Shembuj të mjeteve të mbrojtjes së informacionit të softuerit dhe harduerit. Mjetet e sigurisë së informacionit. Metodat dhe mjetet softuerike dhe harduer-software për të garantuar sigurinë e informacionit

Mbrojtja e harduerit të sistemeve të informacionit- mjetet e mbrojtjes së informacionit dhe sistemeve të informacionit të zbatuara në nivel harduer. Këto mjete janë një pjesë e domosdoshme e sigurisë së sistemit të informacionit, megjithëse zhvilluesit e harduerit zakonisht ia lënë zgjidhjen e problemit të sigurisë së informacionit programuesve.

Ky problem ka tërhequr vëmendjen e shumë kompanive, duke përfshirë edhe Intel. Në vitet 80 u zhvillua sistemi 432. Por projekti dështoi. Ndoshta ishte pas dështimit të "grandit" që kompanitë e tjera e braktisën këtë ide.

Problemi i mbrojtjes së llogaritjes së harduerit u zgjidh nga zhvilluesit sovjetikë me krijimin e kompleksit kompjuterik Elbrus 1. Ai bazohet në idenë e kontrollit të tipit në të gjitha nivelet e sistemit, përfshirë harduerin. Dhe merita kryesore e zhvilluesve është në zbatimin e tij sistematik.

Modeli i përgjithshëm i një sistemi të sigurt ==кк Zhvilluesit e Elbrus propozuan modelin e mëposhtëm të një sistemi të sigurt sistemi i informacionit.

Në përgjithësi, një sistem informacioni mund të përfaqësohet si një hapësirë ​​informacioni dhe një pajisje përpunimi që i shërben atij. Llogaritjet ndahen në module të veçanta informatike të vendosura në hapësirë ​​informacioni. Skema e zbatimit llogaritës mund të përfaqësohet si më poshtë: pajisja përpunuese, nën drejtimin e programit, mund të hyjë në këtë hapësirë, duke e lexuar dhe redaktuar atë.

Për të përshkruar sistemin, ne prezantojmë konceptet

  • lidhje
  • kontekstin e programit

Nyjë- një qelizë të dhënash me madhësi arbitrare së bashku me një lidhje me të nga pajisja përpunuese.

Lidhje jo vetëm që përshkruan të dhënat, por gjithashtu përmban të gjitha të drejtat e aksesit në to. Sistemi duhet të sigurojë që operacionet që përdorin referenca të mos përdorin të dhëna të llojeve të tjera dhe që operacionet me argumente të llojeve të tjera të mos modifikojnë referencën.

Konteksti i programit- grupi i të gjitha të dhënave të disponueshme për llogaritjet në një modul specifik.

Funksionaliteti bazë i modelit të sistemit të informacionit të sigurt

Krijimi i një nyje vëllim arbitrar për ruajtjen e të dhënave

Pas shfaqjes, nyja e re duhet të jetë

  • e aksesueshme vetëm për këtë pajisje përpunuese dhe vetëm përmes kësaj lidhjeje

Fshirja e një nyje.

  • Përpjekja për të përdorur referenca për nyjet e largëta duhet të rezultojë në ndërprerje të sistemit

Ndryshimi i kontekstit ose ndryshimi i procedurës së ekzekutuar nga pajisja përpunuese.

Konteksti i ri përbëhet nga tre pjesë:

  • variablat globale të kaluara me referencë nga konteksti i vjetër
  • pjesa e kaluar duke kopjuar vlerën (parametrat)
  • të dhënat lokale të krijuara në modulin e ri

Metodat dhe kërkesat e përgjithshme për ndërrimin e kontekstit:

  • Identifikimi i një konteksti të ri (për shembull, një lidhje e veçantë me të që ju lejon vetëm të kaloni midis konteksteve)
  • Ndërrimi i drejtpërdrejtë i kontekstit (ekzekutimi i kodit të vjetër pas ndërrimit të kontekstit është i ndaluar, bazuar në parimet e sigurisë)
  • Operacionet e formimit të një lidhjeje ose strukture tjetër për identifikimin dhe ndërrimin e kontekstit

Zbatimet mund të jenë të ndryshme (duke përfshirë pa referenca të veçanta), por duhet të ndiqen parimet bazë:

  • pikat e hyrjes në një kontekst formohen brenda vetë kontekstit
  • ky informacion vihet në dispozicion për kontekste të tjera
  • kodi dhe ndërrimi i kontekstit në të njëjtën kohë

Analiza e modelit

  1. Siguria e sistemit bazohet në parimet e mëposhtme:
    • Vetëm moduli që e krijoi ka akses në një nyje, përveç nëse ia kalon lidhjen vullnetarisht dikujt tjetër
    • grupi i të dhënave të disponueshme për modulin në çdo kohë të caktuar kontrollohet rreptësisht nga konteksti
  2. Mbrojtja që rezulton është jashtëzakonisht e rreptë, por nuk kufizon aftësitë e programuesit. Module të ndryshme që nuk mbivendosen mund të funksionojnë në të njëjtin program, duke thirrur njëri-tjetrin dhe duke shkëmbyer të dhëna. Për ta bërë këtë, mjafton që secila prej tyre të përmbajë një lidhje të veçantë për kalimin e kontekstit në një tjetër.
  3. Sistemi i ndërtuar thjeshton shumë kërkimin dhe korrigjimin e gabimeve për shkak të kontrollit të rreptë të tipit. Për shembull, një përpjekje për të ndryshuar një lidhje do të rezultojë menjëherë në një ndërprerje të harduerit në vendndodhjen e gabimit. Pas së cilës mund të gjurmohet dhe korrigjohet lehtësisht.
  4. Ofron programim modular. Funksionimi i gabuar i programit nuk do të ndikojë në asnjë mënyrë të tjerët. Një modul "i dëmtuar" mund të prodhojë vetëm rezultate të pasakta.
  5. Për të përdorur sistemin, nuk kërkohet asnjë përpjekje shtesë nga programuesi. Për më tepër, kur shkruani një program për një model të tillë, nuk ka më nevojë të specifikoni më tej të drejtat e aksesit, metodat e transferimit të tyre, etj.

Arkitektura Elbrus

arkitekturë Elbrus Për të dalluar llojet e të dhënave, së bashku me secilën fjalë, etiketa e saj ruhet në memorie. Duke përdorur një etiketë, mund të përcaktoni nëse një fjalë e dhënë është një lidhje ose i përket ndonjë lloji të veçantë të të dhënave.

Lidhjet dhe puna me to

Formatet e mëposhtme të përshkruesve janë të mundshëm:

  • dorezë e objektit
  • dorezë grupi

Përshkruesi i objektit shërben për të mbështetur programimin e orientuar nga objekti dhe gjithashtu përmban një përshkrim të zonave private dhe publike. Qasja në zonën publike është standarde (shtimi i adresës bazë dhe indeksit së bashku me kontrollin e mëvonshëm të madhësisë. Nëse komandat për hyrjen në kujtesë përmbajnë një shenjë të të dhënave private, atëherë për të lejuar aksesin, kontrollohet një regjistër i veçantë në procesor, i cili ruan llojin e objektit kur programet e përpunimit janë duke u ekzekutuar të këtij lloji. Kështu, të dhënat private të objekteve të këtij lloji bëhen të disponueshme brenda programit.

Kur hyni në një qelizë memorie, kontrollohet korrektësia e referencës.

  • indeksimi (gjenerimi i një referimi për një element grupi)
  • Operacioni CAST në dorezat e objekteve (konvertimi në klasën bazë)
  • ngjeshje (shkatërron referencat për memorien e largët dhe ngjesh fort memorien e okupuar)

Kontekstet dhe metodat e punës me ta

Konteksti i modulit përbëhet nga të dhëna të ruajtura në kujtesë e gjallë dhe në skedarë, dhe ofrohet si një lidhje me regjistrat e procesorit.

Një ndërprerës konteksti është në thelb thirrje ose kthim nga një procedurë. Kur procedura kryhet, konteksti i plotë i modulit origjinal ruhet dhe krijohet i riu. Kur një procedurë del, konteksti i saj shkatërrohet.

Zbatimi i një pirg të sigurt

Gjatë zbatimit të mekanizmit procedural në Elbrus, mekanizmi stack përdoret për të rritur efikasitetin e alokimit të memories për të dhënat lokale.

Të dhënat e stivës ndahen në tre grupe sipas karakteristikave të tyre funksionale dhe nivelit të aksesueshmërisë për përdoruesit:

  • parametrat, të dhënat lokale dhe vlerat e ndërmjetme të procedurës të vendosura në regjistrat operativë (stiva e procedurës);
  • parametrat dhe procedurat lokale të vendosura në memorie (stack përdorues);
  • “Informacioni i lidhjes” që përshkruan procedurën e mëparshme (në ekzekutim) në stivën e procedurës (lidhja e informacionit);

Stafi i procedurës të destinuara për të dhënat e futura në regjistrat operativë. Çdo procedurë funksionon vetëm në dritaren e vet, e cila mund të kryqëzohet me dritaren e mëparshme në zonën e parametrave (është gjithashtu zona e vlerave të kthimit). Qasja në të dhëna (për përdoruesin) është e mundur vetëm në dritaren aktuale, gjithmonë e vendosur në regjistrat operativë.

Stack i përdoruesitështë menduar për të dhëna që përdoruesi i konsideron të nevojshme për t'i vendosur në memorie.

Mbajtja e Stackit të Informacionit ka për qëllim të përmbajë informacion në lidhje me procedurën e mëparshme (thirrje) dhe përdoret gjatë kthimit. Me programim të sigurt, përdoruesi nuk duhet të jetë në gjendje të ndryshojë këtë informacion, kështu që për të ndahet një pirg i veçantë, i aksesueshëm vetëm për sistemin operativ dhe harduerin. Rafti i ngjitësit është i strukturuar në të njëjtën mënyrë si rafti i procedurës.

Meqenëse memoria virtuale është e tepruar në rafte, mbrojtja e të dhënave bëhet një problem. Ajo ka dy aspekte:

  • ripërdorimi i memories (ndarja e hapësirës së liruar më parë). Kjo memorie, për shembull, mund të përmbajë lidhje që nuk janë të aksesueshme për modulin gjatë funksionimit të duhur
  • Treguesit "të mbërthyer" (referencat nga pronari i vjetër në kujtesën e ripërdorur)

Problemi i parë zgjidhet duke pastruar automatikisht memorien e mbipërdorur. Parimi për zgjidhjen e problemit të dytë është si më poshtë. Treguesit në kornizën aktuale të një procedure mund të ruhen vetëm në kuadrin aktual, ose mund të kalojnë si parametër në procedurën e thirrur (të kalohet në stek). Rrjedhimisht, treguesi nuk mund të shkruhet në të dhënat globale, të kalohet si vlerë e kthimit ose të shkruhet në thellësinë e pirgut.

Shënime

Lidhjet

  • Mikroprocesori "Elbrus" në faqen e internetit të MCST
  • Parimet bazë të arkitekturës (2001) në faqen e internetit të MCST

Fondacioni Wikimedia. 2010.

Shihni se çfarë është "Mbrojtja e harduerit të sistemeve të informacionit" në fjalorë të tjerë:

    Në rrjetet e informacionit Një nga fushat e mbrojtjes së informacionit në sistemet e informacionit është mbrojtja e informacionit teknik (TIP). Nga ana tjetër, çështjet e informacionit teknik ndahen në dy klasa të mëdha detyrash: mbrojtja e informacionit nga të paautorizuara... ... Wikipedia

    objektet- 3.17 Mjetet e mbrojtjes [individuale, kolektive] të punëtorëve: Mjetet teknike të përdorura për të parandaluar ose zvogëluar ndikimin e faktorëve të dëmshëm ose të rrezikshëm të prodhimit te punëtorët, si dhe për të mbrojtur kundër ndotjes.

