Beskyttelse mot uautorisert tilgang til data
Uautorisert tilgang (NSD) for en angriper til en datamaskin er farlig, ikke bare ved muligheten til å lese og/eller endre de behandlede elektroniske dokumentene, men også ved muligheten for å introdusere et kontrollert programvarebokmerke av angriperen, som vil tillate ham å ta følgende handlinger:
2. Avskjære diverse nøkkelinformasjon som brukes til å beskytte elektroniske dokumenter.
3. Bruk den kaprede datamaskinen som et springbrett for å kapre andre datamaskiner på det lokale nettverket.
4. Ødelegg informasjon som er lagret på datamaskinen eller deaktiver datamaskinen ved å kjøre skadelig programvare.
Beskyttelse av datamaskiner mot tukling er et av hovedproblemene med informasjonssikkerhet, derfor har de fleste operativsystemer og populære programvarepakker innebygde forskjellige undersystemer for tuklingsbeskyttelse. For eksempel å utføre brukerautentisering når du logger på operativsystemene til Windows-familien. Det er imidlertid ingen tvil om at de innebygde verktøyene til operativsystemer ikke er nok for seriøs beskyttelse mot tukling. Dessverre gir implementeringen av beskyttelsesundersystemer for de fleste operativsystemer ofte opphav til kritikk på grunn av regelmessig oppdagede sårbarheter som tillater tilgang til beskyttede objekter som omgår regler for tilgangskontroll. Servicepakker og rettelser utgitt av programvareprodusenter ligger objektivt bak informasjonen om oppdagede sårbarheter. Derfor, i tillegg til standard midler for beskyttelse, er det nødvendig å bruke spesielle midler for å begrense eller begrense tilgangen.
Disse midlene kan deles inn i to kategorier:
1. Midler for å begrense fysisk tilgang.
2. Beskyttelsesmidler mot uautorisert tilgang over nettverket.
Midler for å begrense fysisk tilgang
Den mest pålitelige løsningen på problemet med å begrense fysisk tilgang til en datamaskin er å bruke maskinvare for å beskytte informasjon mot tukling, som utføres før operativsystemet lastes. Beskyttelser i denne kategorien kalles "elektroniske låser". Et eksempel på en elektronisk lås er vist i fig. 5.3.
Figur 5.3 - Elektronisk lås for PCI-buss
I teorien kan enhver programvare for tilgangskontroll bli angrepet av en angriper for å forvrenge algoritmen til et slikt verktøy og deretter få tilgang til systemet. Det er praktisk talt umulig å gjøre dette med et maskinvaresikkerhetsverktøy: den elektroniske låsen utfører alle handlinger for å kontrollere brukertilgang i sitt eget pålitelige programvaremiljø, som ikke er utsatt for ekstern påvirkning.
På det forberedende stadiet for bruk av den elektroniske låsen er den installert og konfigurert. Konfigurasjonen inkluderer følgende handlinger, vanligvis utført av den ansvarlige personen - sikkerhetsadministratoren:
1. Opprette en liste over brukere som har tilgang til den beskyttede datamaskinen. For hver bruker dannes et nøkkelmedium (avhengig av grensesnittene som støttes av en bestemt lås - en diskett, et elektronisk nettbrett iButton eller et smartkort), som vil bli brukt til å autentisere brukeren ved inngangen. Listen over brukere er lagret i det ikke-flyktige minnet til låsen.
2. Dannelse av en liste over filer, hvis integritet kontrolleres av låsen før lasting av datamaskinens operativsystem. Viktige filer i operativsystemet er underlagt kontroll, for eksempel følgende:
Systembiblioteker Windows;
Kjørbare moduler av applikasjonene som brukes;
Dokumentmaler Microsoft Word etc.
Filintegritetskontroll er beregningen av referansesjekksummen deres, for eksempel hashing i henhold til GOST R 34.11-94-algoritmen, lagring av de beregnede verdiene i det ikke-flyktige minnet til låsen og deretter beregner de virkelige sjekksummene til filene og sammenligner dem med referansene. I normal driftsmodus mottar den elektroniske låsen kontroll fra BIOS til den beskyttede datamaskinen etter at sistnevnte er slått på. På dette stadiet utføres alle handlinger for å kontrollere tilgang til datamaskinen (se det forenklede diagrammet av algoritmen i Fig.5.4), nemlig:
Figur 5.4 - Forenklet diagram over algoritmen til den elektroniske låsen
1. Låsen ber brukeren om et medium med nøkkelinformasjon som er nødvendig for hans autentisering. Hvis nøkkelinformasjonen for det nødvendige formatet ikke er oppgitt, eller hvis brukeren identifisert av den oppgitte informasjonen ikke er inkludert i listen over brukere av den beskyttede datamaskinen, vil låsen blokkere datamaskinen fra å starte opp.
2. Hvis brukerautentisering er vellykket, beregner låsen sjekksummene for filene i den kontrollerte listen og sammenligner de mottatte sjekksummene med referansesummene. Hvis integriteten til minst én fil fra listen blir krenket, blokkeres datamaskinen fra å laste. For videre arbeid på denne datamaskinen, må problemet løses av administratoren, som må finne ut årsaken til å endre den kontrollerte filen og, avhengig av situasjonen, utføre en av følgende handlinger for å aktivere videre arbeid med den beskyttede datamaskinen:
Gjenopprett den opprinnelige filen;
Fjern en fil fra den kontrollerte listen.
3. Hvis alle kontroller lykkes, returnerer låsen kontrollen til datamaskinen for å laste standardoperativsystemet.
Siden trinnene ovenfor utføres før datamaskinens operativsystem lastes, laster låsen vanligvis sitt eget operativsystem (plassert i det ikke-flyktige minnet - vanligvis dette MS-DOS eller liknende OS, som ikke pålegger store ressurskrav), der brukerautentisering og filintegritetskontroller utføres. Dette gir også mening fra et sikkerhetssynspunkt – låsens eget operativsystem er ikke utsatt for noen ytre påvirkning, noe som hindrer en angriper i å påvirke kontrollprosessene beskrevet ovenfor. Informasjon om brukerpålogginger på datamaskinen, samt om uautoriserte tilgangsforsøk, lagres i loggen, som ligger i låsens ikke-flyktige minne. Loggen kan ses av administratoren. Det er en rekke problemer ved bruk av elektroniske låser, spesielt:
1. BIOS Noen moderne datamaskiner kan konfigureres på en slik måte at kontrollen ikke overføres til BIOS-en til låsen under oppstart. For å motvirke slike innstillinger må låsen kunne blokkere datamaskinen fra å starte opp (for eksempel ved å lukke kontakter Nullstille) hvis låsen ikke har fått kontroll innen et visst tidsintervall etter at strømforsyningen er slått på.
2. En angriper kan ganske enkelt trekke låsen ut av datamaskinen. Det er imidlertid en rekke mottiltak:
Ulike organisatoriske og tekniske grep: tetting av datamaskinkofferten, sikre at brukere ikke har fysisk tilgang til datamaskinens systemenhet mv.
Det finnes elektroniske låser som kan låse datamaskinens kabinett fra innsiden med en spesiell lås etter kommando fra administrator - i dette tilfellet kan låsen ikke fjernes uten betydelig skade på datamaskinen.
Ganske ofte er elektroniske låser strukturelt kombinert med en maskinvarekoder. I dette tilfellet er det anbefalte beskyttelsestiltaket å bruke en lås sammen med et programvareverktøy for transparent (automatisk) kryptering av logiske stasjoner på datamaskinen. I dette tilfellet kan krypteringsnøkler utledes fra nøkler som brukes til å autentisere brukere i en elektronisk lås, eller separate nøkler, men lagret på samme medium som brukerens nøkler for å logge på datamaskinen. Et slikt omfattende beskyttelsesverktøy vil ikke kreve at brukeren utfører noen ekstra handlinger, men det vil også hindre en angriper i å få tilgang til informasjon selv med den elektroniske låsemaskinvaren fjernet.
Midler for beskyttelse mot tukling over nettverket
De mest effektive metodene for beskyttelse mot uautorisert tilgang over datanettverk er virtuelle private nettverk ( VPN – Virtuelt privat nettverk) og brannmur. La oss vurdere dem i detalj.
Virtuelle private nettverk
VPN-er gir automatisk beskyttelse av integriteten og konfidensialiteten til meldinger som sendes over ulike offentlige nettverk, først og fremst Internett. Faktisk, VPN Er et sett med nettverk, på den ytre omkretsen som er installert VPN-midler (fig.5.5). VPN-agent er et program (eller programvare- og maskinvarekompleks) som faktisk gir beskyttelse av overført informasjon ved å utføre operasjonene beskrevet nedenfor.
Ris. 5.5 - VPN byggeordning
Før du sender evt IP-pakke VPN-agent gjør følgende:
1. Fra tittelen IP-pakkeinformasjon om adressaten er uthevet. I følge denne informasjonen basert på sikkerhetspolitikken til dette VPN-agent, beskyttelsesalgoritmer er valgt (hvis VPN-agent støtter flere algoritmer) og kryptografiske nøkler som denne pakken vil bli beskyttet med. I tilfelle at sikkerhetspolitikken VPN-agent er ikke oppgitt for sending IP-pakke til den oppgitte adressaten, eller IP-pakke med disse egenskapene, sending IP-pakken er blokkert.
2. Ved å bruke den valgte igenereres den og legges til IP- en elektronisk digital signatur (EDS)-pakke, en imitator eller en lignende kontrollsum.
3. Ved å bruke den valgte krypteringsalgoritmen utføres kryptering IP-pakke.
4. Bruke den etablerte pakkeinnkapslingsalgoritmen, kryptert IP- pakken legges i en IP-pakke klar for overføring, hvis overskrift, i stedet for den originale informasjonen om adressaten og avsenderen, inneholder informasjon om VPN-agent for adressaten og VPN-agent for avsender. De. nettverksadresseoversettelse pågår.
5. Pakken sendes VPN- til adressatens agent. Om nødvendig deles den og de resulterende pakkene sendes én etter én.
Ved mottak IP-pakke VPN-agent gjør følgende:
1. Fra tittelen IP-pakkeinformasjon om avsenderen er uthevet. I tilfelle avsenderen ikke er blant de tillatte (i henhold til sikkerhetspolicyen) eller ukjente (for eksempel når du mottar en pakke med en bevisst eller utilsiktet skadet overskrift), behandles ikke pakken og blir kastet.
2. I henhold til sikkerhetspolicyen velges algoritmer for å beskytte denne pakken og nøklene, ved hjelp av hvilke pakken vil bli dekryptert og dens integritet sjekket.
3. Den informative (innkapslede) delen av pakken separeres og dekrypteres.
4. Integriteten til pakken overvåkes basert på den valgte algoritmen. Hvis et integritetsbrudd oppdages, blir pakken droppet.
5. Pakken sendes til adressaten (via det interne nettverket) i henhold til informasjonen i den opprinnelige overskriften.
VPN-agent kan lokaliseres direkte på den beskyttede datamaskinen (for eksempel datamaskiner til "fjernbrukere" i fig. 5.5). I dette tilfellet beskytter den informasjonsutvekslingen til bare datamaskinen den er installert på, men prinsippene for driften beskrevet ovenfor forblir uendret.
Grunnleggende regel for konstruksjon VPN- kommunikasjon mellom det sikrede LAN og det åpne nettverket skal kun utføres via VPN-agenter. Det skal kategorisk ikke være kommunikasjonsmetoder som omgår den beskyttende barrieren i skjemaet VPN-middel. De. en beskyttet omkrets må defineres, kommunikasjon med denne kan bare utføres gjennom en passende beskyttelsesanordning. En sikkerhetspolicy er et sett med regler i henhold til hvilke sikre kommunikasjonskanaler etableres mellom abonnenter. VPN... Slike kanaler blir ofte referert til som tunneler, analogien som kan sees i følgende:
1. All informasjon som overføres i én tunnel er beskyttet mot både uautorisert visning og modifikasjon.
2. Innkapsling IP- pakker lar deg skjule topologien til det interne LAN: fra Internett blir utveksling av informasjon mellom to beskyttede LAN sett på som en utveksling av informasjon kun mellom deres VPN-agenter, siden alle interne IP-adresser overført over Internett IP-pakker vises ikke i dette tilfellet.
Regler for opprettelse av tunneler dannes avhengig av ulike egenskaper IP-pakker, for eksempel, den viktigste når man bygger majoriteten VPN protokoll IPSec (sikkerhetsarkitektur for IP) setter neste sett med inngangsdata, hvorved tunnelparameterne velges og en beslutning tas når en spesifikk filtrering IP-pakke:
1. IP- kildens adresse. Det kan ikke bare være en enkelt IP-adresse, men også en subnettadresse eller en rekke adresser.
2. IP- destinasjonsadressen. Det kan også være et eksplisitt adresseområde som bruker en subnettmaske eller et mønster.
3. Brukeridentifikator (avsender eller mottaker).
4. Transportlagsprotokoll ( TCP / UDP).
5. Portnummer som pakken ble sendt fra eller til.
En brannmur er et programvare- eller programvare- og maskinvareverktøy som beskytter lokale nettverk og individuelle datamaskiner mot uautorisert tilgang fra eksterne nettverk ved å filtrere toveisflyten av meldinger ved informasjonsutveksling. Faktisk er brannmuren "strippet ned" VPN- en agent som ikke krypterer pakker og kontrollerer deres integritet, men som i noen tilfeller har en rekke tilleggsfunksjoner, hvorav de vanligste er følgende:
Antivirusskanning;
Kontroll av pakkens korrekthet;
Overvåke riktigheten av tilkoblinger (for eksempel etablering, bruk og frakobling TCP-økter);
Innholdskontroll.
