Системите за защита на вашия компютър от проникване на някой друг са много разнообразни и могат да бъдат класифицирани в групи като:
- средства за самозащита, осигурени от общия софтуер;
- средства за защита като част от изчислителна система;
- средства за защита с искане за информация;
- средства за активна защита;
- средства за пасивна защита и др.
Тези защитни групи са показани по-подробно на фиг. 12.
Фигура: 12. Инструменти за софтуерна защита
Основните насоки за използване на софтуерна защита на информацията
Следните области на използване на програми за гарантиране на сигурността на поверителната информация могат да бъдат разграничени, по-специално като:
- защита на информацията от неоторизиран достъп;
- защита на информацията от копиране;
- защита на програми за копиране;
- защита на вирусните програми;
- защита на информацията от вируси;
- софтуерна защита на комуникационните канали.
За всяка от тези области има достатъчен брой висококачествени софтуерни продукти, разработени от професионални организации и разпространени на пазарите (фиг. 13).
Фигура: 13. Софтуерни защити
Софтуерна защитаимат следните видове специални програми:
Идентифициране на технически средства, файлове и удостоверяване на потребителя;
Регистрация и контрол на работата на технически средства и потребители;
Поддържане на ограничени режими за обработка на информация;
Защита на компютърни операционни съоръжения и потребителски приложения;
Унищожаване на информация в паметта след употреба;
Сигнализиране за нарушения на използването на ресурси;
Програми за допълнителна защита за различни цели (фиг. 14).
Фигура: 14. Сфери на софтуерна защита
Идентифицирането на хардуер и файлове, извършвано програмно, се извършва въз основа на анализа на регистрационните номера на различни компоненти и обекти на информационната система и сравняването им със стойностите на адресите и паролите, съхранявани в паметта на системата за управление.
За да се осигури надеждна защита с пароли, работата на системата за защита е организирана по такъв начин, че вероятността за разкриване на тайна парола и установяване на съответствие с един или друг файл или идентификатор на терминал е възможно най-ниска. За да направите това, паролата трябва да се променя периодично и броят на символите в нея трябва да бъде зададен достатъчно голям.
Ефективен начин за идентифициране на адресируеми елементи и удостоверяване на потребителите е алгоритъмът за реакция на предизвикателство, според който системата за сигурност издава заявка за парола на потребителя, след което той трябва да даде категоричен отговор на него. Тъй като моментите на въвеждане на заявка и отговор на нея са непредсказуеми, това усложнява процеса на отгатване на паролата, като по този начин осигурява по-висока сигурност.
Получаването на разрешение за достъп до определени ресурси може да се извършва не само въз основа на използването на секретна парола и последващи процедури за удостоверяване и идентификация. Това може да стане по-подробно, като се вземат предвид различните характеристики на потребителските режими на работа, техните правомощия, категориите заявени данни и ресурси. Този метод се прилага от специални програми, които анализират съответните характеристики на потребителите, съдържанието на задачите, параметрите на хардуера и софтуера, устройствата с памет и т.н.
Конкретните данни, свързани с заявката, влизаща в системата за сигурност, се сравняват по време на работата на защитните програми с данните, въведени в регистрационните секретни таблици (матрици). Тези таблици, както и програми за тяхното формиране и обработка, се съхраняват в криптиран вид и са под специалния контрол на администратора (администраторите) на сигурността на информационната мрежа.
За да се разграничи достъпът на отделните потребители до точно определена категория информация, се прилагат индивидуални мерки за секретност на тези файлове и специален контрол на достъпа на потребителите до тях. Печатът за секретност може да бъде оформен под формата на трибитови кодови думи, които се съхраняват в самия файл или в специална таблица. Същата таблица записва: идентификатора на потребителя, създал файла; терминални идентификатори, от които може да се осъществи достъп до файла; идентификатори на потребители, на които е разрешен достъп до този файл, както и техните права за използване на файла (четене, редактиране, изтриване, актуализиране, изпълнение и др.). Важно е да не се допуска взаимно влияние на потребителите в процеса на достъп до файлове. Ако например няколко потребители имат право да редактират един и същ запис, тогава всеки от тях трябва да запази своята версия на ревизията (няколко копия на записите се правят с цел възможен анализ и установяване на правомощия).
Защита на информацията от неоторизиран достъп
За да се предпази от проникване, задължително се предвиждат определени мерки за сигурност. Основните функции, които трябва да се изпълняват от софтуера, са:
- идентифициране на субекти и обекти;
- разграничаване (понякога пълна изолация) на достъпа до изчислителни ресурси и информация;
- контрол и регистрация на действия с информация и програми.
Процедурата за идентификация и удостоверяване включва проверка дали лицето, което осъществява достъп (или обектът, до който се осъществява достъп), е това, за което се твърди, че е. Такива проверки могат да бъдат еднократни или периодични (особено в случаите на дълги сесии). При процедурите за идентификация се използват различни методи:
- прости, сложни или еднократни пароли;
- обмен на въпроси и отговори с администратора;
- ключове, магнитни карти, значки, жетони;
- инструменти за анализ на индивидуални характеристики (глас, пръстови отпечатъци, геометрични параметри на ръцете, лицето);
- специални идентификатори или контролни суми за хардуер, програми, данни и др.
Най-често срещаният метод за удостоверяване е удостоверяването с парола.
Практиката показва, че защитата на данните с парола е слаба връзка, тъй като паролата може да бъде подслушвана или шпионирана, паролата може да бъде прихваната или дори лесно да се отгатне.
За да се защити самата парола, са разработени определени препоръки за това как да направите паролата надеждна:
- паролата трябва да съдържа поне осем знака. Колкото по-малко символи съдържа паролата, толкова по-лесно е да се отгатне;
- не използвайте очевиден набор от знаци като парола, например вашето име, дата на раждане, имена на близки или имена на вашите програми. Най-добре е да използвате неизвестна формула или цитат за тази цел;
- ако криптографската програма позволява, въведете в паролата поне едно интервал, не азбучен знак или главна буква;
- не казвайте на никого паролата си, не я записвайте. Ако трябва да нарушите тези правила, скрийте листа в заключваща се кутия;
- променяйте паролата си по-често;
- не въвеждайте паролата в процедурата за установяване на диалогов прозорец или макроса.
Не забравяйте, че паролата, въведена на клавиатурата, често се съхранява в автоматичната последователност за влизане.
Изчисленията на контролна сума често се използват за идентифициране на програми и данни, но както при удостоверяването с парола, е важно да се премахне възможността за фалшифициране, като същевременно се поддържа правилната контролна сума. Това се постига чрез използването на усъвършенствани техники за контролна сума, базирани на криптографски алгоритми. Възможно е да се осигури защита на данните срещу фалшифициране (устойчивост на имитация) чрез използване на различни методи за криптиране и методи за цифров подпис, базирани на криптографски системи с публичен ключ.
След извършване на процедурите за идентификация и удостоверяване, потребителят получава достъп до компютърната система и защитата на информацията се извършва на три нива:
- оборудване;
- софтуер;
- данни.
Защитата на хардуерно и софтуерно ниво осигурява контрол на достъпа до изчислителни ресурси: отделни устройства, RAM, операционна система, специална услуга или програми за лични потребители.
Защитата на информацията на ниво данни е насочена към:
- за защита на информацията при достъп до нея, докато работите на компютър и извършвате само разрешени операции върху тях;
- за защита на информацията по време на нейното предаване по комуникационни канали между различни компютри.
Контролът на достъпа до информация ви позволява да отговаряте на въпроси:
- кой може да извършва и какви операции;
- какви данни е разрешено за извършване на операции.
Обектът, до който се контролира достъпът, може да бъде файл, запис във файл или отделно поле на файл и като фактори, които определят реда на достъп, конкретно събитие, стойности на данните, състояние на системата, пълномощия на потребителя, история на достъпа и други данни.
Достъпът, управляван от събития, осигурява блокиране на потребителския достъп. Например на определени интервали или при достъп от определен терминал. Достъпът до състоянието се основава на текущото състояние на изчислителната система, контролните програми и системата за сигурност.
По отношение на достъпа, в зависимост от властта, той осигурява достъп на потребителя до програми, данни, оборудване, в зависимост от предоставения режим. Тези режими могат да бъдат: „само за четене“, „четене и запис“, „само изпълнение“ и т.н.
Повечето контроли за достъп се основават на някаква форма на изглед на матрица за достъп.
Друг подход за изграждане на инструменти за защита на достъпа се основава на контролиране на информационните потоци и разделяне на обекти и обекти на достъп в класове за поверителност.
Инструментите за регистрация, като инструментите за контрол на достъпа, са ефективни мерки за защита срещу неразрешени действия. Ако обаче контролите за достъп са предназначени да предотвратят подобни действия, тогава задачата на регистрацията е да открие вече предприети действия или техните опити.
Като цяло комплекс от софтуерни и хардуерни инструменти и организирани (процедурни) решения за защита на информацията от неоторизиран достъп (NSD) се реализира чрез следните действия:
- контрол на достъпа;
- регистрация и счетоводство;
- използването на криптографски средства;
- осигуряване на целостта на информацията.
Могат да се отбележат следните форми на контрол и диференциация на достъпа, които се използват широко на практика.
1. Предотвратяване на достъпа:
- към твърдия диск;
- да се отделят секции;
- за отделяне на файлове;
- към каталози;
- към дискети;
- към сменяем носител.
2. Задаване на права за достъп до група файлове.
3. Защита срещу модификация:
- файлове;
- каталози.
4. Защита срещу унищожаване:
- файлове;
- каталози.
5. Предотвратяване на копиране:
- файлове;
- каталози;
- приложни програми.
6. Затъмняване на екрана след определеното от потребителя време.
Инструментите за защита на данните са обобщени на фиг. 15.
