Mjetet e mbrojtjes së informacionit në rrjetet kompjuterike. Mbrojtja e informacionit në rrjetet kompjuterike. Punime të ngjashme me - Metodat dhe mjetet e mbrojtjes së informacionit në rrjete

Mbrojtja e informacionit në sistemet kompjuterike ka një sërë veçorish specifike që lidhen me faktin se informacioni nuk është i lidhur ngushtë me median, ai mund të kopjohet dhe transmetohet lehtësisht dhe shpejt dhe përmes kanaleve të komunikimit. Dihet një numër shumë i madh kërcënimesh ndaj informacionit që mund të zbatohen si nga dhunuesit e jashtëm ashtu edhe nga ata të brendshëm. Problemet që lindin me sigurinë e transmetimit të informacionit gjatë punës në rrjetet kompjuterike mund të ndahen në tre lloje kryesore: - përgjimi i informacionit - ruhet integriteti i informacionit, por cenohet konfidencialiteti i tij; - modifikimi i informacionit - mesazhi origjinal ndryshohet ose zëvendësohet plotësisht nga një tjetër dhe i dërgohet adresuesit; - zëvendësimi i autorësisë së informacionit. Ky problem mund të ketë pasoja të rënda. Për shembull, dikush mund të dërgojë një email në emrin tuaj (ky lloj mashtrimi zakonisht quhet mashtrim) ose një server në internet mund të pretendojë të jetë një dyqan elektronik, të pranojë porosi, numra të kartave të kreditit, por të mos dërgojë asnjë mall. Studimet e praktikës së funksionimit të sistemeve të përpunimit dhe llogaritjes së të dhënave kanë treguar se ka mjaft drejtime të mundshme për rrjedhjen e informacionit dhe mënyrat e aksesit të paautorizuar në sisteme dhe rrjete. Midis tyre:

Leximi i informacionit të mbetur në memorien e sistemit pas ekzekutimit të kërkesave të autorizuara;

Kopjimi i skedarëve të mediave dhe informacionit me tejkalimin e masave mbrojtëse;

maskimi si përdorues i regjistruar;

maskimi me kërkesë të sistemit;

Përdorimi i kurtheve të softuerit;

Shfrytëzimi i mangësive të sistemit operativ;

Lidhja e paligjshme me pajisjet dhe linjat e komunikimit;

Çaktivizimi me qëllim të keq i mekanizmave mbrojtës;

Prezantimi dhe përdorimi i viruseve kompjuterike.

Sigurimi i sigurisë së informacionit në Forcat e Armatosura dhe në PC-të që funksionojnë në mënyrë autonome arrihet me një sërë masash organizative, organizative, teknike, teknike dhe softuerike. Masat organizative për mbrojtjen e informacionit përfshijnë:

Kufizimi i aksesit në ambientet ku bëhet përgatitja dhe përpunimi i informacionit;

Lejo vetëm zyrtarët e besuar të përpunojnë dhe transferojnë informacione konfidenciale;

Ruajtja e mediave elektronike dhe regjistrave të regjistrimit në kasaforta të mbyllura për akses nga persona të paautorizuar;

Përjashtimi i shikimit nga persona të paautorizuar të përmbajtjes së materialeve të përpunuara përmes ekranit, printerit etj.;

Përdorimi i kodeve kriptografike gjatë transmetimit të informacionit të vlefshëm përmes kanaleve të komunikimit;

Shkatërrimi i shiritave të bojës, letrës dhe materialeve të tjera që përmbajnë fragmente informacioni të vlefshëm.

Mbrojtja kriptografike e informacionit.

te Metodat kriptografike të mbrojtjes së informacionit janë metoda të veçanta të kriptimit, kodimit ose transformimit tjetër të informacionit, si rezultat i të cilave përmbajtja e tij bëhet e paarritshme pa paraqitur çelësin e kriptogramit dhe transformimin e kundërt. Metoda kriptografike e mbrojtjes është padyshim metoda më e besueshme e mbrojtjes, pasi vetë informacioni është i mbrojtur, dhe jo qasja në të (për shembull, një skedar i koduar nuk mund të lexohet edhe nëse mediumi vidhet). Kjo metodë e mbrojtjes zbatohet në formën e programeve ose paketave softuerike.

Kriptografia moderne përfshin katër seksione kryesore:

Kriptosistemet simetrike. Në kriptosistemet simetrike, i njëjti çelës përdoret si për enkriptim ashtu edhe për deshifrim. (Enkriptimi është një proces transformues: teksti origjinal, i cili quhet edhe tekst i thjeshtë, zëvendësohet me tekst shifror, deshifrimi është procesi i kundërt i kriptimit. Në bazë të çelësit, teksti i koduar shndërrohet në origjinal);

Kriptosistemet e çelësit publik. Sistemet e çelësave publik përdorin dy çelësa, publikë dhe privatë, që janë matematikisht të lidhur me njëri-tjetrin. Informacioni kodohet duke përdorur një çelës publik, i cili është i disponueshëm për të gjithë, dhe deshifrohet duke përdorur një çelës privat, të njohur vetëm për marrësin e mesazhit.

Nënshkrimi elektronik. Sistemi i nënshkrimit elektronik. quhet transformimi i tij kriptografik i bashkangjitur tekstit, i cili lejon, me marrjen e tekstit nga një përdorues tjetër, të verifikojë autorësinë dhe vërtetësinë e mesazhit.

Menaxhimi i çelësave. Ky është procesi i sistemit të përpunimit të informacionit, përmbajtja e të cilit është përpilimi dhe shpërndarja e çelësave midis përdoruesve.

O Drejtimet kryesore të përdorimit të metodave kriptografike janë transmetimi i informacionit konfidencial përmes kanaleve të komunikimit (për shembull, e-mail), vërtetimi i mesazheve të transmetuara, ruajtja e informacionit (dokumentet, bazat e të dhënave) në media të koduara.

