ru

Η μη εξουσιοδοτημένη πρόσβαση (UA) από έναν εισβολέα σε έναν υπολογιστή είναι επικίνδυνη όχι μόνο λόγω της δυνατότητας ανάγνωσης ή/και τροποποίησης επεξεργασμένων ηλεκτρονικών εγγράφων, αλλά και λόγω της δυνατότητας ο εισβολέας να εισάγει έναν σελιδοδείκτη ελεγχόμενου λογισμικού που θα του επιτρέψει να λάβει τα ακόλουθα ενέργειες:

2. Υποκλέψτε διάφορες βασικές πληροφορίες που χρησιμοποιούνται για την προστασία ηλεκτρονικών εγγράφων.

3. Χρησιμοποιήστε τον καταγεγραμμένο υπολογιστή ως εφαλτήριο για να καταγράψετε άλλους υπολογιστές στο τοπικό δίκτυο.

4. Καταστρέψτε τις πληροφορίες που είναι αποθηκευμένες στον υπολογιστή ή απενεργοποιήστε τον υπολογιστή εκτελώντας κακόβουλο λογισμικό.

Η προστασία των υπολογιστών από μη εξουσιοδοτημένη πρόσβαση είναι ένα από τα κύρια προβλήματα ασφάλειας πληροφοριών, γι' αυτό και τα περισσότερα λειτουργικά συστήματα και δημοφιλή πακέτα λογισμικού έχουν ενσωματωμένα διάφορα υποσυστήματα προστασίας κατά των αντιξοοτήτων. Για παράδειγμα, η εκτέλεση ελέγχου ταυτότητας χρήστη κατά τη σύνδεση σε λειτουργικά συστήματα της οικογένειας των Windows. Ωστόσο, δεν υπάρχει αμφιβολία ότι τα ενσωματωμένα εργαλεία των λειτουργικών συστημάτων δεν επαρκούν για σοβαρή προστασία από μη εξουσιοδοτημένη πρόσβαση. Δυστυχώς, η υλοποίηση των υποσυστημάτων ασφαλείας των περισσότερων λειτουργικών συστημάτων προκαλεί συχνά επικρίσεις λόγω ευπαθειών που ανακαλύπτονται τακτικά και επιτρέπουν την πρόσβαση σε προστατευμένα αντικείμενα παρακάμπτοντας τους κανόνες ελέγχου πρόσβασης. Τα πακέτα ενημερώσεων και ενημερώσεων κώδικα που κυκλοφόρησαν από τους κατασκευαστές λογισμικού αντικειμενικά υστερούν κάπως σε σχέση με τις πληροφορίες σχετικά με τις ευπάθειες που έχουν εντοπιστεί. Ως εκ τούτου, εκτός από τα τυπικά μέτρα ασφαλείας, είναι απαραίτητο να χρησιμοποιηθούν ειδικά μέσα περιορισμού ή περιορισμού της πρόσβασης.
Αυτά τα κεφάλαια μπορούν να χωριστούν σε δύο κατηγορίες:

1. Περιορισμοί φυσική πρόσβαση.

2. Μέσα προστασίας από μη εξουσιοδοτημένη πρόσβαση στο δίκτυο.

Μέσα περιορισμού της φυσικής πρόσβασης

Πλέον αξιόπιστη λύσηπροβλήματα περιορισμού φυσικής πρόσβασης σε υπολογιστή - χρήση υλικού για την προστασία πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, που εκτελείται πριν από τη φόρτωση του λειτουργικού συστήματος. Οι συσκευές ασφαλείας αυτής της κατηγορίας ονομάζονται «ηλεκτρονικές κλειδαριές». Ένα παράδειγμα ηλεκτρονικής κλειδαριάς φαίνεται στο Σχ. 5.3.

Εικόνα 5.3 – Ηλεκτρονική κλειδαριάΓια Λεωφορεία PCI

Θεωρητικά, οποιοδήποτε εργαλείο ελέγχου πρόσβασης λογισμικού μπορεί να εκτεθεί σε έναν εισβολέα προκειμένου να παραμορφωθεί ο αλγόριθμος λειτουργίας ενός τέτοιου εργαλείου και στη συνέχεια να αποκτήσει πρόσβαση στο σύστημα. Είναι σχεδόν αδύνατο να γίνει αυτό με την ασφάλεια υλικού: όλες οι ενέργειες για τον έλεγχο της πρόσβασης του χρήστη εκτελούνται από το ηλεκτρονικό κλείδωμα στο δικό του αξιόπιστο περιβάλλον λογισμικού, το οποίο δεν υπόκειται σε εξωτερικές επιρροές.
Στο προπαρασκευαστικό στάδιο της χρήσης ηλεκτρονικής κλειδαριάς, εγκαθίσταται και διαμορφώνεται. Η ρύθμιση περιλαμβάνει τις ακόλουθες ενέργειες, που συνήθως εκτελούνται από τον υπεύθυνο - τον διαχειριστή ασφαλείας:

1. Δημιουργία λίστας χρηστών στους οποίους επιτρέπεται η πρόσβαση στον προστατευμένο υπολογιστή. Για κάθε χρήστη, δημιουργείται ένα βασικό μέσο (ανάλογα με τις διεπαφές που υποστηρίζονται από μια συγκεκριμένη κλειδαριά - δισκέτα, ηλεκτρονικό tablet ή έξυπνη κάρτα iButton), το οποίο θα χρησιμοποιηθεί για τον έλεγχο ταυτότητας του χρήστη κατά την είσοδο. Η λίστα των χρηστών αποθηκεύεται στη μη πτητική μνήμη της κλειδαριάς.

