Begrepet informasjonssikkerhet Informasjonssikkerhet er forstått som sikkerheten til informasjon og støttende infrastruktur fra utilsiktet eller tilsiktet påvirkning av naturlig eller kunstig art som kan forårsake uakseptabel skade på emnene for informasjonsrelasjoner, inkludert eiere og brukere av informasjon og støttende infrastruktur. . Informasjonssikkerhet er et sett med tiltak rettet mot å sikre informasjonssikkerhet.
Informasjonssikkerhetsspørsmål Informasjonssikkerhet er en av de viktigste aspektene ved integrert sikkerhet. Følgende fakta er illustrert: I Den russiske føderasjonens doktrine om informasjonssikkerhet, beskyttelse mot uautorisert tilgang til informasjonsressurser, sikring av sikkerheten til informasjons- og telekommunikasjonssystemer identifiseres som viktige komponenter i nasjonale interesser; I løpet av årene. Det ble gjort nesten 500 forsøk på å trenge inn i datanettverket til Den russiske føderasjonens sentralbank. I 1995 ble 250 milliarder rubler stjålet. Ifølge FBI utgjorde skadene fra datakriminalitet i USA i 1997 136 millioner dollar.
Informasjonssikkerhetsproblemer I følge rapporten "Computer Crime and Security - 1999: Problems and Trends" har 32 % av respondentene søkt politimyndigheter om datakriminalitet, 30 % av respondentene - rapporterte at deres IP ble hacket av hackere; 57 % - har blitt angrepet over Internett; 55 % - bemerket tilfeller av brudd på informasjonssikkerheten fra egne ansatte; 33 % - kunne ikke svare på spørsmålet "Har webserverne og e-handelssystemene dine blitt hacket?"
InEn global informasjonssikkerhetsundersøkelse fra 2004 utført av konsulentfirmaet Ernst & Young identifiserte følgende nøkkelaspekter: Bare 20 % av de spurte er overbevist om at deres organisasjoner tar opp informasjonssikkerhetsspørsmål på toppledernivå; I følge respondentene er "manglende bevissthet om informasjonssikkerhetsspørsmål" hovedhindringen for å skape et effektivt informasjonssikkerhetssystem. Bare 28 % bemerket som prioriterte oppgaver «å øke opplæringsnivået til ansatte innen informasjonssikkerhet»; "Ulovlige handlinger fra ansatte når de jobber med IS" ble rangert som nummer to når det gjelder utbredelsen av informasjonssikkerhetstrusler, etter virus, trojanere og Internett-ormer. Mindre enn 50 % av respondentene gjennomfører opplæring for ansatte innen informasjonssikkerhet; Bare 24 % av de spurte mener at deres fortjener den høyeste rangeringen for å møte forretningsbehovene til deres organisasjoner og deres organisasjoner; Bare 11 % av de spurte mener at sikkerhetsforskriftene vedtatt av statlige organer har forbedret tilstanden til informasjonssikkerheten deres betydelig.
Informasjonssikkerhetstrusler Informasjonssikkerhetstrussel (IS) er en potensielt mulig hendelse, handling, prosess eller fenomen som kan føre til skade på noens interesser. Et forsøk på å implementere en trussel kalles et angrep. Klassifiseringen av IS-trusler kan utføres i henhold til flere kriterier: etter IS-aspektet (tilgjengelighet, integritet, konfidensialitet); av IS-komponenter, som er målrettet av trusler (data, programvare, maskinvare, støttende infrastruktur); ved implementeringsmetoden (tilfeldige eller bevisste handlinger av naturlig eller menneskeskapt natur); ved plasseringen av kilden til trusler (innenfor eller utenfor den betraktede IS).
Informasjonsegenskaper Uavhengig av de spesifikke typene trusler, må informasjonssystemet gi de grunnleggende egenskapene til informasjon og systemer for sin behandling: tilgjengelighet - muligheten til å skaffe informasjon eller informasjonstjenester innen rimelig tid; integritet - eiendommen av relevans og konsistens av informasjon, dens beskyttelse mot ødeleggelse og uautoriserte endringer; konfidensialitet - beskyttelse mot uautorisert tilgang til informasjon.
Eksempler på implementering av trusselen om brudd på konfidensialitet Deler av informasjonen som lagres og behandles i IS bør skjules for utenforstående. Overføringen av denne informasjonen kan skade både organisasjonen og selve informasjonssystemet. Konfidensiell informasjon kan deles inn i emne- og tjenesteinformasjon. Proprietær informasjon (for eksempel brukerpassord) tilhører ikke et spesifikt fagområde, men avsløringen av den kan føre til uautorisert tilgang til all informasjon. Emneinformasjon inneholder informasjon hvis avsløring kan føre til skade (økonomisk, moralsk) på organisasjonen eller personen. Ulike tekniske midler (avlytting av samtaler, nettverk), andre metoder (uautorisert overføring av tilgangspassord, etc.) kan tjene som angrepsmiddel. Et viktig aspekt er kontinuiteten til databeskyttelse gjennom hele livssyklusen til lagring og behandling. Et eksempel på et brudd er tilgjengelig lagring av sikkerhetskopier av data.
Eksempler på implementering av trusselen om brudd på dataintegritet En av de mest implementerte informasjonssikkerhetstruslene er tyveri og forfalskning. I informasjonssystemer kan uautoriserte endringer i informasjon føre til tap. Integriteten til informasjon kan deles inn i statisk og dynamisk. Eksempler på brudd på statisk integritet er: legge inn ugyldige data; uautorisert endring av data; modifikasjon av en programmodul av et virus; Eksempler på brudd på dynamisk integritet: brudd på atomiteten til transaksjoner; duplisering av data; introdusere ekstra pakker i nettverkstrafikk.
Skadelig programvare En måte å utføre et angrep på er å injisere skadelig programvare i systemene. Denne typen programvare brukes av nettkriminelle til: å introdusere annen skadelig programvare; få kontroll over det angrepne systemet; aggressivt forbruk av ressurser; endre eller ødelegge programmer og/eller data. I henhold til distribusjonsmekanismen er det: virus - kode som har evnen til å spre seg ved å være innebygd i andre programmer; ormer er en kode som uavhengig kan forårsake distribusjon av kopiene på tvers av IP-en og deres utførelse.
Skadelig programvare GOST R “Informasjonssikkerhet. Objekt for informatisering. Faktorer som påvirker informasjon. Generelle bestemmelser "følgende konsept for et virus er introdusert: Et programvarevirus er en kjørbar eller tolket programkode som har egenskapen til uautorisert distribusjon og selvreproduksjon i automatiserte systemer eller telekommunikasjonsnettverk for å endre eller ødelegge programvare og/eller data lagret i automatiserte systemer.
Eksempler på implementering av trusselen om tilgangsnektelse Tjenestenekt (denial of access to IS) er en av de mest implementerte IS-truslene. Når det gjelder IS-komponenter, kan denne klassen av trusler deles inn i følgende typer: brukernektelse (uvilje, manglende evne til å jobbe med IS); intern feil i informasjonssystemet (feil under systemrekonfigurasjon, programvare- og maskinvarefeil, dataødeleggelse); svikt i støtteinfrastrukturen (avbrudd i kommunikasjonssystemer, strømforsyning, ødeleggelse og skade på lokaler).
Konseptet med et angrep på et informasjonssystem Et angrep er enhver handling eller sekvens av handlinger som utnytter sårbarheter i et informasjonssystem og fører til brudd på sikkerhetspolitikken. En sikkerhetsmekanisme er programvare og/eller maskinvare som oppdager og/eller forhindrer et angrep. Sikkerhetstjeneste er en tjeneste som sikrer sikkerheten til systemer og/eller overførte data spesifisert av policyen, eller bestemmer implementeringen av et angrep. Tjenesten bruker en eller flere sikkerhetsmekanismer.
Klassifisering av angrep Klassifisering av angrep på et informasjonssystem kan utføres i henhold til flere kriterier: Etter opprinnelsessted: Lokale angrep (kilden til denne typen angrep er brukere og/eller programmer i det lokale systemet); Eksterne angrep (kilden til angrepet er eksterne brukere, tjenester eller applikasjoner); Ved innvirkning på informasjonssystemet Aktive angrep (resultatet av virkningen av disse er forstyrrelse av informasjonssystemet); Passive angrep (rettet mot å hente informasjon fra systemet uten å forstyrre funksjonen til informasjonssystemet);
Nettverksangrep I. Passivt angrep Et passivt angrep er et angrep der motstanderen ikke er i stand til å modifisere de overførte meldingene og sette inn meldingene sine i informasjonskanalen mellom avsender og mottaker. Hensikten med et passivt angrep kan kun være avlytting av overførte meldinger og trafikkanalyse.