Rreziku i veprimeve me qëllim të keq të paautorizuar me informacion është bërë veçanërisht kërcënues me zhvillimin e rrjeteve kompjuterike. Shumica e sistemeve të përpunimit të informacionit u krijuan si objekte të veçanta: stacionet e punës, LAN, kompjuterë të mëdhenj, etj. Secili sistem përdor platformën e tij të punës (Windows, Linux), si dhe të ndryshme protokollet e rrjetit(TCP/IP). Organizimi kompleks i rrjeteve krijon kushte të favorshme për kryerjen e llojeve të ndryshme të shkeljeve që lidhen me aksesin e paautorizuar në informacionin konfidencial. Shumica sistemet operative, si të pavarura ashtu edhe të lidhura në rrjet, nuk përmbajnë mekanizma të besueshëm të mbrojtjes së informacionit.

Pasoja e rrezikut të sistemeve të rrjetit ka qenë kostot dhe përpjekjet gjithnjë në rritje për të mbrojtur informacionin që mund të arrihet përmes kanaleve të komunikimit në rrjet. Integriteti i të dhënave mund të ruhet vetëm nëse merren masa të veçanta për të kontrolluar aksesin në të dhëna dhe për të enkriptuar informacionin e transmetuar. Sisteme të ndryshme kanë nevojë për shkallë të ndryshme mbrojtjeje. Detyra e kombinimit të sistemeve me shkallë të ndryshme sigurie (për shembull, në platformat Unix dhe Windows) është bërë aktuale.

Është e nevojshme të kemi një ide të qartë për kanalet e mundshme të rrjedhjes së informacionit dhe mënyrat e aksesit të paautorizuar në informacionin e mbrojtur. Vetëm në këtë rast është e mundur të ndërtohen mekanizma efektivë për mbrojtjen e informacionit në rrjetet kompjuterike.

Kërcënimet për sigurinë e rrjetit

Mënyrat e rrjedhjes së informacionit dhe aksesit të paautorizuar në rrjetet kompjuterike në pjesën më të madhe përkojnë me ato në sistemet autonome. Mundësi shtesë lindin për shkak të ekzistencës së kanaleve të komunikimit dhe mundësisë së aksesit në distancë në informacion. Kjo perfshin:

ndriçimi elektromagnetik i linjave të komunikimit;
lidhje ilegale me linjat e komunikimit;
tejkalimi në distancë i sistemeve të mbrojtjes;
gabimet e ndërrimit të kanaleve;
ndërprerje të linjave të komunikimit dhe pajisjeve të rrjetit.

Çështjet e sigurisë së rrjetit trajtohen brenda arkitekturës

siguri, në strukturën e së cilës janë:

kërcënimet e sigurisë;
shërbimet (shërbimet) e sigurisë;
mekanizmat e sigurisë.

Nën kërcënim për sigurinë i referohet një veprimi ose ngjarjeje që mund të çojë në shkatërrimin, shtrembërimin ose përdorimin e paautorizuar të burimeve të rrjetit, duke përfshirë informacionin e ruajtur, të transmetuar dhe të përpunuar, si dhe softuerin dhe harduerin.

Kërcënimet ndahen në:

e paqëllimshme ose aksidentale;
i qëllimshëm.

Kërcënime të rastësishme lindin si rezultat i gabimeve në softuer, dështimit të harduerit, veprimeve të pasakta të përdoruesve ose administratorit të rrjetit, etj.

Kërcënime të qëllimshme ndjekin qëllimin për të shkaktuar dëme për përdoruesit dhe pajtimtarët e rrjetit dhe, nga ana tjetër, ndahen në aktive dhe pasive.

Kërcënimet pasive synojnë përdorimin e paautorizuar të burimeve të informacionit të rrjetit, por nuk ndikojnë në funksionimin e tij. Një shembull i një kërcënimi pasiv është marrja e informacionit që qarkullon në kanalet e rrjetit përmes dëgjimit.

Kërcënimet aktive kanë për qëllim prishjen e funksionimit normal të rrjetit nëpërmjet një ndikimi të synuar në harduerin, softuerin dhe burimet e informacionit të tij. Kërcënimet aktive përfshijnë, për shembull, shkatërrimin ose bllokimin elektronik të linjave të komunikimit, çaktivizimin e një kompjuteri ose sistemi operativ, shtrembërimin e informacionit në bazat e të dhënave të përdoruesve ose informacionin e sistemit, etj.

Kërcënimet kryesore për sigurinë e informacionit në rrjet përfshijnë:

zbulimi i informacionit konfidencial;
komprometimi i informacionit;
shkëmbim i paautorizuar i informacionit;
refuzimi i informacionit;
refuzimi i shërbimit;
përdorimi i paautorizuar i burimeve të rrjetit;
përdorimi i gabuar i burimeve të rrjetit.

Kërcënimet për zbulimin e informacionit konfidencial zbatohet nga aksesi i paautorizuar në bazat e të dhënave.

Kompromis informacioni zbatohet duke bërë ndryshime të paautorizuara në bazën e të dhënave.

Përdorimi i paautorizuar i burimeve të rrjetitështë një mjet për zbulimin ose kompromentimin e informacionit, dhe gjithashtu shkakton dëme te përdoruesit dhe administrimin e rrjetit.

Keqpërdorimi i burimeveështë rezultat i gabimeve në softuerin LAN.

Shkëmbimi i paautorizuar i informacionit ndërmjet pajtimtarëve të rrjetit bën të mundur marrjen e informacionit, qasja në të cilën është e ndaluar, d.m.th., në fakt, çon në zbulimin e informacionit.

