Medios de protección de la información en redes informáticas. Protección de la información en redes informáticas. Trabajos similares a - Métodos y medios de protección de la información en redes

La protección de la información en los sistemas informáticos tiene una serie de características específicas relacionadas con el hecho de que la información no está asociada de forma rígida con los medios, puede copiarse y transmitirse fácil y rápidamente a través de los canales de comunicación. Se conoce una gran cantidad de amenazas a la información que pueden ser implementadas tanto por infractores externos como internos. Los problemas que surgen con la seguridad de la transmisión de información cuando se trabaja en redes informáticas se pueden dividir en tres tipos principales: - intercepción de información: se preserva la integridad de la información, pero se viola su confidencialidad; - modificación de la información: el mensaje original se cambia o se reemplaza completamente por otro y se envía al destinatario; - sustitución de la autoría de la información. Este problema puede tener graves consecuencias. Por ejemplo, alguien puede enviar un correo electrónico en su nombre (este tipo de engaño se denomina comúnmente suplantación de identidad) o un servidor web puede hacerse pasar por una tienda electrónica, aceptar pedidos, números de tarjetas de crédito, pero no enviar ningún producto. Los estudios de la práctica del funcionamiento de los sistemas informáticos y de procesamiento de datos han demostrado que existen bastantes direcciones posibles para la fuga de información y formas de acceso no autorizado en los sistemas y redes. Entre ellos:

Lectura de información residual en la memoria del sistema después de la ejecución de solicitudes autorizadas;

Copia de archivos multimedia y de información con superación de medidas de protección;

Disfrazarse como usuario registrado;

Disfrazarse a petición del sistema;

Uso de trampas de software;

Explotar las deficiencias del sistema operativo;

Conexión ilegal a equipos y líneas de comunicación;

Inhabilitación maliciosa de mecanismos de protección;

La introducción y uso de virus informáticos.

Garantizar la seguridad de la información en las Fuerzas Armadas y en las PC que funcionan de manera autónoma se logra mediante un conjunto de medidas organizativas, organizativas, técnicas, técnicas y de software. Las medidas organizativas para proteger la información incluyen:

Restricción de acceso a los locales donde se lleva a cabo la preparación y procesamiento de la información;

Permitir que solo los funcionarios de confianza procesen y transfieran información confidencial;

Almacenamiento de medios electrónicos y registros de registro en cajas fuertes cerradas al acceso de personas no autorizadas;

Exclusión de visualización por parte de personas no autorizadas del contenido de los materiales procesados a través de la pantalla, impresora, etc.;

El uso de códigos criptográficos al transmitir información valiosa a través de los canales de comunicación;

Destrucción de cintas de tinta, papel y otros materiales que contengan fragmentos de información valiosa.

Protección criptográfica de la información.

A Los métodos criptográficos de protección de la información son métodos especiales de encriptación, codificación u otra transformación de la información, como resultado de lo cual su contenido se vuelve inaccesible sin presentar la clave del criptograma y la transformación inversa. El método criptográfico de protección es sin duda el método de protección más fiable, ya que se protege la información en sí misma, y no el acceso a ella (por ejemplo, un archivo cifrado no se puede leer aunque el medio sea robado). Este método de protección se implementa en forma de programas o paquetes de software.

La criptografía moderna incluye cuatro secciones principales:

Criptosistemas simétricos. En los criptosistemas simétricos, se utiliza la misma clave tanto para el cifrado como para el descifrado. (El cifrado es un proceso de transformación: el texto original, que también se denomina texto sin formato, se reemplaza por texto cifrado, el descifrado es el proceso inverso al cifrado. Según la clave, el texto cifrado se convierte en el original);

Criptosistemas de clave pública. Los sistemas de clave pública utilizan dos claves, pública y privada, que están matemáticamente relacionadas entre sí. La información se cifra con una clave pública, que está disponible para todos, y se descifra con una clave privada, conocida solo por el destinatario del mensaje (la clave es la información necesaria para el cifrado y descifrado sin problemas de los textos);

Firma electronica. Sistema de firma electrónica. denominada transformación criptográfica adjunta al texto, que permite, al recibir el texto por otro usuario, verificar la autoría y autenticidad del mensaje.

Gestión de claves. Este es el proceso del sistema de procesamiento de información, cuyo contenido es la recopilación y distribución de claves entre los usuarios.