    Mjetet e mbrojtjes imituese- b) mbrojtja imituese nënkupton mjetet harduerike, softuerike dhe harduero-software enkriptimi (kriptografik) (me përjashtim të mjeteve të kriptimit), zbatimi i algoritmeve për transformimin kriptografik të informacionit për ta mbrojtur atë nga imponimi... Terminologjia zyrtare

    Ky artikull duhet të Wikified. Ju lutemi formatoni atë sipas rregullave të formatimit të artikullit. Kriteret për përcaktimin e sigurisë së sistemeve kompjuterike (anglisht: Trusted Computer System Evaluation Criteria ... Wikipedia

    Mjetet teknike- 3.2 Mjetet teknike të sistemeve të automatizimit, kompleks mjete teknike(CTS) një grup pajisjesh (produktesh) që ofrojnë marrjen, hyrjen, përgatitjen, transformimin, përpunimin, ruajtjen, regjistrimin, daljen, shfaqjen, përdorimin dhe... ... Fjalor-libër referues i termave të dokumentacionit normativ dhe teknik

    Standardi i Departamentit të Mbrojtjes së SHBA-së (Departament of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28 STD, 26 dhjetor 1985), i njohur më mirë si Libri Portokalli për shkak të ngjyrës së kopertinës. Jepet... ... Wikipedia

    Ky artikull nuk ka lidhje me burimet e informacionit. Informacioni duhet të jetë i verifikueshëm, përndryshe mund të vihet në dyshim dhe të fshihet. Mund të... Wikipedia

    Agjencia e Projekteve Kërkimore të Avancuara të Mbrojtjes ... Wikipedia

    IBM System z9 model 2004 Mainframe (gjithashtu mainframe, nga mainframe angleze) ky term ka tre kuptime kryesore. Kompjuteri kryesor ju... Wikipedia

Mjetet e sigurisë së informacionit- është një grup i pajisjeve dhe pajisjeve, instrumenteve inxhinierike, elektrike, elektronike, optike dhe të tjera sistemet teknike, si dhe elementë të tjerë materialë të përdorur për zgjidhjen e problemeve të ndryshme të mbrojtjes së informacionit, duke përfshirë parandalimin e rrjedhjeve dhe sigurimin e sigurisë së informacionit të mbrojtur.

Në përgjithësi, mjetet e sigurimit të sigurisë së informacionit në drejtim të parandalimit të veprimeve të qëllimshme, në varësi të mënyrës së zbatimit, mund të ndahen në grupe:

  • teknike (hardware. Bëhet fjalë për pajisje të llojeve të ndryshme (mekanike, elektromekanike, elektronike, etj.), të cilat përdorin harduerin për të zgjidhur problemet e sigurisë së informacionit. Ato ose parandalojnë depërtimin fizik, ose, nëse depërtimi ndodh, aksesin në informacion, duke përfshirë edhe maskimin e tij. Pjesa e parë e problemit zgjidhet nga bravat, hekurat në dritare, alarmet e sigurisë, etj. Pjesa e dytë zgjidhet nga gjeneratorët e zhurmës, mbrojtëset e mbitensionit, radiot skanuese dhe shumë pajisje të tjera që "bllokojnë" kanalet e mundshme të rrjedhjes së informacionit ose i lejojnë ato. për t'u zbuluar. Përparësitë e mjeteve teknike lidhen me besueshmërinë e tyre, pavarësinë nga faktorët subjektivë dhe rezistencën e lartë ndaj modifikimit. Dobësitë - fleksibilitet i pamjaftueshëm, vëllim dhe peshë relativisht e madhe, kosto e lartë.
  • Software mjetet përfshijnë programe për identifikimin e përdoruesit, kontrollin e aksesit, enkriptimin e informacionit, heqjen e informacionit të mbetur (të punës) si skedarët e përkohshëm, kontrollin e testimit të sistemit të sigurisë, etj. Përparësitë e mjeteve softuerike janë shkathtësia, fleksibiliteti, besueshmëria, lehtësia e instalimit, aftësia për të modifikuar dhe zhvilluar. Të metat - funksionalitet të kufizuar rrjetet, përdorimi i një pjese të burimeve të serverit të skedarëve dhe stacioneve të punës, ndjeshmëria e lartë ndaj ndryshimeve aksidentale ose të qëllimshme, varësia e mundshme nga llojet e kompjuterëve (hardware-i i tyre).
  • Të përziera hardueri dhe softueri zbatojnë të njëjtat funksione si hardueri dhe softueri veçmas, dhe kanë veti të ndërmjetme.
  • Organizative mjetet përbëhen nga organizative dhe teknike (përgatitja e ambienteve me kompjuterë, vendosja e një sistemi kabllor, duke marrë parasysh kërkesat për kufizimin e aksesit në të, etj.) dhe organizative dhe ligjore (legjislacioni kombëtar dhe rregullat e punës të vendosura nga menaxhmenti i një ndërmarrje të caktuar) . Përparësitë e mjeteve organizative janë se ato ju lejojnë të zgjidhni shumë probleme të ndryshme, janë të lehta për t'u zbatuar, përgjigjen shpejt ndaj veprimeve të padëshiruara në rrjet dhe kanë mundësi të pakufizuara për modifikim dhe zhvillim. Disavantazhet - varësia e lartë nga faktorët subjektivë, duke përfshirë organizimin e përgjithshëm të punës në një departament të veçantë.

Mjetet softuerike dallohen sipas shkallës së shpërndarjes dhe disponueshmërisë; mjete të tjera përdoren në rastet kur është e nevojshme të sigurohet një nivel shtesë i mbrojtjes së informacionit.

Softuer për sigurinë e informacionit

  • Siguria e integruar e informacionit
  • Programi antivirus (antivirus) është një program për zbulimin e viruseve kompjuterike dhe trajtimin e skedarëve të infektuar, si dhe për parandalimin - parandalimin e infektimit të skedarëve ose sistemit operativ me kod me qëllim të keq.
  • AhnLab - Koreja e Jugut
  • Software ALWIL (avast!) - Republika Çeke (versione falas dhe me pagesë)
  • Mbrojtja nga viruset AOL si pjesë e Qendrës së Sigurisë dhe Sigurisë AOL
  • ArcaVir - Poloni
  • Authentium - MB
  • AVG (GriSoft) - Republika Çeke (versione falas dhe me pagesë, duke përfshirë murin e zjarrit)
  • Avira - Gjermani (e disponueshme version falas klasik)
  • AVZ - Rusi (falas); asnjë monitor në kohë reale
  • BitDefender - Rumani
  • BullGuard - Danimarkë
  • ClamAV - Licenca GPL (falas, me burim të hapur); asnjë monitor në kohë reale
  • Computer Associates - SHBA
  • Dr.Web - Rusi
  • Eset NOD32 - Sllovaki
  • Fortinet - SHBA
  • Frisk Software - Islandë
  • F-PROT - Islandë
  • F-Secure - Finlandë (produkt me shumë motorë)
  • G-DATA - Gjermani (produkt me shumë motorë)
  • GeCAD - Rumani (kompani e blerë nga Microsoft në 2003)
  • IKARUS - Austri
  • H+BEDV - Gjermani
  • Hauri - Koreja e Jugut
  • Microsoft Security Essentials - antivirus falas nga Microsoft
  • MicroWorld Technologies - Indi
  • MKS - Poloni
  • MoonSecure - GPL e licencuar (falas, me burim të hapur), bazuar në kodin ClamAV, por ka një monitor në kohë reale
  • Norman - Norvegji
  • Softueri NuWave - Ukrainë (përdor motorë nga AVG, Frisk, Lavasoft, Norman, Sunbelt)
  • Outpost - Rusi (përdoren dy motorë anti-malware: anti-virus nga VirusBuster dhe anti-spyware, dikur Tauscan, i zhvilluar në shtëpi)
  • Panda Software - Spanjë
  • Quick Heal Antivirus - Indi
  • Në rritje - Kinë
  • ROSE SWE - Gjermani
  • Safe`n`Sec - Rusi
  • Antivirus i thjeshtë - Ukrainë
  • Sophos - MB
  • Spyware Doctor - mjet antivirus
  • Studimi Stiller
  • Sybari Software (kompani e blerë nga Microsoft në fillim të 2005)
  • Trend Micro - Japoni (nominalisht Tajvan/SHBA)
  • Trojan Hunter - mjet antivirus
  • Antivirus universal - Ukrainë (falas)
  • VirusBuster - Hungari
  • ZoneAlarm AntiVirus - SHBA
  • Zillya! - Ukrainë (falas)
  • Kaspersky Anti-Virus - Rusi
  • VirusBlokAda (VBA32) - Bjellorusi
  • Antivirus Kombëtar i Ukrainës - Ukrainë
  • Mjete të specializuara softuerike për mbrojtjen e informacionit nga aksesi i paautorizuar në përgjithësi kanë mundësi më të mira dhe karakteristikat sesa mjetet e integruara. Përveç programeve të enkriptimit dhe sistemeve kriptografike, ekzistojnë shumë mjete të tjera të jashtme të sigurisë së informacionit. Nga zgjidhjet e përmendura më shpesh, duhet të theksohen dy sistemet e mëposhtme që lejojnë kufizimin dhe kontrollin e rrjedhave të informacionit.
  • Firewalls (të quajtur edhe mure zjarri ose mure zjarri - prej tij. Brandmauer, anglisht muri i zjarrit- "mur zjarri"). Ndërmjet rrjeteve lokale dhe globale krijohen serverë specialë të ndërmjetëm, të cilët inspektojnë dhe filtrojnë të gjithë trafikun e nivelit të rrjetit/transportit që kalon nëpër to. Kjo ju lejon të reduktoni në mënyrë dramatike kërcënimin e aksesit të paautorizuar nga jashtë rrjetet e korporatave, por nuk e eliminon plotësisht këtë rrezik. Një version më i sigurt i metodës është metoda e maskuar, kur gjithçka vjen nga rrjet lokal trafiku dërgohet në emër të serverit të murit të zjarrit, duke e bërë rrjetin lokal praktikisht të padukshëm.
Firewalls
Falas Ashampoo Firewall Falas Comodo Core Force Online Armor Veglat e PC PeerGuardian Sygate ZoneAlarm
Pronësisë Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Jetico Kaspersky Microsoft ISA Server Norton Outpost Trend Micro Windows Firewall Sunbelt WinRoute
Hardware Pika e kontrollit Fortinet Cisco Juniper
FreeBSD Ipfw IPFilter
MacOS NetBarrier X4
Linux Netfilter (Iptables Firestarter Iplist NuFW Shorewall)
  • Proxy-servers (proxy - prokurë, person i besuar). I gjithë trafiku i shtresës së rrjetit/transportit ndërmjet rrjeteve lokale dhe globale është plotësisht i ndaluar - nuk ka rrugëzim si i tillë, dhe thirrjet nga rrjeti lokal në rrjetin global ndodhin përmes serverëve të veçantë ndërmjetësues. Natyrisht, në këtë rast, thirrjet nga rrjeti global në atë lokal bëhen në parim të pamundura. Kjo metodë nuk siguron mbrojtje të mjaftueshme kundër sulmeve në nivele më të larta - për shembull, në nivelin e aplikacionit (viruset, Java dhe kodi JavaScript).
  • VPN (virtuale rrjet privat) ju lejon të transmetoni informacion sekret përmes rrjeteve në të cilat është e mundur që persona të paautorizuar të përgjojnë trafikun. Teknologjitë e përdorura: PPTP, PPPoE, IPSec.

Siguria e informacionit të harduerit

Mbrojtja e harduerit përfshin pajisje të ndryshme elektronike, elektro-mekanike dhe elektro-optike. Deri më sot, janë zhvilluar një numër i konsiderueshëm i pajisjeve harduerike për qëllime të ndryshme, por më të përhapurit janë këto:

  • regjistra të veçantë për ruajtjen e detajeve të sigurisë: fjalëkalimet, kodet e identifikimit, vulat ose nivelet e sigurisë;
  • pajisje për matjen e karakteristikave individuale të një personi (zëri, gjurmët e gishtërinjve) me qëllim identifikimi;
  • qarqe për ndërprerjen e transmetimit të informacionit në një linjë komunikimi me qëllim të kontrollit periodik të adresës së daljes së të dhënave.
  • pajisje për enkriptimin e informacionit (metodat kriptografike).

Mjetet teknike të sigurisë së informacionit

Për të mbrojtur perimetrin e sistemit të informacionit krijohen: sistemet e sigurisë dhe alarmit nga zjarri; sistemet dixhitale të video survejimit; sistemet e kontrollit dhe menaxhimit të aksesit (ACS). Mbrojtja e informacionit nga rrjedhja kanalet teknike komunikimet sigurohen nga mjetet dhe masat e mëposhtme: përdorimi i kabllove të mbrojtura dhe vendosja e telave dhe kabllove në strukturat e mbrojtura; instalimi i filtrave me frekuencë të lartë në linjat e komunikimit; ndërtimi i dhomave të mbrojtura ("kapsula"); përdorimi i pajisjeve të mbrojtura; instalimi i sistemeve të zhurmës aktive; krijimi i zonave të kontrolluara.