Mohim përgjegjësie konsiston në mosnjohjen nga marrësi ose dërguesi i këtij informacioni të fakteve të marrjes ose dërgimit të tij.

Mohimi i Shërbimitështë një kërcënim shumë i zakonshëm që buron nga vetë rrjeti. Një dështim i tillë është veçanërisht i rrezikshëm në rastet kur një vonesë në sigurimin e burimeve të rrjetit mund të çojë në pasoja të rënda për pajtimtarin.

Shërbimet e sigurisë së rrjetit

Dallimet në përbërjen dhe karakteristikat e shërbimeve të sigurisë. Protokollet e shkëmbimit të informacionit në rrjete ndahen në dy grupe të mëdha: lidhje virtuale dhe datagram, sipas të cilave rrjetet zakonisht ndahen në virtuale dhe datagram.

AT Virtual rrjeteve, transferimi i informacionit ndërmjet abonentëve organizohet sipas të ashtuquajturit kanal virtual dhe ndodh në tre faza: krijimi i një kanali (lidhja), transferimi aktual, shkatërrimi i kanalit (shkëputja). Mesazhet ndahen në blloqe, të cilat transmetohen sipas radhës në të cilën shfaqen në mesazh.

AT datagram paketat e rrjeteve ( datagramet) mesazhet transmetohen nga dërguesi te marrësi në mënyrë të pavarur nga njëra-tjetra përgjatë rrugëve të ndryshme, dhe për këtë arsye rendi në të cilin dërgohen paketat mund të mos korrespondojë me rendin në të cilin ato shfaqen në mesazh. Rrjeti virtual zbaton konceptualisht parimin e organizimit lidhje telefonike, ndërsa datagrami është postë.

Organizata Ndërkombëtare për Standardizim (ISO) përcakton shërbimet e mëposhtme të sigurisë:

1) vërtetimi (autentifikimi);
2) sigurimi i integritetit;
3) klasifikimi i të dhënave;
4) kontrolli i aksesit;
5) mbrojtje nga dështimi.

Dy shërbimet e fundit janë të njëjta për datagramet dhe rrjetet virtuale. Tre të parat karakterizohen nga dallime të caktuara për shkak të veçorive të protokolleve të përdorura në rrjete.

Shërbimi i vërtetimit në lidhje me rrjetet virtuale, ai quhet shërbimi i vërtetimit të entitetit (peer-to-peer) dhe siguron konfirmimin se dërguesi i informacionit është pikërisht ai që pretendon se është. Kur aplikohet në rrjetet e datagramit, shërbimi i vërtetimit quhet shërbimi i vërtetimit të origjinës së të dhënave.

Nën integriteti kuptohet si korrespondencë e saktë e të dhënave të dërguara dhe të marra me njëra-tjetrën. Shërbimet e Integritetit për rrjetet në shqyrtim janë si më poshtë:

rrjetet virtuale:
shërbimi i integritetit të lidhjes me rikuperim;
shërbimi i integritetit të lidhjes pa rikuperim;
shërbimi i integritetit të fushave të lidhjes selektive;
rrjetet e datagramit:
shërbimi i integritetit pa lidhje;
shërbim selektiv i integritetit në terren pa lidhje.

Nën fusha i referohet disa elementeve specifike të blloqeve ose paketave të të dhënave të transmetuara. Rivendosja i referohet procedurave për rivendosjen e të dhënave të shkatërruara ose të humbura si rezultat i zbulimit të prishjeve, futjeve ose përsëritjeve në blloqe ose datagrame. Shërbimet e integritetit të rrjetit Datagram nuk ofrojnë procedura rikuperimi.

Shërbimet e kriptimit të të dhënave janë:

shërbimi i enkriptimit të lidhjes - siguron fshehtësinë e të gjitha të dhënave të dërguara nga objektet përmes një kanali virtual;
shërbimi i enkriptimit pa lidhje - siguron fshehtësinë e të dhënave të përfshira në secilin datagram individual;
shërbim i enkriptimit për fusha individuale të lidhjes;
shërbimi i enkriptimit të trafikut - neutralizon mundësinë e marrjes së informacionit për pajtimtarët e rrjetit dhe natyrën e përdorimit të rrjetit.

Mekanizmat e sigurisë

Ndër mekanizmat e sigurisë së rrjetit të parashikuar nga ISO, zakonisht dallohen këto: kryesore:

enkriptim;
kontrolli i aksesit;
nënshkrimi dixhital.

Enkriptimi përdoret për të zbatuar shërbimet e enkriptimit dhe përdoret nga një numër shërbimesh të tjera.

Mekanizmat e kontrollit të aksesit të sigurojë zbatimin e shërbimit të sigurisë me të njëjtin emër, të kontrollojë autoritetin e objekteve të rrjetit, d.m.th. programet dhe përdoruesit për të hyrë në burimet e rrjetit. Kur një burim aksesohet përmes një lidhjeje, kontrolli kryhet në pikën e inicializimit të lidhjes, në pikat e ndërmjetme dhe gjithashtu në pikën fundore.

Mekanizmat e kontrollit të aksesit ndahen në dy grupe kryesore:

vërtetimi i objektit që kërkojnë një burim, i ndjekur nga një kontroll aksesi që përdor një speciale bazë informacioni kontrolli i aksesit;
përdorimi i etiketave të sigurisë lidhur me objekte; aftësia e një objekti për të dhënë akses në një burim.

Metoda më e zakonshme dhe në të njëjtën kohë më e pabesueshme e vërtetimit është akses me fjalëkalim. Më të përsosura janë kartat plastike dhe tokenat elektronike. Metodat më të besueshme konsiderohen të jenë metodat e vërtetimit të bazuara në shenja të veçanta të personalitetit, të ashtuquajturat metodat biometrike.