O las direcciones principales del uso de métodos criptográficos son la transmisión de información confidencial a través de canales de comunicación (por ejemplo, correo electrónico), la autenticación de mensajes transmitidos, el almacenamiento de información (documentos, bases de datos) en medios cifrados.

El peligro de acciones maliciosas no autorizadas con información se ha vuelto especialmente amenazante con el desarrollo de las redes informáticas. La mayoría de los sistemas de procesamiento de información se crearon como objetos separados: estaciones de trabajo, LAN, grandes computadoras centrales, etc. Cada sistema utiliza su propia plataforma de trabajo (Windows, Linux), así como diferentes protocolos de red(TCP/IP). La compleja organización de las redes crea condiciones favorables para cometer diversos tipos de delitos relacionados con el acceso no autorizado a información confidencial. Mayoria sistemas operativos, tanto autónomos como en red, no contienen mecanismos fiables de protección de la información.

La consecuencia del peligro de los sistemas de red ha sido los costos y los esfuerzos cada vez mayores para proteger la información a la que se puede acceder a través de los canales de comunicación de la red. La integridad de los datos solo se puede mantener si se toman medidas especiales para controlar el acceso a los datos y cifrar la información transmitida. Diferentes sistemas necesitan diferentes grados de protección. La tarea de combinar sistemas con diferentes grados de seguridad (por ejemplo, en plataformas Unix y Windows) se ha vuelto de actualidad.

Es necesario tener una idea clara de los posibles canales de fuga de información y formas de acceso no autorizado a la información protegida. Solo en este caso es posible construir mecanismos efectivos de protección de la información en Red de computadoras.

Amenazas a la seguridad de la red

Las formas de fuga de información y acceso no autorizado en las redes informáticas coinciden en su mayor parte con las de los sistemas autónomos. Surgen oportunidades adicionales debido a la existencia de canales de comunicación y la posibilidad de acceso remoto a la información. Éstos incluyen:

iluminación electromagnética de líneas de comunicación;
conexión ilegal a líneas de comunicación;
superación remota de los sistemas de protección;
errores de cambio de canal;
Interrupción de líneas de comunicación y equipos de red.

Los problemas de seguridad de la red se abordan dentro de la arquitectura.

seguridad, en cuya estructura hay:

amenazas de seguridad;
servicios de seguridad (servicios);
mecanismos de seguridad.

Por debajo trato de Seguridad se refiere a una acción o evento que puede conducir a la destrucción, distorsión o uso no autorizado de los recursos de la red, incluida la información almacenada, transmitida y procesada, así como el software y el hardware.

Las amenazas se dividen en:

no intencional o accidental;
intencional.

Amenazas aleatorias surgen como resultado de errores en el software, fallas en el hardware, acciones incorrectas de los usuarios o de un administrador de red, etc.

amenazas intencionales persiguen el objetivo de causar perjuicios a los usuarios y suscriptores de la red y, a su vez, se dividen en activas y pasivas.

Amenazas Pasivas destinadas al uso no autorizado de los recursos de información de la red, pero no afectan a su funcionamiento. Un ejemplo de amenaza pasiva es la recepción de información que circula en los canales de la red a través de la escucha.

Amenazas activas tienen como objetivo interrumpir el funcionamiento normal de la red a través de un impacto específico en su hardware, software y recursos de información. Las amenazas activas incluyen, por ejemplo, destrucción o interferencia electrónica de líneas de comunicación, desactivación de una computadora o sistema operativo, distorsión de información en bases de datos de usuarios o información del sistema, etc.

Las principales amenazas a la seguridad de la información en la red incluyen:

divulgación de información confidencial;
compromiso de la información;
intercambio no autorizado de información;
negativa de información;
negación de servicio;
uso no autorizado de los recursos de la red;
Uso erróneo de los recursos de la red.

Amenazas de divulgación de información confidencial implementado por el acceso no autorizado a las bases de datos.

Compromiso de información implementado al realizar cambios no autorizados en la base de datos.

Uso no autorizado de los recursos de la red es un medio para divulgar o comprometer información, y también causa daños a los usuarios y la administración de la red.

Mal uso de los recursos es el resultado de errores en el software LAN.

Intercambio de información no autorizado entre suscriptores de la red permite obtener información, cuyo acceso está prohibido, es decir, de hecho, conduce a la divulgación de información.

Descargo de responsabilidad consiste en el no reconocimiento por parte del destinatario o remitente de esta información de los hechos de su recepción o envío.