Brannmurer som ikke har funksjonene beskrevet ovenfor og kun utfører pakkefiltrering kalles opp pakkefiltre... I analogi med VPN-agenter, det finnes også personlige brannmurer som kun beskytter datamaskinen de er installert på. Brannmurer er også plassert i utkanten av beskyttede nettverk og filtrerer nettverkstrafikk i henhold til den konfigurerte sikkerhetspolicyen.
En elektronisk lås kan utvikles på grunnlag av en maskinvarekoder. I dette tilfellet oppnås én enhet som utfører funksjonene kryptering, generering av tilfeldige tall og beskyttelse mot tukling. En slik kryptering er i stand til å være sikkerhetssenteret til hele datamaskinen; på grunnlag av det er det mulig å bygge et fullt funksjonelt system for kryptografisk databeskyttelse, som for eksempel gir følgende funksjoner:
1. Beskytte datamaskinen mot fysisk tilgang.
2. Beskytte datamaskinen mot å tukle med nettverket og organisere VPN.
3. Kryptering av filer på forespørsel.
4. Automatisk kryptering av datamaskinens logiske stasjoner.
5. Beregning / verifisering av EDS.
6. Beskyttelse av e-postmeldinger.
Uautorisert tilgang til informasjon er en ikke-planlagt kjentgjøring, behandling, kopiering, bruk av ulike virus, inkludert de som ødelegger programvareprodukter, samt modifikasjon eller ødeleggelse av informasjon i strid med de etablerte reglene for tilgangskontroll.
Derfor er beskyttelsen av informasjon mot uautorisert tilgang utformet for å hindre en angriper fra å få tilgang til informasjonsbæreren. Det er tre hovedretninger i beskyttelsen av informasjon om datamaskiner og nettverk fra NSD:
- fokuserer på å hindre inntrengeren fra å få tilgang til datamiljøet og er basert på spesielle tekniske midler for brukeridentifikasjon;
- er relatert til beskyttelsen av datamiljøet og er basert på opprettelsen av spesiell programvare;
- knyttet til bruk av spesielle midler for å beskytte datainformasjon mot uautorisert tilgang.
Det bør huskes at både forskjellige teknologier og forskjellige midler brukes for å løse hvert av problemene. Krav til verneutstyr, deres egenskaper, funksjoner utført av dem og deres klassifisering, samt vilkår og definisjoner for beskyttelse mot uautorisert tilgang er gitt i veiledningsdokumentene til Statens tekniske kommisjon:
- "Automatiske systemer. Beskyttelse mot uautorisert tilgang til informasjon. Klassifisering av AU og krav til informasjonsbeskyttelse ";
– «Dataanlegg. Beskyttelse mot uautorisert tilgang til informasjon. Indikatorer for sikkerhet mot uautorisert tilgang til informasjon ";
– «Beskyttelse mot uautorisert tilgang til informasjon. Begreper og definisjoner". Tekniske midler som implementerer beskyttelsesfunksjoner kan deles inn i:
o innebygd;
o ekstern.
De innebygde midlene for å beskytte en personlig datamaskin og programvare (fig. 3.12) inkluderer passordbeskyttelse for BIOS, operativsystem og DBMS. Disse verktøyene kan ærlig talt være svake - BIOS med et veilederpassord, passordbeskyttelse Win95 / 98, men de kan være mye sterkere - BIOS uten veilederpassord, Windows NT passordbeskyttelse, ORACLE DBMS. Ved å bruke styrken til disse verktøyene kan du betydelig styrke systemet for å beskytte informasjon mot uautorisert tilgang.
Eksterne verktøy er designet for å erstatte de innebygde verktøyene for å styrke beskyttelsen, eller for å supplere dem med manglende funksjoner.
Disse inkluderer:
- pålitelig oppstartsmaskinvare;
- maskinvare- og programvaresystemer for separasjon av brukertilgangsrettigheter;
- midler for sterk autentisering av nettverkstilkoblinger.
Pålitelig oppstartsmaskinvare er et produkt, noen ganger referert til som en "elektronisk lås", hvis funksjon er å identifisere brukeren på en sikker måte og også å verifisere integriteten til datamaskinens programvare. Vanligvis er dette et PC-utvidelseskort med nødvendig programvare skrevet enten til flashminnet på kortet eller til harddisken på datamaskinen.
Deres operasjonsprinsipp er enkelt. Under oppstartsprosessen starter BIOS- og anti-sabotasjebeskyttelseskort. Den ber om en bruker-ID og sammenligner den med den som er lagret i flashminnet på kortet. Identifikatoren kan i tillegg beskyttes med et passord. Deretter starter det innebygde operativsystemet til brettet eller datamaskinen (oftest er det en variant av MS-DOS), hvoretter programmet for å sjekke integriteten til programvaren starter. Som regel kontrolleres systemområdene på oppstartsdisken, oppstartsfiler og filer som er satt av brukeren for verifisering. Kontrollen utføres enten på grunnlag av etterligning av GOST 28147-89-algoritmen, eller på grunnlag av hashing-funksjonen til GOST R 34.11-34-algoritmen eller en annen algoritme. Testresultatet sammenlignes med det som er lagret i flashminnet på kortet. Hvis, som et resultat av sammenligning, når du sjekker identifikatoren eller systemets integritet, avsløres en forskjell med standarden, vil styret blokkere videre arbeid og vise en tilsvarende melding på skjermen. Hvis sjekkene er positive, overfører styret kontrollen til den personlige datamaskinen for videre lasting av operativsystemet.
Alle identifiserings- og integritetskontroller logges. Fordelene med enheter i denne klassen er deres høye pålitelighet, enkelhet og lave pris. I fravær av flerbrukerarbeid på datamaskinen, er beskyttelsesfunksjonene til dette verktøyet vanligvis tilstrekkelige.
Maskinvare- og programvaresystemer for separering av tilgangsrettigheter brukes ved flere brukere som jobber på én datamaskin, dersom oppgaven er å skille deres krefter til å få tilgang til hverandres data. Løsningen på dette problemet er basert på: 01 å forby brukere å starte visse applikasjoner og prosesser; Q Tillater brukere og applikasjoner de kjører kun en bestemt type handling med data.
Gjennomføringen av forbud og tillatelser oppnås på ulike måter. Som regel, under starten av operativsystemet, startes også programmet mot uautorisert tilgang. Den er tilstede i datamaskinens minne som en innebygd modul og kontrollerer brukernes handlinger for å starte applikasjoner og få tilgang til data. Alle brukerhandlinger registreres i loggen, som kun er tilgjengelig for sikkerhetsadministratoren. Midlene i denne klassen forstås vanligvis som midler for beskyttelse mot uautorisert tilgang. De er maskinvare- og programvarekomplekser som består av maskinvare - et pålitelig datamaskinoppstartskort, som nå i tillegg sjekker integriteten til programvaren til selve anti-tullebeskyttelsessystemet på harddisken, og programvaredelen - administratorens program, residentmodulen . Disse programmene er plassert i en spesiell katalog og er kun tilgjengelig for administratoren. Disse systemene kan brukes i et enkeltbrukersystem for å begrense brukeren til å installere og kjøre programmer som han ikke trenger i sitt arbeid.
Midler for forbedret autentisering av nettverksforbindelser brukes når driften av arbeidsstasjoner som en del av et nettverk pålegger krav for å beskytte ressursene til en arbeidsstasjon mot trusselen om uautorisert adgang til en arbeidsstasjon fra nettverkssiden og endring av enten informasjon eller programvare, samt som å starte en uautorisert prosess. Beskyttelse mot tukling fra nettverkssiden oppnås ved hjelp av forbedret autentisering av nettverksforbindelser. Denne teknologien kalles virtuell privat nettverksteknologi.
En av hovedoppgavene for beskyttelse mot uautorisert tilgang er å sikre pålitelig brukeridentifikasjon (fig. 3.13) og muligheten til å autentisere enhver nettverksbruker som kan identifiseres unikt ved at han:
- representerer seg selv.
Hva vet brukeren? Ditt navn og passord. Passordidentifikasjonsskjemaer er basert på denne kunnskapen. Ulempen med disse ordningene er at han trenger å huske komplekse passord, som veldig ofte ikke skjer: enten er passordet valgt svakt, eller det er rett og slett skrevet i en notatbok, på et stykke papir, etc. I tilfelle av bruk bare passordbeskyttelse, hensiktsmessige tiltak iverksettes for å sikre kontroll over opprettelsespassord, lagring av dem, for å spore utløpet av bruken og slette dem i tide. Lukking av kryptografisk passord kan i stor grad løse dette problemet og gjøre det vanskeligere for en angriper å omgå autentiseringsmekanismen.
Hva kan en bruker ha? Selvfølgelig er en spesiell nøkkel en unik identifikator, for eksempel et nettbrettberøringsminne (I-knapp), e-token, smartkort eller en kryptografisk nøkkel som krypterer oppføringen i brukerdatabasen. Et slikt system er det sikreste, men det krever at brukeren alltid har med seg en identifikator, som oftest er festet til en nøkkelring med nøkler og ofte glemmes hjemme eller blir borte. Det vil være riktig hvis administratoren utsteder identifikatorer om morgenen og skriver om det i loggen og godtar dem tilbake for lagring om kvelden, igjen gjør en oppføring i loggen.
Hva er en bruker? Dette er funksjonene som bare er iboende for denne brukeren, bare for ham, og gir biometrisk identifikasjon. En identifikator kan være et fingeravtrykk, en tegning av iris i øynene, et håndflateavtrykk osv. For tiden er dette den mest lovende retningen i utviklingen av identifikasjonsmidler. De er pålitelige og krever samtidig ikke ytterligere kunnskap om noe eller permanent besittelse av noe fra brukeren. Med utviklingen av teknologi og kostnadene for disse midlene blir tilgjengelig for hver organisasjon.
Det er oppgaven til ulike identifiserings- og autentiseringsmekanismer å sikre at identiteten til en bruker er verifisert.
Hver bruker (gruppe av brukere) på nettverket er tildelt et bestemt særtrekk - en identifikator og den sammenlignes med den godkjente listen. Det er imidlertid bare den deklarerte identifikatoren på nettverket som ikke kan gi beskyttelse mot uautoriserte tilkoblinger uten å verifisere brukerens identitet.
Prosessen med å bekrefte identiteten til en bruker kalles autentisering. Det skjer ved hjelp av en spesiell kjennetegn presentert av brukeren - en autentisering som er iboende i ham. Effektiviteten av autentisering bestemmes først og fremst av de særegne egenskapene til hver bruker.
Spesifikke mekanismer for identifikasjon og autentisering i nettverket kan implementeres basert på følgende midler og prosedyrer for å beskytte informasjon:
- passord;
- tekniske midler;
- midler for biometri;
- kryptografi med unike nøkler for hver bruker.
Spørsmålet om anvendeligheten til et bestemt verktøy avgjøres avhengig av de identifiserte truslene, de tekniske egenskapene til det beskyttede objektet. Det kan ikke sies entydig at bruk av maskinvare som bruker kryptografi vil gi systemet mer pålitelighet enn bruk av programvare.
Å analysere sikkerheten til et informasjonsobjekt og identifisere trusler mot sikkerheten er en ekstremt kompleks prosedyre. En like komplisert prosedyre er valg av teknologier og beskyttelsesmidler for å eliminere de identifiserte truslene. Det er bedre å overlate løsningen av disse problemene til spesialister med rik erfaring.
Introduksjon
Tiltak for å beskytte informasjon fra NSD er en integrert del av ledelsen, vitenskapelig, produksjons- (kommersiell) virksomhet til et foretak (institusjon, firma, etc.), uavhengig av deres avdelingstilhørighet og eierform, og utføres i forbindelse med andre tiltak for å sikre det etablerte regimet konfidensialitet. Praksisen med å organisere beskyttelsen av informasjon mot uautorisert tilgang under behandlingen og lagringen i AU bør ta hensyn til følgende prinsipper og regler for å sikre informasjonssikkerhet:
Overholdelse av informasjonssikkerhetsnivået med lovbestemmelser og forskriftskrav for beskyttelse av beskyttelsespliktig informasjon etter gjeldende lovgivning, inkl. valget av sikkerhetsklassen til kjernekraftverket i samsvar med egenskapene til informasjonsbehandling (behandlingsteknologi, spesifikke driftsforhold for kjernekraftverket) og nivået på dets konfidensialitet.
Identifikasjon av konfidensiell informasjon og dokumentasjon i form av en liste over informasjon som skal beskyttes, rettidig korrigering.
De viktigste beslutningene om beskyttelse av informasjon bør tas av ledelsen av foretaket (organisasjon, firma), eieren av AU.
Fastsettelse av prosedyren for å fastsette nivåene for tilgangsmyndigheter for fagene, samt kretsen av personer som denne rettigheten er gitt.
Etablering og utførelse av adgangskontrollregler, d.v.s. et sett med regler som styrer tilgangsrettighetene til tilgangssubjekter til tilgangsobjekter.
Etablering av brukernes personlige ansvar for å opprettholde sikkerhetsnivået til AU ved behandling av informasjon som er underlagt beskyttelse i henhold til gjeldende lov.
gi fysisk beskyttelse av anlegget der det beskyttede kjernekraftverket er lokalisert (territorium, bygninger, lokaler, lagring av informasjonsbærere), ved å etablere passende stillinger, tekniske beskyttelsesmidler eller på andre måter som forhindrer eller vesentlig kompliserer tyveri av datautstyr, informasjonsbærere, samt NSD til SVT og kommunikasjonslinjer.