Nënshkrimi dixhital përdoret për të zbatuar shërbimet e vërtetimit dhe refuzimit. Në thelbin e tij, ai synon të shërbejë si një analog elektronik i atributit "nënshkrimi" i përdorur në dokumentet në letër. Mekanizmi nënshkrimi dixhital bazuar në përdorimin e enkriptimit të çelësit publik. Njohja e çelësit publik përkatës i lejon marrësit të email identifikoni në mënyrë unike dërguesin.

Mekanizmat shtesë të sigurisë janë si më poshtë:

sigurimi i integritetit të të dhënave;
vërtetimi;
zëvendësimi i trafikut;
kontrolli i rrugëzimit;
arbitrazhi.

Mekanizmat e integritetit të të dhënave kanë për qëllim zbatimin e shërbimit me të njëjtin emër si në lidhje me një bllok të veçantë të të dhënave ashtu edhe në një rrjedhë të dhënash. Integriteti i bllokut sigurohet nga ekzekutimi i procedurave të ndërlidhura të kriptimit dhe deshifrimit nga dërguesi dhe marrësi. Më shumë janë të mundshme metoda të thjeshta kontrolli i integritetit të rrjedhës së të dhënave, për shembull, numërimi i blloqeve, shtimi i tyre me një vulë kohore, etj.

Mekanizmat e vërtetimit përdoren për të zbatuar shërbimin me të njëjtin emër, duke bërë dallimin midis vërtetimit të njëanshëm dhe atij të ndërsjellë. Në rastin e parë, njëri prej objekteve ndërveprues të njërit nivel vërteton tjetrin, ndërsa në të dytin, verifikimi është i ndërsjellë. Në praktikë, mekanizmat e vërtetimit zakonisht kombinohen me kontrollin e aksesit, enkriptimin, nënshkrimin dixhital dhe arbitrazhin.

Mekanizmat e zëvendësimit të trafikut përdoren për të zbatuar shërbimin e enkriptimit të rrjedhës së të dhënave. Ato bazohen në gjenerimin e blloqeve fiktive nga objektet e rrjetit, enkriptimin e tyre dhe organizimin e transmetimit të tyre përmes kanaleve të rrjetit.

Mekanizmat e kontrollit të rrugëzimit përdoret për të zbatuar shërbimet e enkriptimit. Këta mekanizma ofrojnë një zgjedhje të rrugëve për lëvizjen e informacionit përmes rrjetit.

Mekanizmat e arbitrazhit të sigurojë konfirmimin e karakteristikave të të dhënave të transmetuara ndërmjet subjekteve të rrjetit nga një palë e tretë. Për ta bërë këtë, të gjitha informacionet e dërguara ose të marra nga objektet gjithashtu kalojnë përmes arbitrit, i cili i lejon atij të konfirmojë më pas karakteristikat e përmendura.

Në përgjithësi, një kombinim i disa mekanizmave të sigurisë mund të përdoret për të zbatuar një shërbim të vetëm sigurie.

Mbrojtja e sistemeve operative të rrjetit

Sistemi operativ dhe pajisja e rrjetit sigurojnë mbrojtje për burimet e rrjetit, një prej të cilave është vetë OS, d.m.th.

përfshirë programet dhe informacionin e sistemit. Prandaj, mekanizmat e sigurisë duhet të zbatohen në një mënyrë ose në një tjetër në sistemin operativ të rrjetit LAN.

Është zakon të dallojmë:

objektet pasive të mbrojtjes (skedarët, programet e aplikimit, terminalet, zonat kujtesë e gjallë etj.);
subjekte (procese) aktive që mund të kryejnë veprime të caktuara në objekte.

Mbrojtja e objekteve zbatohet nga sistemi operativ duke monitoruar zbatimin nga subjektet e një sërë rregullash që rregullojnë këto operacione. Ky koleksion nganjëherë quhet statusin e mbrojtjes. Operacionet që mund të kryhen në objekte të mbrojtura quhen të drejtat e aksesit, dhe të drejtat e aksesit të subjektit në lidhje me një objekt specifik - mundësitë. E ashtuquajtura matricë e kontrollit të aksesit përdoret më shpesh si një model formal i statusit të mbrojtjes në OS.

Një mjet mjaft i lehtë për t'u zbatuar për të kufizuar aksesin në objektet e mbrojtura është mekanizmi i unazës së sigurisë.

Mbrojtja e skedarëve në OS organizohet si më poshtë. Çdo skedar ka një grup të drejtash aksesi të lidhura me të: lexo, përditëso dhe/ose ekzekuto (për skedarët e ekzekutueshëm). Pronari i dosjes, d.m.th. personi që e ka krijuar ka të gjitha të drejtat mbi dosjen. Ai mund të transferojë disa nga këto të drejta tek anëtarët e grupit - persona të cilëve u beson informacionet që gjenden në dosje.

Qasja në burimet e sistemit operativ më së shpeshti kufizohet nga mbrojtja me fjalëkalim. Fjalëkalimi mund të përdoret gjithashtu si një çelës për të enkriptuar/deshifruar informacionin në skedarët e përdoruesit. Vetë fjalëkalimet ruhen gjithashtu në formë të koduar, duke i bërë ato të vështira për zbulimin dhe përdorimin e sulmuesve. Fjalëkalimi mund të ndryshohet nga përdoruesi, administratori i sistemit ose vetë sistemi pas një periudhe të caktuar kohe.