Nettverksangrep Et aktivt angrep er et angrep der motstanderen har muligheten til å endre overførte meldinger og sette inn sine egne meldinger. Det skilles mellom følgende typer aktive angrep: Denial of Service - DoS (Denial of Service)-angrep Denial of Service forstyrrer den normale funksjonen til nettverkstjenester. Motstanderen kan avskjære alle meldinger rettet til en spesifikk adressat. Et annet eksempel på et slikt angrep er opprettelsen av betydelig trafikk, som et resultat av at nettverkstjenesten ikke vil være i stand til å behandle forespørslene fra legitime klienter. Et klassisk eksempel på et slikt angrep i TCP/IP-nettverk er SYN-angrepet, der angriperen sender pakker som starter etableringen av en TCP-forbindelse, men ikke sender pakker som fullfører etableringen av denne forbindelsen. Som et resultat kan det oppstå minneoverflyt på serveren, og serveren vil ikke kunne opprette en forbindelse med legitime brukere.
Nettverksangrep Modifikasjon av datastrømmen - "mann i midten"-angrep Modifikasjon av datastrømmen betyr enten å endre innholdet i en melding som videresendes, eller å endre rekkefølgen på meldingene.
Nettverksangrep Gjenbruk Gjenbruk refererer til å passivt fange data og deretter videresende dem for å få uautorisert tilgang – dette er et såkalt replay-angrep. Faktisk er replay-angrep et av alternativene for forfalskning, men på grunn av at det er et av de vanligste angrepsalternativene for å få uautorisert tilgang, blir det ofte sett på som en egen type angrep.
Tilnærminger for å sikre informasjonssikkerhet For å beskytte AIS kan følgende bestemmelser formuleres: Informasjonssikkerhet er basert på bestemmelser og krav i eksisterende lover, standarder og regulatoriske og metodiske dokumenter; Informasjonssikkerheten til AIS er sikret av et kompleks av programvare- og maskinvareverktøy og organisatoriske tiltak som støtter dem; Informasjonssikkerheten til AIS bør sikres i alle stadier av teknologisk databehandling og i alle driftsformer, inkludert under reparasjon og rutinemessig vedlikehold;
Tilnærminger for å sikre informasjonssikkerhet For å beskytte AIS-en kan følgende bestemmelser formuleres: Programvare- og maskinvarebeskyttelsesmidler bør ikke vesentlig forringe de grunnleggende funksjonelle egenskapene til AIS; En integrert del av informasjonssikkerhetsarbeidet er vurderingen av effektiviteten til beskyttelsesmidler, utført i henhold til en metodikk som tar hensyn til hele settet med tekniske egenskaper til objektet som evalueres, inkludert tekniske løsninger og praktisk implementering; AIS-beskyttelse bør omfatte overvåking av effektiviteten til verneutstyr. Denne kontrollen kan være periodisk eller initiert etter behov av AIS-brukeren.
Konsistens i informasjonsbeskyttelse betyr Konsistens i utvikling og implementering av innebærer identifisering av mulige trusler mot informasjonssikkerheten og valg av metoder og midler rettet mot dette komplekset av trusler. Løsningene bør være systemiske, det vil si inkludere et sett med tiltak for å motvirke hele spekteret av trusler.
Kontinuitet i beskyttelsen Kontinuitet i beskyttelsen innebærer at komplekset av tiltak for å sikre informasjonssikkerhet må være kontinuerlig i tid og rom. Beskyttelse av informasjonsobjekter skal sikres ved utførelse av rutinemessig vedlikehold og reparasjonsarbeid, samtidig som informasjonssystemer og tjenester settes opp og konfigureres.
Rimelig tilstrekkelighet Å bygge og vedlikeholde informasjonssikkerhetssystemer krever visse, noen ganger betydelige, midler. Samtidig er det umulig å lage et altomfattende beskyttelsessystem. Ved valg av beskyttelsessystem er det nødvendig å finne et kompromiss mellom kostnadene ved å beskytte informasjonsobjekter og mulige tap ved implementering av informasjonstrusler.
Fleksibel administrasjon og applikasjon Informasjonssikkerhetstrusler er mangefasetterte og ikke forhåndsdefinerte. For vellykket motvirkning er det nødvendig å kunne endre de anvendte midlene, umiddelbart aktivere eller ekskludere de brukte databeskyttelsesmidlene, legge til nye beskyttelsesmekanismer.
Åpenhet for algoritmer og beskyttelsesmekanismer Informasjonssikkerhetsverktøy kan i seg selv utgjøre en trussel mot et informasjonssystem eller objekt. Forebygging av denne klassen av trusler krever at algoritmer og beskyttelsesmekanismer valideres uavhengig for sikkerhet og standarder, og kan brukes sammen med andre databeskyttelsesverktøy.
Enkel anvendelse av beskyttelsestiltak og midler Ved utforming av informasjonssikkerhetssystemer bør det huskes at implementeringen av de foreslåtte tiltakene og midlene vil bli utført av brukere (ofte ikke spesialister innen informasjonssikkerhet). Derfor, for å øke effektiviteten til beskyttelsestiltak, er det nødvendig at algoritmen for å jobbe med dem er forståelig for brukeren. I tillegg bør informasjonssikkerhetsverktøyene og -mekanismene som brukes ikke forstyrre den normale driften til brukeren med det automatiserte systemet (dramatisk redusere produktiviteten, øke kompleksiteten i arbeidet, etc.).
Metoder for å sikre informasjonssikkerhet La oss vurdere et eksempel på klassifisering av metoder som brukes for å sikre informasjonssikkerhet: hindring - en metode for fysisk å blokkere veien til en angriper til informasjon; tilgangskontroll - en metode for beskyttelse ved å regulere bruken av informasjonsressurser til systemet; forkledning - en metode for å beskytte informasjon ved hjelp av dens kryptografiske transformasjon; regulering er en metode for informasjonsbeskyttelse som skaper betingelser for automatisert behandling, der muligheten for uautorisert tilgang minimeres; tvang - en beskyttelsesmetode der personell blir tvunget til å overholde reglene for behandling, overføring og bruk av informasjon; motivasjon er en beskyttelsesmetode der brukeren oppfordres til ikke å bryte modusene for behandling, overføring og bruk av informasjon på grunn av overholdelse av etiske og moralske standarder.
Midler for beskyttelse av informasjonssystemer Slike midler kan klassifiseres i henhold til følgende funksjoner: tekniske midler - forskjellige elektriske, elektroniske og dataenheter; fysiske midler - implementeres i form av autonome enheter og systemer; programvare betyr programvare utviklet for å utføre; kryptografiske midler - matematiske algoritmer som gir datatransformasjon for å løse informasjonssikkerhetsproblemer; organisatoriske midler - et sett med organisatoriske, tekniske og organisatoriske og juridiske tiltak; moralske og etiske midler - implementeres i form av normer som har utviklet seg med spredningen av datamaskiner og informasjonsteknologier; lovgivningsmessige midler - et sett med lovverk som regulerer reglene for bruk av IP, behandling og overføring av informasjon.
Informatisering av landets sosiopolitiske, økonomiske og militære aktiviteter og som en konsekvens av den raske utviklingen av informasjonssystemer er ledsaget av en betydelig økning i angrep på informasjon både fra fremmede stater og av kriminelle elementer og borgere som ikke har tilgang til den. Utvilsomt, i dagens situasjon, er en av hovedoppgavene rettsstaten står overfor å løse den dype motsetningen mellom det faktiske og nødvendige beskyttelsesnivået for informasjonsbehovene til individet, samfunnet og staten selv, for å sikre deres informasjonssikkerhet . », Sikkerhetsspesialister, ledere og bedriftsledere.
Artemov, AV - Informasjonssikkerhet. Les et forelesningskurs på nett
Anmelder:
N. Lebedeva
A. V. Artemov, kandidat for tekniske vitenskaper, førsteamanuensis ved Institutt for "Elektronikk, datateknikk og informasjonssikkerhet" FSBEI HPE "State University - UPPK"
Informasjonssikkerhet som en definerende del av Russlands nasjonale sikkerhet
Studiespørsmål:
1. Informasjonssikkerhetens plass i Russlands nasjonale sikkerhetssystem: konsept, struktur og innhold.
2. De viktigste styringsdokumentene som regulerer informasjonssikkerhetsspørsmål.
3. Moderne trusler mot informasjonssikkerheten i Russland
Spørsmål 1. Informasjonssikkerhetens plass i Russlands nasjonale sikkerhetssystem: konsept, struktur og innhold
Informatisering av landets sosiopolitiske, økonomiske og militære aktiviteter og som en konsekvens av den raske utviklingen av informasjonssystemer er ledsaget av en betydelig økning i angrep på informasjon både fra fremmede stater og av kriminelle elementer og borgere som ikke har tilgang til den. Utvilsomt, i dagens situasjon, er en av hovedoppgavene rettsstaten står overfor å løse den dype motsetningen mellom det reelle og nødvendige beskyttelsesnivået for informasjonsbehovene til individet, samfunnet og staten selv, for å sikre deres informasjonssikkerhet . Hvori informasjonssikkerhet (IS) for individet, samfunnet, staten og moderne automatiserte og telekommunikasjonssystemer er forstått informasjonsmiljøets sikkerhet, svarende til individets, samfunnets og statens interesser (behov) i informasjonssfæren, der deres dannelse, bruk og utviklingsmuligheter er sikret, uavhengig av tilstedeværelsen av interne og eksterne trusler.