Negación de servicio es una amenaza muy común que se origina en la propia red. Tal falla es especialmente peligrosa en los casos en que un retraso en la provisión de recursos de red puede tener graves consecuencias para el suscriptor.

Servicios de seguridad de red

Diferencias en la composición y características de los servicios de seguridad. Los protocolos de intercambio de información en las redes se dividen en dos grandes grupos: conexión virtual y datagrama, según los cuales las redes también suelen dividirse en virtuales y datagrama.

A virtual redes, la transferencia de información entre suscriptores se organiza de acuerdo con los llamados canal virtual y ocurre en tres etapas: la creación de un canal (conexión), la transferencia real, la destrucción del canal (desconexión). Los mensajes se dividen en bloques, que se transmiten en el orden en que aparecen en el mensaje.

A datagrama paquetes de redes ( datagramas) los mensajes se transmiten del remitente al destinatario de forma independiente a lo largo de diferentes rutas y, por lo tanto, el orden en que se entregan los paquetes puede no corresponder con el orden en que aparecen en el mensaje. La red virtual implementa conceptualmente el principio de organización comunicación telefónica, mientras que datagrama es correo.

La Organización Internacional de Normalización (ISO) define los siguientes servicios de seguridad:

1) autenticación (autenticación);
2) garantizar la integridad;
3) clasificación de datos;
4) control de acceso;
5) protección contra fallas.

Los dos últimos servicios son los mismos para datagramas y redes virtuales. Los tres primeros se caracterizan por ciertas diferencias debido a las peculiaridades de los protocolos utilizados en las redes.

Servicio de autenticación en relación con las redes virtuales, se denomina servicio de autenticación de entidades (peer-to-peer) y proporciona la confirmación de que el remitente de la información es exactamente quien dice ser. Cuando se aplica a redes de datagramas, el servicio de autenticación se denomina servicio de autenticación de origen de datos.

Por debajo integridad se entiende como la correspondencia exacta de los datos enviados y recibidos entre sí. Servicios de integridad para las redes consideradas son las siguientes:

redes virtuales:
servicio de integridad de conexión con recuperación;
servicio de integridad de conexión sin recuperación;
servicio de integridad de campos de conexión selectivos;
redes de datagramas:
servicio de integridad sin conexión;
servicio de integridad de campo selectivo sin conexión.

Por debajo los campos se refiere a ciertos elementos específicos de bloques o paquetes de datos transmitidos. La restauración se refiere a los procedimientos para restaurar datos destruidos o perdidos como resultado de la detección de corrupciones, inserciones o repeticiones en bloques o datagramas. Los servicios de integridad de la red de datagramas no proporcionan procedimientos de recuperación.

Los servicios de cifrado de datos son:

servicio de cifrado de conexión: garantiza la confidencialidad de todos los datos enviados por objetos a través de un canal virtual;
servicio de cifrado sin conexión: garantiza la confidencialidad de los datos contenidos en cada datagrama individual;
servicio de encriptación para campos de conexión individuales;
servicio de cifrado de tráfico: neutraliza la posibilidad de obtener información sobre los suscriptores de la red y la naturaleza del uso de la red.

Mecanismos de seguridad

Entre los mecanismos de seguridad de red previstos por ISO, se suelen distinguir los siguientes: principal:

cifrado;
control de acceso;
firma digital.

Cifrado se utiliza para implementar servicios de cifrado y es utilizado por una serie de otros servicios.

Mecanismos de control de acceso proporcionar la implementación del servicio de seguridad del mismo nombre, verificar la autoridad de los objetos de red, es decir. programas y usuarios para acceder a los recursos de la red. Cuando se accede a un recurso a través de una conexión, el control se realiza en el punto de inicialización de la conexión, en los puntos intermedios y también en el punto final.

Los mecanismos de control de acceso se dividen en dos grupos principales:

autenticación de objetos que requieren un recurso, seguido de una verificación de acceso que utiliza un base de información control de acceso;
uso de etiquetas de seguridad asociado con objetos; la capacidad de un objeto para otorgar acceso a un recurso.

El método de autenticación más común y al mismo tiempo menos confiable es acceso con contraseña. Más perfectas son las tarjetas de plástico y las fichas electrónicas. Se considera que los métodos más confiables son los métodos de autenticación basados en signos especiales de personalidad, los llamados métodos biométricos.