Mbrojtja e bazës së të dhënave të shpërndara

Sigurimi i sigurisë së bazave të të dhënave të shpërndara (RDB) zbatohet në mënyrë indirekte nga sistemi operativ i rrjetit. Megjithatë, të gjithë këta mekanizma dhe mjete janë të pandryshueshme ndaj mënyrave specifike të paraqitjes së informacionit në bazën e të dhënave. Një pandryshueshmëri e tillë çon në faktin se në rast se nuk merren masa të veçanta, të gjithë përdoruesit e DBMS kanë të drejta të barabarta për të përdorur dhe përditësuar të gjithë informacionin e disponueshëm në bazën e të dhënave. Në të njëjtën kohë, informacioni, si në rastin e akumulimit dhe përdorimit të tij jo të automatizuar, duhet të kategorizohet sipas klasifikimit të sigurisë, grupeve të përdoruesve për të cilët është i disponueshëm, si dhe sipas operacioneve mbi të që u lejohen këtyre grupeve. . Zbatimi i këtij procesi kërkon zhvillimin dhe përfshirjen e mekanizmave të veçantë të mbrojtjes në DBMS.

Marrja e një vendimi për aksesin në një ose një tjetër informacion të disponueshëm në RDB mund të varet nga faktorët e mëposhtëm:

1) koha dhe pika e hyrjes;
2) prania në bazën e të dhënave të informacionit të caktuar;
3) rrjedhshmëria e gjendjes së DBMS;
4) lejet e përdoruesve;
5) historia e aksesit të të dhënave.
1. Qasja në bazën e të dhënave nga çdo terminal LAN mund të kufizohet në një periudhë të caktuar kohe.
2. Përdoruesi mund të marrë nga baza e të dhënave informacionin me interes për të vetëm me kusht që baza e të dhënave të përmbajë disa informacione të një përmbajtje të caktuar të ndërlidhur me to.
3. Përditësimi i informacionit në disa bazë të dhënash mund t'i lejohet përdoruesit vetëm në ato momente kur ai nuk përditësohet nga përdorues të tjerë.
4. Për çdo përdorues të programit aplikativ vendosen të drejta individuale për akses në elementë të ndryshëm të bazës së të dhënave. Këto të drejta rregullojnë operacionet që përdoruesi mund të kryejë në elementët e specifikuar. Për shembull, një përdoruesi mund të lejohet të zgjedhë elementë të bazës së të dhënave që përmbajnë informacion për mallrat e ofruara në bursë, por nuk lejohet të përditësojë këtë informacion.
5. Bazohet në faktin se përdoruesi mund të marrë informacionin me interes për të jo me përzgjedhje të drejtpërdrejtë të disa elementeve të bazës së të dhënave, por në mënyrë indirekte, d.m.th. duke analizuar dhe krahasuar përgjigjet e DBMS ndaj pyetjeve të futura në mënyrë sekuenciale (komandat për përditësimin e të dhënave). Në këtë drejtim, për të garantuar sigurinë e informacionit në bazën e të dhënave, në rastin e përgjithshëm, është e nevojshme të merret parasysh historia e aksesit të të dhënave.

Rrjetet kompjuterike lokale: Një manual. Në 3 libra. Libër. 1. Parimet e ndërtimit, arkitekturës, mjeteve të komunikimit / Ed. S.V. Nazarova.M.: Financa dhe statistika, 1994.

Mbrojtja e të dhënave në rrjetet kompjuterike po bëhet një nga problemet më të hapura në sistemet moderne të informacionit dhe informatikës. Deri më sot, janë formuluar tre parime bazë siguria e informacionit, detyra e të cilit është të sigurojë:

integriteti i të dhënave;

mbrojtje kundër dështimeve që çojnë në humbjen e informacionit ose shkatërrimin e tij;

konfidencialiteti i informacionit;

Duke marrë parasysh problemet që lidhen me mbrojtjen e të dhënave në rrjet, lind pyetja e klasifikimit të dështimeve dhe aksesit të paautorizuar, gjë që çon në humbjen ose ndryshimin e padëshiruar të të dhënave. Këto mund të jenë dështimet e pajisjeve (sistemi kabllor, sistemet e diskut, serverët, stacionet e punës, etj.), Humbja e informacionit (për shkak të infektimit me viruse kompjuterike, ruajtja e gabuar e të dhënave të arkivuara, shkeljet e të drejtave të aksesit të të dhënave), puna e gabuar e përdoruesve dhe shërbimit ofruesit.personeli. Shkeljet e listuara të rrjetit shkaktuan nevojën për të krijuar lloje të ndryshme të mbrojtjes së informacionit. Në mënyrë konvencionale, ato mund të ndahen në tre klasa:

mjetet e mbrojtjes fizike;

mjete softuerike (programe antivirus, sisteme të diferencimit të fuqive, softuer për kontrollin e aksesit);

masat e mbrojtjes administrative (qasja në ambiente, zhvillimi i strategjive të sigurisë së kompanisë, etj.).

Një nga mjetet e mbrojtjes fizike janë sistemet e arkivimit dhe dyfishimit të informacionit. Në rrjetet lokale ku janë instaluar një ose dy serverë, më së shpeshti sistemi instalohet direkt në slotat e serverëve falas. Në të mëdha rrjetet e korporatave preferenca i jepet një serveri të specializuar të dedikuar arkivimi, i cili arkivon automatikisht informacionin nga hard disqet serverët dhe stacionet e punës në një kohë të caktuar të caktuar nga administratori i rrjetit, duke lëshuar një raport mbi kopjen rezervë. Modelet më të zakonshme të serverëve të arkivuar janë ARCserve e Intel për Windows Storage Express System.