Fjalor Financiar

Mjete teknike, kriptografike, softuerike dhe të tjera të krijuara për të mbrojtur informacionin që përbën sekret shtetëror, mjetet në të cilat ato zbatohen, si dhe mjetet për monitorimin e efektivitetit të mbrojtjes së informacionit. Eduart....... Fjalori i situatave emergjente

Mjetet e sigurisë së informacionit- mjete teknike, kriptografike, softuerike dhe të tjera të krijuara për të mbrojtur informacionin që përbën sekret shtetëror, mjetet në të cilat ato zbatohen, si dhe mjetet e monitorimit të efektivitetit të mbrojtjes së informacionit.

Metodat e mbrojtjes së harduerit përfshijnë pajisje të ndryshme të bazuara në parimin e funksionimit dhe modele teknike që zbatojnë mbrojtjen kundër zbulimit, rrjedhjes dhe aksesit të paautorizuar në burimet e informacionit. Mjete të tilla përdoren për detyrat e mëposhtme:

  • Zbulimi i linjave të rrjedhjes së të dhënave në dhoma dhe objekte të ndryshme
  • Zbatimi i studimeve të veçanta statistikore të metodave teknike të sigurimit të aktiviteteve për praninë e linjave të rrjedhjeve
  • Lokalizimi i linjave të rrjedhjes së të dhënave
  • Kundërveprimi ndaj mospërputhjes me burimet e të dhënave
  • kërkimin dhe zbulimin e gjurmëve të spiunazhit

Hardware mund të klasifikohet sipas funksionalitetit në zbulim, matje, kërkim, kundërmasa pasive dhe aktive. Gjithashtu, fondet mund të ndahen sipas lehtësisë së përdorimit. Zhvilluesit e pajisjeve po përpiqen të thjeshtojnë gjithnjë e më shumë parimin e punës me një pajisje për përdoruesit e zakonshëm. Për shembull, një grup treguesish të rrezatimit elektromagnetik të llojit IP, të cilët kanë një gamë të gjerë sinjalesh hyrëse dhe ndjeshmëri të ulët. Ose një kompleks për identifikimin dhe gjetjen e faqeshënuesve të radios, të cilat janë krijuar për të zbuluar dhe lokalizuar transmetuesit e radios, faqeshënuesit e telefonit ose transmetuesit e rrjetit. Ose një kompleks Delta zbaton:

  • vendndodhjen automatike të mikrofonave në një dhomë të caktuar
  • Zbulim i saktë i çdo mikrofoni radio të disponueshëm në treg dhe transmetuesve të tjerë emetues.

Pajisjet e kërkimit mund të ndahen në metoda për mbledhjen e të dhënave dhe ekzaminimin e linjave të rrjedhjeve. Pajisjet e llojit të parë janë konfiguruar për të lokalizuar dhe kërkuar mjete NSD të implementuara tashmë, dhe lloji i dytë është konfiguruar për të identifikuar linjat e rrjedhjes së të dhënave. Për të përdorur pajisje profesionale të kërkimit ju nevojitet një përdorues shumë i kualifikuar. Si në çdo fushë tjetër të teknologjisë, shkathtësia e pajisjes çon në një reduktim të parametrave të saj individualë. Nga një këndvështrim tjetër, ka shumë linja të ndryshme të rrjedhjes së të dhënave për shkak të natyrës së tyre fizike. Por ndërmarrjet e mëdha mund të përballojnë pajisje të shtrenjta profesionale dhe punonjës të kualifikuar për këto çështje. Dhe natyrisht, një pajisje e tillë do të funksionojë më mirë në kushte reale, domethënë, të identifikojë kanalet e rrjedhjes. Por kjo nuk do të thotë se nuk duhet të përdorni mjete kërkimi të thjeshta dhe të lira. Mjete të tilla janë të lehta për t'u përdorur dhe do të kryejnë po aq mirë në detyra shumë të specializuara.

Hardware mund të aplikohet në pjesë të veçanta të kompjuterit, në procesor, RAM, memorie të jashtme, kontrollues hyrje/dalje, terminale, etj. Për të mbrojtur procesorët, zbatohet rezervimi i kodit - ky është krijimi i biteve shtesë në udhëzimet e makinës dhe biteve rezervë në regjistrat e procesorit. Për të mbrojtur RAM-in, zbatohen kufizimet e aksesit në kufijtë dhe fushat. Për të treguar nivelin e konfidencialitetit të programeve ose informacionit, përdoren bit shtesë të konfidencialitetit me ndihmën e të cilave kodohen programet dhe informacionet. Të dhënat në RAM kërkojnë mbrojtje nga aksesi i paautorizuar. Nga leximi i informacionit të mbetur pas përpunimit të tij në RAM, përdoret një qark fshirjeje. Ky qark shkruan një sekuencë të ndryshme karakteresh në të gjithë bllokun e kujtesës. Për të identifikuar terminalin, përdoret një gjenerator i caktuar kodi, i cili lidhet me kabllo në pajisjen terminale dhe kontrollohet kur lidhet.

Metodat e mbrojtjes së të dhënave të harduerit janë pajisje dhe struktura të ndryshme teknike që mbrojnë informacionin nga rrjedhja, zbulimi dhe aksesi i paautorizuar.

Mekanizmat e mbrojtjes së softuerit

Sistemet për mbrojtjen e një stacioni pune nga ndërhyrja nga një sulmues ndryshojnë shumë dhe klasifikohen:

  • Metodat e mbrojtjes në vetë sistemin informatik
  • Metodat e mbrojtjes personale të përshkruara software
  • Metodat e mbrojtjes me kërkesën e të dhënave
  • Metodat e mbrojtjes aktive / pasive

Detajet rreth këtij klasifikimi mund të shihen në Fig. 1.

Foto 1

Udhëzime për zbatimin e mbrojtjes së informacionit të softuerit

Udhëzimet që përdoren për zbatimin e sigurisë së informacionit:

  • mbrojtje nga kopjimi
  • mbrojtje kundër NSD
  • mbrojtje nga virusi
  • mbrojtja e linjës së komunikimit

Për secilën nga fushat, ju mund të përdorni shumë produkte softuerësh me cilësi të lartë që janë në treg. Gjithashtu, Softueri mund të ketë funksione të ndryshme:

  • Monitorimi i funksionimit dhe regjistrimit të përdoruesve dhe pajisjeve teknike
  • Identifikimi i harduerit, përdoruesve dhe skedarëve ekzistues
  • Mbrojtja e burimeve të funksionimit të kompjuterit dhe programeve të përdoruesve
  • Shërbime për mënyra të ndryshme të përpunimit të të dhënave
  • Shkatërrimi i të dhënave pas përdorimit të tyre në elementët e sistemit
  • Alarm në rast shkeljesh
  • Programe shtesë për qëllime të tjera

Fushat e mbrojtjes së softuerit ndahen në Mbrojtjen e të Dhënave (ruajtja e integritetit/konfidencialitetit) dhe Mbrojtja e Programit (zbatimi i cilësisë së përpunimit të informacionit, i cili është një sekret tregtar, më i prekshëm nga një sulmues). Identifikimi i skedarëve dhe harduerit zbatohet në mënyrë programore; algoritmi bazohet në një inspektim të numrave të regjistrimit të komponentëve të ndryshëm të sistemit. Një metodë e shkëlqyer për identifikimin e elementeve të adresueshëm është një algoritëm i llojit kërkesë-përgjigje. Për të dalluar kërkesat e përdoruesve të ndryshëm për kategori të ndryshme informacioni, përdoren mjete individuale të fshehtësisë së burimeve dhe kontrollit personal të aksesit në to nga përdoruesit. Nëse, për shembull, i njëjti skedar mund të modifikohet përdorues të ndryshëm, pastaj ruhen disa opsione për analiza të mëtejshme.

Mbrojtja e informacionit nga aksesi i paautorizuar

Për të zbatuar mbrojtjen nga ndërhyrja, duhet të zbatoni funksionet e mëposhtme bazë të softuerit:

  • Identifikimi i objekteve dhe subjekteve
  • Regjistrimi dhe kontrolli i veprimeve me programe dhe veprime
  • Kufizimi i aksesit në burimet e sistemit

Procedurat e identifikimit përfshijnë kontrollimin nëse subjekti që po përpiqet të fitojë akses te burimet është ai që ai pretendon se është. Kontrolle të tilla mund të jenë periodike ose një herë. Për identifikim, metodat e mëposhtme përdoren shpesh në procedura të tilla:

  • fjalëkalime komplekse, të thjeshta ose një herë;
  • distinktivë, çelësa, shenja;
  • identifikues të veçantë për pajisjet, të dhënat, programet;
  • metodat për analizimin e karakteristikave individuale (zë, gishta, duar, fytyra).

Praktika tregon se mbrojtja me fjalëkalim është një hallkë e dobët, pasi në praktikë mund të përgjohet, spiunohet ose hamendësohet. Për të krijuar një fjalëkalim kompleks, mund të lexoni këto udhëzime. Objekti në të cilin qasja kontrollohet me kujdes mund të jetë një rekord në një skedar, vetë skedari ose një fushë e vetme në një skedar skedari. Në mënyrë tipike, shumë mjete të kontrollit të aksesit nxjerrin të dhëna nga matrica e aksesit. Ju gjithashtu mund t'i qaseni kontrollit të aksesit bazuar në kontrollin e kanaleve të informacionit dhe ndarjen e objekteve dhe lëndëve të aksesit në klasa. Një grup zgjidhjesh softuerësh dhe harduerësh për sigurinë e të dhënave nga të dhënat dixhitale zbatohet nga veprimet e mëposhtme:

  • kontabilitetit dhe regjistrimit
  • kontrolli i aksesit
  • shitjen e fondeve

Ju gjithashtu mund të vini re format e kontrollit të aksesit:

  • Parandalimi i aksesit:
      • në seksione individuale
      • në hard disk
      • tek katalogët
      • në skedarë individualë

    në media të lëvizshme ruajtëse

  • mbrojtja e modifikimit:
    • katalogë
    • dosjet
  • Vendosja e privilegjeve të aksesit në një grup skedarësh
  • Parandalimi i kopjimit:
    • katalogë
    • dosjet
    • programet e përdoruesve
  • Mbrojtja nga shkatërrimi:
    • dosjet
    • katalogë
  • Ekrani zbehet pas një kohe.

Mjetet e përgjithshme të mbrojtjes kundër NSD janë paraqitur në Fig. 2.

Figura - 2

Mbrojtje nga kopjimi

Metodat e mbrojtjes nga kopjimi parandalojnë shitjen e kopjeve të vjedhura të programeve. Metodat e mbrojtjes nga kopjimi nënkuptojnë mjete që zbatojnë funksionet e programit vetëm nëse ekziston një element unik i pakopjueshëm. Mund të jetë pjesë e një kompjuteri ose programet e aplikimit. Mbrojtja zbatohet nga funksionet e mëposhtme:

  • identifikimi i mjedisit ku funksionon programi
  • vërtetimi i mjedisit ku funksionon programi
  • Reagimi ndaj fillimit të një programi nga një mjedis i paautorizuar
  • Regjistrimi i kopjimit të autorizuar

Mbrojtja e informacionit nga fshirja

Fshirja e të dhënave mund të kryhet gjatë një sërë aktivitetesh si rikuperimi, rezervimi, përditësimet, etj. Meqenëse ngjarjet janë shumë të larmishme, është e vështirë t'i përshtatësh ato në rregulla. Mund të jetë gjithashtu një virus ose një faktor njerëzor. Dhe megjithëse ka një kundërmasë kundër virusit, këto janë antiviruse. Por ka pak kundërveprime ndaj veprimeve njerëzore. Për të zvogëluar rreziqet nga kjo, ekzistojnë një sërë veprimesh:

  • Informoni të gjithë përdoruesit për dëmin e ndërmarrjes nëse një kërcënim i tillë realizohet.
  • Ndaloni marrjen/hapjen e produkteve softuerike që janë jashtë sistemit të informacionit.
  • Gjithashtu ekzekutoni lojëra në ato kompjuterë ku përpunohen informacione konfidenciale.
  • Zbatimi i arkivimit të kopjeve të të dhënave dhe programeve.
  • Verifikoni shumat e kontrollit të të dhënave dhe programeve.
  • Zbatoni sigurinë e informacionit.