Firma digital Se utiliza para implementar servicios de autenticación y repudio. En esencia, está destinado a servir como un análogo electrónico del atributo de "firma" que se utiliza en los documentos en papel. Mecanismo firma digital basado en el uso de cifrado de clave pública. Conocer la clave pública correspondiente permite al destinatario Email identificar de forma única al remitente.

Los mecanismos de seguridad adicionales son los siguientes:

garantizar la integridad de los datos;
autenticación;
sustitución de tráfico;
control de enrutamiento;
arbitraje.

Mecanismos de integridad de datos tienen como objetivo implementar el servicio del mismo nombre tanto en relación con un bloque de datos separado como con un flujo de datos. La integridad del bloque está garantizada por la ejecución de procedimientos de cifrado y descifrado interconectados por parte del remitente y el destinatario. Más son posibles metodos simples control de la integridad del flujo de datos, por ejemplo, numeración de bloques, agregarlos con una marca de tiempo, etc.

Mecanismos de autenticación se utilizan para implementar el servicio del mismo nombre, distinguiendo entre autenticación unidireccional y mutua. En el primer caso, uno de los objetos interactuantes de un nivel autentica al otro, mientras que en el segundo, la verificación es mutua. En la práctica, los mecanismos de autenticación suelen combinarse con el control de acceso, el cifrado, la firma digital y el arbitraje.

Mecanismos de sustitución de tráfico se utilizan para implementar el servicio de cifrado de flujo de datos. Se basan en la generación de bloques ficticios por objetos de red, su encriptación y la organización de su transmisión a través de canales de red.

Mecanismos de control de enrutamiento Se utiliza para implementar servicios de encriptación. Estos mecanismos proporcionan una selección de rutas para el movimiento de información a través de la red.

Mecanismos de arbitraje proporcionar confirmación de las características de los datos transmitidos entre entidades de red por un tercero. Para ello, toda la información enviada o recibida por los objetos también pasa por el árbitro, lo que le permite confirmar posteriormente las características mencionadas.

En general, se puede utilizar una combinación de varios mecanismos de seguridad para implementar un único servicio de seguridad.

Protección de sistemas operativos de red

El sistema operativo y el hardware de la red brindan protección a los recursos de la red, uno de los cuales es el propio sistema operativo, es decir,

programas incluidos e información del sistema. Por lo tanto, los mecanismos de seguridad deben implementarse de una forma u otra en el sistema operativo de la red LAN.

Es costumbre distinguir:

objetos pasivos de protección (archivos, programas de aplicación, terminales, áreas memoria de acceso aleatorio etc.);
sujetos activos (procesos) que pueden realizar ciertas operaciones sobre los objetos.

La protección de objetos es implementada por el sistema operativo al monitorear la implementación por parte de los sujetos de un conjunto de reglas que rigen estas operaciones. Esta colección a veces se llama estatus de Protección. Las operaciones que se pueden realizar en los objetos protegidos se denominan derechos de acceso, y los derechos de acceso del sujeto en relación con un objeto específico - oportunidades. La llamada matriz de control de acceso se usa con mayor frecuencia como un modelo formal del estado de protección en el sistema operativo.

Un medio bastante fácil de implementar para restringir el acceso a los objetos protegidos es mecanismo de anillo de seguridad.

La protección de archivos en el sistema operativo se organiza de la siguiente manera. Cada archivo tiene un conjunto de derechos de acceso asociados: leer, actualizar y/o ejecutar (para archivos ejecutables). El propietario del archivo, es decir. la persona que lo creó tiene todos los derechos sobre el archivo. Puede transferir algunos de estos derechos a miembros del grupo, personas a las que confía la información contenida en el archivo.

El acceso a los recursos del sistema operativo suele estar limitado por la protección con contraseña. La contraseña también se puede utilizar como clave para cifrar/descifrar información en archivos de usuario. Las propias contraseñas también se almacenan cifradas, lo que dificulta que los atacantes las detecten y utilicen. La contraseña puede ser cambiada por el usuario, el administrador del sistema o el propio sistema después de un período de tiempo establecido.