Informasjonssikkerhet er definert statens evne (samfunn, individ):
- å gi, med en viss sannsynlighet, tilstrekkelige og beskyttede informasjonsressurser og informasjonsstrømmer for å opprettholde deres liv og vitalitet, bærekraftig funksjon og utvikling;
- å motstå informasjonsfarer og trusler, negativ informasjonspåvirkning på individet og den offentlige bevisstheten og psyken til mennesker, så vel som på datanettverk og andre tekniske informasjonskilder;
- å utvikle personlige og gruppeferdigheter og ferdigheter for sikker oppførsel;
- å opprettholde en konstant beredskap for adekvate tiltak i informasjonskonfrontasjon, uansett hvem det pålegges.
Ikke en eneste livssfære i det moderne samfunn kan fungere uten en utviklet informasjonsstruktur. Den nasjonale informasjonsressursen er i dag en av hovedkildene til statens økonomiske og militære makt. Gjennom å trenge inn i alle sfærer av statlig virksomhet, får informasjon et spesifikt politisk, materiell og verdiuttrykk. På denne bakgrunn har informasjonssikkerhetsproblemer Av den russiske føderasjonen som et integrert element i nasjonal sikkerhet, og beskyttelse av informasjon, blir en av de prioriterte statlige oppgavene.
I alle land er informasjonssikkerhet av spesiell betydning. I sin utvikling går denne oppgaven gjennom mange stadier, avhengig av statens behov, evnene, metodene og midlene for å innhente informasjon (spesielt etterretning), det juridiske regimet til staten og dens reelle innsats for å sikre beskyttelse av informasjon.
Et viktig stadium i dannelsen og forbedringen av et slikt system i vårt land var perioden på 70-80-tallet. Med begynnelsen av 70-tallet. I etterretningsaktivitetene til de ledende landene i verden begynte storstilt bruk av teknisk rekognoseringsutstyr. 1980-tallet, preget av raske vitenskapelige og teknologiske fremskritt, spesielt på det militære området, ga ny drivkraft til den ytterligere økningen i kapasiteten til tekniske midler til utenlandske etterretningstjenester: opptil 70 % av etterretningsinformasjonen ble innhentet på den tiden med hjelp av tekniske midler.
Dagens situasjon krevde en forbedring av systemet med mottiltak mot utenlandske etterretningstjenester. Oppgaven av statlig betydning og en av komponentene i det generelle systemet med tiltak for å bevare stats- og offisielle hemmeligheter var å motarbeide teknisk etterretning.
På begynnelsen av 90-tallet. det har vært kvalitative endringer i de militærpolitiske og vitenskapelig-tekniske sfærer, som har tvunget til å revidere i mange henseender den statlige politikken innen informasjonsbeskyttelse generelt.
For det første har informasjonsteknologi fundamentalt endret volumet og viktigheten av informasjon som sirkulerer i de tekniske midlene for overføring og behandling. For det andre, i Russland har de facto statsmonopolet på informasjonsressurser blitt en saga blott, spesielt retten til en borger til å søke, motta og spre informasjon er konstitusjonelt nedfelt. For det tredje har den tidligere administrative mekanismen for styring av informasjonssikkerhet blitt ineffektiv, mens behovet for tverrdepartemental koordinering på dette området objektivt sett har økt. For det fjerde, i forbindelse med Russlands økende engasjement i internasjonal arbeidsdeling, styrking av økonomiske, kulturelle, humanitære kontakter med andre stater, mange regimebegrensende tiltak som letter beskyttelsen av informasjon, for eksempel systemet med regioner som er stengt. for besøk av utenlandske statsborgere, har blitt uakseptabelt.
Under dagens forhold, med tanke på de betraktede truslene om informasjonssikkerhet mot individet, samfunnet og staten, er det viktig å vurdere problemene og oppgavene med å sikre informasjonssikkerhet, som er en integrert del av å sikre den nasjonale sikkerheten til enhver stat. av verdenssamfunnet på et nytt stadium av dets utvikling - stadiet for dannelsen av informasjonssamfunnet. De velkjente karakteristiske trekk ved et slikt samfunn er den åpenbare betingelsen for den økonomiske, sosiale, vitenskapelige og hele utviklingen av landet ved den utbredte introduksjonen av nye informasjonsteknologier som sikrer effektiv informatisering av samfunnet, som igjen sikrer informasjonen. samfunnets sikkerhet, herunder å gi det høykvalitets informasjon, informasjonsprodukter, tjenester og kunnskap, som i dag er landets viktigste strategiske ressurs. Informatisering av individet, samfunnet er den viktigste, strategiske retningen for statens virksomhet, som bestemmer stabil og trygg sosioøkonomisk og politisk utvikling og prioriteringer på alle områder, inkludert informasjon og aktiviteter i verdenssamfunnet. Dette bekreftes av de praktiske trinnene til de ledende landene i verden og Russland, som bekreftes av deres vedtak av en rekke normative rettsakter og andre dokumenter:
- 2000 - "Okinawa Charter of the Global Information Society" (signert av presidenten på vegne av Russland);
- 2000 av konseptet for nasjonal sikkerhet i Den russiske føderasjonen (godkjent av presidentdekretet, som endret 10.01.2000);
- 2000 - Føderale målprogrammer "Utvikling av et enhetlig pedagogisk informasjonsmiljø (2001-2005)", "Elektronisk Russland";
- 25. juli 2007 - programmet "Strategi for utvikling av informasjonssamfunnet i Russland" (vedtatt av Den russiske føderasjonens sikkerhetsråd);
- 2002 - Føderalt målprogram "Elektronisk Russland for 2002-2010" (godkjent av dekret fra Russlands regjering datert 28. januar 2002 nr. 65);
- 2007 "Strategi for utvikling av informasjonssamfunnet i Russland" (godkjent 25. juli 2007 av Den russiske føderasjonens sikkerhetsråd) og andre.
Spørsmål 2. De viktigste veiledende dokumentene som regulerer informasjonssikkerhetsspørsmål
Tatt i betraktning konseptet om nasjonal sikkerhet i Russland, godkjent ved dekret fra presidenten for Den russiske føderasjonen av 17. desember 97 nr. 1300 (som endret 10. januar 2000), som gjenspeiler det nevnte "Okinawa Charter of the Global Information Society ", kan det hevdes at systemet for Russlands nasjonale interesser bestemmes av totalen av følgende hovedinteresser:
individer - er i den reelle bestemmelsen av konstitusjonelle rettigheter og friheter, personlig sikkerhet, i å forbedre kvaliteten og levestandarden, i fysisk, åndelig og intellektuell utvikling;
- samfunn - inkluderer konsolidering av demokrati, oppnåelse og opprettholdelse av sosial harmoni, en økning i den kreative aktiviteten til befolkningen og den åndelige gjenopplivingen av Russland;
- stater - er i beskyttelsen av Russlands konstitusjonelle orden, suverenitet og territorielle integritet, i etableringen av politisk, økonomisk og sosial stabilitet, i ubetinget overholdelse av lover og opprettholdelse av lov og orden, i utviklingen av internasjonalt samarbeid basert på partnerskap.
Konseptet definerer Russlands nasjonale interesser i informasjonssfæren.
Russlands nasjonale interesser gjøre det nødvendig å konsentrere samfunnets og statens innsats om å løse visse problemer. Disse er:
- overholdelse av konstitusjonelle rettigheter og friheter for borgere når det gjelder å motta informasjon og utveksle den;
- beskyttelse av nasjonale åndelige verdier; - propaganda om nasjonal, kulturell arv, moralske normer og offentlig moral;
- sikre borgernes rett til å motta pålitelig informasjon;
- utvikling av moderne telekommunikasjonsteknologi. Statens systematiske aktivitet i gjennomføringen av disse oppgavene vil tillate den russiske føderasjonen å bli et av sentrene for verdensutvikling i det 21. århundre. Samtidig er det uakseptabelt å bruke informasjon til å manipulere massebevisstheten. Det er nødvendig å beskytte den statlige informasjonsressursen mot lekkasje av viktig politisk, økonomisk, vitenskapelig, teknisk og militær informasjon.
I samsvar med dette konseptet, det viktigste informasjonssikkerhetsoppgaver er:
- å etablere den nødvendige balansen mellom behovet for fri utveksling av informasjon og de tillatte restriksjonene på spredningen;
- forbedre informasjonsstrukturen, akselerere utviklingen av nye informasjonsteknologier og deres utbredte distribusjon, forene midlene for å søke, samle, lagre, behandle og analysere informasjon, med tanke på Russlands inntreden i den globale informasjonsinfrastrukturen;
- utvikling av et passende regulatorisk juridisk rammeverk og koordinering, med den ledende rollen til det føderale byrået for offentlig kommunikasjon og informasjon under presidenten for Den russiske føderasjonen, av aktivitetene til føderale regjeringsorganer og andre organer som løser problemet med informasjonssikkerhet;
- utvikling av den innenlandske industrien av telekommunikasjons- og informasjonsanlegg, deres prioriterte distribusjon på hjemmemarkedet sammenlignet med utenlandske kolleger;
- beskyttelse av statens informasjonsressurs, først og fremst i de føderale statsmaktorganene og i forsvarskompleksets virksomheter.