Për të luftuar viruset kompjuterike, programet antivirus përdoren më shpesh, më rrallë - mjetet e mbrojtjes së harduerit. Megjithatë, kohët e fundit ka pasur një prirje drejt një kombinimi të metodave të mbrojtjes së softuerit dhe harduerit. Ndër pajisjet harduerike, përdoren borde speciale antivirus, të futura në lojëra elektronike standarde të zgjerimit të kompjuterit. Intel ka dalë me një teknologji premtuese për të mbrojtur kundër viruseve në rrjete, thelbi i së cilës është skanimi i sistemeve kompjuterike edhe para se të nisin. Përveç programeve antivirus, problemi i mbrojtjes së informacionit në rrjetet kompjuterike zgjidhet duke futur kontrollin e aksesit dhe duke kufizuar fuqitë e përdoruesve. Për këtë përdoren mjete të integruara të sistemeve operative të rrjetit, prodhuesi më i madh i të cilave është Novell Corporation. Në një sistem të tillë si NetWare, me përjashtim të mjete standarde kufizimet e aksesit (ndryshimi i fjalëkalimeve, diferencimi i fuqive), ofrohet mundësia e kodimit të të dhënave sipas parimit të "çelësit publik" me formimin e një nënshkrimi elektronik për paketat e transmetuara në rrjet.

Megjithatë, një sistem i tillë mbrojtës është i dobët, sepse niveli i aksesit dhe aftësia për të hyrë në sistem përcaktohen nga një fjalëkalim që është i lehtë për t'u spiunuar ose marrë. Për të përjashtuar depërtimin e paautorizuar në një rrjet kompjuterik, përdoret një qasje e kombinuar - një fjalëkalim + identifikimi i përdoruesit nga një "çelës" personal. Një "çelës" është një kartë plastike (magnetike ose me një mikroqark të integruar - një kartë inteligjente) ose pajisje të ndryshme për identifikimin e një personi nga informacioni biometrik - nga irisi, gjurmët e gishtërinjve, madhësia e duarve, etj. Serverat dhe stacionet e punës të rrjetit të pajisura me lexues kartash smart dhe speciale software, rrisin ndjeshëm shkallën e mbrojtjes nga aksesi i paautorizuar.

Kartat inteligjente të kontrollit të aksesit ju lejojnë të zbatoni funksione të tilla si kontrolli i aksesit, aksesi në pajisjet PC, programet, skedarët dhe komandat. Një nga shembujt e suksesshëm të krijimit të një zgjidhjeje gjithëpërfshirëse për kontrollin e aksesit në sistemet e hapura, bazuar në mbrojtjen e softuerit dhe harduerit, ishte sistemi Kerberos, i cili bazohet në tre komponentë:

një bazë të dhënash që përmban informacion mbi të gjitha burimet e rrjetit, përdoruesit, fjalëkalimet, çelësat e informacionit, etj.;

serveri i autorizimit (serveri i vërtetimit), detyra e të cilit është të përpunojë kërkesat e përdoruesve për ofrimin e një lloji të veçantë të shërbimeve të rrjetit. Me marrjen e një kërkese, ai hyn në bazën e të dhënave dhe përcakton autoritetin e përdoruesit për të kryer një operacion të caktuar. Fjalëkalimet e përdoruesve nuk transmetohen përmes rrjetit, duke rritur kështu shkallën e sigurisë së informacionit;

serveri i dhënies së biletave merr një "kalim" nga serveri i autorizimit me emrin e përdoruesit dhe adresën e rrjetit, kohën e kërkesës dhe një "çelës" unik. Paketa që përmban "pass" transmetohet gjithashtu në formë të koduar. Serveri që lëshon lejen pas marrjes dhe deshifrimit të "pass" kontrollon kërkesën, krahason "çelësat" dhe, nëse janë identike, jep miratimin për përdorimin e pajisjeve ose programeve të rrjetit.

Ndërsa aktivitetet e ndërmarrjeve zgjerohen, numri i pajtimtarëve rritet dhe shfaqen degë të reja, bëhet e nevojshme organizimi i aksesit për përdoruesit e largët (grupet e përdoruesve) në kompjuterë ose burime informacioni në qendrat e kompanive. Për organizimin e aksesit në distancë, më së shpeshti përdoren linjat kabllore dhe kanalet e radios. Në këtë drejtim, mbrojtja e informacionit të transmetuar nëpërmjet kanaleve të aksesit në distancë kërkon një qasje të veçantë. Urat dhe ruterat e aksesit në distancë përdorin segmentimin e paketave - ndarjen dhe transmetimin e tyre paralelisht mbi dy linja - gjë që e bën të pamundur "përgjimin" e të dhënave kur një "haker" lidhet ilegalisht me njërën prej linjave. Procedura e kompresimit të paketave të transmetuara të përdorura gjatë transmetimit të të dhënave garanton pamundësinë e deshifrimit të të dhënave "të përgjuara". Urat dhe ruterat e aksesit në distancë mund të programohen në atë mënyrë që jo të gjitha burimet e qendrës së kompanisë të mund të aksesohen nga përdoruesit në distancë.

Aktualisht, pajisje speciale të kontrollit të aksesit janë zhvilluar për rrjetet kompjuterike nëpërmjet linjave të ndërruara. Një shembull është moduli Remote Port Securiti Device (PRSD) i zhvilluar nga AT&T, i cili përbëhet nga dy njësi të madhësisë së një modemi konvencional: Kyçja RPSD (kyçja) e instaluar në zyrën qendrore dhe çelësi RPSD (çelësi) i lidhur me modemin. përdorues në distancë. Çelësi dhe Kyçja RPSD ju lejojnë të vendosni disa nivele të mbrojtjes dhe kontrollit të aksesit:

kriptimi i të dhënave të transmetuara përmes linjës duke përdorur çelësat dixhitalë të gjeneruar;

kontrolli i aksesit bazuar në ditën e javës ose orën e ditës.

