A számítógépet mások behatolásától megóvó rendszerek nagyon változatosak, és olyan csoportokba sorolhatók, mint például:
– a közös szoftver által biztosított önvédelmi eszközök;
- védőfelszerelés tartalmazza számítástechnikai rendszer;
– védelmi eszközök információkéréssel;
- felszerelés aktív védelem;
- passzív védelem eszközei stb.
Ezeket a védelmi csoportokat részletesebben az ábra mutatja. 12.
Rizs. 12. Szoftvervédelmi eszközök
A szoftveres információvédelem használatának főbb irányai
A következő területeket különböztethetjük meg a programok használatában, hogy biztosítsuk a bizalmas információk biztonságát, különösen, mint például:
– információk védelme a jogosulatlan hozzáférés ellen;
– az információk másolás elleni védelme;
– a programok másolás elleni védelme;
– a programok védelme a vírusokkal szemben;
– információk védelme a vírusokkal szemben;
– kommunikációs csatornák szoftveres védelme.
Ezen területek mindegyikére elegendő számú, szakmai szervezetek által kifejlesztett és a piacokon terjesztett kiváló minőségű szoftvertermék áll rendelkezésre (13. ábra).
Rizs. 13.Szoftvervédelem
Szoftveres védelmek a következő típusú speciális programokkal rendelkezik:
Technikai eszközök, fájlok azonosítása és felhasználói hitelesítés;
Technikai eszközök és felhasználók működésének nyilvántartása, ellenőrzése;
Korlátozott felhasználású információfeldolgozási módok karbantartása;
Működő számítástechnikai létesítmények védelme és alkalmazási programok felhasználók;
Az információ megsemmisítése a memóriában használat után;
Az erőforrás-használat megsértésének jelzése;
Kiegészítő védelmi programok különféle célokra (14. ábra).
Rizs. 14. A szoftvervédelem területei
A technikai eszközök és fájlok programozott azonosítása az információs rendszer különböző összetevőinek és objektumainak regisztrációs számainak elemzése és a vezérlőrendszer memóriájában tárolt címek és jelszavak értékeivel való összehasonlítása alapján történik.
A jelszavas védelem megbízhatóságának biztosítása érdekében a védelmi rendszer működését úgy kell megszervezni, hogy a nyilvánosságra hozatal valószínűsége titkos jelszóés az egyik vagy másik fájl vagy terminál azonosító egyezése a lehető legkisebb volt. Ehhez időnként módosítani kell a jelszót, és a benne lévő karakterek számát kellően nagyra kell állítani.
Hatékony mód a megcímzett elemek azonosítása és a felhasználói hitelesítés egy kihívás-válasz algoritmus, amely szerint a biztonsági rendszer jelszókérést ad ki a felhasználónak, amely után bizonyos választ kell adnia rá. Mivel a kérés és a válasz időzítése megjósolhatatlan, megnehezíti a jelszó kitalálásának folyamatát, ezáltal nagyobb biztonságot nyújt.
Az egyes erőforrásokhoz való hozzáférési engedélyek megszerzése nem csak titkos jelszó használatával és az azt követő hitelesítési és azonosítási eljárások alapján történhet. Ezt részletesebben is meg lehet tenni, figyelembe véve különféle funkciók a felhasználók működési módjai, hatásköreik, a kért adatok és erőforrások kategóriái. Ezt a módszert speciális programok valósítják meg, amelyek elemzik a felhasználók releváns jellemzőit, a feladatok tartalmát, a hardver és szoftver paramétereit, a memóriaeszközöket stb.
A biztonsági rendszerbe kerülő kéréssel kapcsolatos konkrét adatok a biztonsági programok működése során összevetésre kerülnek a regisztrációs titkos táblákban (mátrixokban) megadott adatokkal. Ezek a táblák, valamint az ezek kialakítására és feldolgozására szolgáló programok titkosított formában kerülnek tárolásra, és az információs hálózat biztonságának adminisztrátorának (adminisztrátorainak) speciális ellenőrzése alatt állnak.
Ezekre a fájlokra vonatkozó egyedi biztonsági intézkedések és a hozzájuk való felhasználói hozzáférés speciális szabályozása arra szolgál, hogy különbséget tegyenek az egyes felhasználók hozzáférése között egy jól meghatározott információkategóriához. A biztonsági bélyegző háromjegyű kódszavak formájában is kialakítható, amelyeket magában a fájlban vagy egy speciális táblázatban tárolnak. Ugyanez a tábla rögzíti: a fájlt létrehozó felhasználó azonosítóját; azon terminálok azonosítói, amelyekről a fájl elérhető; hozzáféréssel rendelkező felhasználói azonosítók adott fájl, valamint a fájl használati jogait (olvasás, szerkesztés, törlés, frissítés, végrehajtás stb.). Fontos megakadályozni, hogy a felhasználók interakcióba lépjenek a fájlokhoz való hozzáférés során. Ha például több felhasználónak van joga ugyanazt a rekordot szerkeszteni, akkor mindegyiknek pontosan el kell mentenie a kiadás saját verzióját (a rekordokról több másolat készül az esetleges elemzés és jogosultság megállapítása céljából).
Az információk védelme a jogosulatlan hozzáférés ellen
A valaki más behatolása elleni védelem érdekében bizonyos biztonsági intézkedéseket feltétlenül biztosítani kell. A szoftverrel megvalósítandó fő funkciók a következők:
– alanyok és tárgyak azonosítása;
– a számítási erőforrásokhoz és információkhoz való hozzáférés differenciálása (néha teljes elszigetelése);
– információkkal és programokkal kapcsolatos akciók ellenőrzése és nyilvántartása.
Az azonosítási és hitelesítési eljárás során ellenőrizni kell, hogy a hozzáférést biztosító alany (vagy a hozzáférést biztosító objektum) az-e, akinek állítja magát. Az ilyen ellenőrzések lehetnek egyszeri vagy időszakosak (különösen hosszú munkamenetek esetén). Az azonosítási eljárások során különféle módszereket alkalmaznak:
– egyszerű, összetett vagy egyszeri jelszavak;
– kérdések és válaszok cseréje az adminisztrátorral;
– kulcsok, mágneskártyák, kitűzők, zsetonok;
- az egyéni jellemzők elemzésének eszközei (hang, ujjlenyomatok, kéz, arc geometriai paraméterei);
– speciális azonosítók vagy ellenőrző összegek hardverekhez, programokhoz, adatokhoz stb.
A leggyakoribb hitelesítési módszer a jelszavas hitelesítés.
A gyakorlat azt mutatja, hogy az adatok jelszavas védelme gyenge láncszem, hiszen a jelszót le lehet hallgatni vagy kémkedni, a jelszót el lehet kapni, vagy akár egyszerűen kitalálni.
Magának a jelszónak a védelme érdekében bizonyos ajánlásokat dolgoztunk ki a jelszó erőssé tételére vonatkozóan:
– A jelszónak legalább nyolc karakterből kell állnia. Minél kevesebb karaktert tartalmaz egy jelszó, annál könnyebb kitalálni;
– ne használjon nyilvánvaló karakterkészletet jelszóként, például nevét, születési dátumát, szerettei nevét vagy programjainak nevét. A legjobb, ha ezekre a célokra egy ismeretlen képletet vagy idézetet használ;
– ha a kriptográfiai program lehetővé teszi, adjon meg legalább egy szóközt, nem alfabetikus karaktert vagy nagybetűt a jelszóban;
Ne mondja el senkinek a jelszavát, ne írja le. Ha meg kellett szegnie ezeket a szabályokat, tegye a papírt egy zárt fiókba;
- gyakrabban változtassa meg jelszavát;
– Ne írjon be jelszót párbeszédpanel-beállítási eljárásban vagy makróban.
Ügyeljen arra, hogy a billentyűzeten begépelt jelszó gyakran az automatikus bejelentkezési sorrendben tárolódik.
Az ellenőrző összegeket gyakran használják a programok és adatok azonosítására, de a jelszavas hitelesítéshez hasonlóan fontos kizárni a hamisítás lehetőségét a helyes ellenőrző összeg megőrzése mellett. Ezt kifinomult, kriptográfiai algoritmusokon alapuló ellenőrző összegző technikák alkalmazásával érik el. Az adatok hamisítás elleni védelme (utánzásállóság) biztosítható különféle titkosítási módszerek és módszerek alkalmazásával. digitális aláírás nyilvános kulcsú kriptográfiai rendszereken alapul.
Az azonosítási és hitelesítési eljárások elvégzése után a felhasználó hozzáfér a számítógépes rendszerhez, és az információvédelem három szinten valósul meg:
- felszerelés;
– szoftver;
– adatok.
A hardver és szoftver szintű védelem biztosítja a számítási erőforrásokhoz való hozzáférés kezelését: egyedi eszközök, RAM, operációs rendszer, speciális szolgáltatás ill. személyes programokat felhasználó.
Az adatszintű információvédelem célja:
- az információk védelme, amikor a számítógépen végzett munka során hozzáférnek, és csak engedélyezett műveleteket hajtanak végre rajta;
- az információ védelme a különböző számítógépek közötti kommunikációs csatornákon történő átvitel során.
Az információ-hozzáférés szabályozása lehetővé teszi a következő kérdések megválaszolását:
– ki és milyen műveleteket végezhet;
– milyen adatműveletek végezhetők.
Az objektum, amelyhez a hozzáférést szabályozzák, lehet egy fájl, egy fájl rekordja vagy egy fájlrekord külön mezője, valamint a hozzáférés sorrendjét meghatározó tényezőkként egy adott esemény, adatértékek, rendszerállapot, felhasználói engedélyek, hozzáférési előzmények és egyéb adatok.
Az eseményvezérelt hozzáférés magában foglalja a felhasználó hívásának blokkolását. Például bizonyos időközönként vagy egy adott terminálról történő hozzáféréskor. Az állapotfüggő hozzáférés a számítási rendszer, a vezérlőprogramok és a biztonsági rendszer aktuális állapotától függően történik.
Ami a jogosultságoktól függő hozzáférést illeti, biztosítja a felhasználó számára a programok, adatok, berendezések elérését a megadott módtól függően. Ilyen módok lehetnek: „csak olvasható”, „írás és olvasás”, „csak végrehajtás” stb.
A legtöbb hozzáférés-vezérlés valamilyen hozzáférési mátrixábrázoláson alapul.
A hozzáférés-védelmi eszközök kiépítésének másik megközelítése az információáramlás szabályozásán, valamint a hozzáférési alanyok és objektumok bizalmassági osztályokba való felosztásán alapul.
A regisztrációs eszközök, például a hozzáférés-ellenőrző eszközök hatékony védelmet nyújtanak a jogosulatlan tevékenységek ellen. Ha azonban a hozzáférés-szabályozást úgy tervezték, hogy megakadályozza az ilyen műveleteket, akkor a naplózás feladata a már megtörtént vagy az erre irányuló kísérletek észlelése.
Általánosságban elmondható, hogy az információk jogosulatlan hozzáféréstől (UAS) való védelmére szolgáló szoftver- és hardvereszközök, valamint szervezett (eljárási) megoldások a következő műveletekkel valósulnak meg:
- hozzáférés-szabályozás;
– nyilvántartás és könyvelés;
- kriptográfiai eszközök használata;
- Az információk integritásának biztosítása.
A gyakorlatban széles körben alkalmazott ellenőrzési és beléptetési ellenőrzési formákat figyelhetjük meg.
1. Hozzáférés megakadályozása:
- a merevlemezre;
- egyes szakaszokra;
- Nak nek egyedi fájlokat;
- könyvtárakba;
- hajlékonylemezekre;
- cserélhető adathordozóra.
2. Hozzáférési jogosultságok beállítása fájlok csoportjához.
3. Módosításvédelem:
– akták;
- könyvtárak.
4. Megsemmisítés elleni védelem:
– akták;
- könyvtárak.
5. Másolásmegelőzés:
– akták;
- könyvtárak;
- pályázati programok.
6. A képernyő elsötétítése a felhasználó által beállított idő után.
Általánosított formában az adatvédelmi eszközöket az ábra mutatja. 15.
Rizs. 15. Adatvédelmi intézkedések
Másolásvédelem
A másolásvédelmi eszközök megakadályozzák a szoftverek ellopott másolatainak felhasználását, és jelenleg az egyetlen megbízható eszköz – a programozók-fejlesztők szerzői jogainak védelme és a piac fejlődésének ösztönzése egyaránt. A másolásvédelem azt jelenti, hogy a program csak akkor látja el funkcióját, ha egy bizonyos egyedi, nem másolható elem felismerésre kerül. Ilyen elem (az úgynevezett kulcselem) lehet hajlékonylemez, a számítógép bizonyos része, vagy egy számítógéphez csatlakoztatott speciális eszköz. A másolásvédelem számos olyan funkció végrehajtásával valósul meg, amelyek minden védelmi rendszerben közösek:
– annak a környezetnek a meghatározása, ahonnan a program elindul;
– annak a környezetnek a hitelesítése, amelyből a program indul;
– válasz az illetéktelen környezetből történő indításra;
– az engedélyezett másolás nyilvántartásba vétele;
– ellenhatás a rendszerműködési algoritmusok tanulmányozására.
A környezet, ahonnan a program elindul, egy hajlékonylemez vagy egy PC (ha a telepítés merevlemezre történik). A környezet azonosítása abból áll, hogy a környezetet valamilyen módon elnevezzük annak további hitelesítése érdekében. Egy környezet azonosítása azt jelenti, hogy hozzá kell rendelni néhány speciálisan létrehozott vagy mért ritkán ismétlődő és nehezen meghamisítható jellemzőt - azonosítót. A hajlékonylemezeket kétféleképpen lehet azonosítani.
Az első a hajlékonylemez felületének bizonyos részének károsodásán alapul. Az ilyen azonosítás gyakori módja a "lézerlyuk". Ezzel a módszerrel a hajlékonylemezt egy meghatározott helyen lézersugárral égetik el. Nyilvánvaló, hogy elég nehéz pontosan ugyanazt a lyukat készíteni a másoló hajlékonylemezen és ugyanott, mint az eredeti hajlékonylemezen.