Organisering av informasjonssikkerhetstjenesten (ansvarlige personer, administratoren av AU), som utfører regnskap, lagring og utstedelse av informasjonsbærere, passord, nøkler, vedlikehold av tjenesteinformasjon til ISS NSD (generering av passord, nøkler, vedlikehold av tilgangskontrollregler), aksept av nye programvareverktøy inkludert i AU, samt kontroll over forløpet av den teknologiske prosessen med å behandle konfidensiell informasjon, etc.
Systematisk og operasjonell kontroll av sikkerhetsnivået til beskyttet informasjon, verifisering av beskyttelsesfunksjonene til informasjonsbeskyttelsesmidler. Informasjonsbeskyttelsesmidler må ha et sertifikat som bekrefter at de overholder kravene til informasjonssikkerhet.
Informasjonssikkerhetsverktøyer et sett med tekniske, elektriske, elektroniske, optiske og andre enheter og enheter, enheter og tekniske systemer, samt andre materielle elementer som brukes til å løse ulike problemer med informasjonsbeskyttelse, inkludert å forhindre lekkasje og sikre sikkerheten til beskyttet informasjon.
Generelt kan midlene for å sikre beskyttelse av informasjon når det gjelder å forhindre bevisste handlinger, avhengig av implementeringsmetoden, deles inn i grupper: teknisk (maskinvare), programvare, blandet maskinvare og programvare, organisatorisk.
Tekniske (maskinvare) betyr- dette er enheter av ulike typer (mekaniske, elektromekaniske, elektroniske og andre), som løser informasjonssikkerhetsproblemer med maskinvare. De forhindrer fysisk penetrering, eller, hvis penetreringen fant sted, hindrer de tilgang til informasjon, blant annet ved å maskere den. Den første delen av problemet løses av låser, gitter på vinduer, trygghetsalarmer osv. Den andre - ved støygeneratorer, overspenningsvern, skanning
radiomottakere og mange andre enheter som "blokkerer" potensielle kanaler for informasjonslekkasje eller lar dem oppdages. Fordelene med tekniske midler er forbundet med deres pålitelighet, uavhengighet fra subjektive faktorer og høy motstand mot modifikasjon.
Maskinvarebeskyttelsesmidler inkluderer forskjellige elektroniske, elektromekaniske, elektrooptiske enheter. Til i dag
Siden den gang har et betydelig antall maskinvare for ulike formål blitt utviklet, men følgende er mest utbredt:
spesielle registre for lagring av sikkerhetsdetaljer: passord, identifikasjonskoder, etiketter eller hemmeligholdsnivåer;
enheter for å måle individuelle egenskaper til en person (stemme, fingeravtrykk) for å identifisere ham;
kretser for å avbryte overføringen av informasjon i kommunikasjonslinjen for å periodisk sjekke adressen til dataleveringen.
enheter for kryptering av informasjon (kryptografiske metoder).
Programvaren inkluderer programmer for brukeridentifikasjon, tilgangskontroll, informasjonskryptering, fjerning av rester
(fungerende) informasjon som midlertidige filer, systemtestkontroll
beskyttelse, etc. Fordeler med programvare - allsidighet, fleksibilitet, pålitelighet, enkel installasjon, muligheten til å modifisere og utvikle. Ulemper - begrenset nettverksfunksjonalitet, bruk av noen av ressursene til filserveren og arbeidsstasjonene, høy følsomhet for tilfeldige eller bevisste endringer, mulig avhengighet av typene datamaskiner (deres maskinvare).
Blandet maskinvare/programvare implementerer de samme funksjonene som maskinvare og programvare separat og har mellomliggende egenskaper.
Organisatoriske midler består av organisatoriske og tekniske (klargjøring av rom med datamaskiner, legging av et kabelsystem, tar hensyn til kravene om å begrense tilgangen til det, etc.) og organisatoriske og juridiske (nasjonal lovgivning og arbeidsregler fastsatt av ledelsen av et bestemt virksomhet). Fordelene med organisasjonsverktøy er at de lar deg løse mange forskjellige problemer, er enkle å implementere, reagerer raskt på uønskede handlinger i nettverket og har ubegrensede muligheter for modifikasjon og utvikling.
I henhold til graden av distribusjon og tilgjengelighet tildeles programvare. Andre virkemidler brukes i tilfeller der det kreves et tilleggsnivå av informasjonsbeskyttelse.
.Lekkasjekanaler for flyinformasjon
Mulige kanaler for informasjonslekkasje er kanaler knyttet til tilgang til systemelementer og endringer i strukturen til dets komponenter. Den andre gruppen inkluderer:
bevisst lesing av data fra filer til andre brukere;
lese gjenværende informasjon, det vil si data som er igjen på magnetiske medier etter å ha fullført oppgaver;
kopiering av informasjonsbærere;
bevisst bruk for å få tilgang til terminalinformasjon
registrerte brukere;
maskerer seg som en registrert bruker ved å stjele passord og andre detaljer for å differensiere tilgang til informasjon som brukes i behandlingssystemer;
bruken av såkalte "luker", hull og "smuthull" for tilgang til informasjon, det vil si mulighetene for å omgå tilgangskontrollmekanismen som oppstår fra ufullkommenhet av systemomfattende programvarekomponenter (operativsystemer, databasestyringssystemer, etc. .) og tvetydighetene til programmeringsspråk som brukes i automatiserte databehandlingssystemer.
.Informasjonssikkerhetsmetoder i Forsvaret
I nærvær av enkle midler for lagring og overføring av informasjon, har følgende metoder for å beskytte den mot bevisst tilgang eksistert og har ikke mistet sin betydning før nå: tilgangsbegrensning; differensiering av tilgang; separasjon av tilgang (privilegier); kryptografisk transformasjon av informasjon; tilgangskontroll og regnskap; lovgivende tiltak.
Disse metodene ble utført rent organisatorisk eller ved hjelp av tekniske midler.
Med fremveksten av automatisert informasjonsbehandling har det fysiske informasjonsmediet endret seg og supplert med nye typer, og de tekniske metodene for behandlingen har blitt mer komplekse.
I denne forbindelse utvikler de gamle og nye metodene for informasjonsbeskyttelse i datasystemer:
funksjonelle kontrollmetoder som sikrer oppdagelse og diagnostisering av feil, maskinvarefeil og menneskelige feil, samt programvarefeil;
metoder for å øke påliteligheten til informasjon;
metoder for å beskytte informasjon fra nødssituasjoner;
metoder for tilgangskontroll til intern installasjon av utstyr, kommunikasjonslinjer og teknologiske kontroller;
metoder for å avgrense og kontrollere tilgang til informasjon;
metoder for identifikasjon og autentisering av brukere, tekniske midler, medier og dokumenter;
Metoder for å beskytte informasjon mot tukling kan deles inn i 4 typer
2.1 Fysisk tilgang og datatilgang
Regler for datatilgangskontroll er de eneste eksisterende metodene for å oppnå de individuelle identifikasjonskravene diskutert ovenfor. Den beste tilgangskontrollpolicyen er policyen "minst nødvendige privilegier". Med andre ord har brukeren kun tilgang til den informasjonen han trenger i sitt arbeid. Informasjon klassifisert som konfidensiell (eller tilsvarende) og høyere kan endres og bekreftes fra tid til annen.
På et eller annet nivå (minst logget konfidensielt eller tilsvarende) bør det være et system med kontroller og kontroll av tilgang, samt registrering av endringer. Det skal være regler som definerer ansvaret for alle endringer i data og programmer. Det bør etableres en mekanisme for å oppdage uautorisert tilgangsforsøk til ressurser som data og programmer. Ressurseier, enhetsledere og sikkerhetspersonell bør varsles om potensielle overtredelser for å forhindre samarbeid.
2 Maskinvaretilgangskontroll
For å kontrollere tilgang til intern installasjon, kommunikasjonslinjer og teknologiske kontroller brukes utstyr for overvåking av åpning av utstyret. Dette betyr at den innvendige installasjonen av utstyr og teknologiske elementer og kontrollpaneler er lukket av deksler, dører eller foringsrør som sensoren er installert på. Sensorene utløses når utstyret åpnes og genererer elektriske signaler, som føres gjennom oppsamlingskretsene til en sentralisert kontrollenhet. Installasjonen av et slikt system er fornuftig med en mer fullstendig overlapping av alle teknologiske tilnærminger til utstyret, inkludert midlene for å laste ned programvare, datamaskinens kontrollpanel og eksterne kabelkontakter til maskinvaren som utgjør datasystemet. Ideelt sett, for systemer med økte krav til effektiviteten av informasjonsbeskyttelse, er det tilrådelig å lukke dekslene under en mekanisk lås med en sensor eller å kontrollere inkluderingen av standardmidler for å komme inn i systemet - brukerterminaler.
Maskinvaremanipulasjonskontroll er nødvendig, ikke bare for å beskytte informasjon mot tukling, men også for å opprettholde teknologisk disiplin for å sikre normal funksjon av datasystemet, fordi ofte under drift, parallelt med løsning av grunnleggende problemer, blir utstyr reparert eller forhindret, og det kan vise seg at du ved et uhell har glemt å koble til kabel eller datamaskinkonsoll endrett. Fra et synspunkt om å beskytte informasjon mot uautorisert tilgang, beskytter manipulasjonskontroll mot følgende handlinger:
endringer og ødeleggelse av det skjematiske diagrammet av datasystemet og utstyret;
koble til en ekstern enhet;
endre algoritmen til datasystemet ved å bruke teknologiske konsoller og kontroller;
laste inn fremmede programmer og introdusere programvare "virus" i systemet;
bruk av terminaler av uvedkommende mv.
Hovedoppgaven til utstyrsåpningskontrollsystemene er å overlappe alle ikke-standardiserte og teknologiske tilnærminger til utstyret i driftsperioden. Hvis sistnevnte er nødvendig under driften av systemet, kobles utstyret som tas ut for reparasjon eller vedlikehold før arbeidet starter fra arbeidskretsen for utveksling av informasjon som er underlagt beskyttelse, og introduseres i arbeidskretsen under tilsyn og kontroll av personer med ansvar for informasjonssikkerhet.
2.3 Kryptografisk transformasjon av informasjon
Beskyttelse av data med kryptering er en av de mulige løsningene på problemet med deres sikkerhet. Krypterte data gjøres kun tilgjengelig for noen som vet hvordan de skal dekrypteres, og derfor er det fullstendig meningsløst å stjele kryptert data for uautoriserte brukere. Kryptografi sikrer ikke bare hemmelighold av informasjon, men også dens autentisitet. Personvernet opprettholdes ved å kryptere individuelle meldinger eller hele filen. Ektheten av informasjonen bekreftes ved kryptering med en spesiell kode som inneholder all informasjon, som bekreftes av mottakeren for å bekrefte identiteten til forfatteren. Den bekrefter ikke bare opprinnelsen til informasjonen, men garanterer også dens uforanderlighet. Selv en enkel transformasjon av informasjon er et veldig effektivt middel til å skjule betydningen for flertallet av ufaglærte overtredere.
Kryptografi i dag er den eneste kjente måten å sikre hemmelighold og bekrefte ektheten til informasjon som sendes fra satellitter. Naturen til DES-datakrypteringsstandarden er slik at algoritmen er offentlig, bare nøkkelen må være hemmelig. Dessuten må de samme nøklene brukes til kryptering, dekryptering av informasjon, ellers vil det være umulig å lese den.
Prinsippet for kryptering er å kode tekst ved hjelp av en nøkkel. I tradisjonelle krypteringssystemer ble den samme nøkkelen brukt til å kode og dekode. I nye systemer med offentlig nøkkel eller asymmetrisk kryptering er nøklene paret: den ene brukes til koding, den andre til dekoding av informasjon. I et slikt system eier hver bruker et unikt nøkkelpar. Én nøkkel, den såkalte "offentlige", er kjent for alle og brukes til å kode meldinger. En annen nøkkel, kalt "hemmelig", holdes strengt hemmelig og brukes til å dekryptere innkommende meldinger. Ved implementering av et slikt system kan en bruker som trenger å sende en melding til en annen kryptere meldingen med sistnevntes offentlige nøkkel. Bare eieren av den private hemmelige nøkkelen kan dekryptere den, så risikoen for avlytting er utelukket. Dette systemet kan også brukes til å skape beskyttelse mot forfalskning av digitale signaturer.
Den praktiske bruken av sikker Internett- og intranettkryptering kombinerer tradisjonelle symmetriske og nye asymmetriske ordninger. Offentlig nøkkelkryptering brukes til å forhandle frem en hemmelig symmetrisk nøkkel, som deretter brukes til å kryptere ekte data. Kryptering gir det høyeste nivået av datasikkerhet. Både maskinvare og programvare bruker forskjellige krypteringsalgoritmer.
4 Kontroll og tilgangskontroll
For å overlappe de mulige kanalene for uautorisert kommunikasjon med informasjonen til PC-en, i tillegg til de som er nevnt, kan andre metoder og beskyttelsesmidler brukes. Når du bruker en PC i flerbrukermodus, er det nødvendig å bruke et program for kontroll og tilgangskontroll i den. Det er mange lignende programmer som brukerne selv ofte utvikler. Imidlertid er spesifisiteten til driften av PC-programvaren slik at ved hjelp av tastaturet kan en tilstrekkelig kvalifisert inntrengerprogrammerer enkelt omgå denne typen beskyttelse. Derfor er dette tiltaket bare effektivt for å beskytte mot en ukvalifisert lovbryter. For å beskytte mot en profesjonell inntrenger, vil et sett med programvare og maskinvare hjelpe. For eksempel en spesiell elektronisk nøkkel satt inn i et ledig spor på en PC, og spesielle programfragmenter satt inn i PC-applikasjonsprogrammene, som samhandler med den elektroniske nøkkelen i henhold til en algoritme som kun er kjent for brukeren. I mangel av en nøkkel, fungerer ikke disse programmene. Imidlertid er en slik nøkkel upraktisk å bruke, siden hver gang du må åpne PC-systemenheten. I denne forbindelse vises dens variable del - passordet - på en separat enhet, som blir den faktiske nøkkelen, og leseren er installert på frontpanelet til systemenheten eller utføres som en separat ekstern enhet. På denne måten kan du blokkere både PC-oppstarten og tilgangskontroll- og kontrollprogrammet.