Фигура: 15. Средства за защита на данните
Защита срещу копиране
Инструментите за защита от копиране предотвратяват използването на откраднати копия на софтуер и в момента са единствените надеждни средства - както защита на авторските права на програмисти-разработчици, така и стимулиране на развитието на пазара. Защита срещу копиране означава средство, което гарантира, че програмата изпълнява функциите си само след разпознаване на някакъв уникален елемент, който не може да се копира. Такъв елемент (наречен ключ) може да бъде дискета, определена част от компютъра или специално устройство, свързано към компютър. Защитата срещу копиране се реализира чрез изпълнение на редица функции, които са общи за всички системи за защита:
- идентифициране на средата, от която ще стартира програмата;
- удостоверяване на средата, от която се стартира програмата;
- реакция на изстрелване от неоторизирана среда;
- регистрация на разрешено копиране;
- опозиция на изучаването на алгоритмите на системата.
Средата, от която ще бъде стартирана програмата, означава или дискета, или компютър (ако инсталацията се извършва на твърд диск). Идентифицирането на средата се състои в нейното наименование по някакъв начин с цел допълнително удостоверяване. Да се \u200b\u200bидентифицира среда означава да се прикачат към нея някои специално създадени или измервани рядко повтарящи се и трудно фалшиви характеристики - идентификатори. Идентифицирането на флопи може да се извърши по два начина.
Първият се основава на увреждане на част от повърхността на дискетата. Често срещан начин за такава идентификация е "лазерната дупка". При този метод дискета се изгаря на някакво място с лазерен лъч. Очевидно е доста трудно да се направи точно същата дупка в дисковата копия и на същото място, както на оригиналната дискета.
Вторият метод за идентификация се основава на нестандартно форматиране на флопи.
Реакцията при стартиране от неоторизирана среда обикновено се свежда до издаване на съответно съобщение.
Защита на информацията от унищожаване
Една от задачите за осигуряване на сигурност за всички случаи на използване на компютър е защитата на информацията от унищожаване, което може да възникне по време на подготовката и изпълнението на различни мерки за възстановяване (резервиране, създаване и актуализиране на застрахователния фонд, поддържане на архиви на информация и др.). Тъй като причините за унищожаването на информацията са много разнообразни (неразрешени действия, грешки на програми и оборудване, компютърни вируси и т.н.), то предприемането на застрахователни мерки е задължително за всички, които използват персонални компютри.
Особено трябва да се отбележи опасността от компютърни вируси. Много компютърни потребители (PC) са добре запознати с тях и тези, които все още не са запознати с тях, скоро ще се запознаят. Компютърният вирус е малка, доста сложна, внимателно съставена и опасна програма, която може да се размножава независимо, да се прехвърля на дискове, да се свързва с програми на други хора и да се предава по информационни мрежи. Вирусът обикновено се създава, за да наруши работата на компютъра по различни начини - от „безвредно“ издаване на съобщение до изтриване или унищожаване на файлове.
По-голямата част от вирусите са създадени от хулигански програмисти, главно за да забавляват суетата си или да печелят пари от продажба на антивирусен софтуер. Антивирусът е програма, която открива или открива и премахва вируси. Такива програми са специализирани или универсални. Каква е разликата между универсален антивирус и специализиран? Специализираният може да се справя само с вече написани, работещи вируси, а универсалният - и с още не написани.
Повечето антивирусни програми са специализирани: AIDSTEST, VDEATH, SERUM-3, ANTI-KOT, SCAN и стотици други. Всеки от тях разпознава един или повече специфични вируси, без да реагира по никакъв начин на присъствието на останалите.
Универсалните антивируси са предназначени за борба с цели класове вируси. По дизайн универсалните антивируси могат да бъдат доста различни. Резидентните антивируси и одиторските програми се използват широко.
Както тези, така и другите антивирусни програми имат определени възможности - положителни и отрицателни (недостатъци) характеристики. По своята простота специализираните са твърде тясно специализирани. При значително разнообразие от вируси се изисква същото разнообразие от антивируси.
В допълнение към използването на антивирусни програми за защита срещу вируси, широко се използват и организационни мерки за сигурност. За да се намали рискът от вирусни атаки, е възможно да се предприемат определени действия, които могат да бъдат намалени или разширени за всеки конкретен случай. Някои от тези действия са:
1. Информирайте всички служители на предприятието за опасността и възможните щети в случай на вирусни атаки.
2. Не осъществявайте официални отношения с други предприятия за обмен (получаване) на софтуер. Забранете на служителите да носят програми „отвън“, за да ги инсталират в системи за обработка на информация. Трябва да се използват само официално разпространявани програми.
3. Да се \u200b\u200bзабрани на служителите да използват компютърни игри на компютър, които обработват поверителна информация.
4. Отделете отделно специално място за достъп до информационни мрежи на трети страни.
5. Създайте архив от копия на програми и данни.
6. Периодично проверявайте чрез контролна сума или сравнение с "чисти" програми.
7. Инсталирайте системи за информационна сигурност на особено важни персонални компютри. Прилагайте специални антивирусни инструменти.
Софтуерна защита на информацията -това е система от специални програми, включени в софтуера, която изпълнява функциите за информационна сигурност.
Софтуерните средства са обективни форми за представяне на набор от данни и команди, предназначени за функционирането на компютри и компютърни устройства, за да се получи определен резултат, както и материали, подготвени и записани на физически носител, получени в хода на тяхното развитие, и аудиовизуалните дисплеи, генерирани от тях. Те включват:
Софтуер (набор от програми за контрол и обработка). Структура:
Системни програми (операционни системи, програми за поддръжка);
Приложни програми (програми, предназначени да решават проблеми от определен тип, например текстови редактори, антивирусни програми, СУБД и др.);
Инструментални програми (системи за програмиране, състоящи се от езици за програмиране: Turbo C, Microsoft Basic и др. И преводачи - набор от програми, които осигуряват автоматичен превод от алгоритмични и символни езици в машинни кодове);
Информация за машината на собственика, собственика, потребителя.
Извършвам такива подробности, за да разбера по-късно по-ясно същността на разглеждания въпрос, за да подчертая по-ясно методите за извършване на компютърни престъпления, предмети и оръжия за престъпно посегателство, както и да премахна разногласията относно терминологията на компютърните технологии. След подробно разглеждане на основните компоненти, които заедно представляват съдържанието на концепцията за компютърно престъпление, можем да пристъпим към разглеждането на въпроси, свързани с основните елементи на криминалистичната характеристика на компютърните престъпления.
Защитният софтуер включва специални програми, които са предназначени да изпълняват защитни функции и са включени в софтуера на системите за обработка на данни. Софтуерната защита е най-често срещаният вид защита, което се улеснява от такива положителни свойства на този инструмент като гъвкавост, гъвкавост, лекота на изпълнение, практически неограничени възможности за промяна и развитие и т.н. По своето функционално предназначение те могат да бъдат разделени на следните групи:
Идентифициране на технически средства (терминали, устройства за групов контрол на входа-изход, компютри, носители на информация), задачи и потребители;
Определяне на правата на техническите средства (дни и часове работа, разрешени за използване на задачата) и потребители;
Контрол върху работата на техническите средства и потребителите;
Регистрация на работата на технически средства и потребители при обработка на информация с ограничена употреба;
Унищожаване на информация в паметта след употреба;
Аларми за неразрешени действия;
Спомагателни програми за различни цели: наблюдение на действието на защитния механизъм, поставяне на печат за секретност на издадени документи.
Антивирусна защита
Информационната сигурност е един от най-важните параметри на всяка компютърна система. В негова подкрепа са създадени голям брой софтуерни и хардуерни инструменти. Някои от тях се занимават с криптиране на информация, други са с ограничаване на достъпа до данни. Компютърните вируси са особен проблем. Това е отделен клас програми, насочени към нарушаване на системата и повреждане на данни. Сред вирусите се различават редица разновидности. Някои от тях са постоянно в паметта на компютъра, други произвеждат разрушителни действия с еднократни „удари“. Съществува и цял клас програми, които външно са доста прилични, но всъщност развалят системата. Такива програми се наричат \u200b\u200b"троянски коне". Едно от основните свойства на компютърните вируси е способността да се „размножават“ - т.е. саморазпространение вътре в компютър и компютърна мрежа.
Оттогава, тъй като различни офис софтуерни инструменти могат да работят със специално написани програми за тях (например Microsoft Office може да пише приложения на езика Visual Basic), се появи нов тип злонамерени програми - т.нар. MacroViruses. Вирусите от този тип се разпространяват заедно с обикновени файлове с документи и се съдържат в тях като редовни подпрограми.
Не толкова отдавна (тази пролет) се разпространи епидемия от вируса Win95.CIH и многобройните му подвидове. Този вирус унищожи съдържанието на BIOS на компютъра, което направи невъзможно работата. Често дори се налагаше да се изхвърлят дънни платки, повредени от този вирус.
Като се вземе предвид мощното развитие на комуникационните средства и драстично увеличените обеми на обмен на данни, проблемът с защитата срещу вируси става много спешен. Всъщност с всеки документ, получен например по имейл, може да се получи макровирус и всяка стартирана програма може (теоретично) да зарази компютър и да направи системата неизползваема.
Следователно сред системите за сигурност най-важната област е борбата с вирусите. Има редица инструменти, специално проектирани за тази задача. Някои от тях работят в режим на сканиране и сканират съдържанието на твърдите дискове и компютърната памет за вируси. Някои от тях трябва да работят постоянно и да са в паметта на компютъра. По този начин те се опитват да следят всички изпълнявани задачи.
На руския софтуерен пазар най-популярен е пакетът AVP, разработен от Лабораторията за антивирусни системи на Kaspersky. Това е универсален продукт, който има версии за различни операционни системи.
