ασφάλειας δικτύου

Διαφορές στη σύνθεση και τα χαρακτηριστικά των υπηρεσιών ασφαλείας.Τα πρωτόκολλα ανταλλαγής πληροφοριών στα δίκτυα χωρίζονται σε δύο μεγάλες ομάδες: εικονική σύνδεση και datagram, σύμφωνα με τα οποία τα δίκτυα συνήθως χωρίζονται επίσης σε εικονικά και datagram.

ΣΤΟ εικονικόςδικτύων, η μεταφορά πληροφοριών μεταξύ συνδρομητών οργανώνεται σύμφωνα με το λεγόμενο εικονικό κανάλικαι συμβαίνει σε τρία στάδια: τη δημιουργία καναλιού (σύνδεση), την πραγματική μεταφορά, την καταστροφή του καναλιού (αποσύνδεση). Τα μηνύματα χωρίζονται σε μπλοκ, τα οποία μεταδίδονται με τη σειρά με την οποία εμφανίζονται στο μήνυμα.

ΣΤΟ datagramπακέτα δικτύων ( datagrams) τα μηνύματα μεταδίδονται από τον αποστολέα στον παραλήπτη ανεξάρτητα το ένα από το άλλο κατά μήκος διαφορετικών διαδρομών, και επομένως η σειρά με την οποία παραδίδονται τα πακέτα μπορεί να μην αντιστοιχεί στη σειρά με την οποία εμφανίζονται στο μήνυμα. Το εικονικό δίκτυο υλοποιεί εννοιολογικά την αρχή της οργάνωσης τηλεφωνική επικοινωνία, ενώ το datagram είναι mail.

Ο Διεθνής Οργανισμός Τυποποίησης (ISO) ορίζει τις ακόλουθες υπηρεσίες ασφαλείας:

1) έλεγχος ταυτότητας (authentication)·
2) διασφάλιση της ακεραιότητας.
3) ταξινόμηση δεδομένων?
4) έλεγχος πρόσβασης?
5) προστασία αστοχίας.

Οι δύο τελευταίες υπηρεσίες είναι ίδιες για datagram και εικονικά δίκτυα. Τα τρία πρώτα χαρακτηρίζονται από ορισμένες διαφορές λόγω των ιδιαιτεροτήτων των πρωτοκόλλων που χρησιμοποιούνται στα δίκτυα.

Υπηρεσία ελέγχου ταυτότηταςσε σχέση με τα εικονικά δίκτυα, ονομάζεται υπηρεσία ελέγχου ταυτότητας οντοτήτων (peer-to-peer) και παρέχει επιβεβαίωση ότι ο αποστολέας των πληροφοριών είναι ακριβώς αυτός που ισχυρίζεται ότι είναι. Όταν εφαρμόζεται σε δίκτυα datagram, η υπηρεσία ελέγχου ταυτότητας ονομάζεται υπηρεσία ελέγχου ταυτότητας προέλευσης δεδομένων.

Κάτω από ακεραιότητανοείται ως η ακριβής αντιστοιχία των δεδομένων που αποστέλλονται και λαμβάνονται μεταξύ τους. Υπηρεσίες Ακεραιότηταςγια τα υπό εξέταση δίκτυα είναι τα εξής:

εικονικά δίκτυα:
υπηρεσία ακεραιότητας σύνδεσης με ανάκτηση.
υπηρεσία ακεραιότητας σύνδεσης χωρίς ανάκτηση.
υπηρεσία ακεραιότητας επιλεκτικών πεδίων σύνδεσης.
δίκτυα datagram:
υπηρεσία ακεραιότητας χωρίς σύνδεση.
επιλεκτική υπηρεσία ακεραιότητας πεδίου χωρίς σύνδεση.

Κάτω από χωράφιααναφέρεται σε ορισμένα συγκεκριμένα στοιχεία μπλοκ ή πακέτων μεταδιδόμενων δεδομένων. Η επαναφορά αναφέρεται σε διαδικασίες για την επαναφορά δεδομένων που καταστράφηκαν ή χάθηκαν ως αποτέλεσμα του εντοπισμού αλλοιώσεων, εισαγωγών ή επαναλήψεων σε μπλοκ ή datagrams. Οι υπηρεσίες ακεραιότητας δικτύου Datagram δεν παρέχουν διαδικασίες ανάκτησης.

Οι υπηρεσίες κρυπτογράφησης δεδομένων είναι:

υπηρεσία κρυπτογράφησης σύνδεσης - διασφαλίζει το απόρρητο όλων των δεδομένων που αποστέλλονται από αντικείμενα μέσω ενός εικονικού καναλιού.
υπηρεσία κρυπτογράφησης χωρίς σύνδεση - διασφαλίζει το απόρρητο των δεδομένων που περιέχονται σε κάθε μεμονωμένο datagram.
υπηρεσία κρυπτογράφησης για μεμονωμένα πεδία σύνδεσης.
υπηρεσία κρυπτογράφησης κυκλοφορίας - εξουδετερώνει τη δυνατότητα απόκτησης πληροφοριών σχετικά με τους συνδρομητές του δικτύου και τη φύση της χρήσης του δικτύου.

Μηχανισμοί ασφαλείας

Μεταξύ των μηχανισμών ασφάλειας δικτύου που προβλέπονται από το ISO, συνήθως διακρίνονται τα ακόλουθα: κύριος:

κρυπτογράφηση?
έλεγχος πρόσβασης?
ψηφιακή υπογραφή.

Κρυπτογράφησηχρησιμοποιείται για την υλοποίηση υπηρεσιών κρυπτογράφησης και χρησιμοποιείται από πολλές άλλες υπηρεσίες.