For eksempel har de mest populære elektroniske nøklene til to amerikanske selskaper slike muligheter: Rainbow Technologies (RT) og Software Security (SSI) En rekke elektroniske nøkler tilbys på hjemmemarkedet: NovexKey - av NOVEX, HASP og Plug - av ALADDIN, etc. De fleste av dem er ment for å beskytte mot uautorisert kopiering av et programvareprodukt, det vil si å beskytte opphavsretten for opprettelsen, derfor for et annet formål. I dette tilfellet forblir imidlertid ikke alltid kanalene for visning, dokumentasjon, programvare- og informasjonsmedier, falsk elektromagnetisk stråling og informasjonsoppsamling beskyttet. Deres overlapping er sikret av allerede kjente metoder og midler: plassering av en datamaskin i et sikkert rom, regnskap og lagring av informasjonsbærere i metallskap og safer, kryptering.
Adgangskontrollsystemet (ADS) er en av hovedkomponentene i et integrert informasjonssikkerhetssystem. I dette systemet kan følgende komponenter skilles:
midler for autentisering av tilgangssubjektet;
midler for å avgrense tilgang til tekniske enheter i et datasystem;
midler for å differensiere tilgang til programmer og data;
midler for å blokkere uautoriserte handlinger;
midler for registrering av hendelser;
operatøren på vakt for adgangskontrollsystemet.
Effektiviteten av driften av tilgangskontrollsystemet bestemmes i stor grad av påliteligheten til autentiseringsmekanismene. Av spesiell betydning er autentisering i samspillet mellom eksterne prosesser, som alltid eksisterer ved bruk av kryptografiske metoder. Når du bruker autentiseringsmekanismer, er hovedoppgavene:
generering eller produksjon av identifikatorer, deres regnskap og lagring, overføring av identifikatorer til brukeren og kontroll over riktigheten av autentiseringsprosedyrene i datasystemet (CS). Hvis tilgangsattributter (passord, personlig kode osv.) blir kompromittert, må de snarest ekskluderes fra listen over tillatte. Disse handlingene må utføres av operatøren på vakt for adgangskontrollsystemet.
I store distribuerte CS er ikke problemet med å generere og levere identifikasjonsattributter og krypteringsnøkler en triviell oppgave. Så for eksempel bør distribusjonen av hemmelige krypteringsnøkler utføres utenfor det beskyttede datasystemet. Bruker-ID-verdier skal ikke lagres og overføres i systemet i klartekst. På tidspunktet for inntasting og sammenligning av identifikatorer, er det nødvendig å ta spesielle tiltak for å beskytte mot spionering av passordet og påvirkning av ondsinnede programmer som keyloggere og DSS-simulatorer. Midler for å avgrense tilgang til tekniske midler forhindrer uautoriserte handlinger fra en inntrenger, som å slå på et teknisk middel, laste et operativsystem, input-output av informasjon, bruke ikke-standard enheter osv. Adgangsavgrensning utføres av DRS-operatøren gjennom bruk av maskinvare og programvare. Så SRD-operatøren kan kontrollere bruken av nøkler fra strømforsyningslåsene direkte til maskinvaren eller til alle enheter plassert i et eget rom, fjernstyre blokkeringen av strømforsyningen til enheten eller blokkere OS-oppstarten. På maskinvare- eller programvarenivå kan operatøren endre den tekniske strukturen til verktøyene som kan brukes av en bestemt bruker.
Midlene for å differensiere tilgang til programmer og data brukes mest intensivt og bestemmer i stor grad egenskapene til DSS. Disse verktøyene er maskinvare og programvare. De konfigureres av tjenestemenn i og endres når brukerens autoritet endres eller når programmet og informasjonsstrukturen endres. Filtilgangen styres av tilgangsbehandleren. Tilgang til poster og individuelle felt med poster i databasefiler er også regulert av databasestyringssystemer.
Effektiviteten til DSS kan økes ved å kryptere filer som er lagret på eksterne lagringsenheter, samt ved å fullstendig slette filer når de blir ødelagt og slette midlertidige filer. Selv om en angriper får tilgang til maskinmediet ved for eksempel uautorisert kopiering, vil han ikke kunne få tilgang til informasjonen uten krypteringsnøkkelen.
I distribuert CS er tilgang mellom undersystemer, for eksempel eksterne LAN, regulert av brannmurer. En brannmur må brukes for å kontrollere kommunikasjonen mellom sikre og usikrede datasystemer. Samtidig reguleres tilgangen både fra et ubeskyttet datasystem til et beskyttet, og tilgang fra et beskyttet system til et ubeskyttet. Det anbefales å plassere en datamaskin som implementerer funksjonene til en brannmur på arbeidsplassen til operatøren av KSZI.
Midler for å blokkere uautoriserte handlinger fra tilgangsobjekter er en integrert komponent av RDS. Hvis attributtene til emnet for tilgang eller algoritmen for hans handlinger ikke er tillatt for dette emnet, avsluttes videre arbeid i CC-en til en slik inntrenger inntil operatøren av CSIS griper inn. Låsefasiliteter utelukker eller i betydelig grad hindrer automatisk valg av tilgangsattributter.
Hendelsesloggingsfasiliteter er også en obligatorisk del av RDS. Hendelsesloggene er plassert på OVC-en. Slike logger registrerer data om bruker som logger inn og ut av systemet, om alle forsøk på å utføre uautoriserte handlinger, om tilgang til visse ressurser osv. Loggen er konfigurert til å registrere visse hendelser og periodisk analysere innholdet av operatøren på vakt og høyere tjenestemenn personer fra OBI-enheten. Det anbefales å automatisere prosessen med å konfigurere og analysere loggen programmatisk.
Den direkte kontrollen av DRS utføres av vaktoperatøren til KSZI, som som regel også utfører funksjonene til vaktadministratoren til COP. Den laster OS, gir den nødvendige konfigurasjonen og driftsmodusene til CS, går inn i SRD med brukerlegitimasjon og attributter, overvåker og administrerer brukertilgang til CS-ressursene.
.Informasjonssikkerhetsverktøy i datasystemer
1Typer APS SZI
Fra alle de ovennevnte kan programvare- ogverktøy deles inn i flere typer:
Programvare og maskinvareverktøy for å beskytte informasjon mot uautorisert kopiering.
Programvare og maskinvareverktøy for kryptografisk og stenografisk beskyttelse av informasjon (inkludert midler for å maskere informasjon) når den er lagret på databærere og når den overføres gjennom kommunikasjonskanaler.
Programvare og maskinvareverktøy for å avbryte brukerens program i tilfelle brudd på tilgangsreglene.
Programvare og maskinvareverktøy for sletting av data, inkludert:
Programvare og maskinvareverktøy for å utstede en alarm når et forsøk på uautorisert tilgang til informasjon er forsøkt.
Programvare- og maskinvareverktøy for å oppdage og lokalisere handlingene til programvare- og programvare- og maskinvarefaner.
2 En enhet for rask ødeleggelse av informasjon på hardmagnetiske disker "Stack-N"
Designet for rask (nød)sletting av informasjon registrert på harddisker, både opererte og ubrukte på tidspunktet for sletting.
Hovedtrekkene til produktene i "Stack"-serien:
maksimal mulig hastighet for ødeleggelse av informasjon;
evnen til å spennes på ubestemt tid uten å forringe ytelsen;
muligheten for bruk i fjernstyrte systemer med autonom strømforsyning;
ingen bevegelige deler;
sletting av informasjon registrert på et magnetisk medium skjer uten fysisk ødeleggelse, men den påfølgende bruken av disken er igjen problematisk.
Enheten er produsert i form av tre grunnleggende modeller: "Stack-HCl", "Stack-HC2", "Stack-HA1".
"Stack-HCl"-modellen er fokusert på å skape en arbeidsplass for raskt å slette informasjon fra et stort antall harddisker før de kastes. Den har kun nettstrøm og kjennetegnes av en kort overgangstid til "Ready"-modus etter neste sletting. Modellen har en lav kostnad og er ekstremt enkel å betjene (fig. 1).
"Stack-HC2"-modellen er fokusert på å lage stasjonære informasjonsafer for datadata, den har kun strømforsyning. Den er utstyrt med systemer for å opprettholde temperaturregimet til HDD, selvtesting, og kan også ettermonteres med en ekstern initialiseringsmodul (fig. 2).
"Stack-HAl"-modellen er fokusert på å lage bærbare informasjonsafer for datadata, har et nettverk og autonom strømforsyning. Utstyrt med et selvtestsystem og en ekstern initialiseringsmodul.
Enheten kan brukes til å slette informasjon fra andre typer medier som passer inn i arbeidskammeret 145x105x41mm og har lignende egenskaper.
Produktet gir sletting av nyttig informasjon og serviceinformasjon registrert på et magnetisk medium. Derfor kan bæreren kun brukes med spesialutstyr. I tillegg er det i noen tilfeller mulig feiljustering av hovedenheten.
La oss liste opp hovedkarakteristikkene til Stack-HC1 (2):
Maksimal varighet av enhetens overgang til "Klar"-modus er 7-10 s.
Produktstrømforsyning - 220 V, 50 Hz.
Den maksimale avsatte termiske effekten er 8 W.
i syklusen "Lade" / "Slett" - ikke mindre enn 0,5 timer.
Mål - 235x215x105 mm.
La oss liste opp hovedegenskapene til Stack-HA1:
Den maksimale varigheten av enhetens overgang til "Klar"-modus er ikke mer enn 15 ... 30 s.
Varigheten av å slette informasjon på én disk er 300 ms.
Produktstrømforsyning - 220 V, 50 Hz eller eksternt batteri 12 V.
Tillatt varighet av kontinuerlig drift av produktet:
i "Klar"-modus - ikke begrenset;
i syklusen "Lade" / "Slett" - minst 30 ganger i 0,5 timer.
Mål - 235x215x105 mm.
3 LAN (Local Area Network) tilkoblingsdetektor FLUKE
Mottiltak på datanettverk er en helt spesifikk oppgave som krever observasjonsferdigheter og arbeid i bakgrunnen. Flere enheter brukes i denne typen tjenester:
håndholdt oscilloskop;
tidsdomenereflektometer med analyse av transientforbindelser for drift på "fri linje";
nettverkstrafikkanalysator / protokollanalysator;
en datamaskin med en spesiell programvarepakke for deteksjon;
bærbar spektrumanalysator.
Disse instrumentene brukes i tillegg til oscilloskop, spektrumanalysatorer, multimetre, søkemottakere, røntgenapparater og andre mottiltak.Det er et instrument for motovervåkingskommandoer (fig. 2). Grunnverktøyet gir all funksjonaliteten til en kabelskanner, inkludert et høykvalitets Time Domain Reflectometer (TDR). Trafikkanalysefunksjoner er avgjørende for å identifisere og spore nettverksforstyrrelser, hackerinntrengninger og oppdage tilstedeværelsen av forkledde overvåkingsenheter på et lokalt nettverk. LANMeter brukes også til nettverksrevisjoner og revisjoner.
FLUKE DSP-2000 \ DSP-4000-kabelanalysatoren og FLUKE 105B-parametermåleren er også nødvendige instrumenter for å utføre mottiltaksinspeksjoner og utfyller LAN-meteret.
Under inspeksjoner lar et oscilloskop koblet til nettverket for generell evaluering vanligvis observere bølgeformen og deres tilstedeværelse. I tilfelle av et nettverk av uautoriserte overvåkingsenheter med et distribuert spektrum, vil oscilloskopet gi en rask bestemmelse av dette faktum, samt en indikasjon på spenninger, tilstedeværelse av RF-støy og begrenset informasjon om transienter.
En håndholdt spektrumanalysator brukes til raskt å se RF-spekteret til et nettverk. Eventuelle signaler som ikke er typiske for nettverket som testes, bør overvåkes. Når alle kombinasjoner av nettverksledninger er nøye kontrollert for tilstedeværelsen av fremmede signaler (ved hjelp av et oscilloskop og spektrumanalysator), brukes en nettverkstrafikkanalysator for å overvåke enhver aktivitet som skjer på hvert spesifikt segment (eller kabelinngang). Dette er for å identifisere eventuelle uregelmessigheter i nettverkstrafikken som kan indikere bruk av spesiell programvare, uautorisert overvåking eller et sikkerhetsbrudd.
En nettverkstrafikkanalysator evaluerer vanligvis bare pakkehoder og kan gi brukeren flere grunnleggende nettverksfunksjoner som PING, Trace Route, DNS-oppslag og gi lister over funnet eller aktive nettverksadresser. Fra dette synspunktet vil mottiltaksspesialisten motta en liste over alle nettverksobjekter, som deretter kan kontrolleres mot den fysiske listen.
Motparten kan koble fra nettverkssegmentet (vanligvis ved å slå av ruteren eller bryteren) og koble fra alle ledninger. Dette vil isolere gruppen av datamaskiner og noen av kablene fra resten av nettverket og gi tilstrekkelig dekning for resten av inspeksjonen. Fysiske ledninger kan kontrolleres for overvåkingsenheter eller uregelmessigheter.