2. Σχηματισμός λίστας αρχείων, η ακεραιότητα των οποίων ελέγχεται από ένα κλείδωμα πριν από τη φόρτωση του λειτουργικού συστήματος του υπολογιστή. Υπόκειται σε έλεγχο σημαντικά αρχείαλειτουργικό σύστημα, για παράδειγμα το εξής:

Βιβλιοθήκες συστήματος Windows;

Εκτελέσιμα modules των εφαρμογών που χρησιμοποιούνται.

Πρότυπα εγγράφων Microsoft Wordκαι τα λοιπά.

Η παρακολούθηση της ακεραιότητας των αρχείων είναι ο υπολογισμός του αθροίσματος ελέγχου αναφοράς τους, για παράδειγμα, κατακερματισμός σύμφωνα με τον αλγόριθμο GOST R 34.11-94, αποθήκευση των υπολογισμένων τιμών στη μη πτητική μνήμη της κλειδαριάς και επακόλουθος υπολογισμός των πραγματικών αθροισμάτων ελέγχου του τα αρχεία και σύγκριση με τα στοιχεία αναφοράς. Σε κανονική λειτουργία, το ηλεκτρονικό κλείδωμα λαμβάνει τον έλεγχο από το BIOS του προστατευμένου υπολογιστή μετά την ενεργοποίηση του τελευταίου. Σε αυτό το στάδιο, εκτελούνται όλες οι ενέργειες για τον έλεγχο της πρόσβασης στον υπολογιστή (δείτε το απλοποιημένο διάγραμμα του αλγορίθμου στην Εικ. 5.4), και συγκεκριμένα:

Εικόνα 5.4 – Απλοποιημένο διάγραμμα του αλγόριθμου λειτουργίας της ηλεκτρονικής κλειδαριάς

1. Η κλειδαριά ζητά από τον χρήστη ένα μέσο με βασικές πληροφορίες που είναι απαραίτητες για τον έλεγχο ταυτότητας του. Αν βασικές πληροφορίεςδεν παρουσιάζεται η απαιτούμενη μορφή ή εάν ο χρήστης που προσδιορίζεται από τις παρουσιαζόμενες πληροφορίες δεν περιλαμβάνεται στη λίστα των χρηστών του προστατευμένου υπολογιστή, το κλείδωμα εμποδίζει τη φόρτωση του υπολογιστή.

2. Εάν ο έλεγχος ταυτότητας χρήστη είναι επιτυχής, το κλείδωμα υπολογίζει τα αθροίσματα ελέγχου των αρχείων που περιέχονται στη λίστα ελεγχόμενων και συγκρίνει τα ληφθέντα αθροίσματα ελέγχου με τα αθροίσματα αναφοράς. Εάν καταστραφεί η ακεραιότητα τουλάχιστον ενός αρχείου από τη λίστα, θα αποκλειστεί η εκκίνηση του υπολογιστή. Για να μπορέσετε να εργαστείτε περαιτέρω αυτόν τον υπολογιστήείναι απαραίτητο το πρόβλημα να επιλυθεί από τον Διαχειριστή, ο οποίος πρέπει να μάθει τον λόγο της αλλαγής στο ελεγχόμενο αρχείο και, ανάλογα με την περίπτωση, να λάβει ένα από τα επόμενα βήματα, επιτρέποντας περαιτέρω εργασία με τον προστατευμένο υπολογιστή:

Επαναφέρω αρχείο προέλευσης;

Καταργήστε ένα αρχείο από τη λίστα των ελεγχόμενων.

3. Εάν όλοι οι έλεγχοι είναι επιτυχείς, το κλείδωμα επιστρέφει τον έλεγχο στον υπολογιστή για να φορτώσει το τυπικό λειτουργικό σύστημα.

Δεδομένου ότι τα βήματα που περιγράφονται παραπάνω πραγματοποιούνται πριν από τη φόρτωση του λειτουργικού συστήματος του υπολογιστή, το κλείδωμα συνήθως φορτώνει το δικό του λειτουργικό σύστημα (που βρίσκεται στη μη πτητική μνήμη του—συνήθως MS-DOSή παρόμοια OS, το οποίο δεν επιβάλλει μεγάλες απαιτήσεις πόρων), στο οποίο εκτελούνται έλεγχοι ταυτότητας χρήστη και ακεραιότητας αρχείων. Αυτό είναι επίσης λογικό από την άποψη της ασφάλειας - το λειτουργικό σύστημα της κλειδαριάς δεν υπόκειται σε εξωτερικές επιρροές, γεγονός που εμποδίζει έναν εισβολέα να επηρεάσει τις διαδικασίες ελέγχου που περιγράφονται παραπάνω. Πληροφορίες σχετικά με τις συνδέσεις χρηστών στον υπολογιστή, καθώς και σχετικά με τις προσπάθειες μη εξουσιοδοτημένης πρόσβασης, αποθηκεύονται σε ένα αρχείο καταγραφής, το οποίο βρίσκεται στη μη πτητική μνήμη της κλειδαριάς. Το αρχείο καταγραφής μπορεί να προβληθεί από τον Διαχειριστή. Υπάρχουν ορισμένα προβλήματα κατά τη χρήση ηλεκτρονικών κλειδαριών, ιδίως:

1. BIOSμερικοί σύγχρονους υπολογιστέςμπορεί να ρυθμιστεί με τέτοιο τρόπο ώστε ο έλεγχος να μην μεταφέρεται στο BIOS της κλειδαριάς κατά την εκκίνηση. Για να αντιμετωπιστούν τέτοιες ρυθμίσεις, το κλείδωμα πρέπει να μπορεί να εμποδίζει την εκκίνηση του υπολογιστή (για παράδειγμα, κλείνοντας τις επαφές Επαναφορά) εάν η κλειδαριά δεν λάβει έλεγχο εντός ορισμένου χρονικού διαστήματος μετά την ενεργοποίηση του ρεύματος.