Μηχανισμοί ελέγχου πρόσβασηςπαρέχετε την εφαρμογή της ομώνυμης υπηρεσίας ασφαλείας, ελέγξτε την αρχή των αντικειμένων δικτύου, π.χ. προγράμματα και χρήστες για πρόσβαση σε πόρους δικτύου. Όταν γίνεται πρόσβαση σε έναν πόρο μέσω μιας σύνδεσης, ο έλεγχος εκτελείται στο σημείο αρχικοποίησης της σύνδεσης, σε ενδιάμεσα σημεία και επίσης στο τελικό σημείο.

Οι μηχανισμοί ελέγχου πρόσβασης χωρίζονται σε δύο κύριες ομάδες:

έλεγχος ταυτότητας αντικειμένουπου απαιτούν έναν πόρο, ακολουθούμενο από έλεγχο πρόσβασης που χρησιμοποιεί ένα ειδικό βάση πληροφοριώνέλεγχος πρόσβασης?
χρήση ετικετών ασφαλείαςσχετίζεται με αντικείμενα. την ικανότητα ενός αντικειμένου να παρέχει πρόσβαση σε έναν πόρο.

Η πιο κοινή και ταυτόχρονα η πιο αναξιόπιστη μέθοδος ελέγχου ταυτότητας είναι πρόσβαση με κωδικό πρόσβασης.Πιο τέλεια είναι οι πλαστικές κάρτες και οι ηλεκτρονικές μάρκες. Οι πιο αξιόπιστες μέθοδοι θεωρούνται μέθοδοι ελέγχου ταυτότητας που βασίζονται σε ειδικά σημάδια προσωπικότητας, τα λεγόμενα βιομετρικές μεθόδους.

Ψηφιακή υπογραφήχρησιμοποιείται για την εφαρμογή υπηρεσιών ελέγχου ταυτότητας και απόρριψης. Στον πυρήνα του, προορίζεται να χρησιμεύσει ως ηλεκτρονικό ανάλογο του χαρακτηριστικού "υπογραφή" που χρησιμοποιείται σε έντυπα έγγραφα. Μηχανισμός ψηφιακή υπογραφήβασίζεται στη χρήση κρυπτογράφησης δημόσιου κλειδιού. Η γνώση του αντίστοιχου δημόσιου κλειδιού επιτρέπει στον παραλήπτη να ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗταυτοποιήστε μοναδικά τον αποστολέα.

Οι πρόσθετοι μηχανισμοί ασφαλείας είναι οι εξής:

διασφάλιση της ακεραιότητας των δεδομένων·
αυθεντικοποίηση;
αντικατάσταση κυκλοφορίας?
έλεγχος δρομολόγησης?
διαιτησία.

Μηχανισμοί Ακεραιότητας Δεδομένωνστοχεύουν στην υλοποίηση της ομώνυμης υπηρεσίας τόσο σε σχέση με ξεχωριστό μπλοκ δεδομένων όσο και σε ροή δεδομένων. Η ακεραιότητα του μπλοκ διασφαλίζεται με την εκτέλεση διασυνδεδεμένων διαδικασιών κρυπτογράφησης και αποκρυπτογράφησης από τον αποστολέα και τον παραλήπτη. Περισσότερα είναι πιθανά απλές μεθόδουςέλεγχος της ακεραιότητας της ροής δεδομένων, για παράδειγμα, αρίθμηση μπλοκ, προσθήκη τους με χρονική σήμανση κ.λπ.

Μηχανισμοί πιστοποίησης ταυτότηταςχρησιμοποιούνται για την υλοποίηση της υπηρεσίας με το ίδιο όνομα, ενώ γίνεται διάκριση μεταξύ μονόδρομου και αμοιβαίου ελέγχου ταυτότητας. Στην πρώτη περίπτωση, ένα από τα αλληλεπιδρώντα αντικείμενα του ενός επιπέδου πιστοποιεί την ταυτότητα του άλλου, ενώ στη δεύτερη, η επαλήθευση είναι αμοιβαία. Στην πράξη, οι μηχανισμοί ελέγχου ταυτότητας συνήθως συνδυάζονται με έλεγχο πρόσβασης, κρυπτογράφηση, ψηφιακή υπογραφή και διαιτησία.

Μηχανισμοί υποκατάστασης κυκλοφορίαςχρησιμοποιούνται για την υλοποίηση της υπηρεσίας κρυπτογράφησης ροής δεδομένων. Βασίζονται στη δημιουργία πλασματικών μπλοκ από αντικείμενα δικτύου, στην κρυπτογράφηση τους και στην οργάνωση της μετάδοσής τους μέσω καναλιών δικτύου.

Μηχανισμοί Ελέγχου Δρομολόγησηςχρησιμοποιείται για την υλοποίηση υπηρεσιών κρυπτογράφησης. Αυτοί οι μηχανισμοί παρέχουν μια επιλογή διαδρομών για τη μετακίνηση πληροφοριών μέσω του δικτύου.

Μηχανισμοί διαιτησίαςπαρέχουν επιβεβαίωση των χαρακτηριστικών των δεδομένων που μεταδίδονται μεταξύ οντοτήτων δικτύου από τρίτο μέρος. Για να γίνει αυτό, όλες οι πληροφορίες που αποστέλλονται ή λαμβάνονται από αντικείμενα περνούν επίσης από τον διαιτητή, γεγονός που του επιτρέπει να επιβεβαιώσει στη συνέχεια τα αναφερόμενα χαρακτηριστικά.

Γενικά, ένας συνδυασμός πολλών μηχανισμών ασφαλείας μπορεί να χρησιμοποιηθεί για την υλοποίηση μιας ενιαίας υπηρεσίας ασφαλείας.

Προστασία λειτουργικών συστημάτων δικτύου

Το λειτουργικό σύστημα και το υλικό δικτύου παρέχουν προστασία για πόρους δικτύου, ένας από τους οποίους είναι το ίδιο το ΛΣ, δηλ.

περιλαμβάνονται προγράμματα και πληροφορίες συστήματος. Επομένως, οι μηχανισμοί ασφαλείας πρέπει να υλοποιούνται με τον ένα ή τον άλλο τρόπο στο λειτουργικό σύστημα δικτύου LAN.