Protección de base de datos distribuida

Garantizar la seguridad de las bases de datos distribuidas (RDB) se implementa indirectamente por el sistema operativo de la red. Sin embargo, todos estos mecanismos y herramientas son invariantes a formas específicas de presentar información en la base de datos. Tal invariancia lleva a que, en caso de que no se tomen medidas especiales, todos los usuarios del DBMS tienen los mismos derechos para usar y actualizar toda la información disponible en la base de datos. Al mismo tiempo, la información, como en el caso de su acumulación y uso no automatizado, debe categorizarse según la clasificación de seguridad, los grupos de usuarios a los que está disponible, y también según las operaciones sobre ella que están permitidas a estos grupos. . La implementación de este proceso requiere el desarrollo e inclusión de mecanismos especiales de protección en el DBMS.

Tomar una decisión sobre el acceso a una u otra información disponible en la RDB puede depender de los siguientes factores:

1) hora y punto de acceso;
2) la presencia en la base de datos de cierta información;
3) la fluidez del estado del DBMS;
4) permisos de usuario;
5) historial de acceso a datos.
1. El acceso a la base de datos desde cada terminal LAN se puede limitar a un período de tiempo fijo.
2. El usuario puede obtener de la base de datos la información que le interesa solo a condición de que la base de datos contenga alguna información de cierto contenido interconectada con ellos.
3. La actualización de la información en alguna base de datos se le puede permitir al usuario solo en aquellos momentos en que otros usuarios no la actualicen.
4. Para cada usuario del programa de aplicación, se establecen derechos individuales para acceder a varios elementos de la base de datos. Estos derechos rigen las operaciones que el usuario puede realizar sobre los elementos especificados. Por ejemplo, se le puede permitir a un usuario seleccionar elementos de la base de datos que contengan información sobre los bienes ofrecidos en el intercambio, pero no se le permite actualizar esta información.
5. Se basa en el hecho de que el usuario puede obtener la información que le interesa no mediante la selección directa de ciertos elementos de la base de datos, sino indirectamente, es decir. analizando y comparando las respuestas del DBMS a consultas ingresadas secuencialmente (comandos para actualizar datos). En este sentido, para garantizar la seguridad de la información en la base de datos, en el caso general, es necesario tener en cuenta el historial de acceso a los datos.

Redes informáticas locales: un manual. En 3 libros. Libro. 1. Principios de construcción, arquitectura, herramientas de comunicación / Ed. S.V. Nazarova.M.: Finanzas y estadísticas, 1994.

La protección de datos en las redes informáticas se está convirtiendo en uno de los problemas más abiertos en los sistemas informáticos y de información modernos. Hasta la fecha, se han formulado tres principios básicos seguridad de información, cuya tarea es proporcionar:

integridad de los datos;

protección contra fallas que provoquen la pérdida de información o su destrucción;

confidencialidad de la información;

Teniendo en cuenta los problemas asociados a la protección de datos en la red, surge la cuestión de la clasificación de fallas y accesos no autorizados, lo que conduce a la pérdida o cambio no deseado de datos. Estos pueden ser fallas en los equipos (sistema de cable, sistemas de disco, servidores, estaciones de trabajo, etc.), pérdida de información (debido a infección con virus informáticos, almacenamiento inadecuado de datos archivados, violaciones de derechos de acceso a datos), trabajo incorrecto de usuarios y servicio proveedores personal Las violaciones enumeradas de la red provocaron la necesidad de crear varios tipos de protección de la información. Convencionalmente, se pueden dividir en tres clases:

medios de protección física;

herramientas de software (programas antivirus, sistemas de diferenciación de poderes, software de control de acceso);

medidas administrativas de protección (acceso a locales, desarrollo de estrategias de seguridad de la empresa, etc.).

Uno de los medios de protección física son los sistemas de archivo y duplicación de información. En las redes locales donde se instalan uno o dos servidores, la mayoría de las veces el sistema se instala directamente en las ranuras de servidor libres. En grande redes corporativas se da preferencia a un servidor de archivo especializado dedicado, que archiva automáticamente la información de unidades de disco duro servidores y estaciones de trabajo en un tiempo determinado establecido por el administrador de la red, emitiendo un informe sobre la copia de seguridad. Los modelos de servidor archivado más comunes son ARCserve de Intel para Windows Storage Express System.