2. Ένας εισβολέας μπορεί απλά να τραβήξει την κλειδαριά από τον υπολογιστή. Ωστόσο, υπάρχουν μια σειρά από αντίμετρα:

Διάφορα οργανωτικά και τεχνικά μέτρα: σφράγιση της θήκης του υπολογιστή, διασφάλιση ότι οι χρήστες δεν έχουν φυσική πρόσβαση στη μονάδα συστήματος του υπολογιστή κ.λπ.

Υπάρχουν ηλεκτρονικές κλειδαριές που μπορούν να κλειδώσουν τη θήκη του συστήματος του υπολογιστή από το εσωτερικό με μια ειδική κλειδαριά κατόπιν εντολής του διαχειριστή - σε αυτήν την περίπτωση, η κλειδαριά δεν μπορεί να αφαιρεθεί χωρίς σημαντική ζημιά στον υπολογιστή.

Αρκετά συχνά, οι ηλεκτρονικές κλειδαριές συνδυάζονται δομικά με κρυπτογράφηση υλικού. Σε αυτήν την περίπτωση, το συνιστώμενο μέτρο ασφαλείας είναι η χρήση κλειδαριάς σε συνδυασμό με διαφανές (αυτόματο) λογισμικό κρυπτογράφησης λογικές κινήσειςηλεκτρονικός υπολογιστής. Σε αυτήν την περίπτωση, τα κλειδιά κρυπτογράφησης μπορούν να προέρχονται από τα κλειδιά που χρησιμοποιούνται για τον έλεγχο ταυτότητας των χρηστών ηλεκτρονική κλειδαριά, ή ξεχωριστά κλειδιά, αλλά αποθηκευμένα στο ίδιο μέσο με τα κλειδιά του χρήστη για σύνδεση στον υπολογιστή. Ένα τέτοιο ολοκληρωμένο εργαλείο προστασίας δεν θα απαιτήσει από τον χρήστη να εκτελέσει κανένα πρόσθετες ενέργειες, αλλά δεν θα επιτρέψει σε έναν εισβολέα να αποκτήσει πρόσβαση σε πληροφορίες ακόμα και αν αφαιρεθεί το υλικό της ηλεκτρονικής κλειδαριάς.

Μέσα προστασίας από μη εξουσιοδοτημένη πρόσβαση στο δίκτυο

Οι πιο αποτελεσματικές μέθοδοι προστασίας από μη εξουσιοδοτημένη πρόσβαση μέσω δικτύων υπολογιστών είναι τα εικονικά ιδιωτικά δίκτυα ( VPN – Εικονικό ιδιωτικό δίκτυο) Και τείχος προστασίας. Ας τα δούμε αναλυτικά.

Εικονικά ιδιωτικά δίκτυα

Τα εικονικά ιδιωτικά δίκτυα προστατεύουν αυτόματα την ακεραιότητα και την εμπιστευτικότητα των μηνυμάτων που μεταδίδονται μέσω διαφορετικών δικτύων δημόσιας χρήσηςκυρίως μέσω Διαδικτύου. Πράγματι, VPNείναι ένα σύνολο δικτύων στην εξωτερική περίμετρο του οποίου VPN-παράγοντες (Εικ. 5.5). VPN-agent είναι ένα πρόγραμμα (ή σύμπλεγμα λογισμικού και υλικού) που παρέχει στην πραγματικότητα προστασία μεταδιδόμενες πληροφορίεςεκτελώντας τις λειτουργίες που περιγράφονται παρακάτω.

Ρύζι. 5.5 - Διάγραμμα κατασκευή VPN

Πριν στείλετε οποιοδήποτε IP-πακέτο VPN- ο πράκτορας κάνει τα εξής:

1. Από τον τίτλο IP-Το πακέτο εκχωρεί πληροφορίες σχετικά με τον παραλήπτη του. Σύμφωνα με αυτές τις πληροφορίες, με βάση την πολιτική ασφαλείας αυτού VPN-agent, επιλέγονται αλγόριθμοι προστασίας (αν VPN-ο πράκτορας υποστηρίζει αρκετούς αλγόριθμους) και κρυπτογραφικά κλειδιά, με τη βοήθεια του οποίου θα προστατεύεται αυτό το πακέτο. Σε περίπτωση που η πολιτική ασφαλείας VPN- δεν παρέχεται αποστολή αντιπροσώπου IP-πακέτο σε αυτόν τον παραλήπτη ή IP-πακέτο με αυτά τα χαρακτηριστικά, αποστολή IP-Το πακέτο είναι μπλοκαρισμένο.

2. Χρησιμοποιώντας τον επιλεγμένο αλγόριθμο προστασίας ακεραιότητας, δημιουργείται και προστίθεται IP-Ηλεκτρονικό πακέτο ψηφιακή υπογραφή(EDS), πρόθεμα απομίμησης ή παρόμοιο άθροισμα ελέγχου.