Είναι συνηθισμένο να διακρίνουμε:

παθητικά αντικείμενα προστασίας (αρχεία, προγράμματα εφαρμογών, τερματικά, περιοχές μνήμη τυχαίας προσπέλασηςκαι τα λοιπά.);
ενεργά υποκείμενα (διαδικασίες) που μπορούν να εκτελέσουν ορισμένες λειτουργίες σε αντικείμενα.

Η προστασία αντικειμένων υλοποιείται από το λειτουργικό σύστημα μέσω της παρακολούθησης της εφαρμογής από τα υποκείμενα ενός συνόλου κανόνων που διέπουν τις καθορισμένες λειτουργίες. Αυτή η συλλογή μερικές φορές ονομάζεται καθεστώς προστασίας.Οι λειτουργίες που μπορούν να εκτελεστούν σε προστατευμένα αντικείμενα ονομάζονται δικαιώματα πρόσβασης, και τα δικαιώματα πρόσβασης του υποκειμένου σε σχέση με ένα συγκεκριμένο αντικείμενο - ευκαιρίες.Η λεγόμενη μήτρα ελέγχου πρόσβασης χρησιμοποιείται συχνότερα ως επίσημο μοντέλο της κατάστασης προστασίας στο λειτουργικό σύστημα.

Ένα αρκετά εύκολο στην εφαρμογή μέσο περιορισμού της πρόσβασης σε προστατευμένα αντικείμενα είναι μηχανισμός δακτυλίου ασφαλείας.

Η προστασία αρχείων στο λειτουργικό σύστημα οργανώνεται ως εξής. Κάθε αρχείο έχει ένα σύνολο δικαιωμάτων πρόσβασης που σχετίζονται με αυτό: ανάγνωση, ενημέρωση και/ή εκτέλεση (για εκτελέσιμα αρχεία). Ο κάτοχος του αρχείου, δηλ. το άτομο που το δημιούργησε έχει όλα τα δικαιώματα για το αρχείο. Μπορεί να μεταβιβάσει ορισμένα από αυτά τα δικαιώματα σε μέλη της ομάδας - άτομα στα οποία εμπιστεύεται τις πληροφορίες που περιέχονται στο αρχείο.

Η πρόσβαση σε πόρους του λειτουργικού συστήματος περιορίζεται συνήθως από την προστασία με κωδικό πρόσβασης. Ο κωδικός πρόσβασης μπορεί επίσης να χρησιμοποιηθεί ως κλειδί για την κρυπτογράφηση/αποκρυπτογράφηση πληροφοριών σε αρχεία χρήστη. Οι ίδιοι οι κωδικοί πρόσβασης αποθηκεύονται επίσης σε κρυπτογραφημένη μορφή, γεγονός που καθιστά δύσκολο τον εντοπισμό και τη χρήση τους από τους εισβολείς. Ο κωδικός πρόσβασης μπορεί να αλλάξει από τον χρήστη, τον διαχειριστή του συστήματος ή το ίδιο το σύστημα μετά από ένα καθορισμένο χρονικό διάστημα.

Προστασία κατανεμημένης βάσης δεδομένων

Η διασφάλιση της ασφάλειας των κατανεμημένων βάσεων δεδομένων (RDB) υλοποιείται έμμεσα από το λειτουργικό σύστημα δικτύου. Ωστόσο, όλοι αυτοί οι μηχανισμοί και τα εργαλεία είναι αμετάβλητα σε συγκεκριμένους τρόπους παρουσίασης πληροφοριών στη βάση δεδομένων. Αυτή η αναλλοίωτη κατάσταση οδηγεί στο γεγονός ότι σε περίπτωση που δεν ληφθούν ειδικά μέτρα, όλοι οι χρήστες του DBMS έχουν ίσα δικαιώματα να χρησιμοποιούν και να ενημερώνουν όλες τις πληροφορίες που είναι διαθέσιμες στη βάση δεδομένων. Ταυτόχρονα, οι πληροφορίες, όπως στην περίπτωση της μη αυτοματοποιημένης συσσώρευσης και χρήσης τους, θα πρέπει να κατηγοριοποιούνται σύμφωνα με την ταξινόμηση ασφαλείας, τις ομάδες χρηστών στις οποίες είναι διαθέσιμες, καθώς και σύμφωνα με τις λειτουργίες σε αυτές που επιτρέπονται σε αυτές τις ομάδες . Η υλοποίηση αυτής της διαδικασίας απαιτεί την ανάπτυξη και ένταξη ειδικών μηχανισμών προστασίας στο ΣΔΒΔ.

Η λήψη απόφασης σχετικά με την πρόσβαση σε μία ή την άλλη διαθέσιμη πληροφορία στο RDB μπορεί να εξαρτάται από τους ακόλουθους παράγοντες:

1) χρόνος και σημείο πρόσβασης.
2) η παρουσία στη βάση δεδομένων ορισμένων πληροφοριών.
3) η ρευστότητα της κατάστασης του DBMS.
4) δικαιώματα χρήστη.
5) ιστορικό πρόσβασης δεδομένων.
1. Η πρόσβαση στη βάση δεδομένων από κάθε τερματικό LAN μπορεί να περιοριστεί σε ορισμένη χρονική περίοδο.
2. Ο χρήστης μπορεί να λάβει από τη βάση δεδομένων τις πληροφορίες που τον ενδιαφέρουν μόνο υπό την προϋπόθεση ότι η βάση δεδομένων περιέχει ορισμένες πληροφορίες συγκεκριμένου περιεχομένου που συνδέονται με αυτές.
3. Η ενημέρωση πληροφοριών σε κάποια βάση δεδομένων μπορεί να επιτρέπεται στον χρήστη μόνο σε περιπτώσεις που δεν ενημερώνονται από άλλους χρήστες.
4. Για κάθε χρήστη του προγράμματος εφαρμογής ορίζονται ατομικά δικαιώματα πρόσβασης σε διάφορα στοιχεία της βάσης δεδομένων. Αυτά τα δικαιώματα διέπουν τις λειτουργίες που μπορεί να εκτελέσει ο χρήστης στα καθορισμένα στοιχεία. Για παράδειγμα, ένας χρήστης μπορεί να έχει τη δυνατότητα να επιλέξει στοιχεία βάσης δεδομένων που περιέχουν πληροφορίες σχετικά με αγαθά που προσφέρονται στο χρηματιστήριο, αλλά δεν επιτρέπεται να ενημερώσει αυτές τις πληροφορίες.
5. Βασίζεται στο γεγονός ότι ο χρήστης μπορεί να λάβει τις πληροφορίες που τον ενδιαφέρουν όχι με άμεση επιλογή ορισμένων στοιχείων της βάσης δεδομένων, αλλά έμμεσα, π.χ. αναλύοντας και συγκρίνοντας τις απαντήσεις του DBMS σε ερωτήματα που εισάγονται διαδοχικά (εντολές για ενημέρωση δεδομένων). Από αυτή την άποψη, προκειμένου να διασφαλιστεί η ασφάλεια των πληροφοριών στη βάση δεδομένων, στη γενική περίπτωση, είναι απαραίτητο να ληφθεί υπόψη το ιστορικό πρόσβασης στα δεδομένα.

Τοπικά Υπολογιστικά Δίκτυα: Εγχειρίδιο. Σε 3 βιβλία. Βιβλίο. 1. Αρχές κατασκευής, αρχιτεκτονικής, εργαλεία επικοινωνίας / Εκδ. S.V. Nazarova.M.: Οικονομικά και στατιστική, 1994.

Η προστασία δεδομένων στα δίκτυα υπολογιστών γίνεται ένα από τα πιο ανοιχτά προβλήματα στα σύγχρονα πληροφοριακά και υπολογιστικά συστήματα. Μέχρι σήμερα έχουν διαμορφωθεί τρεις βασικές αρχές ασφάλεια πληροφοριών, καθήκον του οποίου είναι να παρέχει:

ακεραιότητα δεδομένων;

προστασία από αστοχίες που οδηγούν σε απώλεια πληροφοριών ή καταστροφή τους·

εμπιστευτικότητα των πληροφοριών·

Λαμβάνοντας υπόψη τα προβλήματα που σχετίζονται με την προστασία των δεδομένων στο δίκτυο, τίθεται το ερώτημα της ταξινόμησης των αστοχιών και της μη εξουσιοδοτημένης πρόσβασης, η οποία οδηγεί σε απώλεια ή ανεπιθύμητη αλλαγή δεδομένων. Αυτές μπορεί να είναι βλάβες εξοπλισμού (καλωδιακό σύστημα, συστήματα δίσκου, διακομιστές, σταθμοί εργασίας κ.λπ.), απώλεια πληροφοριών (λόγω μόλυνσης από ιούς υπολογιστών, ακατάλληλη αποθήκευση αρχειοθετημένων δεδομένων, παραβιάσεις δικαιωμάτων πρόσβασης δεδομένων), εσφαλμένη εργασία των χρηστών και της υπηρεσίας παρόχους, προσωπικό. Οι αναφερόμενες παραβιάσεις του δικτύου προκάλεσαν την ανάγκη δημιουργίας διαφόρων τύπων προστασίας πληροφοριών. Συμβατικά, μπορούν να χωριστούν σε τρεις κατηγορίες:

μέσα φυσικής προστασίας·

εργαλεία λογισμικού (προγράμματα προστασίας από ιούς, συστήματα διαφοροποίησης εξουσιών, λογισμικό ελέγχου πρόσβασης).

μέτρα διοικητικής προστασίας (πρόσβαση σε εγκαταστάσεις, ανάπτυξη στρατηγικών ασφάλειας της εταιρείας κ.λπ.).

Ένα από τα μέσα φυσικής προστασίας είναι τα συστήματα αρχειοθέτησης και αντιγραφής πληροφοριών. Σε τοπικά δίκτυα όπου είναι εγκατεστημένοι ένας ή δύο διακομιστές, τις περισσότερες φορές το σύστημα εγκαθίσταται απευθείας σε δωρεάν υποδοχές διακομιστή. Σε μεγάλο εταιρικά δίκτυαπροτιμάται ένας ειδικός εξειδικευμένος διακομιστής αρχειοθέτησης, ο οποίος αρχειοθετεί αυτόματα πληροφορίες από σκληροι ΔΙΣΚΟΙδιακομιστές και σταθμούς εργασίας σε μια συγκεκριμένη ώρα που ορίζεται από τον διαχειριστή του δικτύου, εκδίδοντας μια αναφορά για το αντίγραφο ασφαλείας. Τα πιο συνηθισμένα μοντέλα αρχειοθετημένων διακομιστών είναι το ARCserve της Intel για Windows Storage Express System.

Για την καταπολέμηση των ιών υπολογιστών, τα προγράμματα προστασίας από ιούς χρησιμοποιούνται συχνότερα, λιγότερο συχνά - εργαλεία προστασίας υλικού. Ωστόσο, πρόσφατα υπήρξε μια τάση για συνδυασμό μεθόδων προστασίας λογισμικού και υλικού. Μεταξύ των συσκευών υλικού, χρησιμοποιούνται ειδικές πλακέτες προστασίας από ιούς, που εισάγονται σε τυπικές υποδοχές επέκτασης υπολογιστή. Η Intel έχει καταλήξει σε μια πολλά υποσχόμενη τεχνολογία για την προστασία από ιούς στα δίκτυα, η ουσία της οποίας είναι η σάρωση συστημάτων υπολογιστών ακόμη και πριν από την εκκίνηση. Εκτός από τα προγράμματα προστασίας από ιούς, το πρόβλημα της προστασίας των πληροφοριών στα δίκτυα υπολογιστών επιλύεται με την εισαγωγή ελέγχου πρόσβασης και την οριοθέτηση των εξουσιών των χρηστών. Για αυτό, χρησιμοποιούνται ενσωματωμένα εργαλεία λειτουργικών συστημάτων δικτύου, ο μεγαλύτερος κατασκευαστής των οποίων είναι η Novell Corporation. Σε ένα σύστημα όπως το NetWare, εκτός από τυπικά μέσαπεριορισμοί πρόσβασης (αλλαγή κωδικών πρόσβασης, διαφοροποίηση εξουσιών), παρέχεται η δυνατότητα κωδικοποίησης δεδομένων σύμφωνα με την αρχή του "δημόσιου κλειδιού" με το σχηματισμό ηλεκτρονικής υπογραφής για πακέτα που μεταδίδονται μέσω του δικτύου.