Den russiske føderasjonens doktrine om informasjonssikkerhet datert 09.09.2001 nr. Pr-1895 er et sett med offisielle synspunkter på mål, mål, prinsipper og hovedretninger for å sikre informasjonssikkerheten til Den russiske føderasjonen... Den tjener som grunnlag for:
- for dannelsen av statlig politikk innen informasjonssikkerhet i Den russiske føderasjonen;
- utarbeidelse av forslag for å forbedre den juridiske, metodologiske, vitenskapelige, tekniske og organisatoriske støtten til informasjonssikkerhet;
- utvikling av målprogrammer for den russiske føderasjonens informasjonssikkerhet.
I strukturen består læren av 4 seksjoner og 11 kapitler. I den første delen " Informasjonssikkerhet i den russiske føderasjonen " gitt informasjonssikkerhetsbegrepet, individets, samfunnets og statens nasjonale interesser i informasjonssfæren belyses... I Doktrinen er de spesifisert mer detaljert enn i Concept of National Security.
De strategiske og nåværende oppgavene til statens interne og utenrikspolitikk for å sikre informasjonssikkerhet er dannet på grunnlag av følgende interesser innen informasjonssikkerhet:
- enkeltpersoner - er i gjennomføringen av de konstitusjonelle rettighetene til en person og en borger til å få tilgang til informasjon, bruke informasjon i interessene for å utføre aktiviteter som ikke er forbudt ved lov, fysisk, åndelig og intellektuell utvikling, samt for å beskytte informasjon som sikrer personlig sikkerhet;
- samfunn - består i å sikre individets interesser på dette området, styrke demokratiet, skape en lovlig sosial stat, oppnå og opprettholde sosial harmoni, i den åndelige fornyelsen av Russland;
- stater - skal skape forutsetninger for en harmonisk utvikling av den russiske informasjonsinfrastrukturen, implementering av konstitusjonelle rettigheter og friheter for mennesker og borgere innen innhenting og bruk av informasjon for å sikre ukrenkeligheten til den konstitusjonelle orden, suverenitet og Russlands territorielle integritet, politisk, økonomisk og sosial stabilitet, i ubetinget lov og orden, utvikling av likeverdig og gjensidig fordelaktig internasjonalt samarbeid.
Typer IS-trusler og deres kilder bestemmes. De er også, i motsetning til det nasjonale sikkerhetskonseptet, detaljerte.
I den andre delen "Metoder for å sikre informasjonssikkerhet":
- Generelle metoder for å sikre IS i Den russiske føderasjonen bestemmes;
- avslører funksjonene for å sikre informasjonssikkerheten til Den russiske føderasjonen på forskjellige områder av det offentlige liv;
- internasjonalt samarbeid innen informasjonssikkerhet fastsettes.
I den tredje delen "Hovedbestemmelsene i statens politikk for å sikre informasjonssikkerheten til Den russiske føderasjonen" inneholder:
- prinsipper for å sikre statlig politikk;
- prioriterte tiltak for gjennomføring av statens politikk for å sikre informasjonssikkerheten til Den russiske føderasjonen.
Den fjerde delen " Organisatorisk grunnlag for informasjonssikkerhetssystemet til Den russiske føderasjonen " fikser hovedfunksjonene til informasjonssikkerhetssystemet og dets organisatoriske grunnlag.
INFORMASJONSSIKKERHET FOR PROFESJONELLE AKTIVITETER
Pozhitkova Tatiana Alexandrovna
5. års student, Institutt for råvarevitenskap og organisasjon for ledelse av handelsbedrifter, TSU, Togliatti
E-post: Kykyha [e-postbeskyttet] yandex . ru
Kharlamova Valentina Vladimirovna
Kunst. Foreleser ved Institutt for råvarevitenskap og organisering av ledelse av handelsbedrifterTSU, Togliatti
Informasjon (fra latin informatio - forklaring, presentasjon) - siden midten av det tjuende århundre, et generelt vitenskapelig konsept som inkluderer utveksling av informasjon mellom mennesker, menneske og automat, automat og automat, utveksling av signaler i dyre- og planteverdenen , overføring av tegn fra celle til celle, fra organisme til kroppen; et av de grunnleggende begrepene i kybernetikk.
Informasjonsbeskyttelse er et sett med tiltak rettet mot å sikre informasjonssikkerhet.
I henhold til er det viktigste i ethvert selskap:
· Definere et mål for å sikre beskyttelse av informasjon om datasystemer;
· Få det mest effektive styringssystemet for informasjonssikkerhet;
· Beregne totaliteten av både kvantitative og kvalitative indikatorer, så langt de passer til de fastsatte målene;
· Anvendelse av alle tiltak for å sikre informasjonssikkerhet, konstant overvåking av systemets nåværende tilstand;
· Bruk retningslinjer for sikkerhetsstyring som muliggjør en sann vurdering av tilgjengelig informasjonssikkerhet.
For emner som bruker informasjonssystemer, er følgende egenskaper ved informasjonsressurser viktige: konfidensialitet, tilgjengelighet og integritet.
Konfidensialitet er beskyttelse av informasjon mot uautorisert tilgang. Det er med andre ord tilgangsmyndighet – det er informasjon. Et eksempel er organisasjonens taushet om informasjon om arbeidernes lønn.
Tilgjengelighet er et kriterium som kjennetegnes ved å raskt finne nødvendig informasjon.
Integritet er sannheten og relevansen til informasjon, dens beskyttelse mot uautorisert tilgang og ødeleggelse (endring). Integritet er det viktigste aspektet ved informasjonssikkerhet når det gjelder for eksempel formulering av legemidler, foreskrevne medisinske prosedyrer, forløpet av den teknologiske prosessen – dersom integriteten til informasjonen til alle disse eksemplene krenkes, kan dette føre til uopprettelige konsekvenser.
Etter å ha analysert hovedtrekkene til informasjonsressurser, er det viktigste for IP-brukere tilgjengelighet.
Integritet er et halvt skritt bak i viktighet – fordi det er ingen vits i informasjon hvis den ikke er sann eller forvrengt.
I tillegg til de tre hovedtrekkene til sikkerhetsmodeller, er det også andre som ikke alltid er obligatoriske:
· Ankelighet - umulighet å nekte forfatterskap;
· Ansvarlighet - anerkjennelse av gjenstanden for tilgang og registrering av hans handlinger;
· Autentisitet eller autentisitet - en egenskap som garanterer at emnet eller ressursen er identisk med den deklarerte. Et skilt som garanterer at informasjonen er identisk med den deklarerte.
Informasjonssikkerhet kan bli skadet i ulik grad av handlinger som kalles trusler. De er delt inn i følgende kategorier:
2. Handlinger utført av hackere. Dette refererer til personer som er profesjonelt involvert i datakriminalitet. Hackere bruker DOS_attack-metoden. Denne trusselen om uautorisert inntreden kan være et verktøy for å ødelegge data, bruke konfidensiell informasjon til ulovlige formål, samt for å stjele penger fra kontoer osv. nettverksnoder til organisasjonen som er ansvarlig for effektiv drift (e-postservere). Hackere sender massivt datapakker til disse nodene, noe som medfører overbelastning av dem, og dermed tar dem ut av arbeidstilstanden i noen tid. Noe som som en konsekvens fører til forstyrrelser i forretningsprosesser, tap av kunder, omdømme osv.
3. Datavirus, skadelig programvare. De er mye brukt til å penetrere e-post, bedriftsnettverksnoder, selve operatøren og informasjonslagringen, noe som kan føre til tap av data, informasjonstyveri. På grunn av virus er arbeidsprosessen suspendert, og arbeidstid går tapt. Det er viktig å påpeke at et virus kan gi angripere full eller delvis kontroll over en organisasjons aktiviteter.
4. Spam. Inntil nylig kunne spam tilskrives mindre irriterende faktorer, men nå har det blitt en av hovedtruslene mot informasjon: spam forårsaker en følelse av psykisk ubehag blant ansatte, tar mye tid å slette den fra e-postinnbokser, noe som kan medføre sletting av viktig informasjon korrespondanse. Og dette er i sin tur tap av informasjon, tap av kunder.
5. "Naturlige trusler". I tillegg til interne faktorer kan også eksterne faktorer påvirke informasjonssikkerheten: feil lagring av informasjon, tyveri av media, force majeure mv.
Vi kan oppsummere på en måte: i den moderne verden er tilstedeværelsen av et godt utviklet informasjonsbeskyttelsessystem en av hovedbetingelsene for konkurranseevnen og til og med levedyktigheten til ethvert selskap.
For å sikre den mest komplette informasjonssikkerheten må ulike beskyttelsesmidler fungere i systemet, det vil si at de må brukes samtidig og under sentralisert kontroll.