A második azonosítási módszer a hajlékonylemez nem szabványos formázásán alapul.
A jogosulatlan környezetből történő indításra adott reakció általában megfelelő üzenet kiadására redukálódik.
Az információ védelme a pusztulástól
A számítógép használatának minden esetére a biztonság biztosításának egyik feladata az információk megsemmisülésének védelme, amely a különféle helyreállítási intézkedések előkészítése és végrehajtása során (biztosítási alap lefoglalása, létrehozása és frissítése, információs archívum karbantartása stb.) előfordulhat. Mivel az információk megsemmisülésének okai nagyon sokfélék (illetéktelen cselekmények, szoftver- és hardverhibák, számítógépes vírusok stb.), a személyi számítógépet használók számára kötelező a biztosítás.
Külön meg kell említeni a veszélyt számítógépes vírusok. A számítógépet (PC-t) sok felhasználó jól ismeri, akik még nem ismerik őket, hamarosan megismerik őket. A számítógépes vírus egy kicsi, meglehetősen összetett, gondosan összeállított és veszélyes program, amely képes önállóan szaporodni, áthelyezni magát lemezekre, csatlakozni mások programjaihoz, és információs hálózatokon keresztül továbbítható. A vírusok általában azért jönnek létre, hogy különféle módokon megzavarják a számítógép működését – az üzenet „ártalmatlan” kibocsátásától a fájlok törléséig, megsemmisítéséig.
A vírusok nagy részét emberek, huligán programozók hozzák létre, főként azért, hogy büszkeségüket szórakoztassák, vagy pénzt keressenek antivírusok eladásával. A víruskereső olyan program, amely észleli vagy észleli és eltávolítja a vírusokat. Az ilyen programok speciálisak vagy univerzálisak. Mi a különbség az univerzális vírusirtó és a speciális víruskereső között? A speciális csak a már megírt, működő vírusokkal tud megbirkózni, az univerzális pedig a még meg nem írt vírusokkal.
A legtöbb víruskereső program speciális: AIDSTEST, VDEATH, SERUM-3, ANTI-KOT, SCAN és több száz egyéb. Mindegyikük felismer egy vagy több specifikus vírust anélkül, hogy bármilyen módon reagálna a többi jelenlétére.
Az univerzális vírusirtókat úgy tervezték, hogy a vírusok egész osztályával foglalkozzanak. Kinevezés szerint az univerzális hatású víruskeresők meglehetősen eltérőek. Széles körű alkalmazás keresse meg a helyi víruskereső és auditáló programokat.
Mind ezek, mind más víruskereső programok rendelkeznek bizonyos képességekkel - pozitív és negatív (hátrányok) jellemzőkkel. A specializáltak az egyszerűségük miatt túl szűken specializálódtak. A vírusok jelentős változatossága esetén ugyanilyen fajta víruskeresőre van szükség.
Amellett, hogy a vírusok elleni védelemre használják, a víruskereső programokat széles körben alkalmazzák és a szervezeti biztonsági intézkedéseket is. A vírusos cselekmények veszélyének csökkentése érdekében lehetőség van bizonyos intézkedések megtételére, amelyek minden esetben csökkenthetők vagy bővíthetők. Íme néhány ilyen művelet:
1. Tájékoztassa a vállalkozás valamennyi dolgozóját a vírustámadások veszélyéről és esetleges károkról.
2. Ne létesítsen hivatalos kapcsolatot más vállalkozásokkal szoftvercsere (beszerzés) céljából. Tiltsa meg az alkalmazottak számára, hogy programokat „kívülről” hozzanak, hogy telepítsék azokat az információfeldolgozó rendszerekbe. Csak hivatalosan terjesztett programokat szabad használni.
3. Akadályozza meg az alkalmazottak használatát számítógépes játékok a bizalmas információkat feldolgozó számítógépeken.
4. Harmadik fél elérése információs hálózatok külön külön helyet jelöljenek ki.
5. Hozzon létre egy archívumot a programok és adatok másolataiból.
6. Időnként ellenőrizze ellenőrző összegzéssel vagy "tiszta" programokkal való összehasonlítással.
7. Telepítsen információbiztonsági rendszereket a különösen fontos PC-kre. Használjon speciális víruskereső eszközöket.
Szoftvervédelem információ - ez a szoftverben található speciális programok rendszere, amely információbiztonsági funkciókat valósít meg.
Információbiztonsági eszközök- műszaki, elektromos, elektronikai, optikai és egyéb eszközök és berendezések, műszerek és eszközök készlete műszaki rendszerek, valamint egyéb valós elemek, amelyek az információvédelem különféle problémáinak megoldására szolgálnak, beleértve a kiszivárgás megelőzését és a védett információk biztonságának biztosítását.
Általánosságban elmondható, hogy az információbiztonság biztosításának eszközei a szándékos cselekvések megakadályozása szempontjából, a megvalósítás módjától függően, csoportokra oszthatók:
A terjesztés és az elérhetőség mértéke szerint szoftvereszközöket osztanak ki, egyéb eszközöket olyan esetekben használnak, amikor az információvédelem további szintjét szükséges biztosítani.
| Tűzfalak | ||
|---|---|---|
| Ingyenes | Ashampoo FireWall ingyenes Comodo Core Force Online Armor PC-eszközök PeerGuardian Sygate ZoneAlarm | |
| Szabadalmazott | Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Jetico (angol) Kaspersky Microsoft ISA Server Norton Outpost Trend Micro (angol) Windows Firewall Sunbelt (angol) WinRoute (angol) | |
| Hardver | Fortinet Cisco Juniper Check Point | |
| FreeBSD | Ipfw IPFilter | |
| Mac operációs rendszer | NetBarrier X4 | |
| Linux | Netfilter (Iptables Firestarter Iplist NuFW Shorewall) | |
A hardvervédelem különféle elektronikus, elektromechanikus, elektrooptikai eszközöket foglal magában. A mai napig jelentős számú hardvert fejlesztettek ki különféle célokra, de a következőket használják a legszélesebb körben:
Az információs rendszer kerületének védelme érdekében a következőket hozták létre: biztonsági és tűzjelző rendszerek; digitális videó megfigyelő rendszerek; beléptető és felügyeleti rendszerek (ACS). Az információ műszaki kommunikációs csatornákon történő kiszivárgás elleni védelmét az alábbi eszközökkel és intézkedésekkel biztosítják: árnyékolt kábel alkalmazása, valamint a vezetékek, kábelek árnyékolt szerkezetekben történő fektetése; nagyfrekvenciás szűrők telepítése kommunikációs vonalakra; árnyékolt helyiségek ("kapszulák") építése; árnyékolt berendezések használata; telepítés aktív rendszerek zaj; ellenőrzött zónák kialakítása.
Pénzügyi szókincs
Az államtitkot képező információk védelmét szolgáló műszaki, kriptográfiai, szoftveres és egyéb eszközök, azok megvalósításának módjai, valamint az információvédelem hatékonyságának ellenőrzésére szolgáló eszközök. Edward…… Vészhelyzeti szótár
Információbiztonsági eszközök- az államtitkot képező információk védelmét szolgáló műszaki, kriptográfiai, szoftveres és egyéb eszközök, azok megvalósításának módjai, valamint az információvédelem hatékonyságának ellenőrzésére szolgáló eszközök...
Az információbiztonsági szoftver azt jelenti speciális programok a CS szoftverben kizárólag védelmi funkciók ellátására szolgálnak.
A fő információbiztonsági szoftver a következőket tartalmazza:
Meg kell érteni, hogy az azonosítás a CS információbiztonságának biztosításával kapcsolatban a CS alanya egyedi nevének egyértelmű felismerését jelenti. A hitelesítés annak megerősítését jelenti, hogy a bemutatott név egyezik az adott alanyal (alany hitelesítés)5.
Az információbiztonsági szoftver a következőket is tartalmazza:
Az információbiztonsági szoftver előnyei a következők:
Rizs. 4
Rizs. 5
Az információbiztonsági szoftverek hátrányai a következők:
Biztonság az operációs rendszer szintjén
Az operációs rendszer bármely számítógép legfontosabb szoftverkomponense, ezért az információs rendszer általános biztonsága nagymértékben függ az egyes operációs rendszerek biztonsági szabályzatának végrehajtási szintjétől.
Műtőcsalád Windows rendszerek 2000, Millenium klónok, eredetileg otthoni számítógépekben való működésre irányultak. Ezek az operációs rendszerek védett módú jogosultsági szinteket használnak, de nem további ellenőrzésekés nem támogatják a biztonsági leíró rendszereket. Ennek eredményeként bármely alkalmazás hozzáférhet a rendelkezésre álló RAM teljes mennyiségéhez írási és olvasási hozzáféréssel is. Intézkedések hálózati biztonság jelen vannak, megvalósításuk azonban nem megfelelő. Ráadásul be Windows verziók Az XP alapvető hibát követett el, amely lehetővé tette, hogy néhány csomag szó szerint a számítógép „lefagyásához” vezetett, ami szintén jelentősen aláásta az operációs rendszer hírnevét, a későbbi verziókban pedig számos lépést tettek a klón hálózati biztonságának javítására6.
Operációs rendszerek generálása Windows Vista, 7 már sokkal megbízhatóbb fejlesztés a MicroSofttól. Ezek valóban többfelhasználós rendszerek, amelyek megbízhatóan védik a merevlemezen lévő különféle felhasználók fájljait (az adatok titkosítása azonban továbbra sem történik meg, és a fájlok probléma nélkül olvashatók egy másik operációs rendszer - például MS-DOS - lemezéről történő indítással). Ezek az operációs rendszerek aktívan használják a védett mód funkcióit Intel processzorok, és megbízhatóan meg tudja védeni a folyamat adatait és kódját más programoktól, kivéve, ha ő maga akar további hozzáférést biztosítani a folyamaton kívülről.
A fejlesztés hosszú időszaka során számos különféle hálózati támadást és biztonsági hibát vettek figyelembe. A javítások frissítési blokkok formájában jelentek meg (angol szervizcsomag).
A klónok másik ága a UNIX operációs rendszerből nő ki. Ezt az operációs rendszert eredetileg hálózatra és többfelhasználósra fejlesztették ki, ezért azonnal tartalmazott információbiztonsági eszközöket. Szinte minden széles körben elterjedt UNIX-klón hosszú utat tett meg a fejlesztésben, és mivel módosították őket, figyelembe vették az ez idő alatt felfedezett összes támadási módszert. Eléggé bevált: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Természetesen a fentiek mindegyikére vonatkozik legújabb verziói ezeket az operációs rendszereket. Ezekben a rendszerekben a fő hibák már nem a hibátlanul működő kernellel, hanem a rendszer- és alkalmazási segédprogramokkal kapcsolatosak. A bennük lévő hibák gyakran a rendszer teljes biztonsági határának elvesztéséhez vezetnek.
Fő összetevők:
Helyi biztonsági rendszergazda – felelős illetéktelen hozzáférés, ellenőrzi a felhasználó bejelentkezési adatait, támogatja:
Audit - a felhasználó tevékenységeinek helyességének ellenőrzése
Fiókkezelő - a felhasználók tevékenységeinek és a rendszerrel való interakciójának adatbázisának támogatása.
Biztonsági figyelő – ellenőrzi, hogy a felhasználónak elegendő hozzáférési joga van-e az objektumhoz
Audit log - információkat tartalmaz a felhasználói bejelentkezésekről, a fájlokkal, mappákkal kapcsolatos javításokról.
Authentication Pack – Elemzi a rendszerfájlokat, hogy megnézze, lecserélték-e azokat. Az MSV10 az alapértelmezett csomag.
A Windows XP hozzáadva:
az archivált másolatokhoz jelszavakat rendelhet
fájlcsere védelem
megkülönböztető rendszer ... jelszó megadásával és felhasználói fiók létrehozásával. Az archiválást az ilyen jogosultsággal rendelkező felhasználó végezheti.
NTFS: Fájlok és mappák hozzáférésének vezérlése
XP-ben és 2000-ben - a felhasználói hozzáférési jogok teljesebb és mélyebb megkülönböztetése.
EFS – biztosítja az információk (fájlok és mappák) titkosítását és visszafejtését az adatokhoz való hozzáférés korlátozása érdekében.
Kriptográfiai védelmi módszerek
A kriptográfia az adatok biztonságának tudománya. Négy fontos biztonsági problémára keres megoldást - a titoktartásra, a hitelesítésre, az integritásra és az interakció résztvevőinek ellenőrzésére. A titkosítás az adatok olvashatatlan formába történő átalakítása titkosító-visszafejtő kulcsok segítségével. A titkosítás lehetővé teszi a titkosság megőrzését azáltal, hogy az információkat titokban tartja azok elől, akiknek nem szánják.
A kriptográfia az információ átalakítására szolgáló matematikai módszerek keresésével és tanulmányozásával foglalkozik (7).
A modern kriptográfia négy fő részből áll:
szimmetrikus kriptorendszerek;
nyilvános kulcsú kriptorendszerek;
rendszerek Elektronikus aláírás;
kulcskezelés.
A kriptográfiai módszerek alkalmazásának fő irányai a bizalmas információk kommunikációs csatornákon (pl. Email), továbbított üzenetek hitelesítése, információk (dokumentumok, adatbázisok) médián való tárolása titkosított formában.
Meghajtótitkosítás
A titkosított lemez egy tárolófájl, amely bármilyen más fájlt vagy programot tartalmazhat (ezek közvetlenül ebből a titkosított fájlból telepíthetők és futtathatók). Ez a lemez csak a konténerfájl jelszavának megadása után érhető el - ekkor egy másik lemez jelenik meg a számítógépen, amelyet a rendszer logikusnak ismer fel, és a vele való munka nem különbözik a többi lemezzel való munkavégzéstől. A meghajtó leválasztása után a logikai meghajtó eltűnik, csak "láthatatlanná" válik.
A mai napig a titkosított lemezek létrehozására szolgáló leggyakoribb programok a DriveCrypt, a BestCrypt és a PGPdisk. Mindegyik megbízhatóan védett a távoli hackelés ellen.