4 Informasjonssikkerhetssystem Secret Net 6.0
Net er et sertifisert middel for å beskytte informasjon mot uautorisert tilgang og lar deg bringe automatiserte systemer i samsvar med kravene i regulatoriske dokumenter:
nr. 98-FZ ("Om kommersielle hemmeligheter")
nr. 152-ФЗ ("Om personopplysninger")
nr. 5485-1-FZ ("Om statshemmeligheter")
STO BR (Bank of Russia Standard)
FSTEC of Russia-sertifikater tillater bruk av informasjonssikkerhetssystemet fra NSD Secret Net for å beskytte:
konfidensiell informasjon og statshemmeligheter i automatiserte systemer opp til klasse 1B inklusive;
personopplysningssystemer opp til klasse K1 inklusive.
For sikkerheten til arbeidsstasjoner og nettverksservere brukes ulike beskyttelsesmekanismer:
forbedret identifikasjon og autentisering;
autorisert og selektiv differensiering av tilgang;
lukket programvaremiljø;
kryptografisk databeskyttelse;
andre beskyttelsesmekanismer.
Sikkerhetsadministratoren er utstyrt med ett enkelt verktøy for å administrere alle beskyttelsesmekanismer, slik at du sentralt kan administrere og overvåke overholdelse av sikkerhetspolicykrav.
All informasjon om hendelser i informasjonssystemet knyttet til sikkerhet registreres i én enkelt loggbok. Sikkerhetsadministratoren vil umiddelbart lære om forsøk på å begå ulovlige handlinger fra brukere.
Det finnes verktøy for generering av rapporter, forbehandling av logger, operativ styring av eksterne arbeidsstasjoner.
Secret Net-systemet består av tre komponenter: klientdelen, sikkerhetsserveren og kontrollundersystemet (fig. 3).
En funksjon ved Secret Net-systemet er en klient-server-arkitektur, der serverdelen gir sentralisert lagring og behandling av data fra sikkerhetssystemet, og klientdelen beskytter ressursene til en arbeidsstasjon eller server og lagrer kontrollinformasjon i sin egen. database.
Klientdelen av beskyttelsessystemet (både frittstående og nettverkstilkoblet) er installert på en datamaskin som inneholder viktig informasjon, enten det er en arbeidsstasjon på nettverket eller en hvilken som helst server (inkludert en sikkerhetsserver).
Hovedformålet med klientsiden:
beskyttelse av dataressurser fra uautorisert tilgang og differensiering av rettighetene til registrerte brukere;
registrering av hendelser som skjer på en arbeidsstasjon eller nettverksserver, og overføring av informasjon til sikkerhetsserveren;
utførelse av sentraliserte og desentraliserte kontrollhandlinger til sikkerhetsadministratoren.
Secret Net-klienter er utstyrt med maskinvarestøtte (for å identifisere brukere ved hjelp av elektroniske identifikatorer og administrere nedlastinger fra eksterne medier).
Sikkerhetsserveren er installert på en dedikert datamaskin eller domenekontroller og gir følgende oppgaver:
vedlikeholde den sentrale databasen (CDB) til sikkerhetssystemet, som opererer under kontroll av Oracle 8.0 Personal Edition DBMS og inneholder informasjonen som er nødvendig for driften av sikkerhetssystemet;
innsamling av informasjon om pågående hendelser fra alle Secret Net-klienter til en enkelt registreringslogg og overføring av den behandlede informasjonen til kontrollundersystemet;
interaksjon med kontrolldelsystemet og overføring av administrators kontrollkommandoer til klientdelen av beskyttelsessystemet.
Secret Net-administrasjonsundersystemet er installert på arbeidsstasjonen til sikkerhetsadministratoren og gir ham følgende funksjoner:
bruker autentisering.
tilveiebringelse av avgrensning av tilgang til beskyttet informasjon og enheter.
pålitelig informasjonsmiljø.
kontroll av kanaler for spredning av konfidensiell informasjon.
kontroll av datamaskinenheter og fremmedgjorte lagringsmedier basert på sentraliserte retningslinjer som utelukker lekkasje av konfidensiell informasjon.
sentralisert styring av sikkerhetspolicyer, lar deg raskt svare på uautoriserte angrep.
driftsovervåking og sikkerhetsrevisjon.
skalerbart sikkerhetssystem, muligheten til å bruke Secret Net (nettverksalternativ) i en organisasjon med et stort antall filialer.
Secret Net 6-distribusjonsalternativer
Frakoblet modus - designet for å beskytte et lite antall (opptil 20-25) arbeidsstasjoner og servere. Dessuten administreres hver maskin lokalt.
Nettverksmodus (med sentralisert administrasjon) - beregnet for distribusjon i et domenenettverk med Active Directory. Dette alternativet har sentraliserte administrasjonsverktøy og lar deg bruke sikkerhetspolicyer i hele organisasjonen. Secret Net-nettverksvarianten kan med suksess distribueres i komplekse domenenettverk
Kontrollordningen implementert i Secret Net lar deg administrere informasjonssikkerhet i form av et reelt fagområde og fullt ut sikre en streng separasjon av maktene til nettverksadministratoren og sikkerhetsadministratoren.
3.5 Elektronisk lås "Sable"
Designet for å beskytte datamaskinressurser mot uautorisert tilgang.
Den elektroniske låsen (EZ) "Sobol" er sertifisert av FSTEC i Russland. Sertifikat nr. 1574 datert 14. mars 2008 bekrefter produktets samsvar med kravene i veiledende dokument fra Statens tekniske kommisjon i Russland "Beskyttelse mot uautorisert tilgang til informasjon. Del 1. Programvare for informasjonssikkerhet. Klassifisering etter nivået av kontroll av fraværet av uerklærte evner "og lar det brukes i utviklingen av beskyttelsessystemer for automatiserte systemer med en sikkerhetsklasse opp til 1B inklusive.
Sobol elektronisk lås kan brukes som en enhet som beskytter en autonom datamaskin, samt en arbeidsstasjon eller server som er en del av et lokalt datanettverk.
I dette tilfellet brukes følgende beskyttelsesmekanismer:
identifikasjon og autentisering av brukere; registrering av forsøk på å få tilgang til en PC;
forbud mot oppstart av OS fra flyttbare medier; overvåking av integriteten til programvaremiljøet.
kontroll over integriteten til programvaremiljøet
kontroll over integriteten til Windows-registret
vakthund
registrering av forsøk på tilgang til PC
konfigurasjonskontroll
Muligheter for brukeridentifikasjon og autentisering, samt registrering av forsøk på tilgang til PC, er ikke avhengig av type operativsystem som brukes.
Handlingen til den elektroniske Sable-låsen er å sjekke brukerens personlige identifikator og passord når han prøver å komme inn i systemet. I tilfelle et forsøk på å komme inn i systemet til en uregistrert bruker, registrerer den elektroniske låsen forsøket og maskinvareblokkering av opptil 4 enheter utføres (for eksempel: FDD, CD-ROM, ZIP, LPT, SCSI-porter). Den elektroniske låsen bruker identifikasjon og forbedret (to-faktor) autentisering av brukere ved hjelp av personlige identifikatorer. Følgende kan brukes som personlige identifikatorer for brukere:
eToken PRO (Java).
eToken PRO smartkort via Athena ASEDrive IIIe USB V2.
Operativsystemet lastes fra harddisken først etter at den registrerte identifikatoren er presentert. Tjenesteinformasjon om brukerregistrering (navn, nummer på den tildelte personlige identifikatoren osv.) lagres i det ikke-flyktige minnet til den elektroniske låsen. Den elektroniske låsen opprettholder en systemlogg, hvis registreringer er lagret i et spesielt ikke-flyktig minne. Systemloggen registrerer brukerpålogginger, påloggingsforsøk, tuklingsforsøk og andre hendelser relatert til systemsikkerhet. Den lagrer følgende informasjon: dato og klokkeslett for hendelsen, brukernavn og informasjon om typen hendelse (for eksempel at en bruker har logget på, tastet inn feil passord, presentert en uregistrert bruker-ID, overskridelse av antall pålogginger forsøk, andre hendelser).
Dermed gir den elektroniske låsen "Sobol" informasjon til administratoren om alle forsøk på å få tilgang til PC-en.
Integritetskontrollmekanismen som brukes i Sobol-komplekset lar deg kontrollere ufravikeligheten til filer og fysiske sektorer på en harddisk før operativsystemet lastes. For dette formålet blir noen kontrollverdier for de sjekkede objektene beregnet og sammenlignet med de tidligere beregnede referanseverdiene for hvert av disse objektene. Dannelse av en liste over objekter som skal kontrolleres med en indikasjon på banen til hver kontrollerte fil og koordinater for hver kontrollerte sektor utføres ved å bruke programmet for å administrere maler for integritetskontroll. Integritetskontroll opererer under operativsystemer som bruker følgende filsystemer: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 og EXT3. Administratoren har muligheten til å stille inn driftsmodusen til den elektroniske låsen, som vil blokkere brukere fra å komme inn i systemet hvis integriteten til de kontrollerte filene blir krenket. Undersystemet for oppstartsforbud mot disketter og CD sikrer at alle brukere unntatt administratoren er forbudt å starte operativsystemet fra disse flyttbare mediene. Administratoren kan tillate individuelle datamaskinbrukere å starte operativsystemet fra flyttbare medier.
For å konfigurere den elektroniske Sable-låsen har administratoren muligheten til å definere minimumslengden på brukerens passord, maksimalt antall mislykkede brukerpålogginger, legge til og fjerne brukere, blokkere brukerens arbeid på datamaskinen og lage sikkerhetskopier av personlige identifikatorer .
Sobol elektronisk lås kan brukes som en del av Secret Net informasjonssikkerhetssystemet for å generere krypteringsnøkler og digitale signaturer. I tillegg, når du bruker Sobol EZ som en del av Secret Net, tilbys en enhetlig sentralisert styring av dens evner. Ved hjelp av Secret Net management-undersystemet kan sikkerhetsadministratoren administrere statusen til ansattes personlige identifikatorer: tilordne elektroniske identifikatorer, midlertidig blokkere dem, gjøre dem ugyldige, noe som gjør det mulig å kontrollere ansattes tilgang til datamaskiner til organisasjonens automatiserte system.
Grunnsettet til den elektroniske "Sobol-PCI"-låsen inkluderer (fig. 4):
Sobol-PCI-kontroller;
Trykk på Minneleser;
to DS-1992 identifikatorer;
grensesnitt for blokkering av oppstart fra FDD;
grensesnitt for blokkering av oppstart fra CD-ROM;
programvare for generering av lister over kontrollerte programmer;
dokumentasjon.
6 System for beskyttelse av bedriftsinformasjon Secret Disk Server NG
Designet for å beskytte konfidensiell informasjon, bedriftsdatabaser (fig. 5).
Systemet er designet for å fungere i Windows NT 4.0 Server / Workstation / 2000 Professional SP2 / XP Professional / Server 2000 SP2 / Server 2003. Ved å bruke metoden for transparent kryptering av informasjon ved hjelp av sterke krypteringsalgoritmer kan du ikke slutte å jobbe under de første dataene kryptering.
Støtte for et bredt spekter av stasjoner lar deg beskytte individuelle serverharddisker, alle diskarrayer (SAN, programvare og maskinvare RAID-arrayer), samt flyttbare stasjoner.
Systemet beskytter ikke bare konfidensielle data på en pålitelig måte, men skjuler også deres tilstedeværelse.
Når du installerer Secret Disk Server NG, blir de valgte logiske stasjonene kryptert. Tilgangsrettigheter til dem for nettverksbrukere settes ved hjelp av Windows NT.
Kryptering utføres i programvare av kjernemodusdriveren.
I tillegg til den innebygde algoritmen for konvertering av data med en nøkkellengde på 128 biter, lar Secret Disk Server NG deg koble til eksterne kryptografiske beskyttelsesmoduler, for eksempel sertifiserte russiske kryptografiske beskyttelsesverktøy CryptoPro CSP versjon 2.0 / 3.0 og Signal-COM CSP som implementerer den kraftigste russiske krypteringsalgoritmen GOST 28147-89 med en nøkkellengde på 256 bit. Krypteringshastigheten er veldig høy, så få mennesker vil merke en liten nedgang i arbeidet.
Krypteringsnøkler legges inn i Secret Disk Server NG-driveren før du begynner å jobbe med beskyttede partisjoner (eller når serveren starter opp). Til dette brukes mikroprosessorkort (smartkort) beskyttet av en PIN-kode. Du kan ikke bruke kortet uten å kjenne koden. Tre forsøk på å taste inn feil kode vil blokkere kortet. Når serveren kjører, er det ikke nødvendig med et smartkort og kan skjules på et trygt sted.
Under systemdrift lagres krypteringsnøklene i serverens RAM og vises aldri på disken i byttefilen. Generering av PIN-kode og krypteringsnøkler gjøres av brukeren selv. Ved generering brukes en sekvens av tilfeldige tall, dannet av banen til musebevegelsen og tidskarakteristikkene ved å trykke på vilkårlige taster Disk Server NG har et åpent grensesnitt for å signalisere en "alarm" og lar deg koble til ulike sensorer og få tilgang til kontrollenheter (sensorer for åpning av dører, vinduer, bevegelse, volumendringer, elektroniske og kombinasjonslåser).
Når du kobler til beskyttede disker, er det mulig å automatisk starte de nødvendige programmene og tjenestene som er oppført i konfigurasjonsfilen. Etter å ha startet serveren på nytt uten å presentere et smartkort eller prøve å lese disker på en annen datamaskin, vil de beskyttede partisjonene være "synlige" som uformaterte områder som ikke kan leses. Når en fare oppstår, kan du øyeblikkelig "ødelegge" informasjonen, og gjøre de beskyttede delene "usynlige". Leveransen inkluderer en installasjons-CD, en universell enhet for arbeid med smartkort (eksternt), et sett med kabler, et spesielt hardlock-kort, dokumentasjon på russisk, 3 smartkort.