Për të parandaluar kërcënimet e mësipërme, ekzistojnë mënyra të ndryshme mbrojtjen e informacionit. Përveç mënyrave natyrore për të identifikuar dhe eliminuar në kohë shkaqet, metodat e mëposhtme të veçanta përdoren për të mbrojtur informacionin nga keqfunksionimet e sistemeve kompjuterike:

    prezantimi i informacionit strukturor, kohor dhe tepricës funksionale të burimeve kompjuterike;

    mbrojtje nga përdorimi i gabuar i burimeve sistemi kompjuterik;

    identifikimi dhe eliminimi në kohë i gabimeve në fazën e zhvillimit të softuerit dhe harduerit.

Teprica strukturore e burimeve kompjuterike arrihet përmes tepricës së komponentëve harduerikë dhe mediave të makinës. Organizimi i zëvendësimit të komponentëve të dështuar dhe rimbushja në kohë e komponentëve rezervë. Teprica strukturore përbën bazën. Teprica e informacionit futet përmes kopjimit periodik ose të vazhdueshëm të të dhënave në sfond. Në median kryesore dhe rezervë. Rezervimi i të dhënave siguron rivendosjen e shkatërrimit ose shtrembërimit aksidental ose të qëllimshëm të informacionit. Për të rivendosur funksionalitetin e një rrjeti kompjuterik pas një dështimi të përhershëm, përveç kopjimit të të dhënave të rregullta, prandaj, rezervoni informacionin e sistemit paraprakisht. Teprica funksionale e burimeve kompjuterike arrihet duke dublikuar funksione ose duke futur funksione shtesë në burimet e softuerit dhe harduerit. Për shembull, testimi dhe rikuperimi periodik, vetë-testimi dhe vetë-shërimi i komponentëve të sistemit.

Mbrojtja nga përdorimi i gabuar i burimeve të sistemit kompjuterik, i përfshirë në funksionimin e duhur të softuerit nga pikëpamja e përdorimit të burimeve të sistemit kompjuterik, programi mund të kryejë qartë dhe në kohë funksionet e tij, por jo të përdorë saktë burimet e kompjuterit. Për shembull, izolimi i seksioneve të RAM-it për sistemin operativ të programeve të aplikimit dhe mbrojtja e zonave të sistemit në mediat e jashtme.

Identifikimi dhe eliminimi i gabimeve në zhvillimin e softuerit dhe harduerit arrihet përmes zbatimit me cilësi të lartë të fazave bazë të zhvillimit bazuar në një analizë të sistemit të konceptit të projektimit dhe zbatimit të projektit. Megjithatë, lloji kryesor i kërcënimeve ndaj integritetit dhe konfidencialitetit të informacionit janë kërcënimet e qëllimshme. Ato mund të ndahen në 2 grupe:

    kërcënimet që realizohen me pjesëmarrje të vazhdueshme njerëzore;

    pasi sulmuesi zhvillon të përshtatshmen programet kompjuterike të kryera nga këto programe pa ndërhyrje njerëzore.

Detyrat për mbrojtjen nga kërcënimet e çdo lloji janë të njëjta:

    ndalimi i aksesit të paautorizuar në burime;

    pamundësia e përdorimit të paautorizuar të burimeve gjatë aksesit;

    zbulimi në kohë i aksesit të paautorizuar. Eliminimi i shkaqeve dhe pasojave të tyre.

2.2 Siguria e informacionit të harduerit

Mjetet e sigurisë së informacionit - një grup pajisjesh dhe pajisjeve inxhinierike, elektrike, elektronike, optike dhe të tjera, instrumente dhe sisteme teknike, si dhe elementë të tjerë materialë që përdoren për të zgjidhur probleme të ndryshme të mbrojtjes së informacionit, duke përfshirë parandalimin e rrjedhjeve dhe sigurimin e sigurisë së informacionit të mbrojtur. .

Mjetet e sigurimit të sigurisë së informacionit në drejtim të parandalimit të veprimeve të qëllimshme, në varësi të mënyrës së zbatimit, mund të ndahen në grupe:

    harduer;

    softuer;

    harduer dhe softuer i përzier;

    mjete organizative;

    enkriptimi i të dhënave;

    konfidencialiteti.

Le të hedhim një vështrim më të afërt në harduerin e sigurisë së informacionit.

Hardware - mjete teknike që përdoren për përpunimin e të dhënave.

Mbrojtja e harduerit përfshin pajisje të ndryshme elektronike, elektro-mekanike dhe elektro-optike. Deri më sot, janë zhvilluar një numër i konsiderueshëm i pajisjeve harduerike për qëllime të ndryshme, por më të përhapurit janë këto:

    regjistra të veçantë për ruajtjen e detajeve të sigurisë: fjalëkalimet, kodet e identifikimit, vulat ose nivelet e sigurisë;

    gjeneratorë të kodit të krijuar për të gjeneruar automatikisht një kod identifikimi të pajisjes;

    pajisje për matjen e karakteristikave individuale të një personi (zëri, gjurmët e gishtërinjve) me qëllim identifikimi;

    bit të veçantë privatësie, vlera e të cilave përcakton nivelin e privatësisë së informacionit të ruajtur në memorien të cilës i përkasin këta bit.

Qarqet për ndërprerjen e transmetimit të informacionit në një linjë komunikimi me qëllim të kontrollit periodik të adresës së daljes së të dhënave. Një grup i veçantë dhe më i përdorur i pajisjeve të sigurisë harduerike janë pajisjet për enkriptimin e informacionit (metodat kriptografike). Në rastin më të thjeshtë, kartat e rrjetit dhe një kabllo mjaftojnë për të funksionuar rrjetin. Nëse keni nevojë të krijoni një rrjet mjaft kompleks, do t'ju duhet pajisje speciale të rrjetit.

Hardueri i sigurisë së sistemit operativ tradicionalisht kuptohet si një grup mjetesh dhe metodash të përdorura për të zgjidhur problemet e mëposhtme:

    menaxhimi i RAM-it të kompjuterit dhe i memories virtuale;

    shpërndarja e kohës së procesorit ndërmjet detyrave në një sistem operativ me shumë detyra;

    sinkronizimi i ekzekutimit të detyrave paralele në një sistem operativ multitasking;

    sigurimi i aksesit të përbashkët të detyrave në burimet e sistemit operativ.

Detyrat e listuara zgjidhen kryesisht duke përdorur funksione të implementuara nga hardueri të procesorëve dhe komponentëve të tjerë të kompjuterit. Sidoqoftë, si rregull, mjetet softuerike përdoren gjithashtu për të zgjidhur këto probleme, dhe për këtë arsye termat "mbrojtje e harduerit" dhe "mbrojtje e harduerit" nuk janë plotësisht të sakta. Megjithatë, duke qenë se këto terma në fakt janë pranuar përgjithësisht, ne do t'i përdorim ato.

Pajisjet e mbrojtjes kriptografike të harduerit janë, në fakt, e njëjta PGP, e zbatuar vetëm në nivelin e harduerit. Në mënyrë tipike, pajisje të tilla janë bordet, modulet dhe madje edhe sistemet e veçanta që kryejnë algoritme të ndryshme të kriptimit në fluturim. Çelësat në këtë rast janë gjithashtu "të vështirë": më shpesh ato janë karta inteligjente ose identifikues TouchMemory (iButton). Çelësat ngarkohen drejtpërdrejt në pajisje, duke anashkaluar autobusin e kujtesës dhe sistemit të kompjuterit (lexuesi është montuar në vetë pajisjen), gjë që eliminon mundësinë e përgjimit të tyre. Këta enkriptues të vetë-mjaftueshëm përdoren si për kodimin e të dhënave brenda sistemeve të mbyllura ashtu edhe për transmetimin e informacionit kanale të hapura komunikimet. Në veçanti, sistemi i mbrojtjes KRYPTON-LOCK, i prodhuar nga kompania Zelenograd ANKAD, funksionon në këtë parim. Kjo kartë, e instaluar në një slot PCI, ju lejon të shpërndani burimet e kompjuterit në një nivel të ulët në varësi të vlerës së çelësit të futur përpara se pllaka amë të ngarkojë BIOS-in. Është çelësi që futet ai që përcakton të gjithë konfigurimin e sistemit - cilët disqe ose ndarje të diskut do të jenë të aksesueshme, cili OS do të niset, cilat kanale komunikimi do të jenë në dispozicionin tonë, etj. Një shembull tjetër i harduerit kriptografik është sistemi GRIM-DISK, i cili mbron informacionin e ruajtur në një hard disk me një ndërfaqe IDE. Pllaka e koduesit së bashku me diskun vendoset në një enë të lëvizshme (vetëm qarqet e ndërfaqes janë montuar në një tabelë të veçantë të instaluar në folenë PCI). Kjo zvogëlon gjasat që informacioni të përgjohet në ajër ose ndryshe. Përveç kësaj, nëse është e nevojshme, pajisja e mbrojtur mund të hiqet lehtësisht nga makina dhe të ruhet në kasafortë. Lexuesi i çelësit iButton është i integruar në kontejnerin me pajisjen. Pas ndezjes së kompjuterit, qasja në disk ose në ndonjë ndarje të diskut mund të merret vetëm duke ngarkuar çelësin në pajisjen e enkriptimit.

Mbrojtja e informacionit nga rrjedhja përmes kanaleve të rrezatimit elektromagnetik. Edhe konfigurimi dhe përdorimi kompetent i softuerit dhe harduerit shtesë, duke përfshirë mjetet e identifikimit dhe sistemet e enkriptimit të përmendura më lart, nuk janë në gjendje të na mbrojnë plotësisht nga shpërndarja e paautorizuar e informacionit të rëndësishëm. Ekziston një kanal i rrjedhjes së të dhënave për të cilin shumë njerëz as nuk janë në dijeni. Funksionimi i çdo pajisjeje elektronike shoqërohet me rrezatim elektromagnetik. Dhe teknologjia kompjuterike nuk bën përjashtim: edhe në një distancë shumë të konsiderueshme nga elektronika, nuk do të jetë e vështirë për një specialist të trajnuar mirë që përdor mjete teknike moderne të përgjojë ndërhyrjen e krijuar nga pajisjet tuaja dhe të izolojë një sinjal të dobishëm prej tyre. Burimi i rrezatimit elektromagnetik (EMR), si rregull, janë vetë kompjuterët, elementë aktivë të rrjeteve lokale dhe kabllove. Nga kjo rrjedh se tokëzimi i ekzekutuar siç duhet mund të konsiderohet një lloj sistemi i sigurisë së informacionit "hekur". Hapi tjetër është mbrojtja e ambienteve, instalimi i një aktivi pajisjet e rrjetit në kabinete të mbrojtura dhe përdorimi i kompjuterëve të veçantë, plotësisht të mbyllur me radio (me kuti të bëra nga materiale speciale që thithin rrezatimin elektromagnetik dhe ekrane shtesë mbrojtëse). Përveç kësaj, në komplekse të tilla është e detyrueshme përdorimi i filtrave të rrjetit dhe përdorimi i kabllove të dyfishtë të mbrojtur. Sigurisht, në lidhje me grupet e tastierës-maus radio, wireless përshtatësit e rrjetit dhe ndërfaqet e tjera radio në këtë rast do të duhet të harrohen. Nëse të dhënat që përpunohen janë top-sekret, përveç vulosjes së plotë të radios, përdoren edhe gjeneruesit e zhurmës. Këto pajisje elektronike maskojnë emetimet e humbura nga kompjuterët dhe pajisjet periferike, duke krijuar ndërhyrje radio në një gamë të gjerë frekuencash. Ka gjeneratorë që jo vetëm që mund të lëshojnë një zhurmë të tillë në ajër, por edhe ta shtojnë atë në rrjetin e furnizimit me energji elektrike për të parandaluar rrjedhjen e informacionit përmes prizave të zakonshme të rrjetit, ndonjëherë të përdorura si kanal komunikimi.