A programok általános jellemzői: (8)
Felhasználó azonosítási módszerek
Mielőtt hozzáférne a VS-hez, a felhasználónak azonosítania kell magát, majd a hálózati biztonsági mechanizmusok hitelesítik a felhasználót, azaz ellenőrzik, hogy a felhasználó valóban az-e, akinek állítja magát. A védelmi mechanizmus logikai modelljének megfelelően a repülőgépek egy működő számítógépen helyezkednek el, amelyhez a felhasználó terminálján keresztül vagy más módon csatlakozik. Ezért az azonosítási, hitelesítési és felhatalmazási eljárásokat a munkamenet elején hajtják végre a helyi munkaállomáson.
Később, amikor különféle hálózati protokollokés mielőtt hozzáférne hálózati erőforrások, az azonosítási, hitelesítési és felhatalmazási eljárások újraaktiválhatók egyes távoli munkaállomásokon a szükséges erőforrások vagy hálózati szolgáltatások tárolására.
Amikor egy felhasználó terminál segítségével bejelentkezik egy számítógépes rendszerbe, a rendszer kéri a nevét és az azonosító számát. A felhasználó válaszainak megfelelően a számítógépes rendszer azonosítja a felhasználót. Egy hálózatban természetesebb, hogy a kölcsönös kapcsolatot létesítő objektumok azonosítják egymást.
A jelszavak csak az egyik módja a hitelesítésnek. Vannak más módszerek is:
Ha valaki terminálon keresztül szeretne bejelentkezni a számítástechnikai rendszerbe, vagy kötegelt feladatot szeretne végrehajtani, a számítástechnikai rendszernek hitelesítenie kell a felhasználót. Maga a felhasználó általában nem ellenőrzi a számítógépes rendszer hitelességét. Ha a hitelesítési eljárás egyirányú, az ilyen eljárást egyirányú objektum hitelesítésnek (9) nevezik.
Speciális szoftver az információvédelemhez.
Az információk jogosulatlan hozzáféréssel szembeni védelmére szolgáló speciális szoftvereszközök általában jobb képességekkel és jellemzőkkel rendelkeznek, mint a beépített hálózati operációs rendszer eszközei. A titkosító programokon kívül számos egyéb külső információbiztonsági eszköz is elérhető. A leggyakrabban említettek közül a következő két rendszert kell kiemelni, amelyek lehetővé teszik az információáramlás korlátozását.
Tűzfalak - tűzfalak (szó szerint tűzfal - tüzes fal). A helyi és a globális hálózatok között speciális közbenső szerverek jönnek létre, amelyek ellenőrzik és szűrik a rajtuk áthaladó összes hálózati / szállítási réteg forgalmat. Ez lehetővé teszi, hogy jelentősen csökkentse a kívülről a vállalati hálózatokhoz való jogosulatlan hozzáférés veszélyét, de nem szünteti meg teljesen ezt a veszélyt. A módszer biztonságosabb változata az álarcos módszer, amikor a helyi hálózatból kimenő összes forgalom a tűzfalszerver nevében történik, így a helyi hálózat szinte láthatatlan.
Meghatalmazott szerverek (meghatalmazott - meghatalmazás, meghatalmazott személy). A helyi és a globális hálózatok közötti minden hálózati/szállítási rétegbeli forgalom teljesen tilos – egyszerűen nincs útválasztás, és a helyi hálózatból a globális hálózatba irányuló hívások speciális közvetítő szervereken keresztül történnek. Nyilvánvaló, hogy ezzel a módszerrel elvileg lehetetlenné válik a hozzáférés a globális hálózatról a helyi hálózathoz. Az is nyilvánvaló, hogy ez a módszer nem nyújt kellő védelmet a magasabb szintű támadások ellen – például alkalmazásszinten (vírusok, Java és JavaScript kódok).
Nézzük meg közelebbről a tűzfal működését. Ez egy módszer a hálózat védelmére a más rendszerek és hálózatok biztonsági fenyegetéseivel szemben a hálózathoz való hozzáférés hardveren és szoftveren keresztül történő központosításával és ellenőrzésével. A tűzfal egy biztonsági akadály, amely több összetevőből áll (például egy útválasztó vagy egy átjáró, amely a tűzfalszoftvert futtatja). A tűzfal a szervezet hozzáférés-felügyeleti szabályzatának megfelelően van konfigurálva. belső hálózat. Minden bejövő és kimenő csomagnak át kell haladnia egy tűzfalon, amelyen csak az engedélyezett csomagok juthatnak át.
A csomagszűrő tűzfal egy olyan útválasztó vagy számítógép, amely szoftvert futtat, amely úgy van beállítva, hogy elutasítson bizonyos típusú bejövő és kimenő csomagokat. A csomagszűrés a TCP és IP csomagfejlécekben található információkon (feladó és célcímek, portszámaik stb.) alapul.
Szakértői szintű tűzfal – az OSI modell három szintjén – hálózat, munkamenet és alkalmazás – ellenőrzi a fogadott csomagok tartalmát. Ennek a feladatnak a végrehajtásához speciális csomagszűrő algoritmusokat használnak az egyes csomagok összehasonlítására az engedélyezett csomagok ismert mintájával.
A tűzfal létrehozása az árnyékolás problémájának megoldására utal. A szűrési probléma formális megfogalmazása a következő. Legyen két információs rendszer. A képernyő egy eszköz, amellyel elhatárolható az ügyfelek hozzáférése az egyik halmazból a másik készlet szervereihez. A képernyő úgy látja el feladatait, hogy vezérli az összes információáramlást két rendszercsoport között (6. ábra). Az áramlásszabályozás a szűrésből áll, esetleg bizonyos átalakításokkal.
A következő részletszinten a képernyő (félig áteresztő membrán) kényelmesen ábrázolható szűrők sorozataként. A szűrők mindegyike az adatok elemzése után késleltetheti (nem hagyhatja ki), vagy azonnal "ledobhatja" a képernyőről. Ezen kívül lehetőség van az adatok átalakítására, az adatok egy részének átvitelére a következő szűrőre további elemzés céljából, vagy adatfeldolgozásra a címzett nevében és az eredmény visszaküldésére a feladónak (7. ábra).
Rizs. 7
A beléptető funkciókon kívül a képernyők naplózzák az információcserét.
Általában a képernyő nem szimmetrikus, a "belül" és a "kint" fogalmakat definiálják rá. Ebben az esetben az árnyékolási feladat úgy van megfogalmazva, hogy megvédje a belső területet a potenciálisan ellenséges külsőtől. Így a tűzfalakat (ME) leggyakrabban egy olyan szervezet vállalati hálózatának védelmére telepítik, amely hozzáféréssel rendelkezik az internethez.
Az árnyékolás segít fenntartani a szolgáltatások elérhetőségét a belső területen azáltal, hogy csökkenti vagy megszünteti a külső tevékenység okozta rezsiköltséget. A belső biztonsági szolgáltatások sebezhetősége csökken, mivel a támadónak először át kell haladnia a képernyőn, ahol a védelmi mechanizmusok különösen gondosan vannak konfigurálva. Ezenkívül az árnyékolási rendszer az univerzálistól eltérően egyszerűbben és ezáltal biztonságosabban is elrendezhető.
Az árnyékolás lehetővé teszi a külső területre irányuló információáramlások ellenőrzését is, ami segít fenntartani a titoktartási rendszert a szervezet információs rendszerében.
Az árnyékolás lehet részleges, bizonyos információs szolgáltatásokat véd (pl. e-mail árnyékolás).
A határoló felület egyfajta menekülésként is felfogható. Egy láthatatlan tárgyat nehéz megtámadni, különösen rögzített eszközkészlettel. Ebben az értelemben a webes felület természetesen biztonságos, különösen akkor, ha a hipertext dokumentumokat dinamikusan állítják elő. Minden felhasználó csak azt látja, amit látnia kell. Lehetséges analógiát vonni a dinamikusan generált hipertext dokumentumok és a relációs adatbázisokban lévő reprezentációk között, azzal a jelentős megkötéssel, hogy a Web esetében sokkal szélesebbek a lehetőségek.
Egy webszolgáltatás átvilágítási szerepe akkor is egyértelműen megnyilvánul, ha ez a szolgáltatás közvetítő (pontosabban integráló) funkciókat lát el más erőforrásokhoz, például adatbázistáblákhoz való hozzáféréskor. Nemcsak a kérések áramlását szabályozza, hanem elrejti az adatok valós rendszerezését is.
A biztonság építészeti szempontjai
Univerzális operációs rendszerekkel nem lehet felvenni a harcot a hálózati környezetben rejlő fenyegetésekkel. A Universal OS egy hatalmas szoftver, amely a nyilvánvaló hibákon kívül valószínűleg tartalmaz néhány olyan funkciót, amelyekkel illegálisan lehet jogosultságokat szerezni. A modern programozási technológia ezt nem teszi lehetővé nagy programok biztonságos. Ráadásul egy összetett rendszerrel foglalkozó rendszergazda nem mindig tudja figyelembe venni a változtatások minden következményét. Végül egy univerzális többfelhasználós rendszerben a biztonsági lyukakat folyamatosan maguk a felhasználók hoznak létre (gyenge és/vagy ritkán cserélt jelszavak, sikertelenül megállapított jogokat hozzáférés, felügyelet nélküli terminál stb.). Az egyetlen ígéretes út a speciális biztonsági szolgáltatások fejlesztése, amelyek egyszerűségüknél fogva lehetővé teszik a formális vagy informális ellenőrzést. A tűzfal éppen egy ilyen eszköz, amely lehetővé teszi a különféle hálózati protokollok karbantartásával kapcsolatos további lebontást.
A tűzfal a védett (belső) hálózat és a külső környezet (külső hálózatok vagy a vállalati hálózat egyéb szegmensei) között helyezkedik el. Az első esetben egy külső ÉN-ről beszélünk, a másodikban egy belsőről. Szemponttól függően a külső tűzfal tekinthető az első vagy az utolsó (de semmiképpen sem az egyetlen) védelmi vonalnak. Az első - ha egy külső betolakodó szemével nézi a világot. Az utolsó - ha arra törekszik, hogy megvédje a vállalati hálózat összes összetevőjét, és megakadályozza a belső felhasználók jogellenes tevékenységét.
A tűzfal ideális hely az aktív auditáló eszközök beágyazására. Egyrészt az első és az utolsó védővonalnál is a maga módján fontos a gyanús tevékenység felderítése. Másrészt az ME képes önkényesen erőteljes reakciót végrehajtani a gyanús tevékenységre, egészen a külső környezettel való kapcsolat megszakításáig. Igaz, tisztában kell lenni azzal, hogy két biztonsági szolgáltatás összekapcsolása elvileg olyan rést képezhet, amely megkönnyíti az akadálymentesítési támadásokat.
Célszerű a tűzfalhoz rendelni azon külső felhasználók azonosítását/hitelesítését, akiknek hozzá kell férniük a vállalati erőforrásokhoz (a hálózatba való egyszeri bejelentkezés koncepciójának támogatásával).
A védelmi elkülönítés elvei alapján védeni külső csatlakozásokáltalában kétkomponensű árnyékolást alkalmaznak (lásd 8. ábra). Az elsődleges szűrést (például az akadálymentesítési támadásokra veszélyes SNMP felügyeleti protokoll csomagjainak blokkolását, vagy a „fekete listán” szereplő bizonyos IP-című csomagokat) a határmenti router végzi (lásd még a következő részt), amely mögött az úgynevezett demilitarizált zóna (mérsékelt biztonsági megbízhatóságú hálózat, ahol a szervezet belső információs szolgáltatásainak védelmét - a szervezet fő hálózatát, a tűzfalat, stb.) helyezik el. .
Elméletileg egy tűzfalnak (főleg egy belsőnek) többprotokollosnak kellene lennie, de a gyakorlatban a TCP/IP protokollcsalád annyira domináns, hogy a többi protokoll támogatása túlzásnak tűnik, ami rontja a biztonságot (minél bonyolultabb a szolgáltatás, annál sebezhetőbb).
Rizs. 8
Általánosságban elmondható, hogy mind a külső, mind a belső tűzfal szűk keresztmetszetté válhat, mivel a hálózati forgalom gyorsan növekszik. A probléma megoldásának egyik módja az ME több hardver részre osztása és speciális közvetítő szerverek megszervezése. A fő tűzfal nagyjából típus szerint osztályozza a bejövő forgalmat, és átadja a szűrést a megfelelő közvetítőknek (például egy HTTP-forgalmat elemző közvetítőnek). A kimenő forgalmat először egy közvetítő szerver dolgozza fel, amely funkcionálisan hasznos műveleteket is végrehajthat, például külső webszerverek oldalainak gyorsítótárazását, ami általában csökkenti a hálózat és különösen a fő tűzfal terhelését.
Azok a helyzetek, amikor a vállalati hálózat csak egy külső csatornát tartalmaz, inkább kivétel, mint szabály. Ellenkezőleg, tipikus helyzet az, amikor egy vállalati hálózat több földrajzilag szétszórt szegmensből áll, amelyek mindegyike kapcsolódik az internethez. Ebben az esetben minden csatlakozást saját árnyékolással kell védeni. Pontosabban úgy tekinthetjük, hogy a vállalati külső tűzfal egy kompozit, és minden komponens koordinált adminisztrációjának (menedzsment és audit) megoldásához szükséges.
A kompozit vállalati tűzfalak (vagy összetevőik) ellentéte a személyi tűzfalak és a személyi árnyékoló eszközök. Az előbbiek szoftvertermékek, amelyekre telepítve van személyi számítógépekés csak őket védik. Ez utóbbiak egyedi eszközökön valósulnak meg, és egy kis helyi hálózatot védenek, például egy otthoni irodai hálózatot.
A tűzfalak telepítésénél az építészeti biztonság korábban tárgyalt alapelveit kell követni, elsősorban az egyszerűségre és kezelhetőségre, a mélyreható védelemre, valamint a bizonytalan állapotba való átállás lehetetlenségére ügyelve. Ezenkívül nem csak a külső, hanem a belső veszélyeket is figyelembe kell venni.