Ωστόσο, ένα τέτοιο σύστημα προστασίας είναι αδύναμο, γιατί το επίπεδο πρόσβασης και η δυνατότητα εισόδου στο σύστημα καθορίζονται από έναν κωδικό πρόσβασης που είναι εύκολο να κατασκοπευθεί ή να παραληφθεί. Για να αποκλειστεί η μη εξουσιοδοτημένη διείσδυση σε ένα δίκτυο υπολογιστών, χρησιμοποιείται μια συνδυασμένη προσέγγιση - κωδικός πρόσβασης + αναγνώριση χρήστη από ένα προσωπικό "κλειδί". Ένα «κλειδί» είναι μια πλαστική κάρτα (μαγνητική ή με ενσωματωμένο μικροκύκλωμα - μια έξυπνη κάρτα) ή διάφορες συσκευές για την αναγνώριση ενός ατόμου με βιομετρικές πληροφορίες - από την ίριδα, τα δακτυλικά αποτυπώματα, τα μεγέθη των χεριών κ.λπ. Διακομιστές και δικτυακοί σταθμοί εργασίας εξοπλισμένοι με συσκευές ανάγνωσης έξυπνων καρτών και ειδικές λογισμικό, αυξάνουν σημαντικά τον βαθμό προστασίας από μη εξουσιοδοτημένη πρόσβαση.

Οι έξυπνες κάρτες ελέγχου πρόσβασης σάς επιτρέπουν να εφαρμόζετε λειτουργίες όπως έλεγχος πρόσβασης, πρόσβαση σε συσκευές υπολογιστή, προγράμματα, αρχεία και εντολές. Ένα από τα επιτυχημένα παραδείγματα δημιουργίας μιας ολοκληρωμένης λύσης για τον έλεγχο πρόσβασης σε ανοιχτά συστήματα, που βασίζεται τόσο στην προστασία λογισμικού όσο και στο υλικό, ήταν το σύστημα Kerberos, το οποίο βασίζεται σε τρία στοιχεία:

μια βάση δεδομένων που περιέχει πληροφορίες για όλους τους πόρους του δικτύου, τους χρήστες, τους κωδικούς πρόσβασης, τα κλειδιά πληροφοριών κ.λπ.

διακομιστής εξουσιοδότησης (διακομιστής ελέγχου ταυτότητας), καθήκον του οποίου είναι η επεξεργασία αιτημάτων χρηστών για την παροχή ενός συγκεκριμένου τύπου υπηρεσιών δικτύου. Μόλις λάβει ένα αίτημα, έχει πρόσβαση στη βάση δεδομένων και καθορίζει την εξουσία του χρήστη να εκτελέσει μια συγκεκριμένη λειτουργία. Οι κωδικοί πρόσβασης χρηστών δεν μεταδίδονται μέσω του δικτύου, αυξάνοντας έτσι τον βαθμό ασφάλειας των πληροφοριών.

ο διακομιστής χορήγησης εισιτηρίων λαμβάνει ένα "πάσο" από τον διακομιστή εξουσιοδότησης με το όνομα του χρήστη και τη διεύθυνση δικτύου, τον χρόνο αιτήματος και ένα μοναδικό "κλειδί". Το πακέτο που περιέχει το "πάσο" μεταδίδεται επίσης σε κρυπτογραφημένη μορφή. Ο διακομιστής που εκδίδει άδεια μετά τη λήψη και την αποκρυπτογράφηση του "πάσου" ελέγχει το αίτημα, συγκρίνει τα "κλειδιά" και, εάν είναι πανομοιότυπα, δίνει το πράσινο φως για χρήση εξοπλισμού ή προγραμμάτων δικτύου.

Καθώς οι δραστηριότητες των επιχειρήσεων επεκτείνονται, ο αριθμός των συνδρομητών αυξάνεται και εμφανίζονται νέα υποκαταστήματα, καθίσταται απαραίτητο να οργανωθεί η πρόσβαση για απομακρυσμένους χρήστες (ομάδες χρηστών) σε υπολογιστικούς πόρους ή πληροφοριακούς πόρους σε εταιρικά κέντρα. Για την οργάνωση της απομακρυσμένης πρόσβασης, χρησιμοποιούνται συχνότερα καλωδιακές γραμμές και ραδιοφωνικά κανάλια. Από αυτή την άποψη, η προστασία των πληροφοριών που μεταδίδονται μέσω καναλιών απομακρυσμένης πρόσβασης απαιτεί ειδική προσέγγιση. Οι γέφυρες και οι δρομολογητές απομακρυσμένης πρόσβασης χρησιμοποιούν τμηματοποίηση πακέτων - τον διαχωρισμό και τη μετάδοσή τους παράλληλα σε δύο γραμμές - γεγονός που καθιστά αδύνατη την "αναχαίτιση" δεδομένων όταν ένας "χάκερ" συνδέεται παράνομα σε μία από τις γραμμές. Η διαδικασία συμπίεσης των μεταδιδόμενων πακέτων που χρησιμοποιείται κατά τη μετάδοση δεδομένων εγγυάται την αδυναμία αποκρυπτογράφησης «αναχαιτισμένων» δεδομένων. Οι γέφυρες και οι δρομολογητές απομακρυσμένης πρόσβασης μπορούν να προγραμματιστούν με τέτοιο τρόπο ώστε να μην είναι προσβάσιμοι όλοι οι πόροι του κέντρου της εταιρείας από απομακρυσμένους χρήστες.