For tiden er det mange metoder for å sikre informasjonssikkerhet:
· Midler for kryptering av informasjon lagret på datamaskiner og overført over nettverk;
· Midler for å kryptere viktig informasjon lagret på en PC;
· Brannmurer;
· Midler for innholdsfiltrering;
· Antivirusbeskyttelse betyr;
· Deteksjonssystemer for nettverkssårbarhet og analysatorer for nettverksangrep.
Alle de oppførte fondene kan brukes både individuelt og sammen med andre. Dette gjør spekteret av informasjonsbeskyttelse mer omfattende, noe som utvilsomt er en positiv faktor.
"Kompleks 3A". Identifikasjon og autorisasjon er de ledende elementene i informasjonssikkerhet. Når du prøver å få tilgang til beskyttet informasjon, avgjør identifikasjon om du er en autorisert bruker av nettverket. Formålet med autorisasjonen er å identifisere hvilke informasjonsressurser en gitt bruker har tilgang til. Administrasjonsfunksjonen er å gi brukeren individuelle avanserte evner, for å bestemme omfanget av mulige handlinger for ham innenfor rammen av et gitt nettverk.
Informasjonskrypteringssystemer gjør det mulig å minimere tap ved forsøk på uautorisert tilgang til data, samt avskjæring av informasjon under overføring eller overføring over nettverksprotokoller. Hovedformålet med denne beskyttelsesmetoden er å sikre bevaring av konfidensialitet. Det stilles krav til krypteringssystemer, for eksempel et høyt nivå av låsehemmelighet (dvs. kryptografisk styrke) og lovlighet av bruk.
Brannmuren fungerer som en beskyttende barriere mellom nettverk, kontrollerer og beskytter mot uautorisert inntreden i nettverket eller omvendt fjerning av datapakker fra det. Brannmurer sjekker hver pakke med data mot de innkommende og utgående IP-adressene mot basen av adresser som er tillatt.
Det er viktig å kontrollere og filtrere innkommende og utgående e-post for å bevare og beskytte konfidensiell informasjon. Å sjekke vedlegg og selve e-postmeldingene basert på reglene etablert i organisasjonen bidrar til å beskytte ansatte mot spam, og organisasjonen mot ansvar for rettskrav.
Administratoren, som enhver annen autorisert bruker, kan ha rett til å overvåke alle endringer i informasjon på serveren takket være teknologien for integritetskontroll. Dette gjør det mulig å oppdage uautorisert tilgang, kontrollere eventuelle handlinger på informasjon (endre, slette, etc.), samt identifisere aktiviteten til virus. Kontrollen utføres basert på analyse av filsjekksummer (CRC_sums).
For øyeblikket kan antivirusteknologier oppdage nesten alle virus og skadelige programmer ved å sammenligne prøvekoden i antivirusdatabasen med koden til en mistenkelig fil. Mistenkelige filer kan settes i karantene, desinfiseres eller slettes. Antivirusprogrammer kan installeres på fil- og e-postservere, brannmurer, på arbeidsstasjoner som opererer under vanlige operativsystemer (Windows, Unix- og Linux_systems, Novell) på ulike typer prosessorer.
Spamfiltre reduserer de uproduktive arbeidskostnadene forbundet med å rense filer fra spam betydelig, reduserer belastningen på servere og forbedrer den psykologiske bakgrunnen i teamet. I tillegg reduserer spamfiltre risikoen for infeksjon med nye virus, fordi de ofte ligner spam i egenskaper og fjernes.
For å beskytte mot naturlige trusler, må en organisasjon lage og implementere en plan for forebygging og eliminering av nødsituasjoner (brann, flom). Hovedmetoden for å beskytte data er sikkerhetskopiering.
Det finnes mange midler for teknisk beskyttelse av informasjon mot uautorisert tilgang (NSD): engangslåser, plastidentifikasjonskort, sel, optiske og infrarøde systemer, lasersystemer, låser (mekaniske, elektromekaniske, elektroniske), videosikkerhets- og kontrollsystemer.
En informasjonssikkerhetspolicy er et sett med regler, lover, anbefalinger og praktisk erfaring som bestemmer ledelses- og designbeslutninger innen informasjonssikkerhet. PIB er et verktøy som det er en styring, beskyttelse, distribusjon av informasjon i systemet med. Politikken bør definere systemets oppførsel i ulike situasjoner.
Sikkerhetspolicyprogrammet inneholder følgende trinn for å lage informasjonsbeskyttelsesverktøy:
1. Finne informasjon og tekniske ressurser som må beskyttes;
2. Avsløring av hele settet av potensielle trusler og kanaler for informasjonslekkasje;
3. Vurdering av sårbarhet og risiko ved informasjon med det eksisterende settet av trusler og lekkasjekanaler;
4. Diagnostikk av kravene til beskyttelsessystemet;
5. Et utvalg informasjonssikkerhetsverktøy og deres egenskaper;
6. Gjennomføring og organisering av bruken av de valgte tiltakene, metodene og beskyttelsesmidlene;
7. Implementering av integritetskontroll og styring av vernesystemet.
Vurdering av dagens situasjon er delt inn i to systemer: «bottom-up research» og «top-down research». Den første er basert på at informasjonssikkerhetstjenesten, basert på alle kjente typer angrep, anvender dem i praksis for å sjekke om dette angrepet er mulig fra en reell lovbryter.
«Topp-ned»-metoden er en detaljert studie av alle eksisterende ordninger for lagring og behandling av informasjon. Det første trinnet i metoden er å bestemme hvilke informasjonsstrømmer som skal beskyttes. Deretter analyseres den nåværende tilstanden til informasjonssikkerhetssystemet for å bestemme de implementerte beskyttelsesmetodene, i hvilken grad og på hvilket nivå de er implementert. På det tredje trinnet klassifiseres alle informasjonsobjekter i grupper i henhold til konfidensialitet.
Deretter er det nødvendig å finne ut hvor alvorlig skaden kan oppstå dersom informasjonsobjektet blir angrepet. Dette trinnet omtales som "risikoberegning". Den mulige skaden fra et angrep, sannsynligheten for et slikt angrep og deres produksjon beregnes. Det mottatte svaret er en mulig risiko.
På det viktigste og mest avgjørende stadiet finner selve utviklingen av en bedriftssikkerhetspolicy sted, som vil gi den mest komplette beskyttelsen mot mulige risikoer. Det er imidlertid nødvendig å vurdere hvilke problemer som kan oppstå på veien for å sette i gang en sikkerhetspolitikk. Slike problemer inkluderer lovene i landet og det internasjonale samfunnet, etiske standarder, interne krav til organisasjonen.
Etter opprettelsen av en informasjonssikkerhetspolitikk som sådan, beregnes dens økonomiske kostnad.
På slutten av utviklingen godkjennes programmet av selskapets ledelse og dokumenteres i detalj. Dette bør følges av aktiv implementering av alle komponentene spesifisert i planen. Risikorekalkulering og påfølgende endring av selskapets sikkerhetspolicy gjennomføres oftest annethvert år.
Selve PIB er formalisert i form av dokumenterte krav til informasjonssystemet. Det er tre nivåer av slike dokumenter (også kalt detaljering):
Dokumentene til det øvre nivået av informasjonssikkerhetspolitikk viser organisasjonens stilling til aktiviteter innen informasjonssikkerhet, dens beredskap til å overholde statlige og internasjonale krav på dette området. For eksempel kan de hete: "IS-konsept", "IS-policy", "IS-teknisk standard" osv. Dokumenter på toppnivå kan utstedes i to former - for ekstern og intern bruk.
Dokumenter på mellomnivå relaterer seg til visse aspekter ved informasjonssikkerhet. Den beskriver kravene til opprettelse og drift av informasjonssikkerhetsverktøy for en spesifikk side av informasjonssikkerhet.
Dokumentene på lavere nivå inneholder regler og arbeidsnormer, administrasjonsmanualer, instruksjoner for drift av private informasjonssikkerhetstjenester.
Stadiene i livssyklusen til et informasjonssystem er delt inn i: strategisk planlegging, analyse, design, implementering, implementering (initiering) og drift. La oss vurdere hvert trinn i detalj:
1. Innledende fase (strategisk planlegging).
På første trinn bestemmes systemets omfang og grensebetingelser settes. For å gjøre dette er det nødvendig å identifisere alle eksterne objekter som det utviklede systemet vil samhandle med, for å bestemme arten av denne interaksjonen. I den strategiske planleggingsfasen identifiseres alle funksjonaliteter, og de viktigste beskrives.
2. Stadium av foredling.
På foredlingsstadiet blir det anvendte området analysert, det arkitektoniske grunnlaget for informasjonssystemet utvikles. Det er nødvendig å beskrive det meste av funksjonaliteten til systemet og ta hensyn til forholdet mellom de enkelte komponentene. På slutten av foredlingsstadiet analyseres arkitektoniske løsninger og måter å eliminere de ledende risikoene i programmet på.