Az információk archiválásának és sokszorosításának rendszerei
A megbízható és hatékony adatarchiváló rendszer megszervezése az egyik legfontosabb feladat a hálózaton lévő információk biztonságának biztosításában. BAN BEN kis hálózatok, ahol egy vagy két szerver van telepítve, leggyakrabban az archiváló rendszer közvetlenül a szerverek szabad helyeibe történő telepítését alkalmazzák. Nagyban vállalati hálózatok legelőnyösebb egy dedikált speciális archiváló szerver megszervezése.
Egy ilyen szerver automatikusan archiválja az információkat merevlemezek szervereket és munkaállomásokat a helyi hálózat adminisztrátora által meghatározott időpontban, a mentésről jelentést készítve.
A különleges értékű archív információk tárolását speciális biztonságos helyiségben kell megszervezni. A szakértők azt javasolják, hogy tűz vagy természeti katasztrófa esetén a legértékesebb adatok másolatát egy másik épületben tárolják. A mágneslemez meghibásodása esetén az adatok helyreállításának biztosítására mostanában leggyakrabban lemeztömb rendszereket használnak – olyan lemezcsoportokat, amelyek egyetlen készülék, kompatibilis a RAID (Redundant Arrays of Inexpensive Disks) szabvánnyal. Ezek a tömbök biztosítják a legnagyobb sebességű adatírást/olvasást, az adatok teljes visszaállításának és a meghibásodott lemezek cseréjének lehetőségét "forró" módban (a tömb többi lemezének kikapcsolása nélkül).
A lemeztömbök szervezése különféle technikai megoldásokat kínál több szinten:
A 0. szintű RAID egyszerűen felosztja az adatfolyamot két vagy több meghajtó között. A megoldás előnye, hogy az I/O sebesség a tömbben használt lemezek számával arányosan nő.
A RAID 1. szintje az úgynevezett "tükör" lemezek felépítéséből áll. Az adatrögzítés során a rendszer főlemezének információi duplikálódnak a tükörlemezen, és ha a főlemez meghibásodik, azonnal bekapcsol a "tükör".
A RAID 2. és 3. szintje párhuzamos lemeztömbök létrehozását írja elő, amelyekre az adatok bitszinten vannak elosztva a lemezek között.
A RAID 4. és 5. szintje egy módosítás nulla szint, amelyben az adatfolyam el van osztva a tömb lemezei között. A különbség az, hogy a 4. szinten egy speciális lemez van lefoglalva a redundáns információk tárolására, az 5. szinten pedig a redundáns információ eloszlik a tömb összes lemezén.
A hálózatban a megbízhatóság és az adatvédelem redundáns információk felhasználásán alapuló növelése nemcsak az egyes hálózati elemek, például lemeztömbök szintjén valósul meg, hanem a hálózati operációs rendszerek szintjén is. Például a Novell a Netware operációs rendszer – SFT (System Fault Tolerance) – hibatűrő verzióit valósítja meg:
Biztonsági elemzés
A biztonsági elemző szolgáltatás célja a sebezhetőségek azonosítása, azok gyors kiküszöbölése érdekében. Ez a szolgáltatás önmagában nem véd semmi ellen, de segít észlelni (és kijavítani) a biztonsági hiányosságokat, mielőtt a támadó kihasználhatná azokat. Először is, ezek nem építészeti jellegűek (nehéz kiküszöbölni), hanem „működési” hiányosságok, amelyek adminisztrációs hibákból vagy a szoftververziók frissítése iránti figyelmetlenségből adódtak.
A biztonsági elemző rendszerek (más néven biztonsági szkennerek), a fentebb tárgyalt aktív auditáló eszközökhöz hasonlóan a tudás felhalmozódásán és felhasználásán alapulnak. BAN BEN ez az eset ez a biztonsági hiányosságokkal kapcsolatos ismeretekre vonatkozik: hogyan lehet ezeket keresni, mennyire súlyosak és hogyan javíthatók ki.
Ennek megfelelően az ilyen rendszerek magja a sérülékenységek alapja, amely meghatározza a rendelkezésre álló képességek körét, és szinte folyamatos frissítést igényel.
Elvileg nagyon eltérő jellegű hiányosságok észlelhetők: rosszindulatú programok (különösen vírusok), gyenge felhasználói jelszavak, rosszul konfigurált operációs rendszerek, nem biztonságos hálózati szolgáltatások, eltávolított javítások, alkalmazások sebezhetősége stb. A leghatékonyabbak azonban hálózati szkennerek(nyilván a TCP / IP protokollcsalád dominanciája miatt), valamint a vírusirtó eszközök (10). Vírusvédelem a biztonsági elemzés eszközei közé soroljuk, nem tekintjük külön biztonsági szolgáltatásnak.
A szkennerek passzív elemzéssel, azaz tanulmányozással is azonosíthatják a sebezhetőséget konfigurációs fájlok, portokat stb., valamint egy támadó cselekményeinek imitálásával. Egyes talált sebezhetőségek automatikusan kijavíthatók (például a fertőzött fájlok fertőtlenítése), a többit jelenteni kell a rendszergazdának.
A biztonsági elemző rendszerek által nyújtott irányítás reaktív, késleltetett, nem véd az újabb támadások ellen, de nem szabad elfelejteni, hogy a védelemnek rétegzettnek kell lennie, és a biztonsági ellenőrzés is eléggé megfelelő a határok közül. Ismeretes, hogy a támadások túlnyomó többsége rutinszerű; csak azért lehetségesek, mert az ismert biztonsági rések évekig befoltozatlanok maradnak.
Az információvédelmi szoftverek speciális programok és szoftverrendszerek, amelyek az információs rendszerekben található információk védelmére szolgálnak.
A szoftvereszközök közé tartoznak a felhasználó azonosítására, a hozzáférés-szabályozásra, a fennmaradó (működő) információk, például az ideiglenes fájlok törlésére, a védelmi rendszer tesztvezérlésére és egyebekre szolgáló programok. A szoftvereszközök előnyei a sokoldalúság, a rugalmasság, a megbízhatóság, a könnyű telepítés, a módosítási és fejlesztési lehetőség.
Hátrányok - a fájlszerver és a munkaállomások erőforrásainak egy részének felhasználása, nagy érzékenység a véletlen vagy szándékos változtatásokra, lehetséges függés a számítógépek típusától (hardverüktől).
A szoftvervédelmi eszközök a következők:
beépített információbiztonsági eszközök - ezek olyan eszközök, amelyek megvalósítják a felhasználók jogosultságát és hitelesítését (jelszóval történő bejelentkezés), a hozzáférési jogok megkülönböztetését, szoftveres másolásvédelmet, az adott formátumnak megfelelő helyes adatbevitelt stb.
Ezen túlmenően ez az eszközcsoport magában foglalja a beépített operációs rendszer-eszközöket, amelyek megvédik az egyik program működésének egy másik program működésére gyakorolt hatását, amikor a számítógép többprogramos üzemmódban fut, amikor több program futhat egyidejűleg a memóriájában, felváltva kapva az irányítást a megszakítások következtében. Ezen programok mindegyikében előfordulhatnak olyan hibák (hibák), amelyek hatással lehetnek más programok funkcióinak teljesítményére. Az operációs rendszer kezeli a megszakításokat és a többprogramozást. Ezért az operációs rendszernek meg kell védenie magát és más programokat az ilyen hatásoktól, például memóriavédelmi mechanizmust és a programvégrehajtás privilegizált vagy felhasználói módban történő elosztását alkalmazva;
a biztonsági rendszer kezelése.
A szoftver és hardver információvédelmi eszközeinek optimális készletének kialakításához a következő lépéseket kell végigvinni:
a védendő információk és technikai erőforrások meghatározása;
a lehetséges fenyegetések és információszivárgási csatornák teljes készletének azonosítása;
· az információk sebezhetőségének és kockázatainak felmérése számos fenyegetés és szivárgási csatorna jelenlétében;
A védelmi rendszer követelményeinek meghatározása;
információbiztonsági eszközök és jellemzőik kiválasztása;
a kiválasztott védelmi intézkedések, módszerek és eszközök bevezetése és alkalmazásának megszervezése;
A védelmi rendszer integritás-ellenőrzésének és kezelésének megvalósítása.
Az információ ma drága, és védeni kell. Az információk kivétel nélkül minden ember tulajdonában és felhasználásában vannak. Mindenki maga dönti el, hogy milyen információkat kell megkapnia, milyen információkhoz nem szabad hozzáférni mások számára. Az információvesztés megelőzése érdekében különféle technikai védelmi módszereket fejlesztenek ki, amelyeket a vele való munkavégzés minden szakaszában alkalmaznak, védve a sérülésektől és a külső hatásoktól.
A Szaratovi Régió Oktatási Minisztériuma
Diplomás munka
Szoftver és hardver információbiztonság
Engels, 2014
Bevezetés
A gyorsan fejlődő számítógépes információs technológiák érezhető változásokat hoznak életünkben. Az információ vásárolható, eladható, cserélhető árucikké vált. Ugyanakkor az információ költsége gyakran több százszorosa annak a számítógépes rendszernek, amelyben tárolják.
Az információtechnológiai biztonság mértékétől függ a jólét, néha sok ember élete. Ilyen az automatizált információfeldolgozó rendszerek bonyolultságáért és mindenütt való használatáért járó fizetés.
Az információbiztonság alatt az információs rendszer védelmét értjük a véletlen vagy szándékos beavatkozással szemben, amely káros az információ tulajdonosaira vagy felhasználóira nézve.
A gyakorlatban az információbiztonság három aspektusa a legfontosabb:
Elérhetőség (a szükséges információszolgáltatás ésszerű időn belüli kézhezvételének képessége);
Integritás (az információk relevanciája és következetessége, védelme a megsemmisítéstől és a jogosulatlan változtatásoktól);
titkosság (védelem a jogosulatlan olvasás ellen).
Az információk elérhetőségének, integritásának és bizalmasságának megsértését az információs számítógépes rendszerekre gyakorolt különféle veszélyes hatások okozhatják.
A modern információs rendszer egy összetett rendszer, amely nagyszámú, különböző fokú autonómiájú összetevőből áll, amelyek egymással összekapcsolódnak és adatokat cserélnek. Szinte minden alkatrész ki lehet téve külső hatásoknak vagy meghibásodhat. Az automatizált információs rendszer összetevői a következő csoportokra oszthatók:
hardver - számítógépek és alkatrészeik (processzorok, monitorok, terminálok, perifériák - lemezmeghajtók, nyomtatók, vezérlők, kábelek, kommunikációs vonalak stb.);
szoftver - vásárolt programok, forrás, objektum, rendszerindító modulok; operációs rendszerek és rendszerprogramok (fordítók, linkerek stb.), segédprogramok, diagnosztikai programok stb.;
adatok - ideiglenesen és tartósan tárolva, mágneses adathordozón, nyomtatva, archívumban, rendszernaplókban stb.;
személyzet – kiszolgáló személyzet és felhasználók.
Veszélyes hatások a számítógépre tájékoztatási rendszer véletlenre és szándékosra osztható. Az információs rendszerek tervezése, gyártása és üzemeltetése során szerzett tapasztalatok elemzése azt mutatja, hogy az információ a rendszer életciklusának minden szakaszában különféle véletlenszerű hatásoknak van kitéve.
1. Információbiztonsági szoftver
A szoftver olyan adatvédelmi eszközökre vonatkozik, amelyek a szoftver részeként működnek. Köztük a következők:
adatarchiváló eszközök
víruskereső programok
kriptográfiai eszközök
felhasználó azonosítási és hitelesítési eszközök
hozzáférés-szabályozás
fakitermelés és audit
Példák a fenti intézkedések kombinációira:
adatbázis védelme
információk védelme számítógépes hálózatokban végzett munka során.
1 Az információk archiválásának módjai
Néha biztonsági mentések Az információkat az adattárhely erőforrások általános korlátozásával kell végrehajtani, például a személyi számítógépek tulajdonosai számára.
Ezekben az esetekben szoftveres archiválást alkalmaznak. Az archiválás több fájl, sőt könyvtár egyesítése egyetlen fájlba - archívumba, miközben csökkenti a forrásfájlok teljes mennyiségét a redundancia kiküszöbölésével, de információvesztés nélkül, vagyis az eredeti fájlok pontos visszaállításának lehetőségével.
A legtöbb archiváló eszköz működése a 80-as években javasolt tömörítési algoritmusokon alapul.
Abraham Lempel és Jacob Ziv. A következő archív formátumok a leghíresebb és legnépszerűbbek:
ZIP (1.1. ábra), ARJ DOS és Windows operációs rendszerekhez,
tar a Unix operációs rendszerhez,
többplatformos JAR formátum (Java archívum),
Rizs. 1.1. Általános forma WinZip archiváló.
A RAR-t (1.2. ábra) DOS, Windows és Unix operációs rendszerekben használják.
Rizs. 1.2. A WinRar archiváló általános képe.
A felhasználónak csak választania kell megfelelő program, munkát biztosít a kiválasztott formátummal, annak jellemzőinek értékelésével - sebesség, tömörítési arány, kompatibilitás nagyszámú formátummal, a felület felhasználóbarátsága, az operációs rendszer kiválasztása stb.
Szintén nagyon fontos az ilyen adatarchiválási tevékenységek rendszeres ütemezése, vagy jelentősebb adatfrissítés utáni végrehajtása.
2 Víruskereső program
2.1 Számítógépes vírusok
A tapasztalatlan felhasználók általában azt hiszik, hogy a számítógépes vírus egy speciálisan megírt kis program, amely képes "tulajdonítani" magát más programoknak (azaz "megfertőzni" azokat), valamint különféle nem kívánt műveleteket hajt végre a számítógépen. A számítógépes virológiával foglalkozó szakemberek megállapították, hogy a vírus azon tulajdonsága, hogy képes másolatokat készíteni önmagáról (nem feltétlenül azonos az eredetivel), és bejuttatja azokat a számítógépes hálózatokés/vagy fájlok, számítógépes rendszerterületek és egyéb végrehajtható objektumok. Ugyanakkor a másolatok megtartják a további terjesztés lehetőségét. Meg kell jegyezni, hogy ez a feltétel nem elegendő; végső. Éppen ezért még mindig nincs pontos definíció a vírusra, és nem valószínű, hogy belátható időn belül megjelenik.