7 System for beskyttelse av konfidensiell informasjon Secret Disk
Disk er et system for å beskytte konfidensiell informasjon for et bredt spekter av databrukere: ledere, ledere, regnskapsførere, revisorer, advokater, etc.
Når du installerer Secret Disk-systemet, vises en ny virtuell logisk disk (en eller flere) på datamaskinen. Alt som skrives til den blir automatisk kryptert og dekryptert når den leses. Innholdet på denne logiske disken er lagret i en spesiell beholder - en kryptert fil. En hemmelig diskfil kan ligge på en harddisk på en datamaskin, på en server, på flyttbare medier som Zip, Jaz, CD-ROM eller magneto-optikk. Disk beskytter data selv om en slik disk eller selve datamaskinen fjernes . Å bruke en hemmelig stasjon er ensbetydende med å bygge inn krypteringsfunksjoner i alle applikasjoner du kjører.
Koble til en hemmelig disk og arbeid med krypterte data er bare mulig etter maskinvareautentisering av inndatabrukeren og riktig passord. En elektronisk identifikator brukes for autentisering - et smartkort, elektronisk nøkkel eller nøkkelbrikke. Etter å ha koblet til den hemmelige disken, blir den "synlig" for Windows-operativsystemet som en annen harddisk, og filene som er skrevet på den er tilgjengelige for alle programmer. Uten en elektronisk identifikator og uten å vite passordet, kan du ikke koble til en hemmelig disk - for utenforstående vil den forbli bare en kryptert fil med et vilkårlig navn (for eksempel game.exe eller girl.tif).
Som enhver fysisk disk kan en sikker disk deles på et lokalt nettverk. Etter at du har koblet fra disken, vil alle filer og programmer som er registrert på den bli utilgjengelige.
Liste over hovedegenskaper:
Beskyttelse av konfidensielle data ved hjelp av profesjonelle krypteringsalgoritmer (muligheten til å koble til eksterne kryptografiske biblioteker).
Generering av krypteringsnøkler av brukeren selv.
Maskinvarebrukerautentisering ved hjelp av elektroniske nøkkelbrikker, smartkort, PCMCIA-kort eller elektroniske nøkler.
Dobbel beskyttelse. Hver hemmelig disk er beskyttet av en personlig elektronisk bruker-ID og passord for å få tilgang til denne disken.
Arbeid med krypterte arkiver. Informasjon kan komprimeres og krypteres som for deg selv (ved hjelp av en elektronisk identifikator),
og for sikker utveksling med kolleger (med passord).
Låsing av datamaskinens hemmelige disk lar deg slå av skjermen og låse tastaturet når den elektroniske identifikatoren er slått av, når en spesifisert tastekombinasjon trykkes, eller når brukeren er inaktiv i lang tid. Når systemet er låst, deaktiveres ikke hemmelige stasjoner, kjører applikasjoner som bruker beskyttet data fortsetter å fungere normalt, og arbeidet til andre brukere som har blitt delt på en hemmelig stasjon på nettverket blir ikke forstyrret.
Arbeidsmåten er under tvang. I en kritisk situasjon kan du angi et spesielt nødpassord. I dette tilfellet vil systemet koble til disken en stund, ødelegge den private krypteringsnøkkelen i den elektroniske identifikatoren (som vil gjøre det umulig å få tilgang til disken i fremtiden), og deretter simulere en av de kjente Windows-feilene.
Mulighet for datagjenoppretting i tilfelle tap (eller bevisst skade) av en elektronisk identifikator eller tap av passord.
Enkelt og praktisk brukergrensesnitt.
Forskjeller i krypteringsalgoritmer (avhengig av behov kan en av de innebygde algoritmene brukes):
innebygd krypteringsalgoritme med en nøkkellengde på 128 biter;
40-biters RC4 kryptografisk algoritme innebygd i Windows 95, 98 (for ikke-amerikansk versjon);
kryptografisk algoritme GOST 28147-89 med en nøkkellengde på 256 biter (programvareemulator av Krypton-brettet eller Krypton-tavlen).
"Krypton"-styret er sertifisert for beskyttelse av statshemmeligheter, levert etter separat forespørsel fra ANKAD.
DeLuxe-versjon - med maskinvarebeskyttelse mot første oppstart av datamaskinen.
8 Maskinvare- og programvarekompleks av beskyttelse betyr "Akkord-AMDZ"
SZI NSD Akkord-AMDZ er en maskinvaremodul for pålitelig lasting (AMDZ) for IBM-kompatible PC-er - servere og arbeidsstasjoner i det lokale nettverket, som beskytter enheter og informasjonsressurser mot uautorisert tilgang.
Komplekset er aktuelt for å bygge mot uautorisert tilgang i samsvar med retningslinjene fra FSTEC (State Technical Commission) i Russland "Beskyttelse mot uautorisert tilgang til informasjon. Del 1. Programvare for informasjonssikkerhet. Klassifisering etter nivået av kontroll av fravær av uerklærte evner "- etter det tredje nivået av kontroll," Automatiserte systemer. Beskyttelse mot uautorisert tilgang til informasjon. Klassifisering av automatiserte systemer og krav til informasjonsbeskyttelse "etter sikkerhetsklasse 1D, og for bruk som et middel for identifikasjon / autentisering av brukere, kontroll av integriteten til programvare- og maskinvaremiljøet til en personlig datamaskin (PC) ved opprettelse av automatiserte systemer som oppfylle kravene i veiledningsdokumentet til FSTEC (State Technical Commission) of Russia" automatiserte systemer. Beskyttelse mot uautorisert tilgang til informasjon. Klassifisering av automatiserte systemer og krav til informasjonsbeskyttelse "opp til klasse 1B inklusive.
Komplekset er et sett med maskinvare- og programvareverktøy som sikrer implementeringen av de grunnleggende funksjonene for beskyttelse mot NSD på en personlig datamaskin (PC) basert på:
bruk av personlige brukeridentifikatorer;
passordmekanisme;
blokkering av lasting av operativsystemet fra flyttbare medier;
kontroll av integriteten til maskinvare og programvare (generelle filer, applikasjonsprogramvare og data) til en personlig datamaskin (PC);
sikre modusen for pålitelig lasting av operativsystemer installert på en personlig datamaskin (PC).
Programvaredelen av komplekset, inkludert identifiserings- og autentiseringsmidler, midler for kontroll av integriteten til maskinvare- og programvaremidler på en personlig datamaskin (PC), midler for registrering av brukerhandlinger, samt administrasjonsmidler (innstillinger for den innebygde programvare) og revisjon (arbeid med loggboken) er plassert i ikke-flyktig minne (ENP) kontrolleren i produksjonen av komplekset. Tilgang til administrasjons- og revisjonsverktøyene til komplekset gis kun til BI-administratoren.
Identifikasjon og autentisering av brukere, kontroll av integriteten til maskinvare og programvare til en personlig datamaskin (PC) utføres av kontrolleren av komplekset før du laster operativsystemet installert på den personlige datamaskinen (PC). Når du endrer systemprogramvaren, er det ikke nødvendig å bytte ut kontrolleren. Dette gir støtte for en spesiell modus for programmering av kontrolleren uten å redusere beskyttelsesnivået.
Komplekset gir implementering av de grunnleggende funksjonene for beskyttelse mot tukling både som en del av en lokal PC og på arbeidsstasjoner i et LAN som en del av et integrert system for beskyttelse mot tukling med et LAN, inkludert oppsett, overvåking av funksjon og kontroll av komplekset.
Hovedtrekk:
Beskyttelse av personlige datamaskiner (PC)-ressurser fra personer som ikke har lov til å jobbe på den, ved identifikasjon av PC-brukere med personlige identifikatorer DS 199x - inntil operativsystemet (OS) er lastet.
Autentisering av PC-brukere med et passord på opptil 12 tegn som legges inn fra tastaturet (lengden på passordet settes av BI-administrator ved registrering av bruker), med beskyttelse mot avsløring av passordet - inntil operativsystemet (OS) er lastet.
Blokkerer oppstart fra fremmedgjorte medier.
Kontroll av integriteten til maskinvare, programvare, betinget konstant informasjon til en personlig datamaskin (PC) før lasting av OS med implementering av en trinnvis kontrollalgoritme. Dette sikrer beskyttelse mot introduksjon av destruktiv programmatisk påvirkning (RPV).
Støtte for filsystemer FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS. Dette er spesielt OS av familiene MS DOS, Windows, QNX, OS / 2, UNIX, LINUX, BSD, vSphere, etc.
Registrering på en personlig datamaskin (PC) opptil 16 brukere.
Registrering av kontrollerte hendelser i systemloggen som ligger i det ikke-flyktige minnet til kontrolleren.
Mulighet for fysisk svitsjing av kontrollsignaler til perifere enheter, avhengig av nivået av brukerautoritet, som gjør det mulig å kontrollere input/output av informasjon til fremmedgjorte fysiske medier og databehandlingsenheter.
Administrasjon av den innebygde programvaren til komplekset (registrering av brukere og personlige identifikatorer, tilordning av filer for integritetskontroll, kontroll av maskinvaren til en personlig datamaskin (PC), visning av systemloggen).
Kontroll av integriteten til programmer og data, deres beskyttelse mot uautoriserte endringer.
Registrering, innsamling, lagring og utstedelse av data om hendelser som skjer i en personlig datamaskin (PC) i form av beskyttelsessystemet mot uautorisert tilgang til LAN.
Differensiering av brukers 'og PC-programmer' tilgang til maskinvareenheter i samsvar med deres autoritetsnivå.
Accord-AMDZ kan implementeres på ulike kontrollere. Det kan være: enten PCI-X - Accord-5MX- eller Accord-5.5-kontrollere (fig.6B) express - Accord-5.5.e eller Accord-GX-kontrollere (fig.6A)
Mini PCI-express - Accord-GXM (fig.6B) PCI-express halvkort - Accord-GXMH-kontroller
9 Maskinvare- og programvarekompleks IP Safe-PRO
Designet for å bygge sikre virtuelle private IP-nettverk basert på offentlige nettverk (inkludert Internett).
Den er basert på en IBM PC-kompatibel datamaskin med to Ethernet-grensesnitt (grunnkonfigurasjon) med FreeBSD-operativsystemet (fig. 7).
Tilleggsfunksjoner:
statisk ruting og brannmurfunksjoner (beskyttelse mot forfalskning, databehandling av adresser, porter, protokoller, etc.);
muligheten til å støtte grensesnittstandardene G.703, G.704, V.35, RS-232, etc.;
varmt standby-system;
arbeid i synkron og asynkron modus.
Spesifikasjoner:
Den brukte protokollen til IPsec-familien er ESP (Encapsulating Security Payload, RFC 2406) i tunnelmodus (med levering av følgende sikkerhetstjenester: konfidensialitet og dataintegritet, datakildeautentisering, skjule topologien til lokale bedriftsnettverk, beskyttelse mot trafikk analyse).
Nøkkelsystemet er symmetrisk (med mulighet for sentralisert og desentralisert administrasjon).
Kryptoalgoritmer - GOST 28147, RC5, 3DES, DES, SHA-1, MD5.
10 Maskinvare-programvare krypteringskompleks CONTINENT 3.6 (fig. 8)
Komplekset gir kryptografisk beskyttelse av informasjon (i samsvar med GOST 28147-89) overført over åpne kommunikasjonskanaler mellom VPN-komponenter, som kan være lokale datanettverk, deres segmenter og individuelle datamaskiner.
Det moderne nøkkelskjemaet, som realiserer krypteringen av hver pakke med en unik nøkkel, gir garantert beskyttelse mot muligheten for dekryptering av avlyttede data.
For å beskytte mot penetrering fra offentlige nettverk, tilbyr Continent 3.6-komplekset filtrering av mottatte og overførte pakker i henhold til ulike kriterier (avsender- og mottakeradresser, protokoller, portnumre, tilleggspakkefelt, etc.). Gir støtte for VoIP, videokonferanser, ADSL, oppringt og satellittkommunikasjonskanaler, NAT/PAT-teknologi for å skjule nettverksstrukturen.
Nøkkelfunksjoner og egenskaper til APCS "Continent" 3.6:
.Kryptografisk beskyttelse av overførte data i samsvar med GOST 28147-89
I APKSH "Continent" 3.6 brukes et moderne nøkkelskjema, som implementerer kryptering av hver pakke på en unik nøkkel. Dette gir en høy grad av databeskyttelse mot dekryptering ved avlytting.
Datakryptering utføres i samsvar med GOST 28147-89 i gammamodus med tilbakemelding. Databeskyttelse mot forvrengning utføres i samsvar med GOST 28147-89 i imitasjonsinnsettingsmodus. Kryptografiske nøkler administreres sentralt fra NCC.
.Brannmur - beskyttelse av interne nettverkssegmenter mot uautorisert tilgang
Crypto gateway "Continent" 3.6 gir filtrering av mottatte og overførte pakker i henhold til ulike kriterier (avsender- og mottakeradresser, protokoller, portnumre, tilleggspakkefelt, etc.). Dette lar deg beskytte interne nettverkssegmenter mot penetrering fra offentlige nettverk.
.Sikker tilgang for eksterne brukere til VPN-ressurser
Spesialprogramvare "Continent AP", som er en del av APKSH "Continent" 3.6, lar deg organisere sikker tilgang fra eksterne datamaskiner til bedriftens VPN-nettverk.
.Oppretting av informasjonsundersystemer med delt tilgang på fysisk nivå
I APKSH "Continent" 3.6 kan du koble til 1 eksternt og 3-9 interne grensesnitt på hver kryptogateway. Dette forbedrer brukerens evne til å konfigurere nettverket i samsvar med bedriftens sikkerhetspolicy. Spesielt tilstedeværelsen av flere interne grensesnitt lar deg dele undernettene til organisasjonens avdelinger på nivå med nettverkskort og etablere den nødvendige graden av interaksjon mellom dem.