Επί του παρόντος, έχουν αναπτυχθεί ειδικές συσκευές ελέγχου πρόσβασης για δίκτυα υπολογιστώνμέσω μεταγωγής γραμμών. Ένα παράδειγμα είναι η μονάδα Remote Port Securiti Device (PRSD) που αναπτύχθηκε από την AT&T, η οποία αποτελείται από δύο μονάδες στο μέγεθος ενός συμβατικού μόντεμ: RPSD Lock (κλείδωμα) εγκατεστημένο στο κεντρικό γραφείο και RPSD Key (κλειδί) συνδεδεμένο στο μόντεμ απομακρυσμένος χρήστης. Το RPSD Key and Lock σάς επιτρέπει να ορίσετε πολλά επίπεδα προστασίας και ελέγχου πρόσβασης:

κρυπτογράφηση δεδομένων που μεταδίδονται μέσω της γραμμής χρησιμοποιώντας δημιουργημένα ψηφιακά κλειδιά·

έλεγχος πρόσβασης με βάση την ημέρα της εβδομάδας ή την ώρα της ημέρας.

Άμεσα συνδεδεμένη με το θέμα της ασφάλειας είναι η στρατηγική της δημιουργίας αντίγραφα ασφαλείαςκαι ανάκτηση βάσης δεδομένων. Συνήθως, αυτές οι λειτουργίες εκτελούνται κατά τις μη εργάσιμες ώρες σε λειτουργία παρτίδας. Στα περισσότερα DBMS αντιγράφων ασφαλείαςκαι η ανάκτηση δεδομένων επιτρέπεται μόνο σε χρήστες με ευρείες άδειες (δικαιώματα πρόσβασης στο διαχειριστής συστήματος, ή τον κάτοχο της βάσης δεδομένων), δεν είναι επιθυμητό να προσδιορίσετε τέτοιους υπεύθυνους κωδικούς πρόσβασης απευθείας στα αρχεία επεξεργασίας δέσμης. Για να μην αποθηκεύεται ρητά ο κωδικός πρόσβασης, συνιστάται η σύνταξη ενός απλού προγράμματος εφαρμογής που θα καλούσε το ίδιο τα βοηθητικά προγράμματα αντιγραφής / επαναφοράς. Σε αυτήν την περίπτωση, ο κωδικός πρόσβασης συστήματος πρέπει να είναι "ενσωματωμένος" στον κωδικό της καθορισμένης εφαρμογής. Το μειονέκτημα αυτής της μεθόδου είναι ότι κάθε φορά που αλλάζει ο κωδικός πρόσβασης, αυτό το πρόγραμμα πρέπει να μεταγλωττίζεται εκ νέου.

Όσον αφορά τα μέσα προστασίας από μη εξουσιοδοτημένη πρόσβαση, ορίζονται επτά κατηγορίες ασφαλείας (1-7) εξοπλισμού υπολογιστών (SVT) και εννέα κατηγορίες (1A, 1B, 1C, 1G, 1D, 2A, 2B, 3A, 3B). αυτοματοποιημένα συστήματα(ΟΠΩΣ ΚΑΙ). Για το SVT, το χαμηλότερο είναι η έβδομη τάξη και για το AU - 3B.

Ας εξετάσουμε λεπτομερέστερα τα πιστοποιημένα συστήματα προστασίας από μη εξουσιοδοτημένη πρόσβαση.

Το σύστημα "COBRA" συμμορφώνεται με τις απαιτήσεις της 4ης κατηγορίας ασφαλείας (για SVT), εφαρμόζει την αναγνώριση και διαφοροποίηση των εξουσιών χρήστη και το κρυπτογραφικό κλείσιμο πληροφοριών, διορθώνει παραμορφώσεις της κατάστασης αναφοράς του περιβάλλοντος εργασίας του υπολογιστή (που προκαλούνται από ιούς, χρήστη σφάλματα, τεχνικές βλάβες κ.λπ.) και επαναφέρει αυτόματα τα κύρια στοιχεία του περιβάλλοντος λειτουργίας του τερματικού.

Το υποσύστημα διαφοροποίησης εξουσιών προστατεύει τις πληροφορίες σε επίπεδο λογικές κινήσεις. Ο χρήστης έχει πρόσβαση σε ορισμένες μονάδες δίσκου A, B, C, ..., Z. Όλοι οι συνδρομητές χωρίζονται σε 4 κατηγορίες:

υπερχρήστης (όλες οι ενέργειες στο σύστημα είναι διαθέσιμες).

διαχειριστής (όλες οι ενέργειες στο σύστημα είναι διαθέσιμες, εκτός από την αλλαγή του ονόματος, της κατάστασης και των εξουσιών του υπερχρήστη, την προσθήκη ή την εξαίρεση του από τη λίστα των χρηστών).

προγραμματιστές (μπορούν να αλλάξουν τον προσωπικό κωδικό πρόσβασης).

συνάδελφος (έχει το δικαίωμα πρόσβασης σε πόρους που του έχουν ανατεθεί από τον υπερχρήστη).

Εκτός από την εξουσιοδότηση και τον περιορισμό της πρόσβασης σε λογικές μονάδες δίσκου, ο διαχειριστής ορίζει τα δικαιώματα πρόσβασης κάθε χρήστη σε σειριακές και παράλληλες θύρες. Εάν η σειριακή θύρα είναι κλειστή, είναι αδύνατη η μεταφορά πληροφοριών από έναν υπολογιστή σε άλλο. Εάν δεν έχετε πρόσβαση στην παράλληλη θύρα, δεν θα μπορείτε να πραγματοποιήσετε έξοδο στον εκτυπωτή.