Kaspersky Anti-Virus (AVP) използва всички съвременни видове антивирусна защита: антивирусни скенери, монитори, поведенчески блокери и ревизори на промени. Различни версии на продукта поддържат всички популярни операционни системи, пощенски шлюзове, защитни стени, уеб сървъри. Системата ви позволява да контролирате всички възможни начини за проникване на вируси в компютъра на потребителя, включително Интернет, електронна поща и мобилни носители за съхранение. Инструментите за управление на Kaspersky Anti-Virus ви позволяват да автоматизирате най-важните централизирани операции по инсталиране и управление, както на локален компютър, така и в случай на цялостна защита на корпоративна мрежа. Лабораторията на Касперски предлага три готови антивирусни решения за защита, предназначени за основните категории потребители. Първо, антивирусна защита за домашни потребители (един лиценз за един компютър). На второ място, антивирусна защита за малкия бизнес (до 50 работни станции в мрежата). На трето място, антивирусна защита за корпоративни потребители (повече от 50 работни станции в мрежата). Времената са безвъзвратно отминали, когато, за да сме напълно сигурни в безопасността от „инфекция“, е било достатъчно да не се използват „произволни“ дискети и веднъж или два пъти седмично да се стартира помощната програма Aidstest на машината R, който проверява твърдия диск на компютъра за съмнителни предмети. Първо, обхватът от области, в които могат да се появят тези обекти, се е разширил. Имейл с прикачени „вредни“ файлове, макро вируси в офис (главно Microsoft Office) документи, „троянски коне“ - всичко това се появи относително наскоро. На второ място, подходът на периодичните ревизии на твърдия диск и архивите престава да се оправдава - подобни проверки ще трябва да се извършват твърде често и биха заели твърде много системни ресурси.
Остарелите системи за сигурност са заменени от ново поколение, способно да проследява и неутрализира "заплахата" във всички критични области - от електронната поща до копирането на файлове между дисковете. В същото време съвременните антивируси организират защита в реално време, което означава, че те са постоянно в паметта и анализират обработваната информация.
Един от най-добре познатите и широко използвани антивирусни защитни пакети е AVP от Лабораторията на Касперски. Този пакет се предлага в много различни опции. Всеки от тях е предназначен за решаване на определен набор от проблеми със сигурността и има редица специфични свойства.
Системите за защита, разпространявани от Лабораторията на Касперски, са разделени на три основни категории, в зависимост от типовете задачи, които решават. Това са защита за малкия бизнес, защита за домашни потребители и защита за корпоративни клиенти.
AntiViral Toolkit Pro включва програми, които ви позволяват да защитите работни станции, контролирани от различни операционни системи - AVP скенери за DOS, Windows 95/98 / NT, Linux, AVP монитори за Windows 95/98 / NT, Linux, файлови сървъри - AVP монитор и скенер за Novell Netware, монитор и скенер за NT сървър, WEB сървър - AVP Inspector дисков одитор за Windows, Microsoft Exchange пощенски сървъри - AVP за Microsoft Exchange и шлюзове.
AntiViral Toolkit Pro включва скенери и програми за мониторинг. Мониторите ви позволяват да организирате по-пълния контрол, необходим в най-критичните области на мрежата.
В мрежите Windows 95/98 / NT AntiViral Toolkit Pro ви позволява да извършвате централизирано администриране на цялата логическа мрежа от работната станция на администратора, използвайки софтуерния пакет AVP Network Control Center.
Концепцията AVP улеснява и редовно актуализира антивирусните програми, като замества антивирусните бази данни - набор от файлове с разширение .AVC, които днес позволяват откриване и премахване на повече от 50 000 вируса. Актуализациите на антивирусните бази данни се издават и са достъпни от сървъра на Kaspersky Lab всеки ден. В момента антивирусният софтуерен пакет AntiViral Toolkit Pro (AVP) разполага с една от най-големите антивирусни бази данни в света.
Подобна информация.
Изпратете вашата добра работа в базата знания е проста. Използвайте формуляра по-долу
Студенти, аспиранти, млади учени, използващи базата от знания в своето обучение и работа, ще ви бъдат много благодарни.
публикувано на http://www.allbest.ru/
Въведение
1. Проблеми на защитата на информацията в компютърните системи
2. Осигуряване на защита на информацията в мрежите
3. Механизми за сигурност
3.1 Криптография
3.2 Електронен подпис
3.3 Удостоверяване
3.4 Защита на мрежи
4. Изисквания към съвременните средства за защита на информацията
Заключение
Литература
Въведение
В изчисленията сигурността е много широко понятие. Това предполага както надеждността на компютъра, така и безопасността на ценните данни, както и защитата на информацията от промени в него от неупълномощени лица, както и запазването на тайната на кореспонденцията в електронните комуникации. Разбира се, във всички цивилизовани страни безопасността на гражданите е защитена със закони, но в областта на компютърните технологии правоприлагащата практика все още не е достатъчно развита и законотворческият процес не е в крак с развитието на компютърните системи и до голяма степен се основава на мерки за самозащита.
Винаги има проблем с избора между необходимото ниво на защита и ефективността на мрежата. В някои случаи мерките за сигурност от потребители или потребители могат да се разглеждат като мерки за ограничаване на достъпа и ефективността. Въпреки това, такива инструменти като например криптографията могат значително да увеличат степента на защита, без да ограничават достъпа на потребителя до данни.
1. Проблеми на защитата на информацията вкомпютърсистеми
Широкото използване на компютърни технологии в автоматизирани системи за обработка на информация и контрол доведе до изостряне на проблема за защита на информацията, циркулираща в компютърни системи, от неоторизиран достъп. Защитата на информацията в компютърните системи има редица специфични характеристики, свързани с факта, че информацията не е здраво свързана с носителя, може лесно и бързо да се копира и предава чрез комуникационни канали. Известен е много голям брой информационни заплахи, които могат да бъдат приложени както от външни нарушители, така и от вътрешни нарушители.
Радикално решение на проблемите за защита на електронната информация може да се получи само чрез използването на криптографски методи, които позволяват решаването на най-важните проблеми на сигурната автоматизирана обработка и предаване на данни. В същото време съвременните високоскоростни методи за криптографска трансформация позволяват да се поддържа оригиналната производителност на автоматизираните системи. Криптографските трансформации на данни са най-ефективното средство за гарантиране на поверителност, целостта и автентичността на данните. Само използването им във връзка с необходимите технически и организационни мерки може да осигури защита срещу широк спектър от потенциални заплахи.
Проблемите, възникващи със сигурността на предаването на информация при работа в компютърни мрежи, могат да бъдат разделени на три основни типа:
· прихващане на информация - целостта на информацията се запазва, но нейната поверителност е нарушена;
· модификация на информацията - оригиналното съобщение се променя или изцяло заменя с друго и се изпраща на адресата;
· заместване на авторството на информация. Този проблем може да има сериозни последици. Например някой може да изпрати имейл от ваше име (този тип измама обикновено се нарича подправяне) или уеб сървър може да се преструва, че е онлайн магазин, да приема поръчки, номера на кредитни карти, но да не изпраща никакви артикули.
Нуждите на съвременната практическа информатика доведоха до появата на нетрадиционни проблеми за защита на електронната информация, един от които е удостоверяването на електронна информация в условия, когато страните, които обменят информация, не си имат доверие. Този проблем е свързан със създаването на системи за електронен цифров подпис. Теоретичната основа за решаването на този проблем е откриването на криптография с два ключа от американските изследователи Дифи и Хемиман в средата на 70-те години, което е блестящо постижение на вековното еволюционно развитие на криптографията. Революционните идеи на криптографията с два ключа доведоха до рязко увеличаване на броя на отворените изследвания в областта на криптографията и показаха нови начини за развитие на криптографията, нейните нови възможности и уникалната стойност на нейните методи в съвременните условия на масово използване на електронни информационни технологии.
Техническата основа за прехода към информационното общество са съвременните микроелектронни технологии, които осигуряват непрекъснато повишаване на качеството на изчислителната техника и служат като основа за поддържане на основните тенденции в нейното развитие - миниатюризация, намаляване на консумацията на енергия, увеличаване на обема на паметта с произволен достъп (RAM) и капацитета на вградените и сменяеми устройства, нарастване на производителността и надеждност, разширяване на обхвата и мащаба на приложение. Тези тенденции в развитието на компютърните технологии доведоха до факта, че на настоящия етап защитата на компютърните системи от неразрешен достъп се характеризира с увеличаване на ролята на софтуера и криптографските защитни механизми в сравнение с хардуера.
Нарастващата роля на софтуера и средствата за криптографска защита се проявява във факта, че възникващите нови проблеми в областта на защитата на компютърните системи от неразрешен достъп изискват използването на механизми и протоколи с относително висока изчислителна сложност и могат да бъдат ефективно решени чрез използване на компютърни ресурси.
Един от важните социално-етични проблеми, породени от непрекъснато разширяващото се прилагане на методи за криптографска защита на информацията, е противоречието между желанието на потребителите да защитят своята информация и предаването на съобщения и желанието на специалните държавни служби да имат достъп до информацията на някои други организации и лица, за да потиснат незаконните дейности. ... В развитите страни има широк спектър от мнения относно подходите по въпроса за регулиране на използването на алгоритми за криптиране. Направени са предложения за пълна забрана за широкото използване на криптографски методи за пълна свобода на тяхното използване. Някои от предложенията се отнасят до разрешаване на използването само на отслабени алгоритми или до установяването на процедура за задължителна регистрация на ключове за криптиране. Изключително трудно е да се намери оптимално решение на този проблем. Как да оценим съотношението на загубите на законопослушни граждани и организации от незаконно използване на тяхната информация и загубите на държавата от невъзможността да получат достъп до криптирана информация на определени групи, криещи незаконната си дейност? Как можете да гарантирате, че ще предотвратите незаконната употреба на криптоалгоритми от лица, които нарушават други закони? Освен това винаги има начини за скрито съхранение и предаване на информация. Тези въпроси тепърва ще бъдат разглеждани от социолози, психолози, юристи и политици.
Появата на глобални информационни мрежи като INTERNET е важно постижение на компютърните технологии, но много компютърни престъпления са свързани с INTERNET.
Резултатът от опита на използването на мрежата INTERNET е разкритата слабост на традиционните механизми за защита на информацията и изоставането в прилагането на съвременните методи. Криптографията предоставя възможност за гарантиране на сигурността на информацията в ИНТЕРНЕТ и сега се работи за въвеждане на необходимите криптографски механизми в тази мрежа. Не отхвърляне на напредъка в информатизацията, а използването на съвременни постижения на криптографията - това е стратегически правилното решение. Възможността за широко използване на глобални информационни мрежи и криптография е постижение и знак за демократично общество.
Обективно, притежаването на основите на криптографията в информационното общество не може да бъде привилегия на отделните държавни служби, но е спешна необходимост за най-широките слоеве от научно-технически работници, които използват компютърна обработка на данни или разработват информационни системи, персонал за сигурност и управление на организации и предприятия. Само това може да служи като основа за ефективното прилагане и работа на инструментите за информационна сигурност.