Ezért nincs pontosan meghatározott törvény, amely alapján a "jó" fájlokat meg lehetne különböztetni a "vírusoktól". Ezenkívül néha még egy adott fájl esetében is meglehetősen nehéz meghatározni, hogy vírus-e vagy sem.
Élőhely szerint a vírusok a következőkre oszthatók:
fájl;
csomagtartó;
makrovírusok;
A fájlvírusok (1.3. ábra) vagy különféle módokon beszivárognak a végrehajtható fájlokba (a vírusok leggyakoribb típusa), vagy duplikált fájlokat hoznak létre (kísérő vírusok), vagy szervezeti szolgáltatásokat használnak fájlrendszer(link vírusok).
Rizs. 1.3. Vírus a MOUSE.COM fájlban.
Vannak vírusok, amelyek megfertőzik a programforrásszövegeket, könyvtár- vagy objektummodulokat tartalmazó fájlokat. Előfordulhat, hogy egy vírus adatfájlokba ír, de ez vagy egy vírushiba eredményeként történik, vagy amikor agresszív tulajdonságai megnyilvánulnak. A makróvírusok adatfájlokba – dokumentumokba vagy táblázatokba – is írják kódjukat, azonban ezek a vírusok annyira specifikusak, hogy külön csoportba kerülnek.
A rendszerindító vírusok (1.4. ábra) megfertőzik a hajlékonylemez rendszerindító szektorát és a merevlemez rendszerindító szektorát vagy Master Boot Record-ját (MBR). A rendszerindító vírusok működési elve az operációs rendszer indítására szolgáló algoritmusokon alapul, amikor a számítógép be van kapcsolva vagy újraindul - a telepített berendezések (memória, lemezek stb.) szükséges tesztelése után a rendszerindító program beolvassa a rendszerindító lemez első fizikai szektorát.
Rizs. 1.4. Vírus a rendszerindító rekordban.
Hajlékonylemez vagy CD esetén a rendszerindító szektor kap vezérlést, amely elemzi a lemez paramétertáblázatát és kiszámítja a címeket. rendszerfájlokat operációs rendszert, beolvassa a memóriába és végrehajtja azokat.
Merevlemez esetén a vezérlést a merevlemez MBR-jében található program veszi át. Ez a program elemzi a lemezpartíciós táblát, kiszámítja az aktív rendszerindító szektor címét, betölti a memóriába, és átadja a vezérlést. Miután megkapta az irányítást, a merevlemez aktív rendszerindító szektora ugyanazokat a műveleteket hajtja végre, mint a hajlékonylemez rendszerindító szektora.
A makróvírusok számos népszerű szerkesztő dokumentumfájljait és táblázatait fertőzik meg. A makróvírusok bizonyos adatfeldolgozó rendszerekbe (szövegszerkesztőkbe, táblázatokba stb.) beágyazott nyelveken (makrónyelveken) lévő programok.
A hálózati vírusok közé tartoznak azok a vírusok, amelyek terjesztésükhöz aktívan használják a helyi és globális hálózatok protokolljait és képességeit. A hálózati vírusok fő elve az a képesség, hogy a kódját önállóan továbbítsák egy távoli szerverre vagy munkaállomásra. Ugyanakkor a "teljes értékű" hálózati vírusok arra is képesek, hogy saját kódjukat futtassák egy távoli számítógépen, vagy legalábbis "nyomják" a felhasználót a fertőzött fájl elindítására. A hálózati vírusokra példa az úgynevezett IRC férgek.
Számos kombináció létezik – például a fájlrendszerindító vírusok, amelyek a fájlokat és a lemezek rendszerindító szektorait egyaránt megfertőzik. Az ilyen vírusok általában meglehetősen összetett munkaalgoritmussal rendelkeznek, gyakran eredeti módszereket alkalmaznak a rendszerbe való behatolásra, lopakodó és polimorf technológiákat használnak. Egy másik példa egy ilyen kombinációra egy hálózati makróvírus, amely nemcsak a szerkesztett dokumentumokat fertőzi meg, hanem e-mailben is küld másolatokat magáról.
A vírusokon kívül számos más típust is szokás elkülöníteni rosszindulatú. Ez trójaiak, logikai bombák és férgek. Nincs egyértelmű elválasztás közöttük: a trójaiak tartalmazhatnak vírusokat, a vírusok beágyazhatók logikai bombákkal stb.
Fő céljuk szerint a trójaiak (1.5. ábra) teljesen ártalmatlanok, sőt hasznosak is. De amikor a felhasználó ír egy programot a számítógépére, és lefuttatja azt, az csendben rosszindulatú funkciókat hajthat végre. A trójaiakat leggyakrabban vírusok kezdetben terjesztésére, az interneten keresztüli számítógép távoli elérésére, adatok ellopására vagy megsemmisítésére használják.
Rizs. 1.5. Trójai a Windowsban.
A férgeket úgy tervezték, hogy bizonyos funkciókat hajtsanak végre, például beszivárogjanak egy rendszerbe és módosítsák az adatokat. Létrehozhat például egy féregprogramot, amely bekukucskál a bankrendszer eléréséhez szükséges jelszót, és megváltoztatja az adatbázist.
A széles körben ismert férget a Cornell Egyetem hallgatója, Robert Morris írta. A Morris féreg 1988. november 2-án jelent meg az interneten, és 5 óra alatt több mint 6000 számítógépen tudott behatolni.
Egyes férgek (például Code Red) nem a fájlok belsejében, hanem folyamatokként léteznek a fertőzött számítógép memóriájában. Ez megakadályozza, hogy a fájlokat vizsgáló és a számítógép RAM-ját figyelmen kívül hagyó víruskeresők észleljék őket.
2.2 A számítógépes vírusok észlelésének és eltávolításának módszerei
A számítógépes vírusok elleni védekezés módjai több csoportra oszthatók: a vírusfertőzés megelőzése és az ilyen fertőzések várható kárainak csökkentése; víruskereső programok használatának módszerei, beleértve egy ismert vírus semlegesítését és eltávolítását; ismeretlen vírus észlelésének és eltávolításának módjai.
Számítógépes fertőzések megelőzése.
Sérült tárgyak helyreállítása.
Víruskereső programok.
2.2.1 A számítógépes fertőzések megelőzése
A vírusok elleni küzdelem egyik fő módszere az orvostudományhoz hasonlóan az időben történő megelőzés. A számítógépes megelőzés kis számú szabály betartását jelenti, ami jelentősen csökkentheti a vírusfertőzés és az adatok elvesztésének valószínűségét.
A számítógépes higiénia alapvető szabályainak meghatározásához meg kell találni a vírus számítógépbe és számítógépes hálózatokba való bejutásának főbb módjait.
A vírusok fő forrása ma a globális internet. A legtöbb vírusfertőzés a levélváltás során fordul elő. A makróvírussal fertőzött szerkesztő felhasználója anélkül, hogy ezt sejtené, fertőzött leveleket küld a címzetteknek, akik viszont új fertőzött leveleket küldenek stb. Következtetések – kerülje a gyanús információforrásokkal való érintkezést, és csak legitim (licenszelt) szoftvertermékeket használjon. Sajnos hazánkban ez nem mindig lehetséges.
2.2.2 Az érintett objektumok helyreállítása
A legtöbb vírusfertőzés esetén a fertőzött fájlok és lemezek helyreállításának folyamata egy megfelelő vírusirtó futtatásához vezet, amely képes semlegesíteni a rendszert. Ha a vírust egyetlen vírusirtó sem ismeri, akkor elegendő a fertőzött fájlt elküldeni a víruskereső gyártóknak, és egy idő után (általában néhány nap vagy hét) beszerezni egy gyógyszert - egy "frissítést" a vírus ellen. Ha az idő nem vár, akkor a vírust önmagában kell semlegesíteni. A legtöbb felhasználónak biztonsági másolatot kell készítenie adatairól.
2.2.3 A vírusirtó programok osztályozása
A víruskereső programok a leghatékonyabbak a számítógépes vírusok elleni küzdelemben. Mindazonáltal azonnal leszögezem, hogy nincs olyan vírusirtó, amely száz százalékos védelmet garantálna a vírusok ellen, és az ilyen rendszerek létezésére vonatkozó kijelentések akár tisztességtelen reklámnak, akár szakszerűtlenségnek tekinthetők. Ilyen rendszerek nem léteznek, hiszen bármely vírusirtó algoritmushoz mindig lehet olyan ellenalgoritmust ajánlani egy vírus ellen, amely ennek a vírusirtónak nem látható (szerencsére ennek a fordítottja is igaz: vírusirtó mindig bármilyen vírusalgoritmushoz készíthető).
A legnépszerűbb és leghatékonyabb víruskereső programok a víruskeresők. Hatékonyság és népszerűség tekintetében őket követik a CRC szkennerek. Gyakran mindkét módszert egy univerzálisan kombinálják víruskereső program, ami jelentősen növeli az erejét. Különféle típusú blokkolókat és immunizálókat is használnak.
2.2.4 Víruskeresők
A víruskeresők működési elve a fájlok, szektorok és rendszermemóriaés keressen bennük ismert és új (a szkenner számára ismeretlen) vírusokat. Az úgynevezett „maszkokat” az ismert vírusok keresésére használják. A vírusmaszk egy állandó kódszekvencia, amely az adott vírusra specifikus. Ha a vírus nem tartalmaz tartós maszkot, vagy ennek a maszknak a hossza nem elég nagy, akkor más módszereket kell alkalmazni.
A szkennerek két kategóriába is oszthatók - "univerzális" és "specializált". Az univerzális szkennerek minden típusú vírus felkutatására és semlegesítésére szolgálnak, függetlenül attól, hogy a szkenner milyen operációs rendszerben működik. A speciális szkennerek korlátozott számú vírust vagy csak egy osztályt, például a makrovírusokat semlegesítsék. A csak makróvírusokhoz tervezett speciális szkennerek gyakran bizonyulnak a legkényelmesebb és legmegbízhatóbb megoldásnak a munkafolyamat-rendszerek védelmére MS Word és MS Excel környezetben.
A szkennerek is fel vannak osztva "rezidensekre" (monitorok, őrök), amelyek "on-the-fly" szkennelést végeznek, és "nem rezidensekre", amelyek csak kérésre biztosítanak rendszerellenőrzést. A "rezidens" szkennerek általában megbízhatóbb rendszervédelmet nyújtanak, mivel azonnal reagálnak a vírus megjelenésére, míg a "nem rezidens" szkenner csak a következő indításkor képes azonosítani a vírust. Másrészt, egy rezidens szkenner némileg lelassíthatja a számítógépet, beleértve az esetleges téves pozitív eredményeket is.
Minden típusú szkenner előnyei közé tartozik a sokoldalúság, hátránya a víruskeresés viszonylag alacsony sebessége. A következő programok a leggyakoribbak Oroszországban:
AVP – Kaspersky (1.6. ábra),
Rizs. 1.6. Kaspersky Anti-Virus 2010.
Dr. Weber - Danilova,
Norton Antivirus a Semantictól.
1.2.2.5 CRC szkennerek
A CRC szkennerek működési elve a lemezen lévő fájlok / rendszerszektorok CRC összegeinek (ellenőrző összegeinek) kiszámításán alapul. Ezeket a CRC-összegeket ezután a víruskereső adatbázis tárolja, valamint néhány egyéb információt is: fájlok hossza, utolsó módosításuk dátuma stb. A CRC szkennerek következő futtatásakor a tényleges számlált értékekkel ellenőrzik az adatbázisban lévő adatokat. Ha az adatbázisban rögzített fájlinformációk nem egyeznek a valós értékekkel, akkor a CRC szkennerek jelzik, hogy a fájl módosult vagy vírussal fertőződött meg. A lopakodó algoritmusokat használó CRC szkennerek meglehetősen erős fegyvert jelentenek a vírusok ellen: a vírusok majdnem 100%-át szinte azonnal észlelik, miután megjelennek a számítógépen. Az ilyen típusú víruskeresőknek azonban van egy eredendő hibája, ami jelentősen csökkenti a hatékonyságukat. Ez a hátrány az, hogy a CRC szkennerek nem képesek elkapni a vírust abban a pillanatban, amikor megjelenik a rendszerben, hanem csak egy idő után, miután a vírus az egész számítógépen elterjedt. A CRC szkennerek nem tudnak vírust észlelni az új fájlokban (e-mailben, hajlékonylemezeken, biztonsági mentésből visszaállított fájlokban vagy archívumból történő kicsomagoláskor), mert adatbázisaik nem rendelkeznek információkkal ezekről a fájlokról. Sőt, időnként vannak olyan vírusok, amelyek a CRC szkennerek ezt a "gyengéjét" használják, és csak újra fertőznek generált fájlokatés így láthatatlanok maradnak számukra. Oroszországban a leggyakrabban használt ilyen típusú programok az ADINF és az AVP Inspector.
2.2.6 Blokkolók
Az antivírus blokkolók olyan rezidens programok, amelyek elfogják a "vírusveszélyes" helyzeteket, és értesítik erről a felhasználót. A „vírusveszélyes” hívások magukban foglalják a futtatható fájlok írására való megnyitás hívásait, a lemezek rendszerindító szektoraiba vagy a merevlemez MBR-ébe való írást, a programok rezidens maradási kísérleteit stb., vagyis a vírusokra jellemző hívásokat a reprodukció idején. Néha egyes blokkoló funkciókat a rezidens szkennerekben valósítanak meg.
A blokkolók előnyei közé tartozik, hogy képesek felismerni és megállítani a vírust a szaporodás legkorábbi szakaszában, ami egyébként nagyon hasznos olyan esetekben, amikor egy régóta ismert vírus folyamatosan "kúszik elő a semmiből". A hátrányok közé tartozik a blokkolók védelmének megkerülésének módja és a hamis pozitívumok nagy száma, amelyek nyilvánvalóan az oka annak, hogy a felhasználók szinte teljesen elhagyták az ilyen típusú víruskereső programokat.