3. Byggetrinn.
På dette stadiet opprettes et ferdig produkt, klart for overføring til brukeren. På slutten av designet bestemmes operabiliteten til den resulterende programvaren.
4. Stadium av overføring til drift (initiering).
Scenen er den direkte overføringen av programvaren til brukeren. Når du bruker det utviklede systemet, identifiseres ofte problemer med en annen plan som krever ekstra arbeid og justeringer av produktet. På slutten av dette stadiet finner de ut om målene som er satt for utviklerne er nådd eller ikke.
5. Dekommisjonering og deponering. Som et resultat av dette stadiet blir dataene overført til den nye IS.
Ethvert informasjonssystem kan forbli så nyttig som mulig i 3-7 år. Videre er det nødvendig med modernisering. Derfor kan vi komme til den konklusjon at nesten hver skaper står overfor problemet med å modernisere utdaterte informasjonssystemer.
For å løse problemet med å sikre informasjonssikkerhet er det viktig å ta i bruk lovgivningsmessige, organisatoriske, programvare- og maskinvaretiltak. Uoppmerksomhet på minst ett aspekt av dette problemet kan føre til tap eller lekkasje av informasjon, hvis kostnad og rolle i livet til det moderne samfunnet blir stadig viktigere.
Bibliografi:
1.V.A. Ignatiev, Informasjonssikkerhet for en moderne kommersiell virksomhet / V.A. Ignatiev - M: Stary Oskol: TNT, 2005 .-- 448 s.
2. Domarev V.V., Sikkerhet for informasjonsteknologier. Metodikk for å lage beskyttelsessystemer (kapittel 8) / TID Dia Soft / - 2002. [Elektronisk ressurs]. - Tilgangsmodus. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (åpnet 15.11.2012)
3. Zhuk EI, Conceptual foundations of information security [Elektronisk ressurs] // Elektronisk vitenskapelig og teknisk publikasjon "Science and Education", 2010. - Nr. 4. - Tilgangsmodus. - URL: http: //techno-new.developer.stack.net/doc/143237.html (dato for behandling 20.11.2012)
4. Medvedev N.V., Standarder og retningslinjer for informasjonssikkerhet for automatiserte systemer // Vestnik MGTU im. N.E. Bauman. Ser. Instrumentering. - 2010. - Nr. 1. - S. 103-111.
5. Grunnleggende informasjonssikkerhet: Lærebok / O.A. Akulov, D.N. Badanin, E.I. Zhuk et al. - M .: Publishing house of MSTU im. N.E. Bauman, 2008 .-- 161 s.
6. Filin S.A., Informasjonssikkerhet / S.A. Ugle. - Alfa-Press, 2006 .-- 412 s.
7. Yarochkin V.I. Informasjonssikkerhet: En lærebok for universitetsstudenter. - 3. utg. - M .: Faglig prosjekt: Triksta, 2005 - 544 s.
FORelesningsnotater
til kursen
Informasjonssikkerhet
1. Seksjon. Grunnleggende informasjonssikkerhet 2
Emne 1. Essensen av informasjonssikkerhet 2
Emne 2. Klassifisering av konfidensiell informasjon 3
Emne 3. Moderne konsept for informasjonssikkerhet 5
2. Seksjon. Sårbarheter, trusler, inntrengermodell 6
Emne 4. Trusler om informasjonssikkerhet 6
Emne 5. Uformell modell av lovbryteren 8
Emne 6. Kanaler for lekkasje og uautorisert tilgang til informasjon 10
3. Seksjon. Angriperverktøy 13
Emne 7. Tekniske måter å innhente informasjon på 13
Emne 8. Programvare for innhenting av informasjon 14
Emne 9. Datavirus 16
4. Seksjon. Informasjonssikkerhetsmetodikk 20
Emne 10. Prinsipper for konstruksjon og retninger for arbeidet med opprettelsen av NIB 20
Emne 11. Metoder og midler for å sikre informasjonssikkerhet 22
5. Seksjon. Informasjonssikkerhetsmekanismer 23
Emne 12. Identifikasjon og autentisering 23
Emne 13. Adgangskontroll i IS 26
Emne 14. Logging og revisjon 30
Emne 15. Kryptering 31
Emne 16. Integritetskontroll 32
Kryptering:
Integritet kontroll;
Skjerming.
En pålitelig RFI krever en omfattende implementering av alle de ovennevnte mekanismene. Noen av dem kan implementeres mer fullstendig, andre ikke. IP-beskyttelse avhenger først og fremst av implementeringen av identifikasjons- og autentiseringsmekanismen
En identifikator er et unikt sett med tegn som unikt tilsvarer et objekt eller subjekt i et gitt system.
Identifikasjon er anerkjennelsen av en deltaker i i(Io) før noen aspekter av informasjonssikkerhet blir brukt på vedkommende.
Passord er et hemmelig sett med tegn som lar deg bekrefte korrespondansen til emnet til identifikatoren presentert for ham.
Autentisering - gir tillit til at IOT-deltakeren er korrekt identifisert.
Profil - et sett med innstillinger og konfigurasjoner for et gitt emne eller objekt og definerer dets arbeid i IS.
Et emne kan bevise sin identitet ved å presentere minst én av følgende enheter:
noe han vet (passord, kryptografisk nøkkel, etc.);
noe han eier (elektronisk nøkkel, smartkort, etc.);
noe som er en del av ham selv (hans biometriske egenskaper).
Autentisering er enveis (vanligvis beviser emnet sin autentisitet overfor systemet) og toveis (gjensidig).
Sterk identifikasjon og autentisering er vanskelig av en rekke årsaker.
I en IS kan det hende at en klarert rute ikke eksisterer mellom partene; dette betyr at dataene som overføres av subjektet generelt sett ikke stemmer overens med dataene som mottas og brukes til autentisering.
Nesten alle autentiseringsenheter kan gjenkjennes, stjeles eller tukles med.
Det er en motsetning mellom påliteligheten av autentisering, på den ene siden, og bekvemmeligheten til emnet, på den andre. Så av sikkerhetsgrunner er det nødvendig å be brukeren om å legge inn autentiseringsinformasjonen på nytt med en viss frekvens.
Jo mer pålitelig beskyttelsesmidlene er, jo dyrere er det.
Passordautentisering
Den største fordelen med passordautentisering er enkelhet. Feilen er det svakeste autentiseringsverktøyet.
Store brudd på opprettelse og bruk av passord:
enkelt passord,
ved å bruke standardverdier fra noe dokumentasjon som aldri endres,
skrive et passord på de elementene der det kan leses, spioneres osv.
dele passord med en annen ansatt.
Tiltak for å forbedre påliteligheten til passordbeskyttelse:
pålegge tekniske restriksjoner (lengde, bruk av bokstaver, tall, tegn);
administrasjon av passordutløp;
begrense tilgangen til passordfilen;
begrense antall mislykkede påloggingsforsøk;
brukeropplæring;
bruken av programvarepassordgeneratorer, som, basert på noen regler, kan generere komplekse, men minneverdige passord,
engangspassord.
Engangspassord
La det være en enveisfunksjon f (det vil si en funksjon hvis invers ikke kan beregnes innen rimelig tid). Denne funksjonen er kjent for både brukeren og autentiseringsserveren.
La det være en hemmelig nøkkel K som kun er kjent for brukeren.
På stadiet av den første brukeradministrasjonen blir funksjon f brukt på nøkkelen K n ganger, hvoretter resultatet lagres på serveren.
Etter det er brukerautentiseringsprosedyren som følger:
serveren sender et nummer (n-1) til brukersystemet;
brukeren bruker funksjonen f på den hemmelige nøkkelen K (n-1) ganger og sender resultatet over nettverket til autentiseringsserveren;
serveren bruker funksjonen f på verdien mottatt fra brukeren og sammenligner resultatet med den tidligere lagrede verdien. I tilfelle et samsvar anses brukerens autentisitet som etablert, serveren husker den nye verdien (sendt av brukeren) og reduserer telleren (n) med én.
Siden funksjonen f er irreversibel, lar det å avskjære passordet og få tilgang til autentiseringsserveren oss ikke finne ut den hemmelige nøkkelen K og forutsi neste engangspassord.
En annen tilnærming til å implementere engangspassord er å generere et nytt passord etter en kort periode (for eksempel hvert 60. sekund), som programmer eller smartkort kan brukes til. For dette må følgende betingelser være oppfylt:
Autentiseringsserveren må kjenne passordgenereringsalgoritmen og tilhørende parametere;
Klient- og serverklokkene må synkroniseres.
Autentisering ved hjelp av tokens
Mulig i følgende alternativer:
På forespørsel fra systemet presenterer tokenet det med en hemmelig verdi som tjener til å bekrefte ektheten. Ved å avskjære dette svaret én gang, kan en angriper simulere en token-respons.
Tokenet og systemet har et felles, synkronisert system for å generere engangspassord. På forespørsel fra systemet utsteder tokenet et passord som er gyldig for en gitt tidsperiode. Systemet genererer på dette tidspunktet sin egen versjon av passordet, som det sammenligner med det mottatte.