Една отделна организация не може да осигури достатъчно пълен и ефективен контрол върху информационните потоци в цялата държава и да осигури адекватна защита на националния информационен ресурс. Въпреки това отделните държавни органи могат да създадат условия за формиране на пазар за висококачествени продукти за сигурност, обучение на достатъчен брой специалисти и овладяване на основите на криптографията и защитата на информацията от страна на масовите потребители.
В Русия и други страни от ОНД в началото на 90-те години имаше отчетлива тенденция да изпреварва разширяването на мащаба и обхвата на информационните технологии над развитието на системите за защита на данните. Това положение до известна степен беше и е типично за развитите капиталистически страни. Това е естествено: първо трябва да възникне практически проблем и след това ще бъдат намерени решения. Началото на перестройката в ситуация на силно изоставане на страните от ОНД в областта на информатизацията в края на 80-те години създаде благоприятна почва за рязко преодоляване на съществуващата празнина.
Примерът с развитите страни, възможността за закупуване на системен софтуер и компютърен хардуер вдъхнови местните потребители. Включването на масовия потребител, заинтересуван от оперативна обработка на данни и други предимства на съвременните информационни и изчислителни системи, в решаването на проблема с компютъризацията доведе до много високи темпове на развитие на тази област в Русия и други страни от ОНД. Въпреки това естественото съвместно развитие на инструментите за автоматизация на информацията и защитата на информацията беше до голяма степен нарушено, което стана причина за масови компютърни престъпления. Не е тайна, че компютърните престъпления в момента са един от най-належащите проблеми.
Използването на чуждестранни системи за сигурност не може да коригира този дисбаланс, тъй като продуктите от този тип, влизащи на руския пазар, не отговарят на изискванията поради съществуващите ограничения за износ, приети в САЩ, основния производител на продукти за информационна сигурност. Друг аспект от първостепенно значение е, че продуктите от този тип трябва да преминат установената процедура за сертифициране в организациите, упълномощени да извършват такава работа.
Сертификатите на чуждестранни фирми и организации не могат да бъдат заместител на местните. Самият факт на използване на чужд системен и приложен софтуер създава повишена потенциална заплаха за информационните ресурси. Използването на чужди средства за защита без подходящ анализ на съответствието с изпълняваните функции и нивото на осигурена защита може да усложни ситуацията многократно.
Принуждаването на процеса на информатизация изисква адекватно осигуряване на средства за защита на потребителите. Липсата на достатъчен брой средства за защита на информацията, циркулираща в компютърни системи на вътрешния пазар, не позволи за значително време да се предприемат мерки за защита на данните в необходимия мащаб. Ситуацията се влоши от липсата на достатъчен брой специалисти в областта на информационната сигурност, тъй като последните, като правило, бяха подготвени само за специални организации. Преструктурирането на последното, свързано с настъпилите промени в Русия, доведе до създаването на независими организации, специализирани в областта на защитата на информацията, поглъщащи освободения персонал, и в резултат на появата на дух на конкуренция, което доведе до появата на доста голям брой сертифицирани средства за защита за местните разработчици.
Една от важните характеристики на масовото използване на информационните технологии е, че за ефективното решаване на проблема със защитата на държавния информационен ресурс е необходимо да се разпръснат мерките за защита на данните сред масовите потребители. Информацията трябва да бъде защитена преди всичко там, където тя се създава, събира, обработва и от онези организации, които са директно повредени от неоторизиран достъп до данни. Този принцип е рационален и ефективен: защитата на интересите на отделните организации е компонент на защитата на интересите на държавата като цяло.
2. Осигуряване на защитата на информацията вмрежи
BC концентрира информация, изключително право на използване, която принадлежи на определени лица или групи лица, действащи по собствена инициатива или в съответствие със служебните задължения. Такава информация трябва да бъде защитена от всякакъв вид външна намеса: четене от лица, които нямат право на достъп до информация, и умишлени промени в информацията. Освен това въоръжените сили трябва да предприемат мерки за защита на изчислителните ресурси на мрежата от неразрешеното им използване, т.е. трябва да се изключи достъпът до мрежата на лица, които нямат право на това. Физическата защита на системата и данните може да се осъществи само по отношение на работещите компютри и комуникационни центрове и се оказва невъзможно за преносните съоръжения с голяма дължина. Поради тази причина въоръжените сили трябва да използват средства за изключване на неоторизиран достъп до данни и осигуряване на тяхната тайна.
Изследванията на практиката на функциониране на системите за обработка на данни и компютърните системи показаха, че има много възможни насоки за изтичане на информация и начини за неоторизиран достъп в системи и мрежи. Между тях:
· четене на остатъчна информация в системната памет след изпълнение на оторизирани заявки;
· копиране на носители на информация и информационни файлове с преодоляване на мерки за сигурност;
· маскирайте се като регистриран потребител;
· прикриване като системна заявка;
· използване на софтуерни капани;
· използване на недостатъците на операционната система;
· незаконна връзка с оборудване и комуникационни линии;
· злонамерено деактивиране на защитните механизми;
· въвеждане и използване на компютърни вируси.
Осигуряването на сигурността на информацията в самолета и в автономно работещите персонални компютри се постига чрез комплекс от организационни, организационни, технически, технически и софтуерни мерки.
Към организационни мерки за защита на информациятасвързани:
· ограничаване на достъпа до помещения, където информацията се подготвя и обработва;
· допускане до обработката и предаването на поверителна информация само от проверени служители;
· съхранение на магнитни носители и регистрационни книги в сейфове, затворени за неоторизиран достъп;
· изключване на гледане от неупълномощени лица на съдържанието на обработени материали чрез дисплей, принтер и др .;
· използването на криптографски кодове при предаване на ценна информация по комуникационни канали;
· унищожаване на мастилни панделки, хартия и други материали, съдържащи фрагменти от ценна информация.
Организационни и технически мерки за защита на информациятавключват:
· захранване на оборудване, което обработва ценна информация от независим източник на енергия или чрез специални захранващи филтри;
· монтаж на комбинирани брави на вратите на помещенията;
· използване на течнокристални или плазмени дисплеи за показване на информация по време на въвеждане-извеждане и за получаване на хартиени копия - мастиленоструйни принтери и термопринтери, тъй като дисплеят дава такова високочестотно електромагнитно излъчване, че изображението от неговия екран може да бъде получено на разстояние от няколкостотин километра;
· унищожаване на информация, съхранявана в ROM и на твърдия диск при отписване или изпращане на компютър за ремонт;
· инсталиране на клавиатури и принтери върху меки подложки, за да се намали възможността за получаване на информация с помощта на акустичен метод;
· ограничаване на електромагнитното излъчване чрез екраниране на помещенията, където информацията се обработва с метални листове или специална пластмаса.
Технически средства за информационна сигурност- това са системи за защита на територии и помещения чрез екраниране на машинни помещения и организиране на системи за контрол на достъпа. Защитата на информацията в мрежите и изчислителните съоръжения с помощта на технически средства се осъществява на базата на организиране на достъпа до паметта с помощта на:
· контрол на достъпа до различни нива на компютърната памет;
· блокиране на данни и въвеждане на ключове;
· разпределяне на контролни битове за записи с цел идентификация и др.
Архитектура на софтуера за информационна сигурноствключва:
· контрол на сигурността, включително контрол на регистрацията на влизане в системата, запис в системния дневник, контрол на действията на потребителя;
· реакция (включително звукова) на нарушение на системата за защита за контрол на достъпа до мрежови ресурси;
· контрол на идентификационните данни за достъп;
· формален контрол на сигурността на операционните системи (основна за цялата система и мрежа);
· контрол на защитни алгоритми;
· проверка и потвърждаване на правилното функциониране на хардуера и софтуера.
За надеждна защита на информацията и идентифициране на случаи на неразрешени действия, системата се регистрира: създават се специални дневници и протоколи, в които се записват всички действия, свързани със защитата на информацията в системата. Записват се часът на получаване на приложението, неговият тип, името на потребителя и терминалът, от който се инициализира приложението. Когато избирате събития, които да бъдат регистрирани, трябва да се има предвид, че с нарастването на броя на регистрираните събития става трудно да видите дневника и да откриете опити за преодоляване на защитата. В този случай можете да приложите софтуерен анализ и да запишете съмнителни събития. За тестване на системата за защита се използват и специални програми. Периодично или в произволно избрани моменти от време те проверяват функционалността на хардуерната и софтуерната защита.
Отделна група от мерки за осигуряване на безопасността на информацията и идентифициране на неразрешени запитвания включва програми за откриване на нарушения в реално време. Програмите от тази група генерират специален сигнал при регистриране на действия, които могат да доведат до незаконни действия по отношение на защитената информация. Сигналът може да съдържа информация за естеството на нарушението, мястото на неговото възникване и други характеристики. Освен това програмите могат да откажат достъп до защитена информация или да симулират такъв режим на работа (например незабавно зареждане на входно-изходни устройства), което ще разкрие нарушителя и ще го задържи от съответната услуга. защита на компютърното удостоверяване
Един от най-често срещаните методи за защита е изричното посочване на тайната на показваната информация. В системи, които поддържат няколко нива на секретност, извеждането на всяка единица информация (например файл, запис и таблица) към терминала или екрана на печатащото устройство се придружава от специален печат, указващ нивото на секретност. Това изискване се изпълнява с помощта на подходящи софтуерни инструменти.
Отделна група включва средства за защита срещу неразрешено използване на софтуер. Те са от особено значение поради широкото използване на компютри.
3. Козинаанизми на сигурността
3.1 Криптография
За да се гарантира секретност, се използва криптиране или криптография, което позволява данните да се трансформират в криптирана форма, от която оригиналната информация може да бъде извлечена само ако е наличен ключ.
Системите за криптиране са толкова стари, колкото писмените комуникации.