Szintén meg kell jegyezni a víruskereső eszközök olyan irányát, mint a vírusblokkolók, amelyek számítógép hardverkomponensei ("hardver") formájában készülnek. A leggyakoribb a beépített BIOS védelemírástól a merevlemez MBR-jébe. Azonban, akárcsak a szoftverblokkolók esetében, az ilyen védelem könnyen megkerülhető a lemezvezérlő portjaira történő közvetlen írással, és az FDISK DOS segédprogram futtatása azonnal "hamis pozitív" védelemhez vezet.
3 Kriptográfiai biztonsági módszerek
Az információ átalakításával való védelmének problémája, amely kizárja, hogy egy kívülálló olvassa el, ősidők óta foglalkoztatja az emberi elmét. A kriptográfia története egyidős az emberi nyelv történetével. Ráadásul eredetileg maga az írás titkosítási rendszer volt, mivel az ókori társadalmakban csak kevesek birtokolták. Az ókori Egyiptom, az ókori India szent könyvei példák erre.
Az információvédelem kriptográfiai módszerei az információ titkosításának, kódolásának vagy egyéb átalakításának speciális módszerei, amelyek eredményeként annak tartalma a kriptogramkulcs bemutatása és a fordított átalakítás nélkül elérhetetlenné válik. A kriptográfiai védelem minden bizonnyal a legmegbízhatóbb védelmi módszer, hiszen magát az információt védik, nem pedig a hozzáférést (például egy titkosított fájlt akkor sem lehet elolvasni, ha az adathordozót ellopják). Ezt a védelmi módszert programok vagy szoftvercsomagok formájában valósítják meg.
A modern kriptográfia négy fő részből áll:
Szimmetrikus titkosítási rendszerek. A szimmetrikus titkosítási rendszerekben ugyanazt a kulcsot használják a titkosításhoz és a visszafejtéshez. (A titkosítás transzformációs folyamat: az eredeti szöveget, amit egyszerű szövegnek is neveznek, felváltja a rejtjelezett szöveg, a visszafejtés a titkosítás fordított folyamata. A kulcs alapján a titkosított szöveget az eredetivé alakítják)
Nyilvános kulcsú kriptorendszerek. A nyilvános kulcsú rendszerek két kulcsot használnak, a nyilvános és a privát kulcsot, amelyek matematikailag kapcsolódnak egymáshoz. Az információ titkosítása nyilvános kulccsal történik, amely mindenki számára elérhető, és dekódolása egy privát kulccsal történik, amelyet csak az üzenet címzettje ismer. (A kulcs a szövegek zökkenőmentes titkosításához és visszafejtéséhez szükséges információ.)
Elektronikus aláírás (1.7. ábra). Elektronikus aláírási rendszer. a szöveghez csatolt kriptográfiai transzformációnak nevezik, amely lehetővé teszi a szöveg más felhasználó általi kézhezvétele után az üzenet szerzőségének és hitelességének ellenőrzését.
Rizs. 1.7. Elektronikus digitális aláírás.
Kulcskezelés. Ez az információfeldolgozó rendszer folyamata, melynek tartalma a kulcsok összeállítása és elosztása a felhasználók között.
A kriptográfiai módszerek alkalmazásának fő irányai a bizalmas információk kommunikációs csatornákon (például e-mailen) történő továbbítása, a továbbított üzenetek hitelesítése, az információk (dokumentumok, adatbázisok) tárolása titkosított adathordozón.
4 Azonosítás és hitelesítés
Az azonosítás lehetővé teszi az alany – egy felhasználó vagy egy adott felhasználó nevében eljáró folyamat – számára, hogy a nevének megadásával azonosítsa magát. A hitelesítés révén a második fél meggyőződik arról, hogy az alany valóban az, akinek állítja magát. A "hitelesítés" szó szinonimájaként néha a "hitelesítés" kombinációt használják. Az alany az alábbi entitások közül legalább egy bemutatásával igazolhatja személyazonosságát:
valamit, amit tud: jelszó, személyi azonosító szám, kriptográfiai kulcs stb.,
valami, ami a tulajdonában van: személyi kártya vagy más hasonló célú eszköz,
valami, ami ehhez kapcsolódik, például koordináták
A jelszavas hitelesítés fő előnye az egyszerűség és az ismertség. A jelszavak régóta be vannak építve az operációs rendszerekbe és más szolgáltatásokba. Helyes használat esetén a jelszavak sok szervezet számára elfogadható szintű biztonságot nyújthatnak. Mindazonáltal jellemzőik összességét tekintve a hitelesítés leggyengébb eszközének kell őket tekinteni. A jelszavak erőssége azon a képességen alapszik, hogy képesek-e megjegyezni és titokban tartani őket. Láthatja a jelszó beírását. A jelszó nyers erővel, esetleg szótár segítségével kitalálható. Ha a jelszófájl titkosított, de olvasható, letöltheti a számítógépére, és brute-force keresés programozásával megpróbálhatja kitalálni a jelszót.
A jelszavak sebezhetőek az elektronikus lehallgatással szemben – ez a legalapvetőbb hátrány, amelyet nem kompenzálhat jobb adminisztráció vagy felhasználói oktatás. Szinte az egyetlen kiút a kriptográfia használata a jelszavak titkosítására a kommunikációs vonalakon történő továbbítás előtt.
A következő intézkedések azonban jelentősen javíthatják a jelszavas védelem erősségét:
technikai korlátozások előírása (a jelszó ne legyen túl rövid, tartalmazzon betűket, számokat, írásjeleket stb.);
jelszavak lejáratának kezelése, időszakos megváltoztatása;
a jelszófájlhoz való hozzáférés korlátozása;
a sikertelen bejelentkezési kísérletek számának korlátozása, ami megnehezíti a nyers erő alkalmazását;
a felhasználók képzése és oktatása;
szoftveres jelszógenerátorok használata, amelyek egyszerű szabályok alapján csak eufóniás és ezért emlékezetes jelszavakat tudnak generálni.
Célszerű a felsorolt intézkedéseket mindig alkalmazni, még akkor is, ha a jelszavak mellett más hitelesítési módszereket is alkalmaznak, például tokenek használatán alapulnak.
A token (1.8. ábra) olyan tárgy vagy eszköz, amelynek birtoklása hitelesíti a felhasználót. Vannak memóriával rendelkező tokenek (passzív, amelyek csak információkat tárolnak, de nem dolgoznak fel) és intelligens tokenek (aktívak).
A memória tokenek leggyakoribb típusa a mágnescsíkos kártya. Az ilyen tokenek használatához olyan olvasóra van szükség, amely rendelkezik billentyűzettel és processzorral is. Jellemzően ezen a billentyűzeten írja be a felhasználó a személyi azonosító számát, ami után a processzor ellenőrzi annak egybeesését a kártyára írottakkal, valamint magának a kártyának a valódiságát. Így itt valójában két védelmi módszer kombinációját alkalmazzák, ami jelentősen megnehezíti a támadó tevékenységét.
A hitelesítési információkat magának az olvasónak kell feldolgoznia, anélkül, hogy számítógépre továbbítaná - ez kizárja az elektronikus lehallgatás lehetőségét.
Néha (általában fizikai beléptetéshez) a kártyákat önmagukban, személyi azonosító szám kérése nélkül használják.
Mint ismeretes, a támadók kezében lévő egyik legerősebb eszköz a hitelesítő program megváltoztatása, amelyben a jelszavakat nem csak ellenőrzik, hanem a későbbi jogosulatlan használat esetén is megjegyzik.
Az intelligens tokeneket saját számítási teljesítményük jellemzi. Intelligens kártyákra, szabványos ISO és egyéb tokenekre vannak osztva. A kártyákhoz interfész eszköz kell, a többi tokenek általában manuális felülettel (kijelző és billentyűzet) rendelkeznek, és úgy néznek ki, mint a számológépek. A token működéséhez a felhasználónak meg kell adnia a személyi azonosító számát.
A működési elv szerint az intelligens tokenek a következő kategóriákba sorolhatók.
Dinamikus jelszógenerálás: A token jelszavakat generál, és rendszeresen módosítja azokat. A számítógépes rendszernek rendelkeznie kell szinkronizált jelszógenerátorral. A tokenből származó információ az elektronikus felületen keresztül érkezik, vagy a felhasználó gépeli be a terminál billentyűzetén.
Kihívás-válasz rendszerek: A számítógép véletlen számot ad ki, amelyet a tokenbe épített kriptográfiai mechanizmus átalakít, majd az eredményt visszaküldi a számítógépnek ellenőrzésre. Itt lehetőség van elektronikus vagy kézi felület használatára is. Ez utóbbi esetben a felhasználó beolvassa a kérést a terminál képernyőjéről, beírja a token billentyűzetre (talán egy személyi számot is megad ekkor), és a választ a token kijelzőn látja és továbbítja a terminál billentyűzetére.
5 Hozzáférés-vezérlés
A hozzáférés-szabályozás lehetővé teszi azoknak a műveleteknek a meghatározását és vezérlését, amelyeket az alanyok – felhasználók és folyamatok – objektumokon – információkon és egyéb számítógépes erőforrásokon hajthatnak végre. Ez körülbelül a logikai hozzáférés-vezérlésről, amelyet szoftverrel valósít meg. A logikai hozzáférés-vezérlés a többfelhasználós rendszerek elsődleges mechanizmusa az objektumok titkosságának és integritásának biztosítására, valamint bizonyos mértékig elérhetőségükre azáltal, hogy megakadályozza a jogosulatlan felhasználók kiszolgálását. A logikai hozzáférés-szabályozás feladata, hogy néhány további feltételtől függően minden párra (alanyra, objektumra) meghatározza a megengedett műveletek halmazát, valamint a felállított sorrend végrehajtását. Az ilyen hozzáférési jogok megvalósításának egyszerű példája, hogy az információs rendszerbe bejelentkezett egyes felhasználók (alanyok) jogosultak információkat olvasni valamilyen lemezről (objektumról), jogot kaptak bizonyos címtárak (objektum) adatainak módosítására, valamint az információs rendszer egyéb erőforrásaihoz való hozzáférési jogok hiánya.
A hozzáférés-szabályozást különböző összetevők végzik szoftverkörnyezet- operációs rendszer kernel, további biztonsági eszközök, adatbázis-kezelő rendszer, közvetítő szoftver (például tranzakciófigyelő) stb.
információvédelmi vírusirtó archiválása
2. Hardveres információbiztonság
A hardvervédelem különféle elektronikus, elektromechanikus, elektrooptikai eszközöket foglal magában. A mai napig jelentős számú hardvert fejlesztettek ki különféle célokra, de a következőket használják a legszélesebb körben:
speciális regiszterek a biztonsági adatok tárolására: jelszavak, azonosító kódok, keselyűk vagy titkossági szintek;
· eszközök egy személy egyéni jellemzőinek (hang, ujjlenyomatok) mérésére az azonosítás érdekében.
1 Hardver biztonsági kulcsok
Hosszú évek óta léteznek a piacon úgynevezett hardvervédelmi kulcsok (Dongles), amelyek a szoftver védelmet szolgálják a jogosulatlan replikáció ellen. Természetesen az ilyen eszközöket árusító cégek, ha nem is csodaszerként, de megbízható eszközként mutatják be a szoftverkalózkodás elleni küzdelemben. De mekkora akadályt jelenthetnek a hardverkulcsok? A hardver biztonsági kulcsait többféle szempont szerint is megkísérelheti besorolni. Ha figyelembe vesszük a lehetséges csatlakozási típusokat, akkor ott vannak például a nyomtatóporthoz (LPT), a soros porthoz (COM), az USB-porthoz és a számítógépbe helyezett speciális kártyára csatlakoztatott kulcsok.
A kulcsok összehasonlításakor elemezheti a kapcsolódó szoftverek kényelmét és funkcionalitását. Például néhány hardverkulcs-családhoz olyan automatikus védőket fejlesztettek ki, amelyek lehetővé teszik a program "egy kattintással" történő védelmét, és néhány ilyen védőelem nem elérhető.
Memóriakulcsok. Valószínűleg ez a legegyszerűbb típusú kulcs. A memóriával rendelkező kulcsok bizonyos számú cellával rendelkeznek, amelyekből az olvasás megengedett. Néhány ilyen cellába is írható. A nem írható cellák általában egyedi kulcsazonosítót tárolnak.
Valamikor régen voltak olyan kulcsok, amelyekben egyáltalán nem volt újraírható memória, és csak a kulcsazonosító állt a programozó rendelkezésére az olvasáshoz. De nyilvánvaló, hogy ilyen funkciójú kulcsokra egyszerűen lehetetlen komoly védelmet építeni. Igaz, még a memóriával rendelkező kulcsok sem képesek ellenállni az emulációnak. Elég egyszer beolvasni az összes memóriát és elmenteni az emulátorba. Ezt követően nem lesz nehéz megfelelően emulálni a kulcshoz intézett összes kérésre adott választ.
Így a memóriával rendelkező hardverkulcsok adott körülmények között nem képesek semmilyen előnyt nyújtani a tisztán szoftveres rendszerekkel szemben.
Ismeretlen algoritmusú kulcsok. Sok modern hardverkulcs tartalmaz titkos adatkonverziós funkciót, amelyen a kulcs titkossága alapul. Néha a programozó lehetőséget kap arra, hogy olyan konstansokat válasszon, amelyek a transzformáció paraméterei, de maga az algoritmus ismeretlen marad.
A kulcs meglétének ellenőrzését az alábbiak szerint kell elvégezni. A védelem fejlesztése során a programozó többször kéri az algoritmust, és megjegyzi a kapott válaszokat. Ezek a válaszok valamilyen formában kódolva vannak a programban. Futás közben a program megismétli ugyanazokat a lekérdezéseket, és összehasonlítja a kapott válaszokat a tárolt értékekkel. Ha eltérést talál, akkor a program nem kap választ az eredeti kulcstól.