3. Η κρυπτογράφηση εκτελείται χρησιμοποιώντας τον επιλεγμένο αλγόριθμο κρυπτογράφησης IP-πακέτο.

4. Με καθιερωμένο αλγόριθμοκρυπτογραφημένη ενθυλάκωση πακέτων IP- το πακέτο τοποθετείται σε ένα πακέτο IP έτοιμο για μετάδοση, η κεφαλίδα του οποίου, αντί για τις αρχικές πληροφορίες για τον παραλήπτη και τον αποστολέα, περιέχει πληροφορίες σχετικά με VPN-ο πράκτορας του παραλήπτη και VPN- αντιπρόσωπος αποστολέα. Εκείνοι. Εκτελείται η μετάφραση διεύθυνσης δικτύου.

5. Το πακέτο αποστέλλεται VPN- ο πράκτορας του παραλήπτη. Εάν είναι απαραίτητο, χωρίζεται και τα πακέτα που προκύπτουν αποστέλλονται ένα προς ένα.

κατά την εισαγωγή IP-πακέτο VPN- ο πράκτορας κάνει τα εξής:

1. Από τον τίτλο IP- επισημαίνονται οι πληροφορίες πακέτου για τον αποστολέα του. Εάν ο αποστολέας δεν επιτρέπεται (σύμφωνα με την πολιτική ασφαλείας) ή είναι άγνωστος (για παράδειγμα, όταν λαμβάνετε ένα πακέτο με σκόπιμα ή τυχαία αλλοιωμένη κεφαλίδα), το πακέτο δεν υποβάλλεται σε επεξεργασία και απορρίπτεται.

2. Οι αλγόριθμοι προστασίας επιλέγονται σύμφωνα με την πολιτική ασφαλείας αυτού του πακέτουκαι κλειδιά που θα χρησιμοποιηθούν για την αποκρυπτογράφηση του πακέτου και τον έλεγχο της ακεραιότητάς του.

3. Το τμήμα πληροφοριών (ενθυλακωμένο) του πακέτου απομονώνεται και αποκρυπτογραφείται.

4. Η ακεραιότητα του πακέτου παρακολουθείται με βάση τον επιλεγμένο αλγόριθμο. Εάν εντοπιστεί παραβίαση ακεραιότητας, το πακέτο απορρίπτεται.

5. Το πακέτο αποστέλλεται στον προορισμό (μέσω του εσωτερικού δικτύου) σύμφωνα με τις πληροφορίες στην αρχική του κεφαλίδα.

VPN-ο πράκτορας μπορεί να βρίσκεται απευθείας στον προστατευμένο υπολογιστή (για παράδειγμα, οι υπολογιστές "απομακρυσμένων χρηστών" στην Εικ. 5.5). Σε αυτήν την περίπτωση, προστατεύει την ανταλλαγή πληροφοριών μόνο του υπολογιστή στον οποίο είναι εγκατεστημένος, αλλά οι αρχές λειτουργίας του που περιγράφονται παραπάνω παραμένουν αμετάβλητες.
Βασικός κανόνας κατασκευής VPN– Η επικοινωνία μεταξύ ενός ασφαλούς LAN και ενός ανοιχτού δικτύου θα πρέπει να πραγματοποιείται μόνο μέσω VPN-πράκτορες. Δεν πρέπει να υπάρχει απολύτως κανένα μέσο επικοινωνίας που να παρακάμπτει το προστατευτικό φράγμα στη μορφή VPN-μέσο. Εκείνοι. πρέπει να καθοριστεί μια προστατευμένη περίμετρος, η επικοινωνία με την οποία μπορεί να πραγματοποιηθεί μόνο με κατάλληλο μέσο προστασίας. Μια πολιτική ασφαλείας είναι ένα σύνολο κανόνων σύμφωνα με τους οποίους δημιουργούνται ασφαλή κανάλια επικοινωνίας μεταξύ των συνδρομητών VPN. Τέτοια κανάλια ονομάζονται συνήθως σήραγγες, η αναλογία με την οποία φαίνεται στα ακόλουθα:

1. Όλες οι πληροφορίες που μεταδίδονται σε ένα τούνελ προστατεύονται τόσο από μη εξουσιοδοτημένη προβολή όσο και από τροποποίηση.

2. Ενθυλάκωση IPΤα πακέτα σάς επιτρέπουν να αποκρύψετε την τοπολογία του εσωτερικού LAN: από το Διαδίκτυο, η ανταλλαγή πληροφοριών μεταξύ δύο προστατευμένων LAN είναι ορατή ως ανταλλαγή πληροφοριών μόνο μεταξύ τους VPN-πράκτορες, αφού όλα είναι εσωτερικά IP-διευθύνσεις που μεταδίδονται μέσω Διαδικτύου IP- τα πακέτα δεν εμφανίζονται σε αυτή την περίπτωση.

Οι κανόνες για τη δημιουργία σηράγγων διαμορφώνονται ανάλογα με διάφορα χαρακτηριστικά IP-πακέτα, για παράδειγμα, το κύριο κατά την κατασκευή των περισσότερων VPNπρωτόκολλο IPSec (Αρχιτεκτονική ασφαλείας για IP)ορίζει το επόμενο σύνολο δεδομένων εισόδου με το οποίο επιλέγονται οι παράμετροι σήραγγας και λαμβάνεται απόφαση κατά το φιλτράρισμα ενός συγκεκριμένου IP-πακέτο:

1. IP- διεύθυνση πηγής. Αυτή μπορεί να είναι όχι μόνο μια μεμονωμένη διεύθυνση IP, αλλά και μια διεύθυνση υποδικτύου ή μια σειρά από διευθύνσεις.