„Криптография“ в превод от гръцки означава „тайно писане“, което напълно отразява първоначалната му цел. Примитивните (от гледна точка на днешния ден) криптографски методи са известни от древни времена и много дълго време са били считани по-скоро за трик, отколкото за строга научна дисциплина. Класическата задача на криптографията е обратимо преобразуване на някакъв разбираем изходен текст (открит текст) в очевидно произволна последователност от някои знаци, наречена шифротекст или криптограма. В този случай пакетът с шифри може да съдържа както нови, така и съществуващи символи в отвореното съобщение. Броят на знаците в криптограмата и в оригиналния текст обикновено може да се различава. Необходимо изискване е, че с помощта на някои логически замествания на символите в шифъртекста е възможно недвусмислено и пълно възстановяване на оригиналния текст. Надеждността на запазването на информацията в тайна се определя в древни времена от факта, че самият метод за преобразуване е бил държан в тайна.
Изминаха много векове, през които криптографията беше обект на избрани - свещеници, владетели, големи военни лидери и дипломати. Въпреки ниското разпространение, използването на криптографски методи и методи за преодоляване на вражески шифри оказа значително влияние върху резултата от важни исторически събития. Известни са повече от един пример за това как преоценката на използваните шифри е довела до военни и дипломатически поражения. Въпреки прилагането на криптографски техники във важни области, епизодичното използване на криптографията дори не може да я доближи до ролята и значението, което има в съвременното общество. Криптографията дължи трансформацията си в научна дисциплина на практическите нужди, породени от електронните информационни технологии.
Събуждането на значителен интерес към криптографията и нейното развитие започва през 19 век, което е свързано с раждането на телекомуникациите. През 20 век тайните служби на повечето развити страни започват да смятат тази дисциплина за незаменим инструмент в своята дейност.
Шифроването се основава на две основни концепции: алгоритъм и ключ. Алгоритъм е начин за кодиране на изходния текст, което води до кодирано съобщение. Шифрованото съобщение може да се интерпретира само с ключ.
Очевидно е, че алгоритъм е достатъчен за криптиране на съобщението.
Холандският криптограф Керкхоф (1835 - 1903) първи формулира правилото: силата на шифъра, т.е. криптосистеми - набор от процедури, контролирани от някаква секретна информация с малък обем, трябва да се предостави в случая, когато криптоаналитикът на противника познава целия механизъм за криптиране, с изключение на секретния ключ - информация, която контролира процеса на криптографски трансформации. Очевидно една от целите на това изискване беше осъзнаването на необходимостта от тестване на разработените криптосхеми в условия, които са по-тежки от тези, при които потенциален нарушител може да работи. Това правило стимулира появата на по-качествени алгоритми за криптиране. Можем да кажем, че той съдържа първия елемент на стандартизация в областта на криптографията, тъй като се предполага, че ще разработи отворени начини за трансформации. Понастоящем това правило се тълкува по-широко: всички дългосрочни елементи на системата за сигурност трябва да се приемат за известни на потенциален нападател. Последната формулировка на криптосистемите е включена като специален случай на защитни системи. Тази формулировка предполага, че всички елементи на защитните системи попадат в две категории - трайни и лесно сменяеми. Постоянни елементи са онези елементи, които са свързани с развитието на защитни системи и изискват намесата на специалисти или разработчици, за да се променят. Лесно сменяемите елементи включват системни елементи, които са проектирани за произволна модификация или модификация съгласно предварително определено правило въз основа на произволно избрани първоначални параметри. Лесно сменяемите елементи включват например ключ, парола, идентификация и т.н. Разглежданото правило отразява факта, че подходящо ниво на секретност може да бъде осигурено само по отношение на лесно заменяеми елементи.
Въпреки факта, че според съвременните изисквания за криптосистемите, те трябва да издържат на криптоанализ на базата на добре известен алгоритъм, голямо количество известен открит текст и съответстващия му шифротекст, използваните от специалните служби шифри се пазят в тайна. Това се дължи на необходимостта от допълнителен запас на безопасност, тъй като в момента създаването на криптосистеми с доказуема съпротива е предмет на развиваща се теория и е доста сложен проблем. За да се избегнат възможни слабости, алгоритъмът за криптиране може да бъде изграден въз основа на добре проучени и тествани принципи и механизми за трансформация. Никой сериозен съвременен потребител няма да разчита единствено на надеждността на запазването на алгоритъма си в тайна, тъй като е изключително трудно да се гарантира ниска вероятност информацията за алгоритъма да стане известна на нападателя.
Тайната на информацията се осигурява чрез въвеждането на специални ключове (кодове) в алгоритмите. Има две значителни ползи от използването на ключ за криптиране. Първо, можете да използвате един алгоритъм с различни ключове за изпращане на съобщения до различни получатели. На второ място, ако тайната на ключа е нарушена, той може лесно да бъде заменен, без да се променя алгоритъма за криптиране. По този начин сигурността на системите за криптиране зависи от тайната на използвания ключ, а не от тайната на алгоритъма за криптиране. Много алгоритми за криптиране са публично достъпни.
Броят на възможните ключове за даден алгоритъм зависи от броя на битовете в ключа. Например, 8-битов ключ позволява 256 (28) комбинации от клавиши. Колкото повече са възможните комбинации от клавиши, толкова по-трудно е да се намери ключът, толкова по-сигурно е криптирано съобщението. Така например, ако използвате 128-битов ключ, ще трябва да повторите над 2128 клавиша, което в момента е извън силата дори на най-мощните компютри. Важно е да се отбележи, че нарастващата производителност на технологията води до намаляване на времето, необходимо за отваряне на ключове, а системите за сигурност трябва да използват все по-дълги ключове, което от своя страна води до увеличаване на разходите за криптиране.
Тъй като такова важно място в системите за криптиране се отдава на тайната на ключа, основният проблем на такива системи е генерирането и предаването на ключа. Има две основни схеми за криптиране: симетрично криптиране (също понякога наричано традиционно или тайно криптиране на ключ) и криптиране с публичен ключ (Този тип криптиране понякога се нарича асиметрично).
Кога симетрично криптиранеизпращачът и получателят имат един и същ ключ (тайна), с който могат да криптират и дешифрират данни. Симетричното криптиране използва кратки ключове, така че големи количества данни могат бързо да бъдат криптирани. Симетричното криптиране се използва например от някои банки в мрежи за банкомати. Симетричното криптиране обаче има няколко недостатъка. Първо, много е трудно да се намери сигурен механизъм, чрез който подателят и получателят да могат тайно да изберат ключ от другите. Има проблем със сигурното разпространение на частни ключове. Второ, за всеки адресат трябва да се съхранява отделен секретен ключ. Трето, в схемата за симетрично криптиране е невъзможно да се гарантира идентичността на подателя, тъй като двама потребители притежават един и същ ключ.
В схемата криптиране с публичен ключ два различни ключа се използват за криптиране на съобщението. С помощта на един от тях съобщението се кодира, а с помощта на второто се дешифрира. По този начин необходимата сигурност може да бъде постигната чрез направяне на първия ключ публичен (публичен), а вторият ключ се пази само от получателя (частен, частен ключ). В този случай всеки потребител може да шифрова съобщението с помощта на публичния ключ, но само собственикът на частния ключ може да дешифрира съобщението. В този случай няма нужда да се притеснявате за сигурността на прехвърлянето на публичния ключ и за да могат потребителите да обменят тайни съобщения, е достатъчно те да имат публичните ключове един на друг.
Недостатъкът на асиметричното криптиране е необходимостта да се използват по-дълги ключове, отколкото при симетричното криптиране, за да се осигури еквивалентно ниво на сигурност, което засяга изчислителните ресурси, необходими за организиране на процеса на криптиране.
3.2 Електронен подпис
Ако съобщението, което искаме да запазим в безопасност, е правилно кодирано, все още има възможност за модифициране на оригиналното съобщение или замяна на това съобщение с друго. Един от начините за решаване на този проблем е да се предостави на потребителя кратко представяне на предаденото съобщение. Това обобщение се нарича контролна сума или обобщение на съобщението.
Контролните суми се използват за създаване на обобщения с фиксирана дължина, които да представят дълги съобщения. Алгоритмите на контролната сума са проектирани да бъдат възможно най-уникални за всяко съобщение. Това елиминира възможността за заместване на едно съобщение с друго, като същевременно се запазва същата стойност на контролната сума.
Въпреки това, когато се използват контролни суми, възниква проблемът с предаването им на получателя. Един от възможните начини за решаването му е включването на контролната сума в т.нар електронен подпис.
С помощта на електронен подпис получателят може да провери, че полученото от него съобщение е изпратено не от трета страна, а от подател, който има определени права. Електронните подписи се създават чрез криптиране на контролната сума и допълнителна информация с помощта на личния ключ на подателя. По този начин всеки може да дешифрира подписа с помощта на публичния ключ, но само собственикът на частния ключ може правилно да създаде подписа. За да се предпази от прихващане и повторна употреба, подписът включва уникален номер - пореден номер.
3.3 Удостоверяване
Удостоверяванее един от най-важните компоненти на организацията на информационната сигурност в мрежата. Преди да се даде право на потребителя да получи определен ресурс, е необходимо да се уверите, че той наистина е този, за когото се представя.
Когато се получи заявка за използване на ресурс от името на потребител, сървърът, предоставящ този ресурс, прехвърля контрола към сървъра за удостоверяване. След като получи положителен отговор от сървъра за удостоверяване, на потребителя се предоставя исканият ресурс.
Удостоверяването използва по правило принципа, наречен „това, което знае“ - потребителят знае определена тайна дума, която изпраща на сървъра за удостоверяване в отговор на неговата заявка. Една от схемите за удостоверяване е да се използват стандартни пароли. Парола- набор от знаци, известни на абоната, свързан към мрежата - въвежда се от него в началото на сесия за взаимодействие с мрежата, а понякога и в края на сесията (в особено критични случаи паролата за нормален изход от мрежата може да се различава от въведената) Тази схема е най-уязвимата от гледна точка на сигурността - паролата може да бъде прихваната и използвана от друго лице. Най-често използваните схеми са еднократни пароли. Дори ако бъде прихваната, тази парола ще бъде безполезна при следващата регистрация и получаването на следващата парола от предишната е изключително трудно. За генериране на еднократни пароли се използват както софтуерни, така и хардуерни генератори, които представляват устройства, вмъкнати в компютърен слот. Познаването на тайната дума е необходимо, за да може потребителят да активира това устройство.