Θέμα 3.3: Προγράμματα εφαρμογής για τη δημιουργία Ιστοσελίδων

Θέμα 3.4: Εφαρμογή του Διαδικτύου στην οικονομία και ασφάλεια πληροφοριών

Προγράμματα για τη δημιουργία ιστοσελίδων

3.4. Εφαρμογή του Διαδικτύου στην οικονομία και προστασία της πληροφορίας

3.4.1. Οργάνωση ασφάλειας υπολογιστών και προστασίας πληροφοριών

Οι πληροφορίες είναι ένας από τους πιο πολύτιμους πόρους κάθε εταιρείας, επομένως η διασφάλιση της προστασίας των πληροφοριών είναι ένα από τα πιο σημαντικά και προτεραιότητας καθήκοντα.

Ασφάλεια σύστημα πληροφορίων- αυτή η ιδιότητα, η οποία συνίσταται στην ικανότητα του συστήματος να διασφαλίζει την κανονική λειτουργία του, δηλαδή να διασφαλίζει την ακεραιότητα και το απόρρητο των πληροφοριών. Για να διασφαλιστεί η ακεραιότητα και το απόρρητο των πληροφοριών, είναι απαραίτητο να προστατεύονται οι πληροφορίες από τυχαία καταστροφή ή μη εξουσιοδοτημένη πρόσβαση σε αυτές.

Ως ακεραιότητα νοείται η αδυναμία μη εξουσιοδοτημένης ή τυχαίας καταστροφής, καθώς και τροποποίησης πληροφοριών. Υπό το απόρρητο των πληροφοριών - η αδυναμία διαρροής και μη εξουσιοδοτημένης κατοχής αποθηκευμένων, μεταδιδόμενων ή ληφθέντων πληροφοριών.

Είναι γνωστές οι ακόλουθες πηγές απειλών για την ασφάλεια των πληροφοριακών συστημάτων:

ανθρωπογενείς πηγές που προκαλούνται από τυχαίες ή εσκεμμένες ενέργειες υποκειμένων·
τεχνογενείς πηγές που οδηγούν σε αστοχίες και αστοχίες των τεχνικών και εργαλεία λογισμικούλόγω ξεπερασμένου λογισμικού και υλικού ή σφαλμάτων στο λογισμικό·
φυσικές πηγές που προκαλούνται από φυσικές καταστροφές ή ανωτέρα βία.

Με τη σειρά τους, οι ανθρωπογενείς πηγές απειλών χωρίζονται σε:

σε εσωτερικούς (επιπτώσεις από υπαλλήλους της εταιρείας) και εξωτερικό (μη εξουσιοδοτημένη παρέμβαση μη εξουσιοδοτημένων ατόμων από εξωτερικά δίκτυα γενικού σκοπού) πηγές;
για ακούσιες (τυχαίες) και εσκεμμένες ενέργειες των υποκειμένων.

Υπάρχουν πολλές πιθανές κατευθύνσεις διαρροής πληροφοριών και τρόποι μη εξουσιοδοτημένης πρόσβασης σε αυτές σε συστήματα και δίκτυα:

υποκλοπή πληροφοριών·
τροποποίηση πληροφοριών (το αρχικό μήνυμα ή έγγραφο αλλάζει ή αντικαθίσταται από άλλο και αποστέλλεται στον παραλήπτη)·
αντικατάσταση της πατρότητας των πληροφοριών (κάποιος μπορεί να στείλει μια επιστολή ή ένα έγγραφο εκ μέρους σας).
χρήση αδυναμιών λειτουργικών συστημάτων και λογισμικού εφαρμογών·
αντιγραφή πολυμέσων και αρχείων με μέτρα προστασίας υπέρβασης·
παράνομη σύνδεση με εξοπλισμό και γραμμές επικοινωνίας·
συγκάλυψη ως εγγεγραμμένος χρήστης και ανάθεση της εξουσιοδότησής του·
εισαγωγή νέων χρηστών·
εκτέλεση ιούς υπολογιστώνκαι ούτω καθεξής.

Για τη διασφάλιση της ασφάλειας των πληροφοριακών συστημάτων, χρησιμοποιούνται συστήματα ασφάλειας πληροφοριών, τα οποία είναι ένα σύνολο οργανωτικών και τεχνολογικών μέτρων, λογισμικού και υλικού και νομικών κανόνων που στοχεύουν στην αντιμετώπιση των πηγών απειλών για την ασφάλεια των πληροφοριών.

Με μια ολοκληρωμένη προσέγγιση, τα αντίμετρα απειλών ενσωματώνονται για τη δημιουργία μιας αρχιτεκτονικής ασφάλειας συστημάτων. Θα πρέπει να σημειωθεί ότι οποιοδήποτε σύστημα ασφάλειας πληροφοριών δεν είναι απολύτως ασφαλές. Πρέπει πάντα να επιλέξετε μεταξύ του επιπέδου προστασίας και της αποτελεσματικότητας των πληροφοριακών συστημάτων.

Τα μέσα προστασίας των πληροφοριών IP από τις ενέργειες των υποκειμένων περιλαμβάνουν:

μέσα προστασίας των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση·
προστασία των πληροφοριών σε δίκτυα υπολογιστών·
κρυπτογραφική προστασία πληροφοριών·
ηλεκτρονική ψηφιακή υπογραφή·
προστασία πληροφοριών από ιούς υπολογιστών.

Μέσα προστασίας πληροφοριών από μη εξουσιοδοτημένη πρόσβαση

Η απόκτηση πρόσβασης στους πόρους του πληροφοριακού συστήματος περιλαμβάνει την εφαρμογή τριών διαδικασιών: αναγνώρισης, πιστοποίησης ταυτότητας και εξουσιοδότησης.

Αναγνώριση - εκχώρηση στον χρήστη (αντικείμενο ή αντικείμενο πόρων) μοναδικών ονομάτων και κωδικών (αναγνωριστικών).