Ennek a rendszernek van egy jelentős hátránya. Mivel a védett program véges méretű, a tárolható helyes válaszok száma is véges. Ez pedig azt jelenti, hogy fel lehet építeni egy táblaemulátort, amely minden lekérdezésre tudni fogja a helyes választ, aminek eredményét a program ellenőrizni tudja.
Kulcsok időzítővel. Egyes hardverkulcs-gyártók beépített időzítővel ellátott modelleket kínálnak. De ahhoz, hogy az időzítő működjön, amikor a kulcs nincs csatlakoztatva a számítógéphez, beépített áramforrásra van szükség. Az időzítőt tápláló akkumulátor átlagos élettartama 4 év, és lemerülése után a kulcs már nem fog megfelelően működni. Talán éppen a viszonylag rövid élettartam miatt ritkán használnak időzítős billentyűket. De hogyan segíthet az időzítő a biztonság javításában?
A HASP Time gombok lehetővé teszik a kulcsba épített órában beállított aktuális idő megállapítását. A védett program pedig a kulcs segítségével követheti nyomon a tesztidőszak végét. De nyilvánvaló, hogy az emulátor lehetővé teszi bármilyen időzítő leolvasását, vagyis a hardver rész semmilyen módon nem növeli a védelem erejét. Egy jó kombináció az időzítőhöz kapcsolódó algoritmus. Ha az algoritmus egy adott napon és órában deaktiválható, akkor nagyon egyszerű lesz a programok időkorlátos demóverzióinak megvalósítása.
De sajnos Oroszországban a két legnépszerűbb hardverkulcs-fejlesztő egyike sem biztosít ilyen lehetőséget. Az Aladdin HASP kulcsai nem támogatják az algoritmus aktiválását és deaktiválását. A Rainbow Technologies által kifejlesztett Sentinel SuperPro hardverkulcsok pedig nem tartalmaznak időzítőt.
Kulcsok ismert algoritmussal. Egyes kulcsoknál a védelmet megvalósító programozó lehetőséget kap arra, hogy a kulccsal megvalósított számos lehetséges adatátalakítás közül válasszon, egy adott transzformációt. Ezenkívül feltételezzük, hogy a programozó ismeri a kiválasztott transzformáció minden részletét, és meg tudja ismételni az inverz transzformációt egy tisztán szoftveres rendszerben. Például egy hardverkulcs szimmetrikus titkosítási algoritmust valósít meg, és a programozónak lehetősége van kiválasztani a használni kívánt titkosítási kulcsot. Természetesen senki se tudja kiolvasni a titkosítási kulcs értékét a hardverkulcsból.
Egy ilyen sémában a program adatokat küldhet a hardverkulcs bemenetére, és válaszul megkaphatja a kiválasztott kulcson végzett titkosítás eredményét. De itt felmerül egy dilemma. Ha a program nem tartalmaz titkosítási kulcsot, akkor a visszaküldött adatok csak táblázatos formában, tehát korlátozottan ellenőrizhetők. Valójában van egy hardverkulcsunk, amelynek algoritmusa ismeretlen a program számára. Ha a program ismeri a titkosítási kulcsot, akkor tetszőleges mennyiségű adat feldolgozásának helyességét ellenőrizheti, de lehetséges a titkosítási kulcs kinyerése és emulátor létrehozása. És ha van ilyen lehetőség, az ellenség mindenképpen megpróbálja kihasználni.
Kulcsok programozható algoritmussal. A biztonsági erősség szempontjából nagyon érdekes megoldás a hardverkulcsok, amelyekben tetszőleges algoritmus implementálható. Az algoritmus bonyolultságának csak a memória mennyisége és a kulcs parancsrendszere szab határt. Ebben az esetben a program védelme érdekében a számítások fontos része átkerül a kulcsba, és az ellenfél nem tudja rögzíteni az összes kérésre a helyes választ, vagy visszaállítani az algoritmust az ellenőrzési funkcióból. Végtére is, az ellenőrzés, mint olyan, egyáltalán nem hajtható végre - a kulcs által visszaadott eredmények köztes értékek valamilyen összetett függvény kiszámításakor, és a bemenetnek adott értékek nem a programtól, hanem a feldolgozott adatoktól függenek.
A legfontosabb dolog egy ilyen funkció megvalósítása a dongle-ben, hogy az ellenfél ne tudja kitalálni a kontextusból, hogy milyen műveleteket hajtanak végre a hardverkulcsban.
2.2 Biometrikus biztonsági intézkedések
A biometria egy tudományos tudományág, amely azt vizsgálja, hogyan lehet mérni egy személy különböző paramétereit, hogy megállapítsa az emberek közötti hasonlóságokat vagy különbségeket, és egy adott személyt kiemelhessen sok más ember közül, vagy más szóval olyan tudomány, amely egy adott személy egyedi paraméterei alapján történő felismerésének módszereit vizsgálja.
A modern biometrikus technológiákat nemcsak a fokozott biztonságú intézményekben lehet és alkalmazzák, hanem a mindennapi életben is. Miért van szükségünk intelligens kártyákra, kulcsokra, jelszavakra és egyéb hasonló dolgokra, ha azokat el lehet lopni, elveszíteni, elfelejteni? Az új információs társadalom megkívánja, hogy emlékezzünk sok pin-kódra, jelszóra, e-mail számra, hozzáférést az internethez, egy weboldalhoz, egy telefonhoz... A lista szinte végtelen. Talán csak az Ön egyedi biometrikus igazolványa – egy ujj, egy kéz vagy egy szem – segíthet. És sok országban - és egy személyazonosító azonosítót, vagyis egy chipet az Ön egyéni biometrikus paramétereivel, amelyek már be vannak varrva a személyi okmányokba.
Egy biometrikus rendszer, függetlenül attól, hogy melyik technológián alapul, a következő elv szerint működik: először egy személy biometrikus jellemzőiből mintát vesznek fel, és a nagyobb pontosság érdekében gyakran több mintát vesznek. Az összegyűjtött adatokat feldolgozzuk és digitális kóddá alakítjuk.
Az azonosítás és ellenőrzés során az ellenőrzött személy jellemzői bekerülnek a rendszerbe. Ezt követően digitalizálják, majd összehasonlítják a tárolt mintákkal. Valamelyik algoritmus szerint a rendszer észleli, hogy egyeznek-e vagy sem, és eldönti, hogy a bemutatott adatok alapján sikerült-e azonosítani egy személyt vagy sem.
A biometrikus rendszerek fiziológiai vagy viselkedési jellemzőket használhatnak. A fiziológiaiak közé tartoznak az ujjlenyomatok, a kéz formája, az arc jellemzői, az írisz mintázata. A viselkedési jellemzők magukban foglalják az emberi viselkedés idővel megszerzett vagy kialakult jellemzőit vagy jellegzetességeit, ezek lehetnek jellegzetes dinamika, hangszín, billentyűleütési dinamika, vagy akár egy személy járása is. A biometrikus rendszereket két fő paraméter szerint értékelik: az első típusú hibák - az "idegen" befogadásának valószínűsége, a második típus - a "saját" elutasításának valószínűsége. Modern rendszerek az első típusú hiba valószínűsége 0,001%, a második körülbelül 1-5%.
A rendszerek fejlesztése során az azonosítás és ellenőrzés pontossága mellett az egyik legfontosabb kritérium az egyes technológiák „barátsága”. A folyamat legyen gyors és egyszerű: például álljon a videokamera elé, mondjon néhány szót a mikrofonba, vagy érintse meg az ujjlenyomat-szkennert. A biometrikus technológiák fő előnye a gyors és egyszerű azonosítás, anélkül, hogy sok kellemetlenséget okozna a személynek.
Az ujjlenyomat-azonosítás a legelterjedtebb és legfejlettebb biometrikus technológia. A biometrikus eszközök akár 60%-a használja. Az előnyök nyilvánvalóak: minden személy ujjlenyomata egyedi mintázatú, még az ikreknél sem egyezik. A legújabb generációk szkennerei megbízhatóak, kompaktak és nagyon megfizethetőek lettek. Három fő technológiát használnak a minta lenyomatozására és további felismerésére: optikai, félvezető és ultrahangos.
2.2.1 Optikai szkennerek
Munkájuk a képalkotás optikai módszereire épül. - Az FTIR szkennerek (2.1. ábra) a frusztrált teljes belső reflexió hatását használják. Ebben az esetben az ujj áttetsző, a fénykép fogadására speciális kamera szolgál.
Rizs. 2.1. FTIR szkennerek.
A száloptikai szkennerek egy száloptikai mátrixot képviselnek, amelyek mindegyike fotocellával van ellátva. A mintaszerzés elve az ujjon áthaladó maradék fény rögzítése a szkenner felületére.
Elektro-optikai szkennerek (2.2. ábra). Egy speciális elektro-optikai polimer fénykibocsátó réteg segítségével kiemeli az ujjlenyomatot, amelyet egy speciális kamera segítségével rögzítenek.
Rizs. 2.2. Elektro-optikai szkennerek.
Érintkezés nélküli szkennerek (2.3. ábra). Az ujjat a szkennerben lévő speciális lyukra helyezik, több fényforrás alulról világítja meg. A visszavert fényt egy konvergáló lencsén keresztül vetítik a fényképezőgépre. Nincs érintkezés az olvasó felületével.
Rizs. 2.3. Érintés nélküli szkennerek.
Roller stílusú szkennerek. Beolvasáskor a felhasználó egy kis átlátszó hengert görget az ujjával. Tartalmaz egy statikus fényforrást, egy objektívet és egy kamerát. Az ujj mozgatása során képsorozat készül a felülettel érintkező papilláris mintáról.
2.2 Félvezető szkennerek
Hatásuk a félvezetők tulajdonságainak felhasználásán alapul, amelyek a papilláris mintázat bordáival való érintkezési pontokon változnak. Minden félvezető szkenner érzékeny mikroelemek mátrixát használja.
A kapacitív szkennerek (2.4. ábra) a pn átmenet kapacitásának változtatására épülnek. félvezető eszköz a papilláris mintázat gerincének és a félvezető mátrix elemének érintkezésekor.
Rizs. 2.4. kapacitív szkennerek.
Nyomásszkennerek. Amikor egy ujjat a pásztázó felületre helyezünk, a papilláris mintázat kiemelkedései nyomást gyakorolnak a piezoelektromos elemek mátrixának számos érzékelőjére, a bemélyedések nem fejtenek ki nyomást. A kapott feszültségek mátrixát az ujjfelület képévé alakítjuk.
Hőszkennereket - érzékelőket használnak, amelyek piroelektromos elemekből állnak, amelyek lehetővé teszik a hőmérséklet-különbség rögzítését és feszültséggé alakítását. Amikor az érzékelőre ujjat helyezünk, a papilláris mintázat kiemelkedései közötti hőmérséklet-különbség és a mélyedésekben lévő levegő hőmérséklete alapján megépül az ujjfelület hőmérsékleti térképe, amely digitális képpé alakul.
RF szkennerek (2.5. ábra) - érzékeny elemekből álló mátrixot használ, amelyek mindegyike úgy működik, mint egy kis antenna. Gyenge rádiójelet irányítanak az ujj pásztázott felületére, a mátrix érzékeny elemei mindegyike kap a papilláris mintáról visszaverődő jelet. Az egyes mikroantennákban indukált EMF értéke attól függ, hogy a közelében található-e papilláris mintázat gerince. Az így kapott feszültségmátrixot digitális ujjlenyomat-képpé alakítjuk.
Rizs. 2.5. RF szkennerek
3. Az információk védelme hálózatban végzett munka során
Jelenleg az adatbiztonsági problémák elosztottak számítógépes rendszerek nagy figyelmet szenteltek. Számos információbiztonsági eszközt fejlesztettek ki különböző operációs rendszerű számítógépeken való használatra. Az egyik irányként kiemelhetjük a tűzfalakat (tűzfalakat), amelyek célja a külső hálózatok felhasználóitól származó információkhoz való hozzáférés szabályozása.
1 Tűzfalak és követelményeik
A tűzfalak (3.1. ábra) szűrők halmazának tekinthetők, amelyek elemzik a rajtuk áthaladó információkat, és döntést hoznak: kihagyják vagy blokkolják az információt. Ezzel egyidejűleg az eseményeket regisztrálja, és riasztásokat generál, ha fenyegetést észlel. Általában az árnyékolási rendszereket aszimmetrikusan készítik el. A képernyőknél a "belül" és a "kint" fogalmak vannak definiálva, sőt a képernyő feladata, hogy megvédje a belső hálózatot az esetlegesen ellenséges környezettől. Ezen túlmenően az ME a hálózat vállalati nyitott részeként is használható, látható az internetről. Például sok szervezetben az ME-ket nyílt hozzáférésű adatok tárolására használják, például termékekre és szolgáltatásokra vonatkozó információkat, FTP-adatbázisokból származó fájlokat, hibaüzeneteket stb.
Rizs. 3.1. Tűzfal.
A tűzfalak konfigurálásakor a fő tervezési döntéseket előre meghatározza a szervezetben elfogadott biztonsági politika. Ebben az esetben a biztonsági politika két aspektusát kell figyelembe venni: a hálózati szolgáltatás hozzáférési szabályzatát és a tűzfal házirendjét. A hálózati szolgáltatásokhoz való hozzáférési politika kialakításakor meg kell fogalmazni a szervezetben használt különféle szolgáltatások felhasználói hozzáférésének szabályait. A felhasználók szabálybázisa leírja, hogy mikor, melyik felhasználó (felhasználói csoport), melyik szolgáltatást és melyik számítógépen használhatja. Külön meghatározzák a szervezet helyi hálózatán kívüli felhasználók munkájának feltételeit, valamint hitelesítésük feltételeit. A szolgáltatások szabálybázisa leírja a tűzfalon áthaladó szolgáltatások halmazát, valamint az egyes szolgáltatásokhoz (szolgáltatáscsoportokhoz) tartozó kiszolgálókliensek érvényes címeit. A tűzfalszabályzatban döntések születhetnek a biztonság mellett a könnyű használat rovására, vagy fordítva. Két fő van:
Minden, ami nem megengedett, tilos. Minden megengedett, ami nem tilos.