Para combatir los virus informáticos, los programas antivirus se utilizan con mayor frecuencia, con menos frecuencia: herramientas de protección de hardware. Sin embargo, recientemente ha habido una tendencia hacia una combinación de métodos de protección de software y hardware. Entre los dispositivos de hardware, se utilizan placas antivirus especiales, insertadas en ranuras de expansión de computadora estándar. Intel ha presentado una tecnología prometedora para proteger contra virus en las redes, cuya esencia es escanear los sistemas informáticos incluso antes de que arranquen. Además de los programas antivirus, el problema de la protección de la información en las redes informáticas se resuelve introduciendo el control de acceso y delimitando los poderes de los usuarios. Para esto, se utilizan herramientas integradas de sistemas operativos de red, cuyo mayor fabricante es Novell Corporation. En un sistema como NetWare, a excepción de medios estándar restricciones de acceso (cambio de contraseñas, diferenciación de poderes), se prevé la posibilidad de codificar datos según el principio de "clave pública" con la formación de una firma electrónica para paquetes transmitidos por la red.

Sin embargo, tal sistema de protección es débil, porque el nivel de acceso y la capacidad de ingresar al sistema están determinados por una contraseña que es fácil de espiar o recuperar. Para excluir la penetración no autorizada en una red informática, se utiliza un enfoque combinado: una contraseña + identificación de usuario mediante una "clave" personal. Una "llave" es una tarjeta de plástico (magnética o con un microcircuito incrustado, una tarjeta inteligente) o varios dispositivos para identificar a una persona por información biométrica, por el iris, las huellas dactilares, el tamaño de las manos, etc. Servidores y estaciones de trabajo en red equipados con lectores de tarjetas inteligentes y especiales software, aumentar significativamente el grado de protección contra el acceso no autorizado.

Las tarjetas inteligentes de control de acceso le permiten implementar funciones como control de acceso, acceso a dispositivos de PC, programas, archivos y comandos. Uno de los ejemplos exitosos de creación de una solución integral para el control de acceso en sistemas abiertos, basada en la protección tanto de software como de hardware, fue el sistema Kerberos, que se basa en tres componentes:

una base de datos que contiene información sobre todos los recursos de la red, usuarios, contraseñas, claves de información, etc.;

servidor de autorización (servidor de autenticación), cuya tarea es procesar las solicitudes de los usuarios para la provisión de un tipo particular de servicios de red. Al recibir una solicitud, accede a la base de datos y determina la autoridad del usuario para realizar una determinada operación. Las contraseñas de los usuarios no se transmiten a través de la red, lo que aumenta el grado de seguridad de la información;

el servidor de otorgamiento de boletos recibe un "pase" del servidor de autorización con el nombre del usuario y la dirección de red, el tiempo de solicitud y una "clave" única. El paquete que contiene el "pase" también se transmite en forma encriptada. El servidor que emite el permiso, después de recibir y descifrar el "pase", verifica la solicitud, compara las "claves" y, si son idénticas, da el visto bueno para usar equipos o programas de red.

A medida que se expanden las actividades de las empresas, crece el número de suscriptores y aparecen nuevas sucursales, se hace necesario organizar el acceso de los usuarios remotos (grupos de usuarios) a los recursos informáticos o de información a los centros de la empresa. Para la organización del acceso remoto, las líneas de cable y los canales de radio se utilizan con mayor frecuencia. En este sentido, la protección de la información transmitida a través de canales de acceso remoto requiere un enfoque especial. Los puentes y enrutadores de acceso remoto utilizan la segmentación de paquetes, su separación y transmisión en paralelo en dos líneas, lo que hace que sea imposible "interceptar" los datos cuando un "hacker" se conecta ilegalmente a una de las líneas. El procedimiento de compresión de los paquetes transmitidos utilizado durante la transmisión de datos garantiza la imposibilidad de descifrar los datos "interceptados". Los puentes y enrutadores de acceso remoto se pueden programar de tal manera que los usuarios remotos no puedan acceder a todos los recursos del centro de la empresa.

En la actualidad, se han desarrollado dispositivos especiales de control de acceso para Red de computadoras a través de líneas conmutadas. Un ejemplo es el módulo Remote Port Securiti Device (PRSD) desarrollado por AT&T, que consta de dos unidades del tamaño de un módem convencional: RPSD Lock (candado) instalado en la oficina central y RPSD Key (llave) conectada al módem. usuario remoto. RPSD Key and Lock le permite establecer varios niveles de protección y control de acceso:

encriptación de datos transmitidos por la línea utilizando claves digitales generadas;

control de acceso basado en el día de la semana o la hora del día.