2. IP- διεύθυνση προορισμού. Μπορεί επίσης να υπάρχει μια σειρά από διευθύνσεις που καθορίζονται ρητά, χρησιμοποιώντας μια μάσκα υποδικτύου ή μπαλαντέρ.

3. Αναγνωριστικό χρήστη (αποστολέας ή παραλήπτης).

4. Πρωτόκολλο επιπέδου μεταφοράς ( TCP/UDP).

5. Αριθμός θύρας από ή προς την οποία στάλθηκε το πακέτο.

Το τείχος προστασίας είναι ένα λογισμικό ή εργαλείο υλικού-λογισμικού που προστατεύει τοπικά δίκτυα και μεμονωμένους υπολογιστές από μη εξουσιοδοτημένη πρόσβαση από εξωτερικά δίκτυαφιλτράροντας την αμφίδρομη ροή των μηνυμάτων κατά την ανταλλαγή πληροφοριών. Στην πραγματικότητα, το τείχος προστασίας είναι "ξεγυμνωμένο" VPN-ένας πράκτορας που δεν κρυπτογραφεί πακέτα και δεν ελέγχει την ακεραιότητά τους, αλλά σε ορισμένες περιπτώσεις έχει μια σειρά από πρόσθετες λειτουργίες, οι πιο συνηθισμένες από τις οποίες είναι οι ακόλουθες:

Σάρωση προστασίας από ιούς.

Παρακολούθηση της ορθότητας των πακέτων.

Παρακολούθηση της ορθότητας των συνδέσεων (για παράδειγμα, εγκατάσταση, χρήση και τερματισμός TCP-συνεδρίες)

Έλεγχος περιεχομένου.

Τα τείχη προστασίας που δεν έχουν τις λειτουργίες που περιγράφονται παραπάνω και εκτελούν μόνο φιλτράρισμα πακέτων καλούνται φίλτρα πακέτων. Κατ' αναλογία με VPN-οι πράκτορες υπάρχουν επίσης ως προσωπικά τείχη προστασίας που προστατεύουν μόνο τον υπολογιστή στον οποίο είναι εγκατεστημένοι. Τα τείχη προστασίας βρίσκονται επίσης στην περίμετρο των προστατευμένων δικτύων και φιλτράρουν την κίνηση του δικτύου σύμφωνα με τη διαμορφωμένη πολιτική ασφαλείας.

Μια ηλεκτρονική κλειδαριά μπορεί να αναπτυχθεί με βάση έναν κωδικοποιητή υλικού. Σε αυτήν την περίπτωση, λαμβάνετε μία συσκευή που εκτελεί τις λειτουργίες κρυπτογράφησης, δημιουργίας τυχαίων αριθμών και προστασίας από μη εξουσιοδοτημένη πρόσβαση. Ένας τέτοιος κρυπτογραφητής μπορεί να είναι το κέντρο ασφαλείας ολόκληρου του υπολογιστή, μπορεί να κατασκευαστεί ένα πλήρως λειτουργικό σύστημα κρυπτογραφική προστασίαδεδομένα, παρέχοντας, για παράδειγμα, τις ακόλουθες δυνατότητες:

1. Προστατέψτε τον υπολογιστή σας από φυσική πρόσβαση.

2. Προστασία του υπολογιστή σας από μη εξουσιοδοτημένη πρόσβαση μέσω του δικτύου και οργάνωση VPN.

3. Κρυπτογράφηση αρχείων κατ' απαίτηση.

4. Αυτόματη κρυπτογράφηση λογικών μονάδων υπολογιστή.

5. Υπολογισμός/επαλήθευση ψηφιακής υπογραφής.

6. Προστατέψτε τα μηνύματα email.

Η μη εξουσιοδοτημένη πρόσβαση (UA) είναι η σκόπιμη παράνομη απόκτηση εμπιστευτικών πληροφοριών από άτομο που δεν έχει δικαίωμα πρόσβασης σε προστατευμένες πληροφορίες. Οι πιο συνηθισμένες διαδρομές ND προς την πληροφόρηση είναι:

• χρήση συσκευών ακρόασης·
• απομακρυσμένη φωτογραφία?
• κλοπή μέσων αποθήκευσης και απορρίμματα εγγράφων·
• ανάγνωση υπολειπόμενων πληροφοριών στη μνήμη του συστήματος μετά την εκτέλεση εξουσιοδοτημένων αιτημάτων.
• παράνομη σύνδεση με εξοπλισμό και γραμμές επικοινωνίας ειδικά σχεδιασμένου υλικού που παρέχει πρόσβαση σε πληροφορίες·
• κακόβουλη απενεργοποίηση μηχανισμών προστασίας.
• αντιγραφή μέσων αποθήκευσης υπερβαίνοντας τα μέτρα ασφαλείας.
• μεταμφίεση ως εγγεγραμμένος χρήστης.
• αποκρυπτογράφηση κρυπτογραφημένων πληροφοριών·
• μολύνσεις πληροφοριών κ.λπ.

Ορισμένες από τις αναφερόμενες μεθόδους ND απαιτούν αρκετά μεγάλες τεχνικές γνώσειςκαι αντίστοιχες εξελίξεις υλικού ή λογισμικού, άλλες είναι αρκετά πρωτόγονες. Ανεξάρτητα από τη διαδρομή, μια διαρροή πληροφοριών μπορεί να προκαλέσει σημαντική ζημιά στον οργανισμό και στους χρήστες.