Duke hyrë në internet dhe duke organizuar akses në serverët e tij, një institucion në fakt hap disa burime të rrjetit të tij për të gjithë botën, duke e bërë atë të aksesueshëm për penetrim të paautorizuar. Për të mbrojtur kundër këtij kërcënimi, sisteme speciale zakonisht instalohen midis rrjetit të brendshëm të një organizate dhe Internetit - muret e zjarrit të harduerit dhe softuerit (firewall). Në rastin më të thjeshtë, një ruter filtrues mund të shërbejë si një mur zjarri. Sidoqoftë, për të krijuar rrjete shumë të besueshme, kjo masë nuk mjafton, dhe më pas është e nevojshme të përdoret metoda e ndarjes fizike të rrjeteve në të hapura (për akses në internet) dhe të mbyllura (korporative). Kjo zgjidhje ka dy të meta serioze. Së pari, punonjësit, puna e të cilëve kërkon akses në të dy rrjetet, duhet të instalojnë një PC të dytë në vendin e tyre të punës. Si rezultat, desktopi kthehet në tastierën e operatorit të qendrës së kontrollit të fluturimit ose kontrolluesit të trafikut ajror. Së dyti, dhe kjo është gjëja kryesore, ju duhet të ndërtoni dy rrjete, dhe kjo nënkupton kosto të konsiderueshme financiare shtesë dhe vështirësi në sigurimin e mbrojtjes nga EMI (në fund të fundit, kabllot e të dy rrjeteve duhet të kalojnë përmes komunikimeve të përbashkëta). Nëse duhet të përballeni me problemin e dytë, atëherë eliminimi i pengesës së parë është mjaft i thjeshtë: meqenëse një person nuk është në gjendje të punojë në dy kompjuterë të veçantë në të njëjtën kohë, është e nevojshme të organizohet një stacion i veçantë i automatizuar i punës (AWS). e cila supozon natyrën e sesionit të punës në të dy rrjetet. Një vend i tillë pune është një kompjuter i rregullt i pajisur me një pajisje të kontrollit të hyrjes (ACD), e cila ka një ndërprerës rrjeti të vendosur në panelin e përparmë. njësi të sistemit. Është me pajisjen e aksesit që disqet e ngurtë të kompjuterit janë lidhur. Çdo sesion pune kontrollohet nga sistemi i tij operativ, i ngarkuar nga një i veçantë hard drive. Qasja në disqet që nuk përfshihen në sesionin aktual bllokohet plotësisht kur kaloni midis rrjeteve.

Nuk ka mbrojtje më të besueshme të të dhënave sesa shkatërrimi i plotë i tyre. Por shkatërrimi i informacionit dixhital nuk është aq i lehtë. Përveç kësaj, ka raste kur ju duhet ta hiqni qafe atë menjëherë. Problemi i parë mund të zgjidhet duke shkatërruar plotësisht transportuesin. Pikërisht për këtë janë shpikur riciklues të ndryshëm. Disa prej tyre punojnë tamam si grirëset e zyrës (shredders letre), duke copëtuar mekanikisht disqe, karta magnetike dhe elektronike, CD dhe DVD. Të tjerat janë furra speciale në të cilat çdo media, përfshirë disqet e ngurtë, shkatërrohet nën ndikimin e temperaturave të larta ose rrezatimit jonizues. Kështu, instalimet e harkut elektrik dhe induksionit elektrik mund ta ngrohin transportuesin në një temperaturë prej 1000-1200 K (afërsisht 730-930 °C), dhe në kombinim me veprimin kimik, për shembull duke përdorur sintezën vetë-shpërndarëse në temperaturë të lartë (SHS), sigurohet ngrohja e shpejtë deri në 3000 K. Pas Nëse media është e ekspozuar ndaj temperaturave të tilla, është e pamundur të rivendosni informacionin mbi të. Për të shkatërruar automatikisht të dhënat, përdoren module speciale, të cilat mund të ndërtohen në njësinë e sistemit ose të ekzekutohen si një pajisje e jashtme me pajisje të ruajtjes së informacionit të instaluara në të. Komanda për të shkatërruar plotësisht të dhënat për pajisje të tilla zakonisht jepet nga distanca nga një fole e veçantë çelësash ose nga çdo sensor që mund të monitorojë lehtësisht si ndërhyrjen në ambiente, ashtu edhe hyrjen e paautorizuar në pajisje, lëvizjen e saj ose përpjekjen për të fikur energjinë. Informacioni në raste të tilla shkatërrohet në një nga dy mënyrat:

    shkatërrimi fizik i makinës (zakonisht me mjete kimike)

    fshirja e informacionit në zonat e shërbimit të disqeve.

Ju mund të rivendosni funksionalitetin e disqeve pas shkatërrimit të zonave të shërbimit duke përdorur pajisje speciale, por të dhënat do të humbasin përgjithmonë. Pajisjet e tilla janë në dispozicion në versione të ndryshme - për serverë, sisteme desktop dhe laptopë. Ekzistojnë gjithashtu modifikime të veçanta të zhvilluara për Ministrinë e Mbrojtjes: këto janë sisteme plotësisht autonome me mbrojtje të shtuar dhe një garanci absolute operimi. E meta më e madhe e sistemeve të tilla është pamundësia e sigurimit absolut ndaj funksionimit aksidental. Mund ta imagjinoni se çfarë efekti do të ketë nëse, për shembull, një qytetar që kryen mirëmbajtje hap njësinë e sistemit ose shkëput kabllon e monitorit, duke harruar të kyçë pajisjen e sigurisë.

Ese

Student Belevtsev D.V. Fakulteti i Fizikës dhe Matematikës "OiTZI"

Universiteti Shtetëror i Stavropolit

Stavropol 2004

Që nga fundi i viteve '80 dhe fillimi i viteve '90, problemet në lidhje me sigurinë e informacionit kanë shqetësuar si specialistët në fushën e sigurisë kompjuterike ashtu edhe përdoruesit e shumtë të zakonshëm të kompjuterëve personalë. Kjo është për shkak të ndryshimeve të thella që solli teknologjia kompjuterike në jetën tonë. Qasja ndaj konceptit të "informacionit" ka ndryshuar. Ky term tani përdoret më shumë për t'iu referuar një produkti të veçantë që mund të blihet, shitet, këmbehet me diçka tjetër, etj. Për më tepër, kostoja e një produkti të tillë shpesh tejkalon dhjetëra apo edhe qindra herë koston e vetë teknologjisë kompjuterike brenda së cilës ai operon. Natyrisht, ekziston nevoja për të mbrojtur informacionin nga aksesi i paautorizuar, vjedhja, shkatërrimi dhe akte të tjera kriminale. Megjithatë, shumica e përdoruesve nuk e kuptojnë se ata vazhdimisht rrezikojnë sigurinë e tyre dhe sekretet personale. Dhe vetëm disa mbrojnë të dhënat e tyre në çfarëdo mënyre. Përdoruesit e kompjuterit lënë rregullisht edhe të dhëna si informacione tatimore dhe bankare, korrespondencë biznesi dhe spreadsheets. Problemet bëhen shumë më të komplikuara kur filloni të punoni ose të luani në internet, pasi është shumë më e lehtë për një haker të marrë ose shkatërrojë informacion në kompjuterin tuaj në këtë moment.

Mbrojtja e të dhënave

Një rritje e mprehtë e vëllimit të informacionit të grumbulluar, ruajtur dhe përpunuar duke përdorur kompjuterë dhe mjete të tjera automatizimi;

Përqendrimi i informacionit për qëllime të ndryshme dhe aksesorë të ndryshëm në baza të të dhënave të unifikuara;

Një zgjerim i mprehtë i rrethit të përdoruesve me qasje të drejtpërdrejtë në burimet e sistemit kompjuterik dhe të dhënat e vendosura në të;

Kompleksiteti në rritje i mënyrave të funksionimit të mjeteve teknike të sistemeve kompjuterike: prezantimi i gjerë i modalitetit me shumë programe, si dhe mënyrat e ndarjes së kohës dhe në kohë reale;

Automatizimi i shkëmbimit të informacionit makinë-me-makinë, duke përfshirë në distanca të gjata.

Në këto kushte, lindin dy lloje të cenueshmërisë: nga njëra anë, mundësia e shkatërrimit ose shtrembërimit të informacionit (d.m.th., cenimi i integritetit të tij fizik), dhe nga ana tjetër, mundësia e përdorimit të paautorizuar të informacionit (d.m.th., rreziku rrjedhje e informacionit të kufizuar). Lloji i dytë i cenueshmërisë është një shqetësim i veçantë për përdoruesit e kompjuterave.

Kanalet kryesore të mundshme për rrjedhjen e informacionit janë:

Vjedhja e drejtpërdrejtë e mediave dhe dokumenteve;

Memorizimi ose kopjimi i informacionit;

Lidhja e paautorizuar me pajisjet dhe linjat e komunikimit ose përdorimi i paligjshëm i pajisjeve "legjitime" (d.m.th. të regjistruara) të sistemit (më shpesh terminalet e përdoruesve).

Hardware është mjeti teknik i përdorur për përpunimin e të dhënave. Kjo perfshin: Kompjuter personal(një grup mjetesh teknike të krijuara për përpunimin automatik të informacionit në procesin e zgjidhjes së problemeve llogaritëse dhe informacioni).

Pajisjet periferike (komplekse pajisje të jashtme kompjuterë që nuk janë nën kontrollin e drejtpërdrejtë të procesorit qendror).

Media fizike e informacionit kompjuterik.

Mbrojtja e harduerit përfshin pajisje të ndryshme elektronike, elektro-mekanike dhe elektro-optike. Deri më sot, janë zhvilluar një numër i konsiderueshëm i pajisjeve harduerike për qëllime të ndryshme, por më të përhapurit janë këto:

Regjistra specialë për ruajtjen e detajeve të sigurisë: fjalëkalimet, kodet e identifikimit, klasifikimet ose nivelet e sigurisë;

Gjeneruesit e kodit të krijuar për të gjeneruar automatikisht një kod identifikimi të pajisjes;

Aparatet për matjen e karakteristikave individuale të një personi (zëri, gjurmët e gishtërinjve) për qëllime identifikimi;

Bitë të veçantë privatësie, vlera e të cilave përcakton nivelin e privatësisë së informacionit të ruajtur në memorien të cilës i përkasin këta bit;

Skemat për ndërprerjen e transmetimit të informacionit në një linjë komunikimi me qëllim të kontrollit periodik të adresës së daljes së të dhënave.Një grup i veçantë dhe më i përhapur i pajisjeve të sigurisë harduerike janë pajisjet për enkriptimin e informacionit (metodat kriptografike).

2.1 Softueri i sigurisë së informacionit

Mjetet softuerike janë forma objektive të përfaqësimit të një grupi të dhënash dhe komandash të destinuara për funksionimin e kompjuterëve dhe pajisje kompjuterike për të marrë një rezultat të caktuar, si dhe materialet e përgatitura dhe të regjistruara në një medium fizik të marrë gjatë zhvillimit të tyre, dhe shfaqjet audiovizive të krijuara prej tyre. Kjo perfshin:

Software (një grup programesh kontrolli dhe përpunimi). Komponimi:

Programet e sistemit (sistemet operative, programet e mirëmbajtjes);

Programet aplikative (programe që janë krijuar për të zgjidhur probleme të një lloji të caktuar, për shembull redaktues teksti, programe antivirus, DBMS, etj.);

Programet instrumentale (sistemet e programimit që përbëhen nga gjuhë programimi: Turbo C, Microsoft Basic, etj. dhe përkthyes - një grup programesh që ofrojnë përkthim automatik nga gjuhët algoritmike dhe simbolike në kodet e makinerisë);

Informacioni i makinës për pronarin, pronarin, përdoruesin.

Detajime të tilla e kryej për të kuptuar më vonë thelbin e çështjes në shqyrtim, për të evidentuar më qartë metodat e kryerjes së krimeve kompjuterike, objektet dhe instrumentet e sulmit kriminal, si dhe për të eliminuar mosmarrëveshjet në lidhje me terminologjinë e pajisje kompjuterike. Pas një shqyrtimi të hollësishëm të komponentëve kryesorë që së bashku përfaqësojnë përmbajtjen e konceptit të krimit kompjuterik, mund të kalojmë në shqyrtimin e çështjeve që lidhen me elementët kryesorë të karakteristikave kriminalistike të krimeve kompjuterike.