Έλεγχος ταυτότητας - Καθορισμός της ταυτότητας του χρήστη που παρείχε το αναγνωριστικό ή επαλήθευση ότι το άτομο ή η συσκευή που παρείχε το αναγνωριστικό είναι πραγματικά αυτό που ισχυρίζεται ότι είναι. Η πιο συνηθισμένη μέθοδος ελέγχου ταυτότητας είναι να δώσετε στον χρήστη έναν κωδικό πρόσβασης και να τον αποθηκεύσετε στον υπολογιστή.

Εξουσιοδότηση - έλεγχος της αρχής ή έλεγχος του δικαιώματος του χρήστη να έχει πρόσβαση σε συγκεκριμένους πόρους και να εκτελεί ορισμένες λειτουργίες σε αυτούς. Η εξουσιοδότηση πραγματοποιείται προκειμένου να διαφοροποιηθούν τα δικαιώματα πρόσβασης σε πόρους δικτύου και υπολογιστών.

Προστασία πληροφοριών σε δίκτυα υπολογιστών

Τα τοπικά δίκτυα επιχειρήσεων είναι πολύ συχνά συνδεδεμένα στο Διαδίκτυο. Για την προστασία των τοπικών δικτύων εταιρειών, κατά κανόνα, χρησιμοποιούνται τείχη προστασίας - τείχη προστασίας (τείχη προστασίας). Η οθόνη (τείχος προστασίας) είναι ένα μέσο ελέγχου πρόσβασης που σας επιτρέπει να διαιρέσετε το δίκτυο σε δύο μέρη (το περίγραμμα εκτείνεται μεταξύ τοπικό δίκτυοκαι το Διαδίκτυο) και σχηματίζουν ένα σύνολο κανόνων που καθορίζουν τις προϋποθέσεις για τη μετάδοση πακέτων από το ένα μέρος στο άλλο. Οι οθόνες μπορούν να εφαρμοστούν τόσο σε υλικό όσο και σε λογισμικό.

Προστασία κρυπτογραφικών πληροφοριών

Για τη διασφάλιση του απορρήτου των πληροφοριών, χρησιμοποιείται η κρυπτογράφηση ή η κρυπτογράφηση τους. Για την κρυπτογράφηση, χρησιμοποιείται ένας αλγόριθμος ή μια συσκευή που υλοποιεί έναν συγκεκριμένο αλγόριθμο. Η κρυπτογράφηση ελέγχεται από έναν κωδικό κλειδιού που αλλάζει.

Οι κρυπτογραφημένες πληροφορίες μπορούν να ανακτηθούν μόνο χρησιμοποιώντας το κλειδί. Η κρυπτογραφία είναι μια πολύ αποτελεσματική τεχνική που ενισχύει την ασφάλεια της μετάδοσης δεδομένων σε δίκτυα υπολογιστών και στην ανταλλαγή πληροφοριών μεταξύ απομακρυσμένων υπολογιστών.

Ηλεκτρονική ψηφιακή υπογραφή

Για να αποκλειστεί η δυνατότητα τροποποίησης του αρχικού μηνύματος ή αντικατάστασης αυτού του μηνύματος με άλλα, είναι απαραίτητο να μεταφερθεί το μήνυμα μαζί με την ηλεκτρονική υπογραφή. Η ηλεκτρονική ψηφιακή υπογραφή είναι μια ακολουθία χαρακτήρων που λαμβάνεται ως αποτέλεσμα κρυπτογραφικού μετασχηματισμού του αρχικού μηνύματος χρησιμοποιώντας ιδιωτικό κλειδί και η οποία επιτρέπει τον προσδιορισμό της ακεραιότητας του μηνύματος και της ιδιοκτησίας του δημιουργού του χρησιμοποιώντας το δημόσιο κλειδί.

Με άλλα λόγια, ένα μήνυμα κρυπτογραφημένο με ιδιωτικό κλειδί ονομάζεται ηλεκτρονική ψηφιακή υπογραφή. Ο αποστολέας στέλνει ένα μη κρυπτογραφημένο μήνυμα στην αρχική του μορφή μαζί με μια ψηφιακή υπογραφή. Ο παραλήπτης, χρησιμοποιώντας το δημόσιο κλειδί, αποκρυπτογραφεί το σύνολο χαρακτήρων του μηνύματος από την ψηφιακή υπογραφή και το συγκρίνει με το σύνολο χαρακτήρων του μη κρυπτογραφημένου μηνύματος.

Με πλήρη αντιστοίχιση χαρακτήρων, μπορεί να υποστηριχθεί ότι το ληφθέν μήνυμα δεν έχει τροποποιηθεί και ανήκει στον συντάκτη του.

Προστασία πληροφοριών από ιούς υπολογιστών

Ένας ιός υπολογιστή είναι μικρός κακόβουλο λογισμικό, το οποίο μπορεί να δημιουργήσει ανεξάρτητα αντίγραφα του εαυτού του και να τα ενσωματώσει σε προγράμματα (εκτελέσιμα αρχεία), έγγραφα, τομείς εκκίνησης φορέων δεδομένων και να διανεμηθεί μέσω καναλιών επικοινωνίας.

Ανάλογα με τον βιότοπο, οι κύριοι τύποι ιών υπολογιστών είναι:

Λογισμικό (μολύνει αρχεία με την επέκταση .COM και .EXE) ιούς
ιούς εκκίνησης.
Μακροϊοί.
ιούς δικτύου.

Πηγές μόλυνσης από ιούς μπορεί να είναι αφαιρούμενα μέσα και συστήματα τηλεπικοινωνιών. Στους πιο αποτελεσματικούς και δημοφιλείς προγράμματα προστασίας από ιούςπεριλαμβάνουν: Kaspersky Anti-Virus 7.0, AVAST, Norton AntiVirus και πολλά άλλα. Περισσότερο λεπτομερείς πληροφορίεςσχετικά με τους ιούς και τις μεθόδους προστασίας από αυτούς περιγράφεται στη σελίδα