E lidhur drejtpërdrejt me temën e sigurisë është strategjia e krijimit kopje rezervë dhe rikuperimi i bazës së të dhënave. Në mënyrë tipike, këto operacione kryhen gjatë orëve jo pune në modalitetin e grupit. Në shumicën e DBMS-ve rezervë dhe rikuperimi i të dhënave lejohet vetëm për përdoruesit me leje të gjera (të drejtat e aksesit në administratori i sistemit, ose pronari i bazës së të dhënave), është e padëshirueshme të specifikohen fjalëkalime të tilla përgjegjëse drejtpërdrejt në skedarët e përpunimit të grupit. Për të mos ruajtur në mënyrë eksplicite fjalëkalimin, rekomandohet të shkruani një program të thjeshtë aplikacioni që do të thërriste vetë shërbimet e kopjimit / rivendosjes. Në këtë rast, fjalëkalimi i sistemit duhet të "lidhet" në kodin e aplikacionit të specifikuar. Disavantazhi i kësaj metode është se sa herë që ndërrohet fjalëkalimi, ky program duhet të rikompilohet.

Në lidhje me mjetet e mbrojtjes nga aksesi i paautorizuar, janë përcaktuar shtatë klasa të sigurisë (1-7) të pajisjeve kompjuterike (SVT) dhe nëntë klasa (1A, 1B, 1C, 1G, 1D, 2A, 2B, 3A, 3B). sisteme të automatizuara(AS). Për SVT, më e ulëta është klasa e shtatë, dhe për AU - 3B.

Le të shqyrtojmë më në detaje sistemet e certifikuara të mbrojtjes nga aksesi i paautorizuar.

Sistemi "COBRA" përputhet me kërkesat e klasës së 4-të të sigurisë (për SVT), zbaton identifikimin dhe diferencimin e fuqive të përdoruesit dhe mbylljen kriptografike të informacionit, rregullon shtrembërimet e gjendjes së referencës së mjedisit të punës së PC (të shkaktuara nga viruset, përdoruesi gabime, dështime teknike, etj.) dhe rikthen automatikisht komponentët kryesorë të mjedisit të funksionimit të terminalit.

Nënsistemi i diferencimit të pushteteve mbron informacionin në nivel disqet logjike. Përdoruesi ka akses në disqe të caktuara A, B, C, ..., Z. Të gjithë abonentët ndahen në 4 kategori:

superpërdoruesi (të gjitha veprimet në sistem janë të disponueshme);

administratori (të gjitha veprimet në sistem janë të disponueshme, përveç ndryshimit të emrit, statusit dhe kompetencave të superpërdoruesit, shtimit ose përjashtimit të tij nga lista e përdoruesve);

programuesit (mund të ndryshojnë fjalëkalimin personal);

koleg (ka të drejtë të aksesojë burimet që i janë caktuar nga superpërdoruesi).

Përveç autorizimit dhe kufizimit të aksesit në disqet logjike, administratori cakton të drejtat e aksesit të çdo përdoruesi në porte serike dhe paralele. Nëse porta serike është e mbyllur, është e pamundur të transferoni informacion nga një kompjuter në tjetrin. Nëse nuk keni akses në portën paralele, nuk do të mund të dilni në printer.

Tema 3.3: Programet aplikative për krijimin e faqeve të internetit

Tema 3.4: Zbatimi i internetit në ekonomi dhe siguria e informacionit

Programe për krijimin e faqeve

3.4. Aplikimi i internetit në ekonomi dhe mbrojtja e informacionit

3.4.1. Organizimi i sigurisë kompjuterike dhe mbrojtjes së informacionit

Informacioni është një nga burimet më të vlefshme të çdo kompanie, kështu që sigurimi i mbrojtjes së informacionit është një nga detyrat më të rëndësishme dhe prioritare.

Siguria sistemi i informacionit- kjo veti, e cila konsiston në aftësinë e sistemit për të siguruar funksionimin normal të tij, domethënë për të siguruar integritetin dhe fshehtësinë e informacionit. Për të siguruar integritetin dhe konfidencialitetin e informacionit, është e nevojshme të mbroni informacionin nga shkatërrimi aksidental ose qasja e paautorizuar në të.

Integriteti kuptohet si pamundësia e shkatërrimit të paautorizuar ose aksidental, si dhe modifikimi i informacionit. Nën konfidencialitetin e informacionit - pamundësia e rrjedhjes dhe posedimi i paautorizuar i informacionit të ruajtur, transmetuar ose marrë.

Burimet e mëposhtme të kërcënimeve për sigurinë e sistemeve të informacionit janë të njohura:

burime antropogjene të shkaktuara nga veprime aksidentale ose të qëllimshme të subjekteve;
Burimet teknogjene që çojnë në dështime dhe dështime të teknike dhe mjete softuerike për shkak të softuerit dhe harduerit të vjetëruar ose gabimeve në softuer;
burimet natyrore të shkaktuara nga fatkeqësitë natyrore ose nga forca madhore.

Nga ana tjetër, burimet antropogjene të kërcënimeve ndahen në:

në të brendshme (ndikim nga punonjësit e kompanisë) dhe të jashtëm (ndërhyrje e paautorizuar e personave të paautorizuar nga rrjetet e jashtme Qëllimi i përgjithshëm) burimet;
mbi veprimet e paqëllimshme (aksidentale) dhe të qëllimshme të subjekteve.

Ka shumë drejtime të mundshme të rrjedhjes së informacionit dhe mënyra të aksesit të paautorizuar në të në sisteme dhe rrjete:

përgjimi i informacionit;
modifikimi i informacionit (mesazhi ose dokumenti origjinal ndryshohet ose zëvendësohet nga një tjetër dhe i dërgohet adresuesit);
zëvendësimi i autorësisë së informacionit (dikush mund të dërgojë një letër ose dokument në emrin tuaj);
përdorimi i mangësive të sistemeve operative dhe softuerit aplikativ;
kopjimi i mediave dhe skedarëve me tejkalimin e masave mbrojtëse;
lidhje ilegale me pajisjet dhe linjat e komunikimit;
maskimi si përdorues i regjistruar dhe caktimi i autoritetit të tij;
prezantimi i përdoruesve të rinj;
zbatimi viruset kompjuterike e kështu me radhë.