Softueri i sigurisë përfshin programe speciale që janë krijuar për të kryer funksione sigurie dhe përfshihen në softuerin e sistemeve të përpunimit të të dhënave. Mbrojtja e softueritështë lloji më i zakonshëm i mbrojtjes, i cili lehtësohet nga vetitë pozitive të këtij mjeti si shkathtësia, fleksibiliteti, lehtësia e zbatimit, mundësitë pothuajse të pakufizuara për ndryshim dhe zhvillim, etj. Sipas qëllimit të tyre funksional, ato mund të ndahen në grupet e mëposhtme:

Identifikimi i mjeteve teknike (terminalet, pajisjet e kontrollit të hyrje-daljeve në grup, kompjuterët, mediat e ruajtjes), detyrat dhe përdoruesit;

Përcaktimi i të drejtave të mjeteve teknike (ditët dhe orët e funksionimit, detyrat e lejuara për përdorim) dhe përdoruesit;

Monitorimi i funksionimit të pajisjeve teknike dhe përdoruesve;

Regjistrimi i funksionimit të mjeteve teknike dhe përdoruesve gjatë përpunimit të informacionit me përdorim të kufizuar;

Shkatërrimi i informacionit në ruajtje pas përdorimit;

Alarmet për veprime të paautorizuara;

Programe ndihmëse për qëllime të ndryshme: monitorimi i funksionimit të mekanizmit të sigurisë, vendosja e një vule sekrete në dokumentet e lëshuara.

2.2 Mbrojtja kundër viruseve

Siguria e informacionit është një nga parametrat më të rëndësishëmçdo sistem kompjuterik. Për ta siguruar këtë, janë krijuar një numër i madh i mjeteve softuerike dhe harduerike. Disa prej tyre janë të angazhuar në enkriptimin e informacionit, dhe disa janë të angazhuar në kufizimin e aksesit në të dhëna. Një problem i veçantë është viruset kompjuterike. Kjo është një klasë e veçantë programesh që synojnë prishjen e sistemit dhe dëmtimin e të dhënave. Midis viruseve, ka një sërë varietetesh. Disa prej tyre janë vazhdimisht në kujtesën e kompjuterit, disa prodhojnë veprime shkatërruese me "goditje" të njëhershme. Ekziston edhe një klasë e tërë programesh që duken mjaft të mira nga jashtë, por në fakt e prishin sistemin. Programe të tilla quhen "kuajt e Trojës". Një nga vetitë kryesore të viruseve kompjuterike është aftësia për të "riprodhuar" - d.m.th. vetë-shpërndarja brenda një kompjuteri dhe rrjeti kompjuterik.

Meqenëse softuerët e ndryshëm të aplikacioneve të zyrës kanë qenë në gjendje të punojnë me programe të shkruara posaçërisht për ta (për shembull, për Microsoft Office mund të shkruani aplikacione në Visual Basic), është shfaqur një varietet i ri malware- të ashtuquajturat Makroviruset. Viruset e këtij lloji shpërndahen së bashku me skedarët e zakonshëm të dokumenteve dhe përmbahen brenda tyre si rutina të zakonshme.

Jo shumë kohë më parë (këtë pranverë) pati një epidemi të virusit Win95.CIH dhe nëngrupeve të tij të shumta. Ky virus shkatërroi përmbajtjen e BIOS-it të kompjuterit, duke e bërë të pamundur funksionimin. Shpesh na është dashur të hedhim edhe pllakat amë të dëmtuara nga ky virus.

Duke marrë parasysh zhvillimin e fuqishëm të mjeteve të komunikimit dhe vëllimin e rritur ndjeshëm të shkëmbimit të të dhënave, problemi i mbrojtjes nga viruset bëhet shumë urgjent. Praktikisht, me çdo dokument të marrë, për shembull, me e-mail, mund të merret një makro virus, dhe çdo programi i ekzekutimit mund (teorikisht) të infektojë një kompjuter dhe ta bëjë sistemin jofunksional.

Prandaj, ndër sistemet e sigurisë, fusha më e rëndësishme është lufta kundër viruseve. Ka një sërë mjetesh të krijuara posaçërisht për të zgjidhur këtë problem. Disa prej tyre fillojnë në modalitetin e skanimit dhe shikojnë përmbajtjen hard disqet dhe RAM-i i kompjuterit për viruset. Disa duhet të funksionojnë vazhdimisht dhe të gjenden në memorien e kompjuterit. Në të njëjtën kohë, ata përpiqen të monitorojnë të gjitha detyrat në vazhdim.

Në tregun rus të softuerit, paketa AVP e zhvilluar nga Laboratori i Sistemeve Anti-Virus Kaspersky ka fituar popullaritetin më të madh. Ky është një produkt universal që ka versione për një shumëllojshmëri të gjerë të sistemeve operative.

Kaspersky Anti-Virus (AVP) përdor gjithçka lloje moderne Mbrojtja kundër viruseve: skanues antivirus, monitorë, bllokues të sjelljes dhe auditorë të ndryshimit. Versione të ndryshme të produktit mbështesin të gjitha sistemet operative të njohura, portat e postës, muret e zjarrit dhe serverët në internet. Sistemi ju lejon të kontrolloni gjithçka mënyrat e mundshme depërtimi i viruseve në kompjuterin e përdoruesit, duke përfshirë internetin, emailin dhe median e ruajtjes së celularit. Mjetet e menaxhimit të Kaspersky Anti-Virus ju lejojnë të automatizoni operacionet më të rëndësishme për instalimin dhe menaxhimin e centralizuar, ashtu si në kompjuter lokal, dhe në rastin e mbrojtjes gjithëpërfshirëse të një rrjeti ndërmarrjesh. Kaspersky Lab ofron tre zgjidhje të gatshme për mbrojtjen kundër viruseve të dizajnuara për kategoritë kryesore të përdoruesve. Së pari, mbrojtje antivirus për përdoruesit e shtëpisë (një licencë për një kompjuter). Së dyti, mbrojtje antivirus për bizneset e vogla (deri në 50 stacione pune në rrjet). Së treti, mbrojtja kundër viruseve për përdoruesit e korporatave (mbi 50 stacione pune në rrjet) Ka ikur koha kur, për të qenë plotësisht i sigurt për sigurinë nga "infeksioni", mjaftonte të mos përdorësh disqe "të rastësishme" dhe të ekzekutoje Aidstest. shërbimi në makinë një ose dy herë në javë R, duke kontrolluar HDD kompjuter për objekte të dyshimta. Së pari, është zgjeruar gama e zonave në të cilat mund të përfundojnë këto objekte. Email me skedarë "të dëmshëm" të bashkangjitur, makro viruse në dokumente zyre (kryesisht Microsoft Office), "kuajt e Trojës" - e gjithë kjo u shfaq relativisht kohët e fundit. Së dyti, qasja e auditimeve periodike të hard drive-it dhe arkivave ka pushuar së justifikuari veten - kontrolle të tilla do të duhej të kryheshin shumë shpesh dhe ato do të merrnin shumë burime të sistemit.

Sistemet e vjetruara të sigurisë janë zëvendësuar nga një gjeneratë e re e aftë për të gjurmuar dhe neutralizuar "kërcënimin" në të gjitha fushat kritike - nga emaili tek kopjimi i skedarëve midis disqeve. Në të njëjtën kohë, antiviruset moderne organizojnë mbrojtje të vazhdueshme - kjo do të thotë që ata janë vazhdimisht në kujtesë dhe analizojnë informacionin që përpunohet.

Një nga paketat më të njohura dhe më të përdorura të mbrojtjes antivirus është AVP nga Kaspersky Lab. Kjo paketë vjen në shumë variante të ndryshme. Secila prej tyre është krijuar për të zgjidhur një gamë të caktuar problemesh sigurie dhe ka një numër karakteristikash specifike.

Sistemet e mbrojtjes të shpërndara nga Kaspersky Lab ndahen në tre kategori kryesore, në varësi të llojeve të detyrave që zgjidhin. Këto përfshijnë mbrojtjen për bizneset e vogla, mbrojtjen për përdoruesit e shtëpisë dhe mbrojtjen për klientët e korporatave.

AntiViral Toolkit Pro përfshin programe që ju lejojnë të mbroni stacionet e punës të menaxhuara nga sisteme të ndryshme operative - skanera AVP për DOS, Windows 95/98/NT, Linux, monitorë AVP për Windows 95/98/NT, Linux, serverë skedarësh - monitor dhe skaner AVP për Novell Netware, monitor dhe skaner për server NT, server WEB - AVP Inspector disk inspector for Windows, servers mail Microsoft Exchange- AVP për Microsoft Exchange dhe portat.

AntiViral Toolkit Pro përfshin programe skaner dhe programe monitorimi. Monitorët ju lejojnë të organizoni kontroll më të plotë të nevojshëm në zonat më kritike të rrjetit.

Në rrjetet Windows 95/98/NT, AntiViral Toolkit Pro lejon, duke përdorur paketën softuerike të Qendrës së Kontrollit të Rrjetit AVP, administrimin e centralizuar të të gjithë rrjetit logjik nga stacioni i punës i administratorit.

Koncepti AVP ju lejon të përditësoni lehtësisht dhe rregullisht programet antivirus duke zëvendësuar bazat e të dhënave antivirus - një grup skedarësh me shtesën .AVC, të cilat sot ju lejojnë të zbuloni dhe hiqni më shumë se 50,000 viruse. Përditësimet në bazat e të dhënave antivirus lëshohen dhe disponohen çdo ditë nga serveri i Kaspersky Lab. Aktualisht paketa programet antivirus AntiViral Toolkit Pro (AVP) ka një nga bazat e të dhënave më të mëdha të antiviruseve në botë.

2.3 Hardware është baza për ndërtimin e sistemeve të mbrojtjes kundër aksesit të paautorizuar në informacion

Zhvillimi dhe prodhimi mjete moderne mbrojtja kundër aksesit të paautorizuar (AT) në informacion në Byronë e Dizajnit CAD u parapri nga zbatimi i punës kërkimore dhe zhvillimore në këtë fushë. Shumica e zhvilluesve në fazën fillestare u përqendruan në krijimin e vetëm softuerit që zbaton funksionet e sigurisë sisteme të automatizuara, e cila nuk mund të garantojë siguri të besueshme të sistemeve të automatizuara nga aksesi i paautorizuar në informacion. Për shembull, kontrolli i integritetit të mjedisit të softuerit, i kryer nga ndonjë program tjetër i vendosur në të njëjtën media me objektet që kontrollohen, nuk mund të garantojë korrektësinë e procedurave të kryera. Është e nevojshme të sigurohet integriteti i vetë programit të kontrollit të integritetit dhe vetëm atëherë të zbatohen procedurat e tij të kontrollit. Kështu, kjo çoi në realizimin e nevojës për përdorimin e harduerit me procedura të integruara për monitorimin e integritetit të programeve dhe të dhënave, identifikimin dhe vërtetimin, regjistrimin dhe kontabilitetin në sistemet për mbrojtjen e informacionit nga aksesi i paautorizuar.

Në vitet '90, punonjësit e OKB SAPR zhvilluan një metodologji për përdorimin e mbrojtjes së harduerit, e cila u njoh si një bazë e nevojshme për ndërtimin e sistemeve për mbrojtjen nga aksesi i paautorizuar në informacion. Idetë kryesore të kësaj qasjeje janë si më poshtë:

Një qasje e integruar për zgjidhjen e çështjeve të mbrojtjes së informacionit në sistemet e automatizuara (AS) nga aksesi i paautorizuar. Njohja e paradigmës shumëfishuese të mbrojtjes dhe, si rrjedhojë, vëmendje e barabartë ndaj besueshmërisë së zbatimit të procedurave të kontrollit në të gjitha fazat e funksionimit të TEC-eve;

- zgjidhje "materialiste" për "çështjen kryesore" të sigurisë së informacionit: "çfarë vjen e para - e vështirë apo e butë?";

Refuzimi i vazhdueshëm i metodave të kontrollit të softuerit si dukshëm jo të besueshëm dhe transferimi i procedurave më kritike të kontrollit në nivelin e harduerit;

Ndarja maksimale e mundshme e elementeve konstante me kusht dhe të ndryshueshme me kusht të operacioneve të kontrollit;

Ndërtimi i mjeteve për mbrojtjen e informacionit nga aksesi i paautorizuar (ISI NSD), sa më i pavarur nga funksionimi dhe sistemet e skedarëve, e përdorur në AS. Ky është zbatimi i procedurave të identifikimit/autentifikimit, monitorimi i integritetit të harduerit dhe softuerit të AS përpara se të ngarkohet sistemi operativ, administrimi, etj.