.Støtte for felles kommunikasjonskanaler
Drift gjennom oppringte tilkoblinger, ADSL-utstyr koblet direkte til kryptogatewayen, samt via satellittkommunikasjonskanaler.
."Åpenhet" for alle applikasjoner og nettverkstjenester
Krypto-gatewayer "Continent" 3.6 er "transparente" for alle applikasjoner og nettverkstjenester som bruker TCP/IP-protokollen, inkludert multimedietjenester som IP-telefoni og videokonferanser.
.Jobber med høyprioritert trafikk
Trafikkprioriteringsmekanismen implementert i Continent 3.6-trafikkprioriteringsmekanismen lar deg beskytte taletrafikk (VoIP) og videokonferanser uten å miste kvaliteten på kommunikasjonen.
.Reserverer garantert båndbredde for visse tjenester
Reservering av garantert båndbredde for visse tjenester sikrer passasje av e-posttrafikk, dokumenthåndteringssystemer osv. selv med aktiv bruk av IP-telefoni på lavhastighets kommunikasjonskanaler.
VLAN-støtte
VLAN-støtte sikrer enkel integrering av APCS i nettverksinfrastruktur, delt inn i virtuelle segmenter.
.Skjul det interne nettverket. Støtte for NAT / PAT-teknologier
Støtte for NAT / PAT-teknologi lar deg skjule den interne strukturen til beskyttede nettverkssegmenter når du overfører åpen trafikk, samt organisere demilitariserte soner og segmentbeskyttede nettverk.
Å skjule den interne strukturen til beskyttede segmenter av bedriftsnettverket utføres:
ved metoden for innkapsling av overførte pakker (ved kryptering av trafikk);
bruker nettverksadresseoversettelse (NAT) teknologi når du arbeider med offentlige ressurser.
11. Evne til å integrere med inntrengningsdeteksjonssystemer
På hver kryptogateway er det mulig å spesielt velge ett av grensesnittene for å sjekke trafikk som går gjennom KSH for uautoriserte tilgangsforsøk (nettverksangrep). For å gjøre dette, må du definere et slikt grensesnitt som en "SPAN-port" og koble en datamaskin med et installert inntrengningsdeteksjonssystem (for eksempel RealSecure) til den. Etter det begynner alle pakker som kommer til inngangen til pakkefilteret til kryptoporten å bli videresendt til dette grensesnittet.
3.11 SHADOW K1 transportkoffert
"SHADOW K1" er beregnet for transport av bærbare datamaskiner eller separate stasjoner på harddisker og magnetiske disker (HDD) (streamerkassetter, ZIP-disker) med mulighet for nøddestruksjon av informasjon ved forsøk på å ta av setet (fig. 11).
Strukturelt er komplekset montert i en støv-, fukt-, eksplosjonssikker koffert, der den bærbare datamaskinen skal transporteres. Beskyttet informasjon plasseres på en ekstra harddisk, som er plassert i et etui separat fra den bærbare datamaskinen i et spesielt rom og koblet til den med en ekstern grensesnittkabel.
Nøddestruksjon av informasjon utføres:
automatisk ved forsøk på uautorisert åpning av saken;
automatisk ved uautoriserte forsøk på å åpne rommet der den beskyttede harddisken er plassert;
automatisk etter 24 timers batterilevetid;
eksternt etter kommando fra brukeren. Ødeleggelsesprosessen påvirker ikke ytelsen til den bærbare datamaskinen og avhenger ikke av om arbeidet pågikk;
med informasjon på dette tidspunktet eller ikke. Det er mulig å produsere et kompleks for transport av harddisker, disketter, lyd, video, streamerkassetter.
Komplekset kan være i to moduser: standby-modus (RO) og sikkerhetsmodus (P1).
I RO-modus foregår testing av alle hovedenheter, blokker og sensorer. Du får gratis tilgang til en bærbar datamaskin eller magnetiske medier.
I P1-modus blir informasjon automatisk ødelagt når en sabotasje eller bruker forsøker på et hvilket som helst tidspunkt via radiokanalen (rekkevidde opptil 100 meter). Frakobling - tilkopling utføres ved hjelp av et kontaktløst elektronisk Proximity-kort.
Complex SHADOW har en autonom strømkilde som sikrer uavbrutt drift i opptil 24 timer.
Tilleggsfunksjoner:
ødeleggelse av informasjon på kommando av brukeren fra hvilken som helst mobiltelefon via GSM-kanalen;
full beskyttelse av saken, unntatt feil åpning og boring;
full logging av arbeid i sanntid, fikser de siste 96 hendelsene i det ikke-flyktige minnet, med en detaljert beskrivelse.
12 Maskinvare- og programvaresystem for kryptografisk beskyttelse av meldinger SX-1
SX-1 maskinvare- og programvaresystemet er designet for kryptografisk beskyttelse av meldinger som overføres via kommunikasjonskanaler mellom PC-er eller meldinger som er lagret i PC-minne (fig. 9).
I SX-1-systemet, for første gang i innenlandsk og utenlandsk kryptografisk praksis, kaotisk strømchiffer.
SX-1-systemet gir:
kryptografisk transformasjon av overført (mottatt) eller generert tekst og (eller) grafiske meldinger i form av filer, og opptak av disse på harddisker eller disketter;
høy motstand av nøkkeldata mot deres kompromiss under alle handlinger fra inntrengere og ansatte som betjener maskinvaren og programvaren;
garantert ytelse av spesifiserte funksjoner i minst 2 år uten å endre systemnøkkelen.
SX-1-systemet inkluderer:
Et kort med en enkeltbrikke datamaskin (OEVM) installert i ISA-sporet på en IBM PC / AT PC (eller plassert i en separat beholder 140x110x35 mm i størrelse) og koblet til PCen ved hjelp av COM-kontakten;
Spesialprogramvare (SPO) installert på en PC med Windows OS.
Hovedkarakteristika for systemet:
Sannsynligheten for å gjette systemnøkkelen fra det kth forsøket er ikke mer enn k2-240 .
Sannsynligheten for å gjette øktnøkkelen fra det kth forsøket er ikke mer enn k10-10 .
Kryptografisk konverteringsfrekvens - ikke mindre enn 190 000 bit / s.
Bruk av kryptografisk sterke krypteringsalgoritmer med en nøkkellengde på 128 biter eller mer for å kryptere data;
Mulighet for å koble til "Krypton"-krypteringsmodulen, sertifisert av FAPSI, produsert av "Ankad", eller "Krypton"-kortet, som implementerer krypteringsalgoritmen GOST 28147-89 med en nøkkellengde på 256 biter;
Generering av unike krypteringsnøkler basert på en sekvens av tilfeldige tall.
For å installere systemet trenger du:
Installer SX-1-systemet fra den medfølgende disketten, følg nøye trinnene i instruksjonene som vises sekvensielt på PC-skjermen.
Koble strømkabelen fra den medfølgende adapteren og den medfølgende kabelen til kontaktene på beholderen med en enkeltbrikke datamaskin for å koble beholderen til PC-en.
Koble beholderen med en kabel til COM-kontakten.
Koble adapteren til et 220 V 50 Hz AC-nettverk.
13 Brannmur og kryptering av IP-strømmer av PAK "FPSU-IP"
Designet for brannmur og kryptografisk databeskyttelse ved opprettelse av virtuelle private nettverk (Virtual Private Network) i offentlige nettverk (fig. 10).
Den personlige brannmuren "FPSU-IP / Client" har et FSTEC-sertifikat nr. 1281 for 5. sikkerhetsklasse i henhold til RD for brannmurer, og under en kommunikasjonsøkt med den grunnleggende brannmuren "FPSU-IP" (FSTEC-sertifikat nr. 1091 datert 31.10.2011 .) - i henhold til 3. sikkerhetsklasse. En sertifisert FSB (sertifikat nr. СФ / 124-1906 datert 13. august 2012, i henhold til nivået КС1) brukes som en krypto-kjerne, et middel for kryptografisk informasjonsbeskyttelse "Tunnel 2.0".
Dette maskinvare- og programvaresystemet gir sikker informasjonsutveksling mellom en ekstern abonnentstasjon (arbeidsstasjon) og et nettverk beskyttet av "FPSU-IP"-komplekset gjennom åpne dataoverføringsnettverk. FPSU-IP / Client-komplekset er installert på en ekstern brukers arbeidsstasjon og utfører funksjonene til en brannmur og VPN-bygger for informasjonsinteraksjoner "arbeidsstasjoner - beskyttede servere". Dette gir autentisert og sikker tilgang til servere beskyttet av FPSU-IP-komplekset ved å opprette en VPN-forbindelse mellom arbeidsstasjonen og FPSU-IP-sentralkomplekset. Administrativ styring, kontroll og revisjon av alle VPN-tilkoblinger utføres sentralt ved hjelp av "Remote Control" AWS, mens opptil 4 AWP-er kan brukes samtidig, utstyrt med passende krefter, som forhåndsbestemmer høy stabilitet og pålitelighet av administrasjonen med mulighet av kryssrevisjon av ledelsen.
ME "FPSU-IP / Client" består av brukerens programvare, samt en aktiv USB-enhet "VPN-key" (fig. 11), som lagrer en unik klientidentifikator, nøkkel og tjenesteinformasjon og er i hovedsak, en virtuell mikro- En datamaskin med en passende arkitektur.
Ved å komprimere informasjon gir komplekset en merkbar økning i dataoverføringshastigheten, har muligheten til samtidig å støtte opptil 1024 kryptografisk beskyttede tilkoblinger med krypteringshastigheten til den totale IP-strømmen "på passet" opp til 90 Mbit/s. Komplekset bruker kun sine egne implementeringer av alle TCP / IP-protokollstabler, algoritmer for automatisert kontroll av komplekser og midler for kryptobeskyttelse innebygd i dem.
FPSU-IP / Client opererer under operativsystemer i Windows XP / Vista / 7 / Server 2003 / Server 2008, Linux, MacOS-familien. For å implementere sikker interaksjon på en arbeidsstasjon (PC), er det nødvendig å forhåndsinstallere FPSU-IP / Client-brukerprogramvaren, sette inn VPN-nøkkelen i USB-porten på PC-en og følge popup-invitasjonen (etter tilkobling VPN-nøkkelen) for å angi riktig PIN-kode.
Deretter oppretter FPSU-IP/klient- og FPSU-IP-kompleksene (som inneholder det tilsvarende tjenesteundersystemet for FPSU-IP/klientkompleksene) en sikker forbindelse og utfører brukerautentisering og -autorisasjon. Autentisering skjer når du oppretter en VPN-tunnel mellom FPSU-IP/klient og FPSU-IP-komplekset. Etter autentisering av "FPSU-IP"-komplekset, er klienten autorisert. I tillegg blir klientens virkelige IP-adresse oversatt til IP-adressen til det beskyttede nettverket.
På det andre trinnet filtrerer og overfører FPSU-IP/klient- og FPSU-IP-kompleksene krypterte data over VPN-kanalen fra klienten til FPSU-IP-komplekset. I tillegg kan du utføre pass-through-komprimering av de overførte dataene, noe som reduserer mengden overført informasjon betydelig og øker interaksjonshastigheten.
Tilkoblingen kobles fra enten på brukerens forespørsel, eller når "VPN-nøkkelen" fjernes fra USB-porten.
En funksjon ved FPSU-IP / Client-teknologien er brukerens evne til å jobbe fra en vilkårlig plassering av PC-en i nettverket, dvs. ingen binding til en spesifikk IP-adresse er nødvendig, og samtidig tilbys streng toveis autentisering av alle interaksjoner mellom RS og FPSU-IP. Brukeridentifikasjon utføres av en firesifret digital PIN-kode til brukeren, antall forsøk på å angi som er begrenset (med en videre overgang til behovet for å bruke en 10-sifret PUK-kode). Brukerautorisasjon og autentisering gis ved hjelp av FPSU-IP-komplekset.
Systemet for ekstern administrasjon og overvåking av FPSU-IP og FPSU-IP / klientkompleksene gir fullstendig kontroll og overvåking av det beskyttede nettverket. Mulighetene til revisjonssystemet tillater å utføre en separat beregning av volumene av overførte data mellom spesifikke PC-er og FPSU-IP-komplekser, noe som gjør det mulig å organisere presis kontroll over abonnentenes arbeid.
FPSU-IP / Client-komplekset er helt gjennomsiktig for alle standard Internett-protokoller og kan brukes sammen med hvilken som helst programvare som gir tilgang til IS-ressurser.
For å sikre større sikkerhet er det mulig å administrativt (eksternt eller lokalt) begrense tilgangen for FPSU-IP / Client-brukere til å åpne nettverkssegmenter når de arbeider med beskyttede ressurser, opp til et fullstendig forbud.
La oss liste opp hovedkarakteristikkene:
Ytelse - hastigheten på overføring av IP-strømmer fra 65
Mbps og høyere med alle beskyttelsesmoduser aktivert (filtrering + komprimering + kryptering).
Krypteringsalgoritme - GOST 28147-89
Nøkkelsystem / sentralisert nøkkelfordeling - symmetrisk / sentralisert.
OS / protokollstabel - 32 bit DOS-lignende / innfødt.
De behandlede EMVOS-nivåene er nettverk + transport, økt og anvendt (valgfritt).
Type og antall grensesnitt - 2; 10 / 100Ethernet, FDDI.
VPN-protokoll / redundans / datakomprimering - innfødt / ikke mer enn 22 byte per pakke / på grunn av datakomprimering som går gjennom, oppnås effekten av å akselerere informasjonsinteraksjoner.