Az első esetben a tűzfalat úgy kell beállítani, hogy mindent blokkoljon, és alapos veszély- és kockázatelemzés alapján kell elrendelni a működését. Ez közvetlen hatással van a felhasználókra, és általában csak kellemetlenségként tekinthetik a képernyőt. Ez a helyzet szükségessé teszi az árnyékoló rendszerek teljesítményére vonatkozó fokozott követelmények előírását, és növeli egy olyan tulajdonság relevanciáját, mint a tűzfal „átláthatósága” a felhasználók szempontjából. Az első megközelítés biztonságosabb, mert azt feltételezi, hogy a rendszergazda nem tudja, mely szolgáltatások vagy portok biztonságosak, és milyen "lyukak" lehetnek a szoftverfejlesztő kernelében vagy alkalmazásában. Tekintettel arra, hogy sok szoftvergyártó nem szívesen tesz közzé feltárt, az információbiztonság szempontjából jelentős hibákat (ez jellemző az úgynevezett „zárt” szoftvergyártókra, amelyek közül a legnagyobb a Microsoft), ez a megközelítés kétségtelenül konzervatívabb. Lényegében annak a ténynek az elismerése, hogy a tudatlanság káros lehet. A második esetben Rendszergazda reaktív módban működik, előre jelezve, hogy a biztonsági felhasználókat vagy behatolókat hátrányosan befolyásoló műveleteket milyen műveletek hajthatnak végre, és védelmet készít az ilyen műveletek ellen. Ez lényegében szembeállítja a tűzfaladminisztrátort a felhasználókkal egy végtelen "fegyverkezési versenyben", amely meglehetősen kimerítő lehet. A felhasználó megsértheti az információs rendszer biztonságát, ha nem biztos a biztonságot szolgáló intézkedések szükségességében
De mindenesetre egy jól konfigurált tűzfal képes megállítani a legtöbb ismert számítógépes támadást.
A modern tűzfalak jellemzőit és összehasonlító jellemzőit az 1. függelék mutatja be.
Következtetés
Világosan meg kell érteni, hogy semmilyen hardver, szoftver vagy bármilyen más megoldás nem tudja garantálni az adatok abszolút megbízhatóságát és biztonságát egyetlen szervezetben sem. Ugyanakkor a biztonsági kérdések integrált megközelítésével jelentősen csökkenthető a veszteségek kockázata. Az információbiztonsági eszközöket mindaddig nem szabad tervezni, megvásárolni vagy telepíteni, amíg a szakemberek megfelelő elemzést nem készítettek. Az elemzésnek objektív értékelést kell adnia számos tényezőről (a megszakításokra való hajlam, a zavar bekövetkezésének valószínűsége, az üzleti veszteségekből származó károk stb.), és információkat kell adnia a megfelelő védelmi eszközök - adminisztratív, hardver, szoftver és egyebek - meghatározásához.
A belső fenyegetésekre is érdemes nagy figyelmet fordítani. Még a legőszintébb és legelhivatottabb alkalmazott is lehet kiszivárogtató.
Munkám során a fő szoftver és hardver információbiztonsági eszközöket, azok műszaki jellemzőit vizsgáltam. Ezen kívül fogunk összehasonlító elemzés tűzfalak.
Bibliográfia
1. Galatenko V.A. "Információbiztonsági szabványok. 2. kiadás. Előadások kurzusa. Tankönyv", kiadó: INTUIT.RU, 2009
Tsirlov Valentin "Az információbiztonság alapjai", kiadó: Feniks, 2008
Anin B. Számítógépes információk védelme. "Mester" sorozat. - Szentpétervár: BHV-Petersburg, 2009
Sklyarov D.V. Hardvervédelmi kulcsok // Az információvédelem és a hackelés művészete. - Szentpétervár: BHV-Petersburg, 2009
Khorev P.B. "Az információ szoftver- és hardveres védelme. Tankönyv", kiadó: FÓRUM, 2009
Vorona V.A., Tikhonov V.A., "Vezérlő és beléptető rendszerek", kiadó: Politekhnika, 2009
Kukharev G.A., "A személy személyiségének azonosításának módszerei és eszközei", kiadó: Politekhnika, 2008
Terekhov A.A. Információk kriptográfiai védelme, Phoenix kiadó, 2009
Ryabko B.Ya., Fionov A.N. - Az információvédelem kriptográfiai módszerei, kiadó: Forródrót- Telecom, 2008
Babash A.V., Shankin G.L. Kriptográfia. - M.: "SOLON-Press" kiadó, 2009
Laponina O.R. A biztonság kriptográfiai alapjai. - M.: Kiadó "Internet University of Information Technologies - INTUIT.ru", 2008
http://www.biometrics.ru
http://en.wikipedia.org
14. Vlad Maximov. Tűzfalak. A védelem megszervezésének módjai.
Alkalmazás
Asztal 1.
A tűzfal jellemzői
|
Tűzfal típusa |
Működés elve |
Előnyök |
Hibák |
|
Routerek átvizsgálása (tűzfalak csomagszűréssel) |
A csomagszűrés a csomag IP fejlécének megfelelően történik a kritérium szerint: ami nincs kifejezetten tiltva, az megengedett. Az elemzett információ: - a küldő címe; - a címzett címe; - alkalmazás vagy protokoll információ; - forrás port száma; - cél port száma. |
Alacsony költség Minimális hatás a hálózati teljesítményre Könnyű konfigurálás és telepítés A szoftver számára átlátszó |
A védelmi mechanizmus sebezhetősége különféle fajták hálózati támadások, mint például a csomagok forráscímeinek hamisítása, a csomagok tartalmának jogosulatlan módosítása Az eseménynapló és az auditáló eszközök támogatásának hiánya számos termékben |
|
Screening Gateway (ES) |
Az információcsere a belső és külső hálózatok közé telepített bástyahoszton keresztül történik, amely döntéseket hoz a forgalomirányítás lehetőségéről. Az ES két típusa van: munkamenet és alkalmazásszint |
Csomagok továbbításának hiánya meghibásodás esetén Az elektromos járművekhez képest továbbfejlesztett védelmi mechanizmusok, amelyek lehetővé teszik a további pénzeszközök hitelesítés, szoftver és hardver egyaránt Címfordítási eljárás használata, amely lehetővé teszi a gazdagépek címeinek elrejtését zárt hálózatban |
Csak nagy teljesítményű bástyagazdagépek használata a nagy mennyiségű számítás miatt Az "átláthatóság" hiánya annak a ténynek köszönhető, hogy az ESH késéseket okoz az átviteli folyamatban, és hitelesítési eljárásokat igényel a felhasználótól |
|
Alhálózatok szűrése (ES) |
Elszigetelt alhálózat jön létre a belső és a nyilvános hálózatok között. A nyílt hálózatból érkező üzeneteket az alkalmazásátjáró dolgozza fel, és belép az ES-be. Az EP-ben az irányítás sikeres átadása után belépnek a zárt hálózatba. A zárt hálózatból érkező kérések feldolgozása az ES-en keresztül ugyanúgy történik. A szűrés az elv alapján történik: ami nem megengedett, az tilos |
A belső hálózat címének elrejtésének képessége Növeli a védelem megbízhatóságát, képes nagy forgalom létrehozására a belső és a nyílt hálózatok között, ha több bástya gazdagépet használunk az ES-ben a munka "átláthatósága" bármely hálózati szolgáltatásokés a belső hálózat bármely struktúrája |
Csak nagy teljesítményű bástyagazdagépek használata a nagy számítási mennyiség miatt A karbantartást (telepítést, konfigurációt) csak szakemberek végezhetik |
2. táblázat.
A modern tűzfalak összehasonlító jellemzői
|
Felület |
Vállalat |
Sajátosságok |
||
|
Solstice Firewall-1 |
Képernyő |
SunOS, UNIX, Solaris |
Sun Microsystems |
Biztonsági szabályzatot valósít meg: minden olyan adatot eldob, amely nem rendelkezik kifejezett engedéllyel. A működési folyamat során az átjárókon és a szervereken lévő csomagszűrők rögzítik az összes eseményt, és riasztási mechanizmusokat indítanak el, amelyekhez rendszergazdai válasz szükséges. |
|
Milkyway Networks Corporation |
Nem használja a csomagszűrő mechanizmust. Működési elv: Ami kifejezetten nem megengedett, az tilos. Mindent regisztrál szerver műveletek, figyelmeztet az esetleges jogsértésekre. Kétirányú átjáróként használható. |
|||
|
BorderWare Firewall Server |
Alkalmazási réteg árnyékoló átjárója |
UNIX, Windows, DOS |
Secure Computing Corporation |
Biztonsági szoftver, amely biztosítja az operációs rendszer vezérlése melletti működést (saját fejlesztés). Lehetővé teszi a címek, idő, próbálkozások, használt protokoll javítását. |
|
ALF (alkalmazási rétegszűrő) |
Alkalmazási réteg árnyékoló átjárója |
SOS Corporation |
Szűrheti az IP-csomagokat címek, porttartományok, protokollok és interfészek alapján. A bejövő csomag átugorható, eldobható vagy elküldhető a címére. |
|
|
ANS InterLock szolgáltatás |
Alkalmazási réteg árnyékoló átjárója |
ANS CO + RE rendszerek |
Brokereket használ Telnet, FTR, HTTR szolgáltatásokhoz. Támogatja a pont-pont kapcsolati titkosítást, emellett a hardver hitelesítési eszközként is használható. |
|
|
Képernyő |
SunOS, BSDI Intelen, IRIX INDY-n és Challenge-en |
Időt, dátumot, címet, portot stb. használ az elemzéshez. Alkalmazási réteg proxykat tartalmaz Telnethez, FTR-hez, SMTP-hez, X11-hez, HTTP-hez, Gopherhez stb. Támogatja a legtöbb hardveres hitelesítési csomagot. |
||
|
Alkalmazási réteg árnyékoló átjárója |
SunOS, BSDI, Solaris, HP-UX, AIX |
Globális Internet |
A zárt hálózatot kívülről egyetlen gazdagépnek tekintjük. Közvetítő programjai vannak a szolgáltatásokhoz: e-mail, FTR protokoll stb. Regisztrálja az összes szerver műveletet, figyelmeztet a jogsértésekre. |
|
|
Alkalmazási réteg árnyékoló átjárója |
Sterling szoftver |
Ez egy szoftvertermék, amely információvédelmet nyújt a jogosulatlan hozzáférés ellen zárt és nyílt hálózatok csatlakoztatásakor. Lehetővé teszi az összes szerverművelet naplózását, és figyelmeztetést az esetleges jogsértésekre. |
||
|
CyberGuard tűzfal |
Kétirányú komplex típusú átjáró (bástyás gazdagép szűrőként, alkalmazási réteg átjáróként vagy képernyőként) |
RISC platform, OS UNIX |
Harris Computer Systems Corporation |
Komplex megoldásokat alkalmaztak, beleértve a UNIX biztonsági mechanizmusokat és a RISC számítógépekhez tervezett integrált hálózati eszközöket. Az elemzéshez a forráscímet, a célcímet stb. használják. |
|
Digitális tűzfal UNIX-hoz |
Képernyő |
Digital Equipment Corporation |
Előre telepítve a Digital Alpha rendszerekre, és bemutatja a képernyőszűrő és az alkalmazási réteg átjáró képességeit. |
|
|
Eagle Enterprise |
Alkalmazási réteg árnyékoló átjárója |
Virtuális magánhálózati technológia megvalósítása |
Tartalmazza az alkalmazási réteg közvetítőit az FTR, HTTP, Telnet szolgáltatásokhoz. Naplózik az összes szervertevékenységet, és figyelmeztet a jogsértésekre. |
|
|
Tűzfal IRX Router |
Shield Router |
DOS, MS-Windows |
Lehetővé teszi a hálózat elemzését a hálózati forgalom optimalizálása, a helyi hálózat és a nyílt hálózatokon alapuló távoli hálózatok biztonságos összekapcsolása érdekében. |
|
|
Integrált tűzfal |
Intel x86, Sun Sparc stb. |
Védelmet nyújt a hackertámadások, például a címhamisítás (csomagcím-hamisítás) ellen, valamint a hálózati és az alkalmazási réteg védelmének kombinációja. |
||
|
Tűzfal-1/VPN-1 |
Integrált tűzfal |
Intel x86, Sun Sparc stb. |
Check Point szoftvertechnológiák |
Egy OPSEC API-alkalmazás nyilvános felületét jelöli. Biztosítja: - számítógépes vírusok felderítését; - URL szkennelés; - Java és ActiveX blokkolása; - támogatás SMTP protokoll; - HTTP szűrés; - FTP protokoll feldolgozás |
|
TIS Firewall Toolkit |
Programok készlete tűzfalrendszerek létrehozásához és kezeléséhez |
Megbízható információs rendszerek |
Elosztva forráskód, minden modul C nyelven íródott. A készlet szakértő programozóknak készült. |
|
|
Gauntlet internetes tűzfal |
Alkalmazási réteg árnyékoló átjárója |
UNIX, Biztonságos BSD |
Megbízható információs rendszerek |
Támogatja a szolgáltatásokat: e-mail, webszolgáltatás, terminálszolgáltatások stb. Lehetőségek: hálózati szintű titkosítás, védelem a hacker támadások ellen, mint például a címhamisítás, védelem az útválasztás megváltoztatására irányuló kísérletek ellen. |
|
Több protokollos tűzfal |
Különféle hardver platformok |
Network-1 Szoftver és technológia |
A vezérlés a keretek, csomagok, csatornák és alkalmazások szintjén valósul meg (minden protokollhoz). Lehetővé teszi, hogy több mint 390 protokollal dolgozzon, lehetővé teszi a szűrési feltételek leírását a további munkához. |
|
|
Zastava-Jet |
Integrált tűzfal |
SPARC, Solaris, UNIX |
Jet Infosystems |
Biztonsági szabályzatot valósít meg: minden olyan adatot eldob, amely nem rendelkezik kifejezett engedéllyel. Orosz bizonyítvánnyal rendelkezik a második védelmi osztályhoz |