Οι περισσότερες από τις αναφερόμενες τεχνικές διαδρομές ND μπορούν να αποκλειστούν αξιόπιστα με ένα σωστά σχεδιασμένο και εφαρμοσμένο σύστημα ασφαλείας. Ωστόσο, συχνά η ζημιά δεν προκαλείται λόγω «κακόβουλης πρόθεσης», αλλά λόγω απλών σφαλμάτων χρήστη που κατά λάθος καταστρέφουν ή διαγράφουν ζωτικά δεδομένα.

Παρά τη σημαντική διαφορά στο ύψος των υλικών ζημιών που προκλήθηκαν, πρέπει να σημειωθεί ότι το πρόβλημα της προστασίας των πληροφοριών αφορά όχι μόνο νομικά πρόσωπα. Οποιοσδήποτε χρήστης μπορεί να το συναντήσει, τόσο στη δουλειά όσο και στο σπίτι. Από αυτή την άποψη, όλοι οι χρήστες πρέπει να έχουν επίγνωση της ευθύνης τους και να συμμορφώνονται με βασικούς κανόνεςεπεξεργασία, μετάδοση και χρήση πληροφοριών.

Αμυντικοί μηχανισμοί που στοχεύουν στην επίλυση του προβλήματος της ΝΔ όσον αφορά την ενημέρωση περιλαμβάνουν:

• έλεγχος πρόσβασης - μέθοδοι προστασίας των πληροφοριών με ρύθμιση της χρήσης όλων των πόρων πληροφοριακό σύστημα;
• εγγραφή και λογιστική - τήρηση αρχείων καταγραφής και στατιστικών στοιχείων πρόσβασης σε προστατευμένους πόρους.
• τη χρήση διαφόρων μηχανισμών κρυπτογράφησης (κλείσιμο κρυπτογραφικών πληροφοριών) - αυτές οι μέθοδοι προστασίας χρησιμοποιούνται ευρέως κατά την επεξεργασία και αποθήκευση πληροφοριών σε μαγνητικά μέσα, καθώς και τη μετάδοσή τους μέσω καναλιών επικοινωνίας μεγάλων αποστάσεων.
• νομοθετικά μέτρα - καθορίζονται από τις νομοθετικές πράξεις της χώρας, οι οποίες ρυθμίζουν τους κανόνες για τη χρήση, την επεξεργασία και τη μετάδοση πληροφοριών περιορισμένη πρόσβασηκαι επιβάλλονται κυρώσεις για παραβίαση αυτών των κανόνων·
• σωματικά μέτρα - περιλαμβάνουν διάφορα μηχανολογικές συσκευέςκαι δομές που εμποδίζουν τη φυσική

διείσδυση εισβολέων σε προστατευμένα αντικείμενα και προστασία προσωπικού, υλικών πόρων και πληροφοριών από παράνομες ενέργειες.

Έλεγχος πρόσβασης

Μπορούν να διακριθούν τρεις γενικοί μηχανισμοί για τον έλεγχο της πρόσβασης στα δεδομένα: αναγνώριση χρήστη, άμεση (φυσική) προστασία δεδομένων και υποστήριξη για δικαιώματα πρόσβασης χρήστη σε δεδομένα με δυνατότητα μεταφοράς τους.

Η αναγνώριση χρήστη καθορίζει την κλίμακα πρόσβασης σε διαφορετικές βάσεις δεδομένων ή τμήματα βάσεων δεδομένων (σχέσεις ή χαρακτηριστικά). Αυτός είναι ουσιαστικά ένας πίνακας πληροφοριών βαθμολογιών. Η προστασία φυσικών δεδομένων είναι περισσότερο ένα οργανωτικό ζήτημα, αν και ορισμένα ζητήματα μπορεί να σχετίζονται άμεσα με τα δεδομένα, όπως η κωδικοποίησή τους. Και τέλος, τα μέσα υποστήριξης και μεταφοράς δικαιωμάτων πρόσβασης πρέπει να ορίζουν αυστηρά τη φύση της διαφοροποιημένης επικοινωνίας με δεδομένα.

Μέθοδος προστασίας με χρήση κωδικών πρόσβασης λογισμικού. Σύμφωνα με αυτή τη μέθοδο, που εφαρμόζεται από λογισμικό, η διαδικασία επικοινωνίας μεταξύ του χρήστη και του Η/Υ είναι δομημένη κατά τέτοιο τρόπο ώστε η πρόσβαση στο λειτουργικό σύστημα ή ορισμένα αρχείαμέχρι να εισαχθεί ο κωδικός πρόσβασης. Ο κωδικός πρόσβασης διατηρείται απόρρητος από τον χρήστη και αλλάζει περιοδικά για να αποφευχθεί η μη εξουσιοδοτημένη χρήση.