Për të garantuar sigurinë e sistemeve të informacionit, përdoren sistemet e sigurisë së informacionit, të cilat janë një grup masash organizative dhe teknologjike, softuerësh dhe harduerësh dhe normash ligjore që synojnë kundërveprim të burimeve të kërcënimeve ndaj sigurisë së informacionit.

Me një qasje gjithëpërfshirëse, kundërmasat e kërcënimit janë integruar për të krijuar një arkitekturë sigurie të sistemeve. Duhet të theksohet se çdo sistem i sigurisë së informacionit nuk është plotësisht i sigurt. Gjithmonë duhet të zgjidhni midis nivelit të mbrojtjes dhe efikasitetit të sistemeve të informacionit.

Mjetet e mbrojtjes së informacionit IP nga veprimet e subjekteve përfshijnë:

mjetet për mbrojtjen e informacionit nga aksesi i paautorizuar;
mbrojtja e informacionit në rrjetet kompjuterike;
mbrojtja kriptografike e informacionit;
nënshkrim elektronik dixhital;
mbrojtja e informacionit nga viruset kompjuterike.

Mjetet e mbrojtjes së informacionit nga aksesi i paautorizuar

Marrja e aksesit në burimet e sistemit të informacionit përfshin zbatimin e tre procedurave: identifikimin, vërtetimin dhe autorizimin.

Identifikimi - caktimi i emrave dhe kodeve unike (identifikuesit) për përdoruesit (objekt ose subjekt i burimeve).

Vërtetimi - Përcaktimi i identitetit të përdoruesit që ka dhënë identifikuesin, ose verifikimi që personi ose pajisja që ka dhënë identifikuesin është me të vërtetë ai që pretendon se është. Metoda më e zakonshme e vërtetimit është t'i jepni përdoruesit një fjalëkalim dhe ta ruani atë në kompjuter.

Autorizimi - kontrollimi i autoritetit ose kontrollimi i të drejtës së përdoruesit për të hyrë në burime specifike dhe për të kryer operacione të caktuara mbi to. Autorizimi kryhet për të diferencuar të drejtat e aksesit në burimet e rrjetit dhe kompjuterit.

Mbrojtja e informacionit në rrjetet kompjuterike

Rrjetet lokale të ndërmarrjeve janë shumë shpesh të lidhura me internetin. Për të mbrojtur rrjetet lokale të kompanive, si rregull, përdoren muret e zjarrit - muret e zjarrit (firewalls). Ekrani (firewall) është një mjet i kontrollit të aksesit që ju lejon të ndani rrjetin në dy pjesë (kufiri kalon midis rrjet lokal dhe interneti) dhe formojnë një sërë rregullash që përcaktojnë kushtet për kalimin e paketave nga një pjesë në tjetrën. Ekranet mund të implementohen si në harduer ashtu edhe në softuer.

Mbrojtja e informacionit kriptografik

Për të siguruar fshehtësinë e informacionit, përdoret enkriptimi ose kriptografia e tij. Për kriptim, përdoret një algoritëm ose një pajisje që zbaton një algoritëm të caktuar. Kriptimi kontrollohet nga një kod kyç që ndryshon.

Informacioni i koduar mund të merret vetëm duke përdorur çelësin. Kriptografia është një teknikë shumë efektive që rrit sigurinë e transmetimit të të dhënave në rrjetet kompjuterike dhe në shkëmbimin e informacionit ndërmjet kompjuterëve në distancë.

Nënshkrimi elektronik dixhital

Për të përjashtuar mundësinë e modifikimit të mesazhit origjinal ose zëvendësimit të këtij mesazhi me të tjerë, është e nevojshme të transferoni mesazhin së bashku me nënshkrimin elektronik. Një nënshkrim elektronik dixhital është një sekuencë karakteresh të marra si rezultat i transformimit kriptografik të mesazhit origjinal duke përdorur një çelës privat dhe që lejon përcaktimin e integritetit të mesazhit dhe pronësinë e autorit të tij duke përdorur çelësin publik.

Me fjalë të tjera, një mesazh i koduar me një çelës privat quhet një nënshkrim elektronik dixhital. Dërguesi dërgon një mesazh të pakriptuar në formën e tij origjinale së bashku me një nënshkrim dixhital. Marrësi, duke përdorur çelësin publik, deshifron grupin e karaktereve të mesazhit nga nënshkrimi dixhital dhe e krahason atë me grupin e karaktereve të mesazhit të pakriptuar.

Me një përputhje të plotë të karaktereve, mund të argumentohet se mesazhi i marrë nuk është modifikuar dhe i përket autorit të tij.

Mbrojtja e informacionit nga viruset kompjuterike

Një virus kompjuterik është i vogël malware, i cili mund të krijojë në mënyrë të pavarur kopje të tij dhe t'i ngulitë ato në programe (skedarë të ekzekutueshëm), dokumente, sektorë të nisjes së bartësve të të dhënave dhe të shpërndahen përmes kanaleve të komunikimit.

Në varësi të habitatit, llojet kryesore të viruseve kompjuterike janë:

Softuer (infektoni skedarët me shtesën .COM dhe .EXE) viruse
viruset e nisjes.
Makroviruset.
viruset e rrjetit.

Burimet e infektimit me virus mund të jenë media të lëvizshme dhe sistemet e telekomunikacionit. Për më efektive dhe popullore programet antivirus përfshijnë: Kaspersky Anti-Virus 7.0, AVAST, Norton AntiVirus dhe shumë të tjerë. Më shumë informacion i detajuar në lidhje me viruset dhe metodat e mbrojtjes kundër tyre përshkruhet në faqe