Tokenet er registrert i systemet (det kjenner sin hemmelige parameter). For autentisering genererer den en tilfeldig verdi, som tokenet transformerer ved hjelp av parameteren. Systemet utfører en lignende transformasjon og sammenligner resultatet med det mottatt fra token. I dette tilfellet gir det ingenting for angriperen å avskjære forespørselen og svaret. Og ingen synkronisering av token og systemet er nødvendig.
Alternativer for å bruke et token sammen med et passord:
Passordet brukes for å få tilgang til tokenet, som ikke fungerer uten passord.
Passordet, sammen med token-parameteren, tjener som grunnlag for å generere engangspassord.
Tokenet genererer et svar til systemet for en forespørsel med en tilfeldig verdi basert på parameteren og brukerens passord.
Biometrisk autentisering
Biometri er en samling av automatiserte metoder for å identifisere og autentisere personer basert på deres fysiologiske og atferdsmessige egenskaper.
De fysiologiske egenskapene inkluderer funksjoner:
fingeravtrykk,
netthinnen og hornhinnen i øynene,
geometri av hender og ansikter.
Atferdsegenskaper inkluderer:
signatur dynamikk,
stil å jobbe med tastaturet på.
Kjennetegn som inkluderer fysiologi og atferd inkluderer stemmeanalyse og talegjenkjenning.
Generelt er arbeidet med biometriske data organisert som følger. Først opprettes og vedlikeholdes en database med egenskaper for potensielle brukere. For dette tas de biometriske egenskapene til brukeren, behandles, og resultatet av behandlingen (kalt en biometrisk mal) legges inn i databasen. Imidlertid lagres ikke rådata, for eksempel en skanning av en finger eller hornhinne.
I fremtiden, for å identifisere og samtidig autentisere brukeren, gjentas fjernings- og behandlingsprosessen, hvoretter det foretas et søk i maldatabasen.
Hvis søket er vellykket, anses brukerens identitet og autentisitet som etablert. For autentisering er det nok å gjøre en sammenligning med en biometrisk mal valgt på grunnlag av tidligere innlagte data.
Vanligvis brukes biometri sammen med andre autentiseringer som smartkort. Noen ganger brukes biometrisk autentisering for å aktivere smartkort, i så fall lagres den biometriske malen på samme kort.
Biometri er underlagt de samme truslene som andre autentiseringsmetoder.
Den biometriske malen sammenlignes ikke med resultatet av den første behandlingen av brukerens egenskaper, men med det som kom til sammenligningsstedet.
Biometriske teknikker er ikke sikrere enn en maldatabase.
Det bør tas hensyn til forskjellen mellom bruk av biometri i et kontrollert område og i "felt"-forhold.
En persons biometriske data endres, så maldatabasen må vedlikeholdes.
Men hovedfaren er at hvis biometriske data blir kompromittert, må du i det minste gjøre en betydelig oppgradering av hele systemet.
Tema 13. Forvaltning av tilgang til IS
Det er to retninger for kontroll og styring av tilgang til IS: fysisk og logisk. Fysisk tilgangskontroll gjelder for IC-maskinvare og maskinvare, samt informasjon presentert i trykt, visuell og lydform. Logisk tilgangskontroll - til programvare og informasjon presentert i elektronisk form. Det er implementert i programvare.
Logisk tilgangskontroll er hovedmekanismen for flerbrukersystemer for å sikre konfidensialitet og integritet til objekter og til en viss grad tilgjengeligheten deres (ved å forby å betjene uautoriserte brukere).
Adgangskontroll er basert på identifikasjon og autentisering.
Hvis faget og NIB er geografisk atskilt, må to aspekter vurderes fra et sikkerhetssynspunkt:
hva fungerer som en autentisering;
hvordan utvekslingen av identifikasjons- og autentiseringsdata er organisert (og beskyttet).
Det er et sett med emner og et sett med objekter. Oppgaven med logisk tilgangskontroll er å bestemme for hvert par av "emne-objekt" et sett med tillatte operasjoner (avhengig, kanskje av noen tilleggsbetingelser) og kontrollere implementeringen av den etablerte rekkefølgen.
Forholdet "emner-objekter" kan representeres som en tilgangsmatrise, i radene med hvilke emner er oppført, i kolonner - objekter, og tilleggsbetingelser (for eksempel tid og sted for handling) og tillatte typer tilgang er skrevet i cellene som ligger i skjæringspunktet mellom rader og kolonner ... Et fragment av matrisen kan se slik ut:
"O" - angir tillatelse til å overføre tilgangsrettigheter til andre brukere,
"R" - les,
"W" - rekord,
"E" - utførelse,
"A" - legger til informasjon
Temaet logisk tilgangskontroll er et av de mest komplekse innen informasjonssikkerhet. Konseptet med et objekt (og enda mer av tilgangstyper) endres fra tjeneste til tjeneste. For operativsystemet inkluderer objekter filer, enheter og prosesser.
Med hensyn til filer og enheter, lese, skrive, kjøre (for programfiler), noen ganger slette og legge til rettigheter vurderes vanligvis. En egen rettighet kan være muligheten til å overføre innsynsmyndighet til andre subjekter (den såkalte eiendomsretten). Prosesser kan skapes og ødelegges. Moderne operativsystemer kan også støtte andre objekter.
For rer et objekt en database, tabell, prosedyre. Operasjonene med å søke, legge til, endre og slette data gjelder for tabeller; andre objekter har andre typer tilgang.
Variasjonen av objekter og operasjonene som gjelder for dem, fører til desentralisering av logisk tilgangskontroll. Hver tjeneste må selv bestemme om den skal tillate en bestemt enhet å utføre en bestemt operasjon. Selv om dette er i samsvar med den moderne objektorienterte tilnærmingen, utgjør det betydelige utfordringer.
Mange objekter kan nås ved hjelp av forskjellige tjenester. Så du kan komme til relasjonstabeller ikke bare ved hjelp av en DBMS, men også ved å lese filer direkte.
Ved eksport / import av data går informasjon om tilgangsrettigheter vanligvis tapt (på en ny tjeneste gir det ikke mening).
Det er tre tilnærminger til logisk tilgangskontroll:
Vilkårlig kontroll,
Tvunget kontroll.
Rollebasert ledelse.
Ved vilkårlig kontroll lagres tilgangsmatrisen i form av lister, det vil si at for hvert objekt opprettholdes en liste over "opptatte" emner sammen med deres rettigheter. De fleste operativsystemer og databasestyringssystemer implementerer tilfeldig tilgangskontroll. Hovedfordelen med vilkårlig kontroll er muligheten til uavhengig å sette tilgangsrettigheter for hvert "emne-objekt"-par. Men vilkårlig kontroll har en rekke ulemper.
Mange brukere må stoles på, ikke bare systemoperatører eller administratorer.
Tilgangsrettigheter eksisterer separat fra data. Ingenting hindrer en bruker som har tilgang til hemmelig informasjon fra å skrive den til en fil som er tilgjengelig for alle eller erstatte et nyttig verktøy med et skadelig program.
Ved tvangskontroll lagres ikke matrisen eksplisitt, men hver gang blir innholdet i de tilsvarende cellene beregnet. For å gjøre dette er sikkerhetsetiketter knyttet til hvert emne og hvert objekt. Tilgangskontroll er basert på kartlegging av emne- og objektsikkerhetsetiketter. Et subjekt kan lese informasjon fra et objekt hvis følgende to betingelser er oppfylt samtidig:
hemmelighetsnivået til motivet er ikke lavere enn objektets,
Rollebasert tilgangskontroll
Med et stort antall brukere blir de to første typene tilgangskontroll ekstremt vanskelig å administrere. Antall lenker i dem er proporsjonalt med produktet av antall brukere med antall objekter.
Essensen av rollebasert tilgangskontroll er at mellomliggende enheter – roller – vises mellom brukere og deres privilegier. For hver bruker kan flere roller være aktive samtidig, som hver gir ham visse rettigheter.
Informasjonsbeskyttelse bør baseres på en systematisk tilnærming. Den systematiske tilnærmingen er at alle midler som brukes for å sikre informasjonssikkerhet bør betraktes som et enkelt sett med sammenhengende tiltak. Et av prinsippene for informasjonsbeskyttelse er prinsippet om "rimelig tilstrekkelighet", som er som følger: hundre prosent beskyttelse eksisterer ikke under noen omstendigheter, derfor er det verdt å ikke strebe etter det teoretisk maksimalt oppnåelige nivået for informasjonsbeskyttelse, men til det minimum som er nødvendig under disse spesifikke forholdene og på et gitt nivå mulig trussel.
Informasjonsbeskyttelse kan betinget deles inn i beskyttelse:
fra tap og ødeleggelse;
fra uautorisert tilgang.
2. Beskyttelse av informasjon mot tap og ødeleggelse
Tap av informasjon kan oppstå av følgende årsaker:
datamaskinfeil;
strømbrudd eller avbrudd;
skade på lagringsmedier;
feilaktige handlinger fra brukere;
virkningen av datavirus;
andres uautoriserte forsettlige handlinger.