Parimet e mësipërme të mbrojtjes së harduerit u zbatuan në një kompleks harduerësh dhe softuerësh për mbrojtjen e informacionit nga aksesi i paautorizuar - moduli i ngarkimit të besuar të harduerit - "Accord-AMDZ". Ky kompleks ofron modalitet të besueshëm të nisjes në mjedise të ndryshme funksionimi: MS DOS, Windows 3.x, Windows 9.x, Windows NT/2000/XP, OS/2, Unix, Linux.

Parimi kryesor i funksionimit të Accord-AMDZ është zbatimi i procedurave që zbatojnë funksionet bazë të sistemit të sigurisë së informacionit përpara se të ngarkojnë sistemin operativ. Procedurat për identifikimin/autentifikimin e përdoruesit, monitorimin e integritetit të harduerit dhe softuerit, administrimin, bllokimin e ngarkimit të sistemit operativ nga mediat e ruajtjes së jashtme ndodhen në memorje e brendshme Pllaka e mikrokontrolluesit "Accord". Kështu, përdoruesi nuk ka mundësinë të ndryshojë procedurat që ndikojnë në funksionalitetin e sistemit të sigurisë së informacionit. Kujtesa jo e paqëndrueshme e kontrolluesit Accord ruan informacione rreth të dhënave personale të përdoruesve, të dhëna për monitorimin e integritetit të softuerit dhe harduerit, një regjistër të regjistrimit dhe kontabilitetit të ngjarjeve të sistemit dhe veprimeve të përdoruesit. Këto të dhëna mund të ndryshohen vetëm nga një administrator i autorizuar i sigurisë së informacionit, pasi qasja në memorien jo të paqëndrueshme përcaktohet plotësisht nga logjika e funksionimit të softuerit të vendosur në mikrokontrolluesin e tabelës.

IDS NSD të familjes "Accord" zbatohet në bazë të kontrolluesit "Accord-4.5" (për PC me një ndërfaqe autobusi ISA) dhe analogut të tij funksional për ndërfaqen e autobusit PCI - "Accord-5".

Pajisjet OKB SAPR PCI janë të ligjshme dhe kanë identifikuesin e tyre të dhënë nga shoqata e zhvilluesve të këtyre pajisjeve: ID-ja e shitësit 1795.

Për organizatat që përdorin kompjuterë industrialë me një ndërfaqe autobusi RS/104, kompleksi softuer dhe hardueri Accord-RS104 i sistemit të mbrojtjes së informacionit NSD mund të jetë me interes. Ky kompleks është testuar në kushte të vështira operimi (dridhje të shtuara, gamë e gjerë temperaturash, lagështi e lartë, etj.). Mund të përdoret në kompjuterë të specializuar të përdorur në pajisjet në bord (sistemet tokësore, ajrore, detare dhe industriale), në pajisjet matëse, në pajisjet e komunikimit, në sistemet e lëvizshme, përfshirë për qëllime ushtarake.

Zhvillimi më intensiv i njohurive i OKB SAPR është bashkëprocesori i sigurisë Accord-SB, i cili integron të gjitha mjetet e nevojshme për zbatimin e mbrojtjes gjithëpërfshirëse të informacionit kundër aksesit të paautorizuar. Kontrolluesi i bashkëprocesorit të sigurisë Accord-SB/2 ka një mikroprocesor me performancë të lartë dhe një përshpejtues harduerik për funksionet matematikore. Qasja në funksionet e këtij procesori përcaktohet nga firmware-i i kontrolluesit.

Duke përdorur bibliotekën e programimit (SDK) të kontrolluesit të bashkëprocesorit të sigurisë Accord-SB/2, zhvilluesi mund ta përdorë këtë kompleks si një pajisje shumëfunksionale. Në veçanti, përveç detyrave të mbrojtjes së informacionit nga aksesi i paautorizuar, ai mund të përdoret për transmetimin e informacionit konfidencial përmes kanaleve të hapura të komunikimit në formë të koduar me përpunim dhe transmetim të të dhënave me shpejtësi të lartë, kriptim të diskut, gjenerim dhe verifikim të nënshkrimeve dixhitale, mbrojtje të elektronikës. dokumente duke përdorur vërtetimin e kodeve të sigurisë (ACA), dhe gjithashtu si një mur zjarri.

Kërkesat për IPS të harduerit dhe parimet e mbrojtjes së harduerit të zbatuara në NSD IPS të familjes Accord tashmë janë bërë një standard de facto dhe përdoren nga të gjithë zhvilluesit kryesorë të pajisjeve të sigurisë që veprojnë në tregun rus IPS.

Përdorimi i mbështetjes së fortë harduerike në sistemet e sigurisë së informacionit NSD të familjes Accord ka bërë të mundur arritjen e një niveli të ri në zhvillimin e mjeteve të sigurisë së informacionit. Siç dihet, për të ndërtuar sisteme të automatizuara sipas klasave të sigurisë 1D–1A, është e nevojshme të vendosen rregulla për kufizimin e aksesit në burimet e tij të informacionit. Për të zbatuar funksionet e kufizimit të aksesit të përdoruesit në burimet e informacionit dhe krijimin e një mjedisi të izoluar të softuerit (ISE), programuesit OKB SAPR kanë zhvilluar softuer special që mbështet të gjitha llojet e kontrollorëve Accord, duke përfshirë punën me një sensor numrash të rastësishëm. Këto janë komplekse të tilla NSD IPS si "Accord-1.95" (MS DOS, Windows 9x), "Accord-1.95-00" (Windows 9x), "Accord-NT/2000" (Windows NT/2000/XP).

Një tipar i komplekseve Accord-1.95-00 dhe Accord-NT/2000 është se në këto versione, përveç atij diskrecional, zbatohet parimi i detyrueshëm i aksesit të subjekteve në burimet e informacionit. Softueri special që zbaton funksionet e kontrollit të aksesit lejon administratorin e sigurisë së informacionit të përshkruajë çdo politikë të qëndrueshme të sigurisë bazuar në grupin më të plotë të atributeve (më shumë se 15 atribute për aksesin në skedarë dhe drejtori) dhe etiketat e konfidencialitetit të objekteve (skedarëve) dhe proceseve (programeve). ), me të cilin përpunohen.

Faza tjetër ishte zhvillimi i bazave të mbrojtjes së rrjeteve kompjuterike lokale duke përdorur mjetet e mbrojtjes së softuerit dhe harduerit kundër aksesit të paautorizuar në informacion. Për të mbrojtur plotësisht rrjetin lokal kompjuterik, OKB SAPR ofron teknologji gjithëpërfshirëse:

Instalimi në stacionet e punës të sistemit të sigurisë së informacionit Accord AMZ me softuerin Accord-1.95, Accord-1.95-00, Accord-NT/2000;

Instalimi i një nënsistem monitorimi të integritetit në çdo server skedari;

Instalimi i një nënsistemi të shpërndarë të auditimit dhe menaxhimit;

Instalimi i një nënsistemi të përmirësuar të vërtetimit.

Menaxhimi i nënsistemeve të mësipërme në vend rrjetet kompjuterike ofrohet duke përdorur një stacion pune të automatizuar të administratorit të sigurisë (AWS). Kjo teknologji lejon administratorin e sigurisë së informacionit të identifikojë në mënyrë unike përdoruesit e autorizuar dhe stacionet e punës të regjistruara në rrjet; monitoroni detyrat e kryera nga përdoruesit në kohë reale; në rast veprimesh të paautorizuara, bllokoni vendet e punës nga të cilat janë kryer veprime të tilla; administrojnë nga distanca. Me interes të veçantë është nënsistemi i zgjeruar i vërtetimit, thelbi i të cilit është një mekanizëm shtesë për verifikimin e origjinalitetit të stacioneve të punës. Procedura e vërtetimit kryhet jo vetëm në momentin e lidhjes së stacionit, por edhe në intervalet e përcaktuara nga administratori. Nënsistemi parandalon si zëvendësimin e një stacioni apo serveri lokal, ashtu edhe lidhjen e stacioneve/serverëve të paligjshëm me LAN. Autentifikimi i përmirësuar në një LAN bazohet në përdorimin e metodave matematikore që bëjnë të mundur identifikimin unik të pjesëmarrësve në një dialog.

Siç e dini, është e pamundur të zgjidhen të gjitha çështjet e përpunimit të informacionit në një sistem të automatizuar vetëm me anë të mbrojtjes nga aksesi i paautorizuar në informacionin e mbrojtur. Prandaj, është gjithashtu e nevojshme të sigurohen dëshmi ligjore për origjinalitetin e dokumenteve elektronike. Specialistët e OKB SAPR kanë propozuar dhe zbatuar një mënyrë të re - zhvillimin e një teknologjie të kontrolluar për përpunimin e dokumenteve elektronike në sistemet kompjuterike - një teknologji për mbrojtjen e dokumenteve elektronike duke përdorur kodet e vërtetimit të sigurisë (SAC). Kjo teknologji përdoret tashmë në sistemet e pagesave bankare për të parandaluar përpjekjet e sulmuesve për të futur dokumente fiktive ose modifikuar të përpunuara bankare elektronike, si dhe për të organizuar kontrollin nga fundi në fund gjatë kalimit të dokumenteve elektronike në të gjitha fazat e përcaktuara të ekzistencës së tyre. (krijimi, përpunimi, transferimi, ruajtja, zgjidhja përfundimtare) . Kjo sigurohet duke instaluar një ZKA në dokument. Si rezultat, një dokument elektronik në çdo fazë të përpunimit ka dy kontrolle sigurie, i pari prej të cilave ju lejon të autorizoni dhe kontrolloni integritetin e tij në fazën e mëparshme të përpunimit, dhe e dyta është karakteristika e tij individuale në atë aktuale.

Mbrojtja teknologjike e menaxhimit të dokumenteve elektronike zbatohet nga të gjitha llojet e kontrollorëve të familjes Accord. Për më tepër, për të zbatuar këtë teknologji gjatë përdorimit të sistemeve të tjera të sigurisë së informacionit NSD, OKB CAD ka zhvilluar pajisje efektive: një njësi për vendosjen e kodit të vërtetimit (BUKA), një produkt SHIPKA (Encryption, Authentication, Signature, Authentication Codes).

"SHIPKA" përmban një mikroprocesor me softuer të integruar, një sensor të numrave të rastësishëm të harduerit, lidhet përmes ndërfaqes ekzistuese - autobusi USB - dhe mund të kryejë veprimet e mëposhtme:

Kriptimi sipas GOST 28147-89;

Hashimi sipas GOST R 34.11-94;

Formimi dhe verifikimi i elektronikës nënshkrim dixhital sipas GOST R 34.10-94;

Zhvillimi dhe verifikimi i kodeve të vërtetimit të sigurisë.

Modifikimi i fundit i produktit ka një disk elektronik të mbrojtur me kapacitet 16 MB, 32, 64 ose 128 MB për regjistrimin e informacionit të përdoruesit.

Çdo sistem i sigurisë së informacionit është një grup masash organizative dhe teknike, i cili përfshin një sërë normash ligjore, masash organizative dhe mjete mbrojtëse softuerike dhe harduerike që synojnë të kundërshtojnë kërcënimet ndaj objektit të informacionit në mënyrë që të minimizohen dëmet e mundshme për përdoruesit dhe pronarët e sistemit. . Pa masa organizative dhe praninë e një sistemi të qartë organizativ dhe administrativ në vendin e informatizimit, efektiviteti i çdo sistemi të sigurisë së informacionit teknik zvogëlohet.

Prandaj, OKB SAPR i kushton vëmendje të madhe zhvillimit të dokumentacionit rregullator, teknik dhe metodologjik, grupeve të dokumenteve organizative dhe administrative mbi politikën e mbrojtjes së objekteve të informacionit në përputhje me legjislacionin aktual të Federatës Ruse. Së bashku me Ndërmarrjen Federale Unitare Shtetërore "Instituti Kërkimor Shkencor Gjith-Rus për Problemet e Teknologjisë Kompjuterike dhe Teknologjisë së Informacionit" (VNIIPVTI), ai merr pjesë aktive në punën shkencore në fushën e sigurisë së informacionit, kryesisht në zhvillimin e:

Bazat konceptuale dhe teorike të mbrojtjes së dokumenteve elektronike;

Teoritë e aplikimit të mbrojtjes së softuerit dhe harduerit kundër aksesit të paautorizuar në informacion;

Menaxhimi i sigurisë së informacionit në rrjetet kompjuterike lokale dhe të korporatave për qëllime të ndryshme.