Една от най-простите системи, която не изисква допълнителни хардуерни разходи, но в същото време осигурява добро ниво на защита, е S / Key, която може да се използва за демонстриране на процедурата за представяне на еднократни пароли.
Процесът за удостоверяване на S / Key включва две страни - клиент и сървър. При регистрация в система, използваща схемата за удостоверяване S / Key, сървърът изпраща на клиентската машина покана, съдържаща зърното, предадено по мрежата в ясен текст, текущата стойност на брояча на итерациите и искане за въвеждане на еднократна парола, която трябва да съответства на текущата стойност на брояча на итерациите. След като получи отговора, сървърът го проверява и прехвърля контрола на сървъра на услугата, изисквана от потребителя.
3.4 Защита на мрежи
През последните години корпоративните мрежи все повече се включват в интернет или дори го използват като своя основа. Като се има предвид вредата, която може да донесе незаконно проникване в корпоративна мрежа, е необходимо да се разработят методи за защита. Защитните стени се използват за защита на корпоративните информационни мрежи. Защитни стени- това е система или комбинация от системи, която ви позволява да разделите мрежа на две или повече части и да приложите набор от правила, които определят условията за преминаване на пакети от една част в друга. По правило тази граница се очертава между локалната мрежа на предприятието и ИНТЕРНЕТ, макар че може да се направи и вътрешно. Не е изгодно обаче да се защитават отделни компютри, така че те обикновено защитават цялата мрежа. Защитната стена позволява на целия трафик да премине през себе си и за всеки преминаващ пакет взема решение - да го пропусне или да го пусне. Определен е набор от правила за защитната стена за вземане на тези решения.
Защитната стена може да бъде реализирана както в хардуер (т.е. като отделно физическо устройство), така и като специална програма, работеща на компютър.
Обикновено се правят промени в операционната система, която защитната стена работи, за да се подобри защитата на самата защитна стена. Тези промени засягат както ядрото на ОС, така и съответните конфигурационни файлове. На самата защитна стена не е разрешено да има потребителски секции и следователно потенциални дупки - само администраторска секция. Някои защитни стени работят само в еднопотребителски режим, а много от тях имат система за проверка на целостта на кода.
Защитната стена обикновено се състои от няколко различни компонента, включително филтри или екрани, които блокират преминаването на част от трафика.
Всички защитни стени могат да бъдат класифицирани в два типа:
· пакетни филтри, които филтрират IP пакети посредством филтриране на рутери;
· сървъри на ниво приложение, които блокират достъпа до определени услуги в мрежата.
По този начин защитната стена може да бъде дефинирана като колекция от компоненти или система, която се намира между две мрежи и има следните свойства:
· целият трафик от вътрешната мрежа към външната мрежа и от външната мрежа към вътрешната мрежа трябва да преминава през тази система;
· през тази система може да преминава само трафик, определен от местната стратегия за защита;
· системата е надеждно защитена от проникване.
4. Изисквания към съвременните съоръжениязащита инфформации
Съгласно изискванията на Държавната техническа комисия на Русия средствата за защита на информацията от неразрешен достъп (SZI NSD), които отговарят на високо ниво на защита, трябва да осигуряват:
· дискреционен и задължителен принцип на контрол на достъпа;
· изчистване на паметта;
· изолиране на модули;
· маркиране на документи;
· защита на входа и изхода към отчужден физически носител за съхранение;
· картографиране на потребител към устройство;
· идентификация и удостоверяване;
· гаранции за дизайн;
· Регистрация;
· взаимодействие на потребителя с набор от защитно оборудване;
· надеждно възстановяване;
· целостта на комплекса от защитно оборудване;
· контрол на модификацията;
· контрол на разпределението;
· архитектурни гаранции;
Комплексните системи за информационна сигурност на НРД трябва да бъдат придружени от пакет от следните документи:
· ръководство за информационна сигурност;
· упътване за употреба;
· тестова документация;
· проектна (проектна) документация.
По този начин, в съответствие с изискванията на Държавната техническа комисия на Русия, сложните системи за информационна сигурност на NSD трябва да включват основен набор от подсистеми. Специфичните възможности на тези подсистеми за изпълнение на функции за информационна сигурност определят нивото на сигурност на компютърните съоръжения. Реалната ефективност на ISS NSD се определя от функционалността не само на основните, но и на допълнителни подсистеми, както и качеството на тяхното изпълнение.
Компютърните системи и мрежи са изложени на широк спектър от потенциални информационни заплахи, което налага голям списък от функции и подсистеми за защита. Препоръчително е преди всичко да се защитят най-информативните канали за изтичане на информация, които са следните:
· възможност за копиране на данни от машинен носител;
· канали за предаване на данни;
· кражба на компютри или вградено хранилище.
Проблемът с припокриването на тези канали се усложнява от факта, че процедурите за защита на данните не трябва да водят до забележимо намаляване на производителността на изчислителните системи. Тази задача може да бъде ефективно решена въз основа на глобалната технология за криптиране на информация, обсъдена в предишния раздел.
Съвременната система за масова защита трябва да бъде ергономична и да притежава такива свойства, които благоприятстват широкото й използване, като:
· сложност - способността да се задават различни режими на сигурна обработка на данни, като се вземат предвид специфичните изисквания на различните потребители и се предоставя широк списък от възможни действия на предполагаемия нарушител;
· съвместимост - системата трябва да е съвместима с всички програми, написани за дадена операционна система, и трябва да осигурява защитен режим на работа на компютър в компютърна мрежа;
· преносимост - възможност за инсталиране на системата на различни видове компютърни системи, включително преносими;
· лекота на използване - системата трябва да е лесна за използване и не трябва да променя обичайната технология на работа на потребителите;
· работа в реално време - процесите на трансформация на информация, включително криптиране, трябва да се извършват с висока скорост;
· високо ниво на защита на информацията;
· минимални системни разходи.
Заключение
След масовото използване на съвременни информационни технологии, криптографията нахлува в живота на съвременния човек. Използването на електронни плащания, възможността за прехвърляне на секретна информация през отворени комуникационни мрежи, както и решаването на голям брой други проблеми за защита на информацията в компютърни системи и информационни мрежи се основават на криптографски методи. Нуждите от практика доведоха до необходимостта от масово използване на криптографски методи и следователно до необходимостта от разширяване на откритите изследвания и разработки в тази област. Познаването на основите на криптографията става важно за учени и инженери, специализирани в разработването на съвременни инструменти за информационна сигурност, както и в областите на експлоатация и проектиране на информационни и телекомуникационни системи.
Един от неотложните проблеми на съвременната приложна криптография е разработването на високоскоростни софтуерни блокови шифри, както и високоскоростни устройства за криптиране.
В момента се предлагат редица методи за криптиране, защитени с патенти на Руската федерация и базирани на идеите за използване:
· гъвкав график за избор на връзки;
· генериране на алгоритъм за криптиране на таен ключ;
· замествания, които зависят от преобразуваните данни.
Литература
1. Острейковски В.А. Информатика: Учебник. ръководство за студ. Сряда проф. проучване. институции. - М.: По-високо. шк., 2001. - 319с .: ил.
2. Икономическа информатика / изд. П.В. Конюховски и Д.Н. Колесов. - SPb.: Peter, 2000. - 560s .: Ill.
3. Информатика: Основен курс / С.В. Симонович и други - SPb.: Петър, 2002. - 640s: Ill.
4. Молдовян А.А., Молдовян Н.А., Съвети Б.Я. Криптография. - СПб.: Издателство "Лан", 2001. - 224с., Ил. - (Учебници за университети. Специална литература).
Публикувано на Allbest.ru
Подобни документи
Проблемът при избора между необходимото ниво на защита и ефективността на мрежата. Механизми за осигуряване на защита на информацията в мрежите: криптография, електронен подпис, удостоверяване, мрежова защита. Изисквания към съвременните средства за защита на информацията.
курсова работа, добавена на 01.12.2008
Проблем със сигурността на информацията. Особености на защитата на информацията в компютърните мрежи. Заплахи, атаки и канали за изтичане на информация. Класификация на методите и средствата за осигуряване на безопасност. Архитектура и защита на мрежата. Методи за осигуряване на мрежи.
теза, добавена на 16.06.2012г
Методи и средства за защита на информацията от неоторизиран достъп. Особености на защитата на информацията в компютърните мрежи. Криптографска защита и електронен цифров подпис. Методи за защита на информацията от компютърни вируси и хакерски атаки.
резюме, добавено на 23.10.2011
Концепцията за защита на умишлени заплахи за целостта на информацията в компютърните мрежи. Характеристики на заплахите за информационна сигурност: компромис, прекъсване на услугата. Характеристики на OOO NPO "Mekhinstrument", основните методи и методи за защита на информацията.
теза, добавена на 16.06.2012г
Основните разпоредби на теорията на информационната сигурност. Същността на основните методи и средства за защита на информацията в мрежите. Обща характеристика на дейностите и корпоративната мрежа на предприятието "Vestel", анализ на неговите методи за защита на информацията в телекомуникационните мрежи.
дипломна работа, добавена на 30.08.2010
Проблеми със сигурността на информацията в информационните и телекомуникационните мрежи. Изследване на заплахите за информацията и начините за тяхното въздействие върху обектите за защита на информацията. Концепция за корпоративна информационна сигурност. Криптографски методи за защита на информацията.
теза, добавена на 08.08.2013
Начини за неоторизиран достъп, класификация на методите и средствата за защита на информацията. Анализ на методи за защита на информация в LAN. Идентификация и удостоверяване, регистриране и одит, контрол на достъпа. Концепции за сигурност на компютърните системи.
теза, добавена на 19.04.2011г
Методи и средства за защита на информационните данни. Защита срещу неоторизиран достъп до информация. Особености на защитата на компютърните системи чрез методи за криптография. Критерии за оценка на сигурността на информационните компютърни технологии в европейските страни.
тест, добавен на 08/06/2010
Основни свойства на информацията. Операции с данни. Данните са диалектичен компонент на информацията. Видове умишлени заплахи за информационната сигурност. Класификация на зловредния софтуер. Основните методи и средства за защита на информацията в компютърните мрежи.