Directamente relacionada con el tema de la seguridad está la estrategia de crear copias de seguridad y recuperación de bases de datos. Normalmente, estas operaciones se realizan fuera del horario laboral en modo por lotes. En la mayoría de DBMS respaldo y la recuperación de datos solo se permite a los usuarios con permisos amplios (derechos de acceso en el administrador de sistema, o el propietario de la base de datos), no es deseable especificar dichas contraseñas responsables directamente en los archivos de procesamiento por lotes. Para no almacenar la contraseña explícitamente, se recomienda escribir un programa de aplicación simple que llame a las utilidades de copia/restauración. En este caso, la contraseña del sistema debe estar "cableada" en el código de la aplicación especificada. La desventaja de este método es que cada vez que se cambia la contraseña, este programa debe volver a compilarse.

En cuanto a los medios de protección contra el acceso no autorizado, se definen siete clases de seguridad (1-7) de equipos informáticos (SVT) y nueve clases (1A, 1B, 1C, 1G, 1D, 2A, 2B, 3A, 3B). sistemas automatizados(COMO). Para SVT, el más bajo es el séptimo grado, y para la AU - 3B.

Consideremos con más detalle los sistemas certificados de protección contra el acceso no autorizado.

El sistema "COBRA" cumple con los requisitos de la 4ª clase de seguridad (para SVT), implementa la identificación y diferenciación de los poderes del usuario y el cierre criptográfico de la información, corrige las distorsiones del estado de referencia del entorno de trabajo de la PC (causadas por virus, usuario errores, fallos técnicos, etc.) y restaura automáticamente los principales componentes del entorno operativo del terminal.

El subsistema de diferenciación de poderes protege la información a nivel unidades lógicas. El usuario obtiene acceso a ciertas unidades A, B, C, ..., Z. Todos los suscriptores se dividen en 4 categorías:

superusuario (todas las acciones en el sistema están disponibles);

administrador (todas las acciones en el sistema están disponibles, excepto cambiar el nombre, el estado y los poderes del superusuario, agregarlo o excluirlo de la lista de usuarios);

programadores (pueden cambiar la contraseña personal);

colega (tiene derecho a acceder a los recursos que le asigna el superusuario).

Además de autorizar y restringir el acceso a las unidades lógicas, el administrador establece los derechos de acceso de cada usuario a los puertos serie y paralelo. Si el puerto serie está cerrado, es imposible transferir información de una computadora a otra. Si no tiene acceso al puerto paralelo, no podrá enviar a la impresora.

Tema 3.3: Programas de aplicación para la creación de sitios web

Tema 3.4: Aplicación de Internet en la economía y seguridad de la información

Programas para crear sitios.

3.4. Aplicación de Internet en la economía y protección de la información

3.4.1. Organización de la seguridad informática y protección de la información.

La información es uno de los recursos más valiosos de cualquier empresa, por lo que garantizar la protección de la información es una de las tareas más importantes y prioritarias.

Seguridad sistema de informacion- esta propiedad, que consiste en la capacidad del sistema para asegurar su normal funcionamiento, es decir, para asegurar la integridad y el secreto de la información. Para garantizar la integridad y confidencialidad de la información, es necesario protegerla de la destrucción accidental o del acceso no autorizado a la misma.

Se entiende por integridad la imposibilidad de destrucción no autorizada o accidental, así como de modificación de la información. Bajo la confidencialidad de la información - la imposibilidad de fuga y posesión no autorizada de información almacenada, transmitida o recibida.

Se conocen las siguientes fuentes de amenazas a la seguridad de los sistemas de información:

fuentes antropogénicas causadas por acciones accidentales o deliberadas de sujetos;
fuentes tecnogénicas que conducen a fallas y fallas de los técnicos y herramientas de software debido a software y hardware obsoletos o errores en el software;
fuentes naturales causadas por desastres naturales o fuerza mayor.

A su vez, las fuentes antropogénicas de amenazas se dividen en:

en internos (impacto de los empleados de la empresa) y externos (intervención no autorizada de personas no autorizadas de redes externas propósito general) fuentes;
sobre acciones no intencionales (accidentales) y deliberadas de los sujetos.

Hay muchas direcciones posibles de fuga de información y formas de acceso no autorizado a ella en sistemas y redes:

interceptación de información;
modificación de información (se cambia el mensaje o documento original o se reemplaza por otro y se envía al destinatario);
sustitución de autoría de información (alguien puede enviar una carta o documento en su nombre);
uso de deficiencias de sistemas operativos y software de aplicación;
copia de soportes y archivos con superación de medidas de protección;
conexión ilegal a equipos y líneas de comunicación;
enmascararse como usuario registrado y asignar su autoridad;
introducción de nuevos usuarios;
implementación virus informáticos y así.