Aktualisht, OKB SAPR është një zhvillues dhe prodhues i njohur i softuerit dhe harduerit për mbrojtjen e informacionit nga aksesi i paautorizuar, metodat e avancuara të menaxhimit të sigurisë së informacionit dhe teknologjitë e sigurta të menaxhimit të dokumenteve elektronike të bazuara në to.

OKB SAPR është një i licencuar i FSB, Komisioni Teknik Shtetëror i Rusisë dhe FAPSI, ka një prodhim mjetesh për mbrojtjen e informacionit nga aksesi i paautorizuar të certifikuar nga Komisioni Teknik Shtetëror i Rusisë dhe një rrjet të gjerë tregtarësh në shumicën e rajoneve Federata Ruse, po punon në mënyrë aktive për trajnimin e specialistëve në fushën e sigurisë së informacionit.

Kohët e fundit, interesi për mbrojtjen moderne të informacionit kriptografik të harduerit (ACCI) është rritur. Kjo, para së gjithash, për shkak të thjeshtësisë dhe efikasitetit të zbatimit të tyre. Për ta bërë këtë, mjafton që abonentët në anën transmetuese dhe marrëse të kenë pajisje ASKZI dhe një sërë dokumentesh kyçe për të garantuar konfidencialitetin e informacionit që qarkullon në sistemet e kontrollit të automatizuar (ACS).

ASKZI moderne janë ndërtuar mbi një parim modular, i cili bën të mundur kompletimin e strukturës së ASKZI sipas zgjedhjes së klientit.

1. Struktura e ASKZI

Gjatë zhvillimit të ASKZI moderne është e nevojshme të merren parasysh sasi të mëdha faktorët që ndikojnë në efektivitetin e zhvillimit të tyre, gjë që vështirëson gjetjen e vlerësimeve analitike për zgjedhjen e një kriteri të përgjithshëm për optimalitetin e strukturës së tyre.

ASKZI modern si një element i një sistemi kontrolli të automatizuar i nënshtrohet kërkesave në rritje për sigurinë, besueshmërinë dhe shpejtësinë e përpunimit të informacionit që qarkullon në sistem.

Siguria sigurohet nga forca e garantuar e enkriptimit dhe pajtueshmëria me kërkesat e veçanta, zgjedhja e të cilave përcaktohet nga standardet kriptografike.

Besueshmëria dhe shpejtësia e përpunimit të informacionit varen nga përbërja e strukturës së zgjedhur.ASKZI përfshin një numër nyjesh dhe blloqesh të lidhura funksionalisht që sigurojnë besueshmërinë dhe shpejtësinë e specifikuar. Kjo perfshin:

Pajisjet hyrëse të destinuara për futjen e informacionit;

Pajisjet e konvertimit të informacionit të dizajnuara për të transferuar informacion nga pajisjet hyrëse në pajisjet dalëse në formë të koduar, të deshifruar ose të qartë;

Pajisjet dalëse të dizajnuara për të shfaqur informacionin në media të përshtatshme.

2. Modeli ASKZI

Për të gjetur një kriter të përgjithshëm për vlerësimin e optimalitetit të strukturës së një ASKZ moderne, mjafton të merret në konsideratë zinxhiri kryesor i rrjedhës së informacionit: përshtatësit e hyrjes, pajisjet hyrëse që përbëhen nga një tastierë, transmetues ose lexues fotografish, kodues, pajisje konvertimi dhe dalje. pajisje. Nyjet dhe blloqet e mbetura nuk kanë një ndikim të rëndësishëm në rrjedhën e informacionit.

Nga metodologjia e qasjes sistemore dihet se përshkrimi matematik i një sistemi kompleks, të cilit i përket ASKZI, kryhet duke e zbërthyer në mënyrë hierarkike në komponentë elementare. Në të njëjtën kohë, kriteret e përgjithësuara të niveleve më të ulëta duhet të përfshihen gjithmonë në modelet matematikore të niveleve më të larta si nivele të veçanta. Rrjedhimisht, i njëjti koncept në lidhje me një nivel më të ulët mund të veprojë si një kriter i përgjithësuar, dhe në raport me një nivel më të lartë - si një kriter i veçantë.

Nënsistemi i daljes është pajisja terminale e ASKZI, domethënë është në nivelin më të lartë të hierarkisë dhe përfshin pajisje ekrani, printimi dhe shpimi. Rrjedhimisht, në këtë nivel objektivi do të jetë shpejtësia e përpunimit të kriptogrameve hyrëse. Pastaj, si një kriter i përgjithësuar, këshillohet të zgjidhni kohën e përpunimit të një rryme kriptogramesh për një cikël funksionimi të ASKZI moderne, duke mos tejkaluar një interval kohor të caktuar dhe të përcaktuar nga nevoja për të marrë vendime menaxhimi.

Nënsistemi i përpunimit të informacionit ndodhet në nivelin e dytë të hierarkisë dhe përfshin shtigjet e printimit dhe shpimit, një kodues dhe një sistem për kontrollin dhe shpërndarjen e rrjedhës së informacionit.

Drejtimet kryesore të punës në këtë aspekt të mbrojtjes mund të formulohen si më poshtë:

Përzgjedhja e sistemeve racionale të enkriptimit për të fshehur në mënyrë të sigurt informacionin;

Arsyetimi i mënyrave të zbatimit të sistemeve të enkriptimit në sistemet e automatizuara;

Zhvillimi i rregullave për përdorimin e metodave të mbrojtjes kriptografike gjatë funksionimit të sistemeve të automatizuara;

Vlerësimi i efektivitetit të mbrojtjes kriptografike.

Një numër kërkesash vendosen për shifrat e destinuara për mbylljen e informacionit në kompjuterë dhe sisteme të automatizuara, duke përfshirë: forcën e mjaftueshme (besueshmërinë e mbylljes), lehtësinë e enkriptimit dhe deshifrimit në varësi të metodës së prezantimit në makinë të informacionit, pandjeshmërisë ndaj gabimeve të vogla të kriptimit. , mundësia e përpunimit në makinë të informacionit të koduar, tepricë e lehtë e informacionit për shkak të kriptimit dhe një sërë të tjerash. Në një shkallë ose në një tjetër, këto kërkesa plotësohen nga lloje të caktuara të zëvendësimit, ndërrimit, shifrave gama, si dhe shifrave të bazuara në transformimet analitike të të dhënave të koduara.

Kriptimi i zëvendësimit (ndonjëherë përdoret termi "zëvendësim") përfshin zëvendësimin e karaktereve të tekstit të koduar me karaktere të një alfabeti të ndryshëm ose të të njëjtit, në përputhje me një skemë zëvendësimi të paracaktuar.

Kriptimi i transpozicionit do të thotë që karakteret e tekstit të koduar janë riorganizuar sipas ndonjë rregulli brenda një blloku të caktuar të këtij teksti. Me një gjatësi të mjaftueshme të bllokut brenda të cilit kryhet ndërrimi dhe një rend kompleks dhe jo-përsëritës i ndërrimit, mund të arrihet forca e enkriptimit të mjaftueshme për aplikime praktike në sistemet e automatizuara.

Kriptimi gama konsiston në shtimin e simboleve të tekstit të koduar me simbolet e një sekuence të rastësishme të quajtur gama. Fuqia e enkriptimit përcaktohet kryesisht nga madhësia (gjatësia) e pjesës jo-përsëritëse të gamës. Meqenëse me ndihmën e një kompjuteri është e mundur të gjenerohet një gamë pothuajse e pafundme, kjo metodë konsiderohet si një nga më kryesoret për enkriptimin e informacionit në sistemet e automatizuara. Vërtetë, në këtë rast lindin një sërë vështirësish organizative dhe teknike, të cilat, megjithatë, nuk janë të pakapërcyeshme.

Kriptimi i transformimit analitik nënkupton që teksti i koduar transformohet sipas ndonjë rregulli (formule) analitike. Ju, për shembull, mund të përdorni rregullin për shumëzimin e një matrice me një vektor, dhe matrica e shumëzuar është çelësi i enkriptimit (prandaj madhësia dhe përmbajtja e tij duhet të mbahen sekret), dhe simbolet e vektorit të shumëzuar shërbejnë në mënyrë sekuenciale si simbolet e tekstit të koduar.

Veçanërisht efektive janë shifrat e kombinimit, kur teksti është i koduar në mënyrë sekuenciale nga dy ose më shumë sisteme enkriptimi (për shembull, zëvendësimi dhe gama, ndërrimi dhe gama). Besohet se në këtë rast forca e kriptimit tejkalon forcën totale në shifrat e përbëra.

Secili nga sistemet e enkriptimit të diskutuar mund të zbatohet në një sistem të automatizuar ose në mënyrë programore ose duke përdorur pajisje speciale. Zbatimi i softuerit është më fleksibël dhe më i lirë se zbatimi i harduerit. Megjithatë, enkriptimi i harduerit është përgjithësisht disa herë më produktiv. Kjo rrethanë është e një rëndësie vendimtare për vëllime të mëdha informacioni konfidencial.

Hardueri i sigurisë së sistemit operativ tradicionalisht kuptohet si një grup mjetesh dhe metodash të përdorura për të zgjidhur problemet e mëposhtme:

Menaxhimi i RAM-it dhe memorjes virtuale të kompjuterit;

Shpërndarja e kohës së procesorit ndërmjet detyrave në një sistem operativ me shumë detyra;

Sinkronizimi i ekzekutimit të detyrave paralele në një sistem operativ multitasking;

Sigurimi i aksesit të përbashkët të detyrave në burimet e sistemit operativ.

Detyrat e listuara zgjidhen kryesisht duke përdorur funksione të implementuara nga hardueri të procesorëve dhe komponentëve të tjerë të kompjuterit. Sidoqoftë, si rregull, softueri përdoret gjithashtu për të zgjidhur këto probleme, dhe për këtë arsye termat "mbrojtje harduerike" dhe "mbrojtje harduerike" nuk janë plotësisht të sakta. Megjithatë, duke qenë se këto terma në fakt janë pranuar përgjithësisht, ne do t'i përdorim ato.

Mungesa e pajisjeve standarde mbrojtëse në radhë të parë sistemet operative për të mbrojtur kompjuterët personalë (PC) ka krijuar problemin e krijimit të mjeteve shtesë. Rëndësia e këtij problemi nuk është zvogëluar me ardhjen e sistemeve operative më të fuqishme me nënsisteme të zhvilluara të sigurisë. Fakti është se shumica e sistemeve nuk janë ende në gjendje të mbrojnë të dhënat që "kalojnë përtej kufijve të tyre", për shembull, kur përdorni shkëmbimin e informacionit të rrjetit ose kur përpiqeni të aksesoni disqet e diskut duke ngarkuar një OS alternative, të pambrojtur.

Përfundimet kryesore në lidhje me metodat e përdorimit të mjeteve, metodave dhe masave të mbrojtjes të diskutuara më lart përfundojnë në sa vijon:

Efekti më i madh arrihet kur të gjitha mjetet, metodat dhe masat e përdorura kombinohen në një mekanizëm të vetëm, holistik për mbrojtjen e informacionit.

Mekanizmi i mbrojtjes duhet të projektohet paralelisht me krijimin e sistemeve të përpunimit të të dhënave, duke filluar nga momenti i zhvillimit të dizajnit të përgjithshëm të sistemit.

Funksionimi i mekanizmit mbrojtës duhet të planifikohet dhe sigurohet së bashku me planifikimin dhe sigurimin e proceseve bazë të automatizuar të përpunimit të informacionit.

Është e nevojshme të monitorohet vazhdimisht funksionimi i mekanizmit mbrojtës.

Bibliografi

Internet: www.legaladvise.ru

www.confident.ru

www.kasperski.ru

Proskurin V.G. dhe të tjera.Softuer dhe harduer për sigurinë e informacionit. Mbrojtja në sistemet operative. – M.: Radio dhe komunikim, 2000.

Software dhe harduer për sigurinë e informacionit. Mbrojtja e programeve dhe të dhënave / P.Yu. Belkin, O.O. Mikhalsky, A.S. Pershakov et al. - M.: Radio dhe Komunikime, 1999.

Khisamov F.G. Makarov Yu.P. Optimizimi i pajisjeve për mbrojtjen e informacionit kriptografik // Sistemet e sigurisë. - 2004. – Shkurt-Mars Nr.1 ​​(55). –fq.108.



ARTIKUJ TË LIDHUR