Støtte for QoS-tjenester - organisering av inntil 8 uavhengige VPN-tunneler innenfor rammen av parvise forbindelser med prioritering av informasjonsstrømmer.
Ledelse og overvåking av komplekser - lokale og eksterne, mekanismer for "backback"-feil. Opptil 1024 komplekser for én arbeidsstasjon. Gir en visuell (grafisk) visning av driftstilstanden til beskyttede nettverk, signalering av unormale hendelser, en total revisjon av informasjon og ledelsesinteraksjoner.
Complex Remote Control Protocol er en proprietær tunneleringsprotokoll med sterk toveisautentisering i henhold til X.509.
Egen sikkerhet - full revisjon av hendelser og personellhandlinger, tilgangskontroll ved hjelp av iButton og USB-nøkkel. Bruk av spesielle rutingprosedyrer og støtte for VPN-tunneler med bruk av adaptiv dataflytkontroll for å øke stabiliteten (overlevelsesevnen) til systemene.
Effektiv motstand mot aktive og passive informasjonspåvirkninger av etterretningskarakter - skjule den virkelige topologien til VPN, NAT, skjule fakta om bruk av komplekser, proxying av SMNP / SMNP-Trap, Telnet, TFTP, HTTP-administrasjon av grenserutere, korrekt emulering av fravær av brukte, men skjulte adresser og tjenester.
Muligheten for å kaste kompleksene - gir tildeling av individuelle nettverkssegmenter i isolerte områder med økt sikkerhet.
Ekstern klient (programvare for motarbeid med "FPSU-IP" + USB-nøkkel) - for Windows 98, NT, 2000.
informasjonskryptering teknisk programvare
3.14 kryptografisk informasjonsbeskyttelsesverktøy CryptoPro CSP
CryptoPro CSP er designet for:
autorisasjon og sikring av den juridiske betydningen av elektroniske dokumenter når de utveksles mellom brukere, gjennom bruk av prosedyrer for å generere og verifisere en elektronisk digital signatur (EDS) i samsvar med nasjonale standarder GOST R 34.10-94, GOST R 34.11-94, GOST R 34.10-2001;
sikre konfidensialitet og kontroll over integriteten til informasjon gjennom kryptering og imitasjonsbeskyttelse, i samsvar med GOST 28147-89; sikre autentisitet, konfidensialitet og imitasjonsbeskyttelse av TLS-tilkoblinger;
kontroll av integriteten til systemet og applikasjonsprogramvaren for å beskytte det mot uautoriserte endringer eller brudd på riktig funksjon;
styring av nøkkelelementer i systemet i samsvar med forskriftene for verneutstyr.
Egenskaper:
Native Winlogon-støtte
CryptoPro CSP 3.6 inkluderer en tilbakekallingsleverandør som fungerer gjennom OCSP-svar
Implementert støtte for x64-plattformen Implementert EAP / TLS-protokollen Det eksterne grensesnittet til det kryptografiske informasjonsbeskyttelsesverktøyet er utvidet for å sikre arbeid med en funksjonell nøkkelbærer (FKN), nøkkelavtale for bruk i implementeringer av IPSec-protokollen, arbeid med andre applikasjoner
Muligheten for å bruke GOST R 34.10-94-standarden er utelukket
Implementerte algoritmer:
Algoritmen for å generere verdien av hash-funksjonen er implementert i samsvar med kravene i GOST R 34.11 94 "Informasjonsteknologi. Kryptografisk beskyttelse av informasjon. Hash-funksjon".
EDS-genererings- og verifiseringsalgoritmer implementeres i samsvar med kravene:
GOST R 34.10 94 "Informasjonsteknologi. Kryptografisk informasjonsbeskyttelse. Elektronisk digital signatursystem basert på en asymmetrisk kryptografisk algoritme";
GOST R 34.10 94 og GOST R 34.10-2001 "Informasjonsteknologi. Kryptografisk beskyttelse av informasjon. Prosesser for å generere og verifisere en elektronisk digital signatur".
Datakrypterings- / dekrypteringsalgoritmen og beregningen av det imiterende innlegget er implementert i samsvar med kravene i GOST 28147 89 "Informasjonsbehandlingssystemer. Kryptografisk beskyttelse". Når du genererer private og offentlige nøkler, er det mulig å generere med forskjellige parametere i samsvar med GOST R 34.10-94 og GOST R 34.10-2001. Når du genererer verdien av hash-funksjonen og kryptering, er det mulig å bruke forskjellige erstatningsnoder i samsvar med GOST R 34.11-94 og GOST 28147-89.
Konklusjon
Vi undersøkte og analyserte potensielle trusler, mulige kanaler for uautorisert tilgang, metoder og midler for å beskytte informasjon og deres maskinvare- og programvareløsninger ved å bruke eksemplet med automatiserte databehandlingssystemer. Naturligvis er de spesifiserte beskyttelsesmidlene og det agroindustrielle komplekset ikke alltid pålitelige, siden i dag utvikler ikke bare teknologien (i vårt tilfelle datateknologien) seg raskt, ikke bare selve informasjonen blir stadig forbedret, men også metodene som gjør at denne informasjonen kan innhentes. Vår tidsalder kalles ofte informasjonsalderen og den bringer med seg enorme muligheter knyttet til økonomisk vekst og teknologiske innovasjoner. For øyeblikket pålegger besittelse av elektroniske data, som er i ferd med å bli den største verdien av informasjonsalderen, eierne rettigheter og plikter til å kontrollere bruken av dem. Filer og meldinger lagret på disker og sendt gjennom kommunikasjonskanaler er noen ganger av større verdi enn datamaskiner og disker i seg selv. Derfor kan utsiktene til informasjonsalderen bare realiseres hvis enkeltpersoner, foretak og andre divisjoner, som har informasjon som blir stadig mer konfidensiell eller av spesiell betydning, er i stand til å beskytte eiendommen sin mot alle slags trusler, velger dette beskyttelsesnivået, som vil oppfylle deres sikkerhetskrav basert på en analyse av trusselen og verdien av den lagrede eiendommen.
Bibliografi
1.Zaitsev A.P., Golubyatnikov I.V., Meshcheryakov R.V., Shelupanov A.A. Programvare og maskinvare for informasjonssikkerhet: en veiledning. Utgave 2 rev. og legg til. - M .: Mashinostroenie-1, 2006 .-- 260 s.
2.Vainshtein Yu.V., Demin S.L., Kirko I.N. Lærebok om fagområdene "Grunnleggende for informasjonssikkerhet", "Informasjonssikkerhet og informasjonsbeskyttelse". - Krasnoyarsk, 2007 .-- 303 s.
Varlataya S.K., Shakhanova M.V. Maskinvare- og programvareverktøy og metoder for informasjonsbeskyttelse: Lærebok. - Vladivostok: Forlag ved Far Eastern State Technical University, 2007 .-- 318 s.
Http://www.accord.ru/amdz.html
Http://signal-com.ru/ru/prod/tele/ipsafe/
Http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip
Http://www.cryptopro.ru/products/csp/overview
Http://www.securitycode.ru/products/pak_sobol/abilities/
Http://www.securitycode.ru/products/secret_net/
Http://www.aladdin-rd.ru/catalog/secret_disk/server/
11. Vedlegg 1 til forskriften om sertifiseringssystem for informasjonssikkerhetsutstyr i samsvar med sikkerhetskrav for informasjon som utgjør en statshemmelighet (sertifiseringssystem SZI-GT), godkjent etter ordre fra FSB i Den russiske føderasjonen datert 13. november 1999 nr. .564 "Ved godkjenning av bestemmelser om sertifiseringssystemet for sikkerhetsutstyr informasjon om sikkerhetskrav for informasjon som utgjør en statshemmelighet og dens samsvarsmerker"
Læring
Trenger du hjelp til å utforske et emne?
Ekspertene våre vil gi råd eller gi veiledningstjenester om emner av interesse for deg.
Send en forespørsel med angivelse av tema akkurat nå for å finne ut om muligheten for å få en konsultasjon.
Uautorisert tilgang - lese, oppdatere eller ødelegge informasjon i fravær av passende myndighet til å gjøre det.
Uautorisert tilgang utføres som regel ved å bruke en annens navn, endre de fysiske adressene til enheter, bruke informasjon som er igjen etter å ha løst problemer, endre programvare og informasjonsstøtte, stjele et lagringsmedium, installere opptaksutstyr.
For å lykkes med å beskytte informasjonen deres, må brukeren ha en helt klar ide om det mulige måter for uautorisert tilgang... La oss liste de viktigste typiske måtene for uautorisert innhenting av informasjon:
· Tyveri av informasjonsbærere og industriavfall;
· Kopiering av informasjonsbærere med overvinnende beskyttelsestiltak;
· Forkledning som en registrert bruker;
· Hoax (forkledning for systemforespørsler);
· Bruk av mangler ved operativsystemer og programmeringsspråk;
· Bruk av programvarebokmerker og programvareblokker av typen "trojansk hest";
· Avlytting av elektroniske utslipp;
· Avlytting av akustiske utslipp;
· Fjernfotografering;
· Bruk av avlyttingsutstyr;
· Ondsinnet deaktivering av beskyttelsesmekanismer, etc.
For å beskytte informasjon mot uautorisert tilgang, brukes følgende:
1) organisatoriske tiltak;
2) tekniske midler;
3) programvare;
4) kryptering.
Organisatoriske aktiviteter inkludere:
· Adgangskontroll;
· Lagring av media og enheter i en safe (disketter, skjerm, tastatur, etc.);
· Begrensning av adgang for personer til datarom mv.
Tekniske midler inkludere:
· Filtre, skjermer for utstyr;
· Tast for å låse tastaturet;
Autentiseringsenheter - for lesing av fingeravtrykk, håndform, iris, utskriftshastighet og -teknikker, etc .;
Elektroniske nøkler på mikrokretser, etc.
Programvare inkludere:
· Passordtilgang — angi brukerrettigheter;
· Lås skjermen og tastaturet ved hjelp av en hurtigtast i Diskreet-verktøyet fra Norton Utilite-pakken;
· Bruk av BIOS-passordbeskyttelsesverktøy - på selve BIOS og på PC-en som helhet, etc.
Kryptering– dette er transformasjonen (kodingen) av åpen informasjon til kryptert informasjon som ikke er tilgjengelig for utenforstående. Kryptering brukes først og fremst for overføring av gradert informasjon over usikre kommunikasjonskanaler. All informasjon kan krypteres - tekster, bilder, lyd, databaser osv. Menneskeheten har brukt kryptering siden det øyeblikket da hemmelig informasjon dukket opp som måtte skjules for fiender. Den første chifrerte meldingen kjent for vitenskapen er den egyptiske teksten, der andre tegn ble brukt i stedet for hieroglyfene som da ble akseptert. Vitenskap studerer metoder for kryptering og dekryptering av en melding kryptologi , hvis historie er omtrent fire tusen år gammel. Den består av to grener: kryptografi og kryptoanalyse.
Kryptografi er vitenskapen om informasjonskrypteringsmetoder. Krypteringsanalyse er vitenskapen om metoder og teknikker for å bryte chiffer.
Det antas vanligvis at selve krypteringsalgoritmen er kjent for alle, men nøkkelen er ukjent, uten hvilken meldingen ikke kan dekrypteres. Dette er forskjellen mellom kryptering og enkel kryptering, der bare krypteringsalgoritmen er tilstrekkelig for å gjenopprette en melding.
Nøkkel er en parameter for en krypteringsalgoritme (siffer) som lar deg velge én spesifikk transformasjon fra alle alternativene som tilbys av algoritmen. Å kjenne nøkkelen lar deg fritt kryptere og dekryptere meldinger.
Alle chiffer (krypteringssystemer) er delt inn i to grupper - symmetriske og asymmetriske (med en offentlig nøkkel). Symmetrisk chiffer betyr at samme nøkkel brukes til både kryptering og dekryptering av meldinger. På systemer med offentlig nøkkel to nøkler brukes - offentlige og private, som er relatert til hverandre ved hjelp av noen matematiske avhengigheter. Informasjon krypteres ved hjelp av en offentlig nøkkel som er tilgjengelig for alle, og dekrypteres med en privat nøkkel som kun er kjent for mottakeren av meldingen.
Kryptografisk styrke til chifferen er chifferens motstand mot dekryptering uten å kjenne nøkkelen. En vedvarende algoritme anses å være en algoritme som, for vellykket avsløring, krever uoppnåelige dataressurser fra motstanderen, et uoppnåelig volum av avlyttede meldinger, eller et slikt tidspunkt at den beskyttede informasjonen etter utløpet ikke lenger vil være relevant.
En av de mest kjente og eldste chiffer - Cæsar-chiffer... I dette chifferen erstattes hver bokstav med en annen i alfabetet for et gitt antall posisjoner k til høyre for den. Alfabetet er lukket i en ring, slik at de siste tegnene erstattes av de første. Cæsars chiffer viser til enkle erstatningssiffer siden hvert tegn i den opprinnelige meldingen erstattes med et annet tegn fra samme alfabet. Slike chiffer er lett å dechiffrere ved hjelp av frekvensanalyse, fordi hyppigheten av forekomst av bokstaver på hvert språk er omtrent konstant for enhver tilstrekkelig stor tekst.
Mye vanskeligere å bryte Vigenère-chiffer, som ble den naturlige utviklingen av Cæsar-chifferet. For å bruke Vigenère-chifferet brukes et nøkkelord som spesifiserer en variabel skiftverdi. Vigenere-chifferet har en betydelig høyere kryptografisk styrke enn Cæsar-chifferet. Det betyr at det er vanskeligere å avsløre – å finne det rette søkeordet. I teorien, hvis nøkkelen er lik lengden på meldingen, og hver nøkkel bare brukes én gang, kan ikke Vigenere-chifferet brytes.