Para garantizar la seguridad de los sistemas de información se utilizan los sistemas de seguridad de la información, que son un conjunto de medidas organizativas y tecnológicas, software y hardware y normas jurídicas destinadas a contrarrestar las fuentes de amenazas a la seguridad de la información.

Con un enfoque integral, las contramedidas de amenazas se integran para crear una arquitectura de seguridad de sistemas. Cabe señalar que cualquier sistema de seguridad de la información no es completamente seguro. Siempre hay que elegir entre el nivel de protección y la eficiencia de los sistemas de información.

Los medios para proteger la información de PI de las acciones de los sujetos incluyen:

medios para proteger la información del acceso no autorizado;
protección de la información en redes informáticas;
protección criptográfica de la información;
firma digital electrónica;
proteger la información de virus informáticos.

Medios para proteger la información del acceso no autorizado

El acceso a los recursos del sistema de información implica la implementación de tres procedimientos: identificación, autenticación y autorización.

Identificación - asignación al usuario (objeto o sujeto de los recursos) de nombres y códigos únicos (identificadores).

Autenticación: establecer la identidad del usuario que proporcionó el identificador o verificar que la persona o el dispositivo que proporcionó el identificador es realmente quien dice ser. El método de autenticación más común es dar al usuario una contraseña y almacenarla en la computadora.

Autorización: verificar la autoridad o verificar el derecho del usuario para acceder a recursos específicos y realizar ciertas operaciones en ellos. La autorización se lleva a cabo con el fin de diferenciar los derechos de acceso a la red y los recursos informáticos.

Protección de la información en redes informáticas

Las redes de área local de las empresas suelen estar conectadas a Internet. Para proteger las redes de área local de las empresas, por regla general, se utilizan cortafuegos: cortafuegos (cortafuegos). Screen (firewall) es un medio de control de acceso que le permite dividir la red en dos partes (el borde se extiende entre red local e Internet) y forman un conjunto de reglas que determinan las condiciones para pasar paquetes de una parte a otra. Las pantallas se pueden implementar tanto en hardware como en software.

Protección de información criptográfica

Para garantizar el secreto de la información se utiliza su encriptación o criptografía. Para el cifrado se utiliza un algoritmo o un dispositivo que implementa un determinado algoritmo. El cifrado se controla mediante un código clave cambiante.

La información cifrada solo se puede recuperar utilizando la clave. La criptografía es una técnica muy eficaz que mejora la seguridad de la transmisión de datos en redes informáticas y en el intercambio de información entre equipos remotos.

firma digital electronica

Para excluir la posibilidad de modificar el mensaje original o sustituir este mensaje por otros, es necesario transferir el mensaje junto con la firma electrónica. Una firma digital electrónica es una secuencia de caracteres obtenida como resultado de la transformación criptográfica del mensaje original utilizando una clave privada y que permite determinar la integridad del mensaje y la propiedad de su autor utilizando la clave pública.

En otras palabras, un mensaje cifrado con una clave privada se denomina firma digital electrónica. El remitente envía un mensaje sin cifrar en su forma original junto con una firma digital. El destinatario, utilizando la clave pública, descifra el juego de caracteres del mensaje de la firma digital y lo compara con el juego de caracteres del mensaje sin cifrar.

Con una coincidencia completa de caracteres, se puede argumentar que el mensaje recibido no se modifica y pertenece a su autor.

Protección de la información contra virus informáticos

Un virus informático es un pequeño malware, que puede crear copias de sí mismo de forma independiente e incrustarlas en programas (archivos ejecutables), documentos, sectores de arranque de soportes de datos y distribuirse a través de canales de comunicación.

Dependiendo del hábitat, los principales tipos de virus informáticos son:

Software (infectar archivos con la extensión .COM y .EXE) virus
virus de arranque.
Macrovirus.
virus de red.

Las fuentes de infección por virus pueden ser medios extraíbles y sistemas de telecomunicaciones. A los más efectivos y populares. programas antivirus incluyen: Kaspersky Anti-Virus 7.0, AVAST, Norton AntiVirus y muchos otros. Más información detallada sobre virus y métodos de protección contra ellos se describe en la página