курсова работа, добавена на 17.02.2010
Същност на проблема и задачите за защита на информацията в информационните и телекомуникационни мрежи. Заплахи за информация, начини за тяхното въздействие върху обекти. Концепция за корпоративна информационна сигурност. Криптографски методи и инструменти за информационна сигурност.
Защитата на данните в компютърните мрежи се превръща в един от най-належащите проблеми в съвременната компютърна наука. Към днешна дата са формулирани три основни принципа на информационната сигурност, които трябва да гарантират:
Целостта на данните - защита срещу откази, водещи до загуба на информация, както и неоторизирано създаване или унищожаване на данни;
Поверителност на информацията и в същото време
Трябва също да се отбележи, че определени области на дейност (банкови и финансови институции, информационни мрежи, системи на публичната администрация, отбрана и специални структури) изискват специални мерки за сигурност на данните и поставят повишени изисквания към надеждността на информационните системи.
При разглеждане на проблемите на защитата на данните в мрежата, на първо място, възниква въпросът за класификацията на отказите и нарушенията на правата на достъп, които могат да доведат до унищожаване или нежелана модификация на данните. Сред тези потенциални "заплахи" са:
1. Хардуерни повреди:
Неизправности на кабелната система;
Прекъсвания на тока;
Срив на дисковата система;
Неизправност на системите за архивиране на данни;
Сривове на сървъри, работни станции, мрежови карти и др .;
2. Загуба на информация поради неправилна работа на софтуера:
Загуба или промяна на данни поради софтуерни грешки;
Загуби, когато системата е заразена с компютърни вируси;
3. Загуби, свързани с неоторизиран достъп:
Неразрешено копиране, унищожаване или фалшифициране на информация;
Запознаване с поверителна информация, представляваща тайна на неупълномощени лица;
4. Загуба на информация, свързана с неправилно съхранение на архивирани данни.
5. Грешки на обслужващия персонал и потребителите.
Случайно унищожаване или промяна на данни;
Неправилно използване на софтуер и хардуер, което води до унищожаване или промяна на данните.
В зависимост от възможните видове прекъсвания в мрежата многобройни видове защита на информацията се обединяват в три основни класа:
Оборудване за физическа защита, включително защита на кабелна система, системи за захранване, архивиране, дискови масиви и др.
Софтуер за сигурност, включително: антивирусни програми, системи за диференциация на правомощия, контрол на достъпа до софтуера.
Административни предпазни мерки, включително контрол на достъпа до помещения, разработване на стратегия за сигурност на фирмата, планове за действие при извънредни ситуации и др.
Трябва да се отбележи, че подобно разделение е доста произволно, тъй като съвременните технологии се развиват в посока на комбинация от средства за защита на софтуера и хардуера.
Системи за архивиране и дублиране на информация
Организирането на надеждна и ефективна система за архивиране на данни е една от най-важните задачи за осигуряване на безопасността на информацията в мрежата. В малките мрежи, където е инсталиран един или два сървъра, най-често се използва за инсталиране на системата за архивиране директно в безплатни сървърни слотове. В големите корпоративни мрежи е най-предпочитано да се организира специализиран специализиран архивен сървър.
Такъв сървър автоматично архивира информация от твърдите дискове на сървъри и работни станции по времето, посочено от администратора на локалната компютърна мрежа, като издава отчет за архивирането. Това осигурява контрол върху целия процес на архивиране от администраторската конзола, например можете да посочите конкретни томове, директории или отделни файлове, които трябва да бъдат архивирани.
Също така е възможно да се организира автоматично архивиране при настъпване на събитие („резервно копие, управлявано от събитие“), например при получаване на информация, че на твърдия диск на сървър или работна станция остава малко свободно място, или когато едно от „огледалото“ дискове на файлов сървър.
За да се осигури възстановяване на данни в случай на откази на магнитни дискове, най-често се използват системи с дискови масиви - групи дискове, работещи като едно устройство, които отговарят на стандарта RAID (Излишни масиви от евтини дискове).
Защита от компютърни вируси
Днес освен хилядите вече познати вируси, всеки месец се появяват и 100-150 нови щама. Най-често срещаните методи за защита срещу вируси и до днес са различни антивирусни програми.
През последните години обаче все по-често се използва комбинация от софтуерни и хардуерни методи за защита като обещаващ подход за защита срещу компютърни вируси. Сред хардуерните устройства от този вид могат да се отбележат специални антивирусни карти, които се вмъкват в стандартните слотове за разширение на компютъра.
Защита срещу неоторизиран достъп
Проблемът с защитата на информацията от неоторизиран достъп стана особено остър с широкото използване на локални и особено глобални компютърни мрежи. Трябва също така да се отбележи, че често щетите се причиняват не поради „злонамерено намерение“, а поради елементарни потребителски грешки, които случайно развалят или изтриват жизненоважни данни. В тази връзка, в допълнение към контрола на достъпа, необходим елемент на защита на информацията в компютърните мрежи е диференцирането на потребителските права.
В компютърните мрежи при организиране на контрол на достъпа и диференциация на потребителските права най-често се използват вградените инструменти на мрежови операционни системи.
Има много възможни насоки за изтичане на информация и начини за неоторизиран достъп в системи и мрежи. Между тях:
четене на остатъчна информация в системната памет след изпълнение на оторизирани заявки;
· Копиране на носители на информация и информационни файлове с преодоляване на защитни мерки;
· Преобличане като регистриран потребител;
· Прикриване по заявка на системата;
· Използване на софтуерни капани;
· Използване на недостатъците на операционната система;
· Незаконна връзка с оборудване и комуникационни линии;
· Злонамерено деактивиране на защитните механизми;
· Въвеждане и използване на компютърни вируси.
Информационната сигурност се постига чрез комплекс от организационни, организационни, технически, технически и софтуерни мерки.
Организационни мерки Защитата на информацията включва:
· Ограничаване на достъпа до помещения, където информацията се подготвя и обработва;
· Допускане до обработката и предаването на поверителна информация само на проверени служители;
· Съхранение на магнитни носители и регистрационни дневници в сейфове, затворени за неоторизиран достъп;
· Изключване на гледане от неупълномощени лица на съдържанието на обработените материали през дисплея, принтера и др .;
· Използване на криптографски кодове при предаване на ценна информация по комуникационни канали;
· Унищожаване на мастилни панделки, хартия и други материали, съдържащи фрагменти от ценна информация.
Организационни и технически мерки Защитата на информацията включва:
· Захранване на оборудване, което обработва ценна информация от независим източник на енергия или чрез специални захранващи филтри;
· Монтаж на кодирани брави на вратите на помещенията;
· Използвайте за показване на информация по време на вход-изход на течнокристални или плазмени дисплеи и за получаване на хартиени копия - мастиленоструйни принтери и термопринтери, тъй като дисплеят дава такова високочестотно електромагнитно излъчване, че изображението от неговия екран може да бъде получено на разстояние от няколкостотин километра;
· Унищожаване на информация при отписване или изпращане на компютър за ремонт;
· Инсталиране на клавиатурата и принтерите върху меки уплътнения, за да се намали възможността за получаване на информация по акустичен метод;
· Ограничение на електромагнитното излъчване чрез екраниране на помещения, където информацията се обработва с метални листове или специална пластмаса.
Технически средстваинформационната сигурност е система за защита на територии и помещения чрез екраниране на машинни помещения и организиране на системи за контрол на достъпа. Защитата на информацията в мрежите и изчислителните съоръжения с помощта на технически средства се осъществява на базата на организиране на достъпа до паметта с помощта на:
· Контрол на достъпа до различни нива на компютърната памет;
· Блокиране на данни и въвеждане на ключове;
Разпределение на контролни битове за записи с цел идентификация и др.
Софтуерна архитектуразащитата на информацията включва:
· Контрол на сигурността, включително контрол на регистрацията на влизане в системата, фиксиране в системния дневник, контрол на действията на потребителя;
· Реакция (включително звукова) при нарушаване на системата за защита на контрола на достъпа до мрежови ресурси;
· Контрол на идентификационните данни за достъп;
· Официален контрол на сигурността на операционните системи (основни за цялата система и мрежа);
· Контрол на защитни алгоритми;
· Проверка и потвърждение за правилното функциониране на хардуера и софтуера.
За надеждна защита на информацията и идентифициране на случаи на неразрешени действия, системата се регистрира: създават се специални дневници и протоколи, в които се записват всички действия, свързани със защитата на информацията в системата. За тестване на системата за защита се използват и специални програми. Периодично или в произволно избрани моменти от време те проверяват функционалността на хардуерната и софтуерната защита.
Отделна група от мерки за осигуряване на безопасността на информацията и идентифициране на неразрешени запитвания включва програми за откриване на нарушения в реално време. Програмите от тази група генерират специален сигнал при регистриране на действия, които могат да доведат до незаконни действия по отношение на защитената информация. Сигналът може да съдържа информация за естеството на нарушението, мястото на неговото възникване и други характеристики. Освен това програмите могат да откажат достъп до защитена информация или да симулират такъв режим на работа (например незабавно зареждане на входно-изходни устройства), което ще разкрие нарушителя и ще го задържи от съответната услуга.
Един от най-често срещаните методи за защита е изричното посочване на тайната на показваната информация. Това изискване се изпълнява с помощта на подходящи софтуерни инструменти.
Като оборудвате сървъра или мрежовите работни станции, например, с четец на смарт карти и специален софтуер, можете значително да увеличите нивото на защита срещу неоторизиран достъп. В този случай, за достъп до компютъра, потребителят трябва да постави смарт карта в четеца и да въведе своя личен код.
Смарт картите за контрол на достъпа ви позволяват да приложите, по-специално, функции като контрол на достъпа, достъп до устройства на персонален компютър, достъп до програми, файлове и команди.