Η μέθοδος κωδικού πρόσβασης είναι η απλούστερη και φθηνότερη, αλλά δεν παρέχει αξιόπιστη προστασία. Δεν είναι μυστικό ότι ένας κωδικός πρόσβασης μπορεί να κατασκοπευθεί ή να μαντευτεί χρησιμοποιώντας δοκιμή και σφάλμα ή ειδικά προγράμματα και μπορεί να αποκτηθεί πρόσβαση στα δεδομένα. Επιπλέον, η κύρια ευπάθεια της μεθόδου κωδικού πρόσβασης είναι ότι οι χρήστες συχνά επιλέγουν πολύ απλούς και εύκολους να θυμούνται (και ως εκ τούτου λύνουν) κωδικούς πρόσβασης που δεν αλλάζουν πολύ καιρό, και συχνά παραμένουν ίδια ακόμα και όταν αλλάζει ο χρήστης. Παρά αυτά τα μειονεκτήματα, η χρήση της μεθόδου κωδικού πρόσβασης σε πολλές περιπτώσεις θα πρέπει να θεωρείται ορθολογική ακόμη και αν υπάρχουν διαθέσιμες άλλες μέθοδοι προστασίας υλικού και λογισμικού. Συνήθως η μέθοδος κωδικού πρόσβασης λογισμικού συνδυάζεται με άλλες χρησιμοποιώντας μεθόδους λογισμικού, ορίζοντας περιορισμούς σε τύπους και αντικείμενα πρόσβασης.

Το πρόβλημα της προστασίας των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση έχει γίνει ιδιαίτερα οξύ με την ευρεία χρήση τοπικών και, ιδιαίτερα, παγκόσμιων δικτύων υπολογιστών. Από αυτή την άποψη, εκτός από τον έλεγχο πρόσβασης, απαραίτητο στοιχείο προστασίας πληροφοριών στα δίκτυα υπολογιστών είναι η οριοθέτηση των εξουσιών των χρηστών.

Στα δίκτυα υπολογιστών, κατά την οργάνωση του ελέγχου πρόσβασης και τον καθορισμό των εξουσιών των χρηστών, τα ενσωματωμένα εργαλεία των λειτουργικών συστημάτων δικτύου (OS) χρησιμοποιούνται συχνότερα. Η χρήση ασφαλών λειτουργικών συστημάτων είναι μια από τις σημαντικότερες προϋποθέσεις για την κατασκευή σύγχρονων πληροφοριακών συστημάτων. Για παράδειγμα, το UNIX επιτρέπει σε έναν κάτοχο αρχείου να εκχωρεί δικαιώματα μόνο για ανάγνωση ή εγγραφή σε άλλους χρήστες για κάθε ένα από τα αρχεία τους. Το λειτουργικό σύστημα Windows NT γίνεται πιο διαδεδομένο στη χώρα μας, στην οποία υπάρχουν όλο και περισσότερες ευκαιρίες για τη δημιουργία ενός δικτύου που είναι πραγματικά προστατευμένο από μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. NetWare OS επιπλέον τυπικά μέσαπεριορισμοί πρόσβασης, όπως σύστημα κωδικών πρόσβασης και οριοθέτηση εξουσιών, έχει μια σειρά από νέα χαρακτηριστικά που παρέχουν πρώτης τάξεως προστασία δεδομένων και παρέχει τη δυνατότητα κρυπτογράφησης δεδομένων χρησιμοποιώντας την αρχή του «δημόσιου κλειδιού» ( Αλγόριθμος RSA) με το σχηματισμό ηλεκτρονικής υπογραφής για πακέτα που μεταδίδονται μέσω του δικτύου.

Ταυτόχρονα, ένα τέτοιο σύστημα ασφαλείας εξακολουθεί να έχει ένα αδύναμο σημείο: το επίπεδο πρόσβασης και η δυνατότητα σύνδεσης στο σύστημα καθορίζονται από έναν κωδικό πρόσβασης. Για την εξάλειψη της πιθανότητας μη εξουσιοδοτημένης εισόδου σε δίκτυο υπολογιστών V πρόσφαταχρησιμοποιείται μια συνδυασμένη προσέγγιση - κωδικός πρόσβασης + αναγνώριση χρήστη με χρήση προσωπικού «κλειδιού». Μπορεί να χρησιμοποιηθεί ως "κλειδί" πλαστική κάρτα(μαγνητικό ή με ενσωματωμένο μικροκύκλωμα - έξυπνη κάρτα) ή διάφορες συσκευές προσωπικής αναγνώρισης με χρήση βιομετρικών στοιχείων - ίριδας ή δακτυλικά αποτυπώματα, μέγεθος χεριού κ.λπ.

Οι πλαστικές κάρτες με μαγνητική λωρίδα μπορούν εύκολα να παραποιηθούν. Μεγαλύτερος βαθμός αξιοπιστίας παρέχουν οι έξυπνες κάρτες - οι λεγόμενες κάρτες μικροεπεξεργαστή (MP-cards). Η αξιοπιστία τους οφείλεται κατά κύριο λόγο στην αδυναμία αντιγραφής ή πλαστογραφίας με χρήση οικιακής μεθόδου. Επιπλέον, κατά την παραγωγή των καρτών, εισάγεται ένας μοναδικός κωδικός σε κάθε τσιπ, ο οποίος δεν μπορεί να αντιγραφεί. Όταν μια κάρτα εκδίδεται σε έναν χρήστη, αναγράφονται ένας ή περισσότεροι κωδικοί πρόσβασης, τους οποίους γνωρίζει μόνο ο κάτοχός της. Για ορισμένους τύπους καρτών MP, μια προσπάθεια μη εξουσιοδοτημένης χρήσης τελειώνει με το αυτόματο «κλείσιμο». Για να αποκατασταθεί η λειτουργικότητα μιας τέτοιας κάρτας, πρέπει να προσκομιστεί στην αρμόδια αρχή. Επιπλέον, η τεχνολογία λήψης κάρτας MP παρέχει κρυπτογράφηση των δεδομένων που καταγράφονται σε αυτήν σύμφωνα με το πρότυπο DES. Η εγκατάσταση μιας ειδικής συσκευής ανάγνωσης καρτών MP είναι δυνατή όχι μόνο στην είσοδο των εγκαταστάσεων όπου βρίσκονται οι υπολογιστές, αλλά και απευθείας σε σταθμούς εργασίας και διακομιστές δικτύου.