Du kan forhindre disse årsakene Data backup, dvs. oppretter sikkerhetskopier. Reservasjonsmidler inkluderer:
programvare for sikkerhetskopiering som følger med de fleste operativsystemer. For eksempel MS Backup, Norton Backup;
opprettelse av arkiver på eksterne lagringsmedier.
Ved tap kan informasjon gjenopprettes. Men dette er bare mulig hvis:
etter sletting av filen ble ikke ny informasjon skrevet til den ledige plassen;
hvis filen ikke var fragmentert, dvs. (Derfor bør du regelmessig utføre defragmenteringsoperasjonen ved å bruke for eksempel Diskdefragmenteringsverktøyet som følger med Windows-operativsystemet).
Gjenoppretting produsert av følgende programvareverktøy:
Angre sletting fra DOS-verktøypakken;
Fjern sletting fra Norton Utiles.
Hvis dataene er av spesiell verdi for brukeren, kan du søke beskyttelse mot ødeleggelse:
sett filene til skrivebeskyttet egenskap;
bruk spesielle programvareverktøy for å lagre filer etter sletting, simulere sletting. For eksempel Norton Protected Recycle Bin. ...
En stor trussel mot sikkerheten til data utgjøres av brudd på strømforsyningssystem- strømbrudd, spenningsstøt og -fall osv. Det er mulig å nesten helt unngå tap av informasjon i slike tilfeller ved å bruke avbruddsfri strømforsyning. De sørger for normal funksjon av datamaskinen selv når strømmen er slått av på grunn av overgangen til batteristrøm.
Beskyttelse av informasjon mot uautorisert tilgang
Uautorisert tilgang- dette er å lese, endre eller ødelegge informasjon i mangel av riktig myndighet til å gjøre det.
Hoved typiske stier uautorisert innhenting av informasjon:
tyveri av informasjonsbærere;
kopiering av informasjonsbærere med overvinnende beskyttelsestiltak;
forkledning som en registrert bruker;
hoax (forkledning som systemforespørsler);
bruk av mangler ved operativsystemer og programmeringsspråk;
avlytting av elektroniske utslipp;
avlytting av akustiske utslipp;
ekstern fotografering;
bruk av avlyttingsutstyr;
ondsinnet deaktivering av beskyttelsesmekanismer.
Til informasjonsbeskyttelse fra uautorisert tilgang gjelder:
Organisatoriske aktiviteter.
Tekniske midler.
Programvare.
Kryptografi.
1. Organisatoriske aktiviteter inkludere:
adgangskontroll;
lagring av media og enheter i en safe (disketter, skjerm, tastatur);
begrensning av adgang for personer til datarom.
2. Tekniske midler inkluderer ulike maskinvaremetoder for å beskytte informasjon:
filtre, skjermer for utstyr;
nøkkel for å låse tastaturet;
Autentiseringsenheter - for lesing av fingeravtrykk, håndform, iris, utskriftshastighet og -teknikker, etc.
3. Programvare informasjonsbeskyttelse består i utvikling av spesiell programvare som ikke vil tillate en utenforstående å motta informasjon fra systemet. Programvaren inkluderer:
passordtilgang;
lås skjermen og tastaturet med en kombinasjon av taster;
bruk av BIOS passordbeskyttelse (grunnleggende input-output system - grunnleggende input-output system).
4. Under kryptografisk informasjonsbeskyttelse betyr kryptering når den legges inn i et datasystem. Essensen av denne beskyttelsen er at en viss krypteringsmetode (nøkkel) brukes på dokumentet, hvoretter dokumentet blir utilgjengelig for lesing på konvensjonelle måter. Å lese et dokument er mulig med en nøkkel eller ved å bruke en adekvat lesemetode. Hvis det brukes en nøkkel i prosessen med å utveksle informasjon for kryptering og lesing, så er den kryptografiske prosessen symmetrisk. Ulempen er overføringen av nøkkelen sammen med dokumentet. Derfor bruker INTERNETT asymmetriske kryptografiske systemer, hvor det ikke brukes én, men to nøkler. For arbeid brukes 2 nøkler: den ene er offentlig (offentlig), og den andre er privat (privat). Nøklene er konstruert på en slik måte at en melding kryptert med den ene halvdelen kun kan dekrypteres av den andre halvdelen. Ved å opprette et nøkkelpar distribuerer selskapet den offentlige nøkkelen bredt og lagrer den private nøkkelen sikkert.
Begge tastene representerer en slags kodesekvens. Den offentlige nøkkelen publiseres på selskapets server. Hvem som helst kan kode hvilken som helst melding ved å bruke den offentlige nøkkelen, og bare eieren av den private nøkkelen kan lese den etter kryptering.
Prinsippet om tilstrekkelig beskyttelse... Mange brukere, som mottar andres offentlige nøkkel, ønsker å få og bruke dem, studerer algoritmen til krypteringsmekanismen og prøver å etablere en metode for å dekryptere meldingen for å rekonstruere den private nøkkelen. Prinsippet for tilstrekkelighet er å kontrollere antall private nøkkelkombinasjoner.
Konseptet av elektronisk signatur... Ved hjelp av en elektronisk signatur kan klienten kommunisere med banken og gi ordre om å overføre pengene sine til kontoene til andre personer eller organisasjoner. Hvis du trenger å opprette en elektronisk signatur, bør du bruke et spesielt program (mottatt fra banken) for å lage de samme 2 nøklene: privat (blir hos klienten) og offentlig (overført til banken).
Lesebeskyttelse utført:
på DOS-nivå, ved å introdusere skjulte attributter for filen;
kryptering.
Beskytter det opptaket utført:
angi egenskapen Skrivebeskyttet for filene;
forby skriving til en diskett ved å flytte eller bryte spaken;
deaktivering av skriving gjennom BIOS-oppsett - "stasjon ikke installert"
Når du beskytter informasjon, oppstår ofte problemet med pålitelig dataødeleggelse, noe som skyldes følgende årsaker:
når den slettes, slettes ikke informasjonen fullstendig;
selv etter formatering av en diskett eller disk, kan data gjenopprettes ved hjelp av spesialverktøy for det gjenværende magnetfeltet.
For pålitelig sletting brukes spesielle verktøy som sletter data ved å gjentatte ganger skrive en tilfeldig sekvens av nuller og enere i stedet for de slettede dataene.
Beskytte informasjon på nettverketINTERNETT
Når du arbeider på Internett, bør det huskes at så langt ressursene til World Wide Web er åpne for hver klient, kan ressursene til hans datasystem under visse betingelser være åpne for alle som har de nødvendige midlene . For en privat bruker spiller ikke dette faktum en spesiell rolle, men det er nødvendig å vite om det for å forhindre handlinger som bryter lovene i de landene der Internett-serverne er lokalisert. Slike handlinger inkluderer frivillige eller ufrivillige forsøk på å forstyrre ytelsen til datasystemer, forsøk på å hacke beskyttede systemer, bruk og distribusjon av programmer som forstyrrer ytelsen til datasystemer (spesielt datavirus). Når du jobber på World Wide Web, bør du huske at absolutt alle handlinger registreres og logges av spesiell programvare, og informasjon om både lovlige og ulovlige handlinger vil garantert samle seg et sted. Derfor bør utveksling av informasjon på Internett behandles som vanlig korrespondanse ved bruk av postkort. Informasjon sirkulerer fritt i begge retninger, men generelt er den tilgjengelig for alle deltakere i informasjonsprosessen. Dette gjelder alle Internett-tjenester som er åpne for allmennheten.
Men selv i vanlige posttjenester, sammen med postkort, finnes det også postkonvolutter. Bruk av postkonvolutter i korrespondanse betyr ikke at partnere har noe å skjule. Bruken av dem tilsvarer en lang etablert historisk tradisjon og veletablerte moralske og etiske kommunikasjonsnormer. Behovet for lignende "konvolutter" for å beskytte informasjon eksisterer på Internett. I dag er Internett ikke bare et kommunikasjonsmiddel og et universelt hjelpesystem - det sirkulerer kontraktsmessige og økonomiske forpliktelser, behovet for å beskytte som både mot visning og forfalskning er åpenbart. Siden 1999 har INTERNETT blitt et kraftig verktøy for å sikre detaljhandel, som krever beskyttelse av kredittkortdata og andre elektroniske betalingsmidler.
Prinsippene for informasjonssikkerhet på Internett er basert på definisjonen av informasjon vi formulerte i første kapittel i denne veiledningen. Informasjon er et produkt av datainteraksjon og metoder som er passende for dem... Hvis data i løpet av kommunikasjonsprosessen overføres gjennom åpne systemer (og Internett refererer nettopp til slike), er det umulig å utelukke tilgang til dem av uautoriserte personer, selv teoretisk. Følgelig fokuserer sikkerhetssystemer på den andre komponenten av informasjon - metoder. Deres operasjonsprinsipp er basert på å eliminere eller i det minste gjøre det vanskelig å velge tilstrekkelig metodeå transformere data til informasjon.