В мостове и рутери за отдалечен достъп се използва сегментиране на пакети - тяхното разделяне и предаване паралелно по две линии - което прави невъзможно „прихващането“ на данни, когато „хакер“ се свързва незаконно с една от линиите. В допълнение, процедурата за компресиране на предадените пакети, използвана по време на предаването на данни, гарантира невъзможността за дешифриране на "прихванати" данни. В допълнение, мостовете и маршрутизаторите за отдалечен достъп могат да бъдат програмирани по такъв начин, че отдалечените потребители да имат достъп до определени ресурси на основната офис мрежа.
Механизми за сигурност
1. Криптография.
За да се гарантира секретност, се използва криптиране или криптография, което позволява данните да се трансформират в криптирана форма, от която оригиналната информация може да бъде извлечена само ако е наличен ключ.
Шифроването се основава на две основни концепции: алгоритъм и ключ. Алгоритъмът е начин за кодиране на оригиналния текст, което води до кодирано съобщение. Криптирано съобщение може да се интерпретира само с ключ.
Всички елементи на защитните системи са разделени в две категории - трайни и лесно сменяеми. Постоянни елементи са онези елементи, които са свързани с развитието на защитни системи и изискват намесата на специалисти или разработчици, за да се променят. Лесно сменяемите елементи включват системни елементи, които са проектирани за произволна модификация или модификация съгласно предварително определено правило въз основа на произволно избрани първоначални параметри. Лесно сменяемите елементи включват например ключ, парола, идентификация и т.н.
Тайната на информацията се осигурява чрез въвеждането на специални ключове (кодове) в алгоритмите. Има две значителни ползи от използването на ключ за криптиране. Първо, можете да използвате един алгоритъм с различни ключове за изпращане на съобщения до различни получатели. На второ място, ако тайната на ключа е нарушена, той може лесно да бъде заменен, без да се променя алгоритъма за криптиране. По този начин сигурността на системите за криптиране зависи от тайната на използвания ключ, а не от тайната на алгоритъма за криптиране.
Важно е да се отбележи, че нарастващата производителност на технологията води до намаляване на времето, необходимо за отваряне на ключове, а системите за сигурност трябва да използват все по-дълги ключове, което от своя страна води до увеличаване на разходите за криптиране.
Тъй като такова важно място в системите за криптиране се отдава на тайната на ключа, основният проблем на такива системи е генерирането и предаването на ключа.
Има две основни схеми за криптиране: симетрично криптиране (наричано също понякога традиционно или частно криптиране) и криптиране с публичен ключ (понякога наричано асиметрично криптиране).
Със симетрично криптиране подателят и получателят притежават един и същ ключ (тайна), с който могат да криптират и дешифрират данни.
Електронен подпис
С помощта на електронен подпис получателят може да провери, че полученото от него съобщение е изпратено не от трета страна, а от подател, който има определени права. Електронните подписи се създават чрез криптиране на контролната сума и допълнителна информация с помощта на личния ключ на подателя. По този начин всеки може да дешифрира подписа с помощта на публичния ключ, но само собственикът на частния ключ може правилно да създаде подписа. За да се предпази от прихващане и повторна употреба, подписът включва уникален номер - пореден номер.
Удостоверяване
Удостоверяването е един от най-важните компоненти за осигуряване на информация в мрежата. Преди да се даде право на потребителя да получи определен ресурс, е необходимо да се уверите, че той наистина е този, за когото се представя.
Когато се получи заявка за използване на ресурс от името на потребител, сървърът, предоставящ този ресурс, прехвърля контрола към сървъра за удостоверяване. След като получи положителен отговор от сървъра за удостоверяване, на потребителя се предоставя исканият ресурс.
Удостоверяването използва по правило принципа, наречен „това, което знае“ - потребителят знае определена тайна дума, която изпраща на сървъра за удостоверяване в отговор на неговата заявка. Една от схемите за удостоверяване е да се използват стандартни пароли. Парола - въведена от него в началото на сесия за взаимодействие с мрежата, а понякога и в края на сесията (в особено критични случаи паролата за нормален изход от мрежата може да се различава от входната). Тази схема е най-уязвимата от гледна точка на сигурността - паролата може да бъде прихваната и използвана от друго лице.
Най-често използваните схеми са еднократни пароли. Дори ако бъде прихваната, тази парола ще бъде безполезна при следващата регистрация и получаването на следващата парола от предишната е изключително трудно. За генериране на еднократни пароли се използват както софтуерни, така и хардуерни генератори, които представляват устройства, вмъкнати в компютърен слот. Познаването на тайната дума е необходимо, за да може потребителят да активира това устройство.
Защита на мрежи
През последните години корпоративните мрежи все повече се включват в интернет или дори го използват като своя основа. Защитните стени се използват за защита на корпоративните информационни мрежи. Защитните стени са система или комбинация от системи, която ви позволява да разделите мрежата на две или повече части и да наложите набор от правила, които определят условията за преминаване на пакетите от една част в друга. По правило тази граница се очертава между локалната мрежа на предприятието и ИНТЕРНЕТ, макар че може да се направи и вътрешно. Не е изгодно обаче да се защитават отделни компютри, така че те обикновено защитават цялата мрежа. Защитната стена позволява на целия трафик да премине през себе си и за всеки преминаващ пакет взема решение - да го пропусне или да го пусне. Определен е набор от правила за защитната стена за вземане на тези решения.
Защитната стена може да бъде реализирана както в хардуер (т.е. като отделно физическо устройство), така и като специална програма, работеща на компютър.
Обикновено се правят промени в операционната система, която защитната стена работи, за да се подобри защитата на самата защитна стена. Тези промени засягат както ядрото на ОС, така и съответните конфигурационни файлове. На самата защитна стена не е разрешено да има потребителски секции и следователно потенциални дупки - само администраторска секция.
Някои защитни стени работят само в еднопотребителски режим, а много от тях имат система за проверка на целостта на кода.
Защитната стена обикновено се състои от няколко различни компонента, включително филтри или екрани, които блокират преминаването на част от трафика.
Всички защитни стени могат да бъдат класифицирани в два типа:
· Пакетни филтри, които филтрират IP пакетите посредством филтриращи рутери;
· Сървъри на приложения, които блокират достъпа до определени услуги в мрежата.
По този начин защитната стена може да бъде дефинирана като колекция от компоненти или система, която се намира между две мрежи и има следните свойства:
· Целият трафик от вътрешната мрежа към външната и от външната мрежа към вътрешната трябва да преминава през тази система;
· Само трафикът, определен от местната стратегия за защита, може да премине през тази система;
Системите за защита на вашия компютър от проникване на някой друг са много разнообразни и могат да бъдат класифицирани в групи като:
- - средства за самозащита, осигурени от общия софтуер;
- - средства за защита като част от изчислителна система;
- - средства за защита с искане за информация;
- - средства за активна защита;
- - средства за пасивна защита и др.
Следните области на използване на програми за гарантиране на сигурността на поверителната информация могат да бъдат разграничени, по-специално, следните:
- - защита на информацията от неоторизиран достъп;
- - защита на информацията от копиране;
- - защита на програмите от копиране;
- - защита на програмите от вируси;
- - защита на информацията от вируси;
- - софтуерна защита на комуникационните канали.
За всяка от тези области има достатъчен брой висококачествени софтуерни продукти, разработени от професионални организации и разпространени на пазарите.
Софтуерът за защита има следните видове специални програми:
идентификация на технически средства, файлове и удостоверяване на потребителя;
регистрация и контрол на работата на техническите средства и потребителите;
поддържане на ограничени режими за обработка на информация;
защита на компютърните инструменти за работа и потребителските приложения;
унищожаване на информация в паметта след употреба;
сигнализиране за нарушения на използването на ресурси;
помощни програми за защита за различни цели
Идентифицирането на хардуер и файлове, извършвано програмно, се извършва въз основа на анализа на регистрационните номера на различни компоненти и обекти на информационната система и сравняването им със стойностите на адресите и паролите, съхранявани в паметта на системата за управление.
За да се осигури надеждна защита с пароли, работата на системата за защита е организирана по такъв начин, че вероятността за разкриване на тайна парола и установяване на съответствие с един или друг файл или идентификатор на терминал е възможно най-ниска. За да направите това, паролата трябва да се променя периодично и броят на символите в нея трябва да бъде зададен достатъчно голям.
Ефективен начин за идентифициране на адресируеми елементи и удостоверяване на потребителите е алгоритъмът за реакция на предизвикателство, според който системата за сигурност издава заявка за парола на потребителя, след което той трябва да даде категоричен отговор на него. Тъй като моментите на въвеждане на заявка и отговор на нея са непредсказуеми, това усложнява процеса на отгатване на паролата, като по този начин осигурява по-висока сигурност.
Получаването на разрешение за достъп до определени ресурси може да се извърши не само въз основа на използване на секретна парола и последващи процедури за удостоверяване и идентификация. Това може да стане по-подробно, като се вземат предвид различни
характеристики на потребителските режими на работа, техните правомощия, категории заявени данни и ресурси. Този метод се прилага от специални програми, които анализират съответните характеристики на потребителите, съдържанието на задачите, параметрите на хардуера и софтуера, устройствата с памет и т.н.
Конкретните данни, свързани с заявката, влизаща в системата за сигурност, се сравняват по време на работата на защитните програми с данните, въведени в регистрационните секретни таблици (матрици). Тези таблици, както и програми за тяхното формиране и обработка, се съхраняват в криптиран вид и са под специалния контрол на администратора (администраторите) на сигурността на информационната мрежа.
За да се разграничи достъпът на отделните потребители до точно определена категория информация, се прилагат индивидуални мерки за секретност на тези файлове и специален контрол на достъпа на потребителите до тях. Печатът за секретност може да бъде оформен под формата на трибитови кодови думи, които се съхраняват в самия файл или в специална таблица. Същата таблица съдържа идентификатора на потребителя, създал файла, идентификаторите на терминала, от които може да се осъществи достъп до файла, идентификаторите на потребителите, на които е разрешен достъп до този файл, както и техните права за използване на файла (четене, редактиране, изтриване, актуализиране, изпълнение и др.). Важно е да се предотврати взаимното влияние на потребителите в процеса на достъп до файлове. Ако например няколко потребители имат право да редактират един и същ запис, тогава всеки от тях трябва да запази своя собствена версия на ревизията (няколко копия на записите се правят с цел възможен анализ и установяване на правомощия).