Αυτή η προσέγγιση σημαντικά ασφαλέστερη στη χρήσηκωδικούς πρόσβασης, γιατί εάν κλαπεί ο κωδικός πρόσβασης, ο χρήστης μπορεί να μην το γνωρίζει, αλλά εάν η κάρτα λείπει, μπορούν να ληφθούν αμέσως μέτρα.

Οι έξυπνες κάρτες ελέγχου πρόσβασης σάς επιτρέπουν να εφαρμόζετε, συγκεκριμένα, λειτουργίες όπως έλεγχος εισόδου, πρόσβαση σε συσκευές προσωπικού υπολογιστή, πρόσβαση σε προγράμματα, αρχεία και εντολές. Επιπλέον, είναι επίσης δυνατή η εκτέλεση λειτουργιών ελέγχου, ειδικότερα, καταγραφή προσπαθειών παραβίασης της πρόσβασης σε πόρους, χρήση απαγορευμένων βοηθητικών προγραμμάτων, προγραμμάτων, εντολών DOS.

Καθώς οι επιχειρήσεις επεκτείνουν τις δραστηριότητές τους, αυξάνεται ο αριθμός του προσωπικού και εμφανίζονται νέα υποκαταστήματα, υπάρχει ανάγκη για απομακρυσμένους χρήστες (ή ομάδες χρηστών) να έχουν πρόσβαση στους υπολογιστικούς πόρους και στους πόρους πληροφοριών των κεντρικών γραφείων της εταιρείας. Τις περισσότερες φορές, καλωδιακές γραμμές (κανονικό τηλέφωνο ή μισθωμένο) και ραδιοφωνικά κανάλια χρησιμοποιούνται για την οργάνωση της απομακρυσμένης πρόσβασης. Από αυτή την άποψη, η προστασία των πληροφοριών που μεταδίδονται μέσω καναλιών απομακρυσμένης πρόσβασης απαιτεί ειδική προσέγγιση.

Συγκεκριμένα, οι γέφυρες απομακρυσμένης πρόσβασης και οι δρομολογητές χρησιμοποιούν τμηματοποίηση πακέτων - χωρίζοντάς τα και μεταδίδοντάς τα παράλληλα κατά μήκος δύο γραμμών - γεγονός που καθιστά αδύνατη την «αναχαίτιση» δεδομένων όταν ένας «χάκερ» συνδέεται παράνομα σε μία από τις γραμμές. Επιπλέον, η διαδικασία συμπίεσης των μεταδιδόμενων πακέτων που χρησιμοποιείται κατά τη μετάδοση δεδομένων εγγυάται την αδυναμία αποκρυπτογράφησης των «αναχαιτισμένων» δεδομένων. Επιπλέον, οι γέφυρες και οι δρομολογητές απομακρυσμένης πρόσβασης μπορούν να προγραμματιστούν έτσι ώστε απομακρυσμένους χρήστεςθα περιοριστεί στην πρόσβαση σε ορισμένους πόρους του κύριου τερματικού δικτύου.

Η μέθοδος αυτόματης επανάκλησης μπορεί να παρέχει μεγαλύτερη ασφάλεια έναντι μη εξουσιοδοτημένης πρόσβασης στο σύστημα από την απλή κωδικούς πρόσβασης λογισμικού. Σε αυτή την περίπτωση, ο χρήστης δεν χρειάζεται να θυμάται κωδικούς πρόσβασης και να παρακολουθεί το απόρρητό τους. Η ιδέα πίσω από ένα σύστημα επανάκλησης είναι αρκετά απλή. Οι χρήστες που είναι απομακρυσμένοι από την κεντρική βάση δεδομένων δεν μπορούν να έχουν άμεση πρόσβαση σε αυτήν. Πρώτα αποκτούν πρόσβαση σε ειδικό πρόγραμμα, το οποίο παρέχεται με τους αντίστοιχους κωδικούς αναγνώρισης. Μετά από αυτό, η σύνδεση τερματίζεται και ελέγχονται οι κωδικοί αναγνώρισης. Εάν ο κωδικός που αποστέλλεται μέσω του καναλιού επικοινωνίας είναι σωστός, ο χρήστης καλείται πίσω ενώ ταυτόχρονα καταγράφει την ημερομηνία, την ώρα και τον αριθμό τηλεφώνου. Το μειονέκτημα της υπό εξέταση μεθόδου είναι η χαμηλή ταχύτητα ανταλλαγής - ο μέσος χρόνος καθυστέρησης μπορεί να είναι δεκάδες δευτερόλεπτα.

Μέθοδος κρυπτογράφησης δεδομένων

Μετάφραση από τα ελληνικά, η λέξη κρυπτογραφία σημαίνει μυστική γραφή. Αυτό είναι ένα από τα πιο αποτελεσματικές μεθόδουςπροστασία. Μπορεί να είναι ιδιαίτερα χρήσιμο για να δυσκολέψει τη μη εξουσιοδοτημένη πρόσβαση, ακόμα κι αν συνηθισμένα μέσαη άμυνα παρακάμφθηκε. Σε αντίθεση με τις μεθόδους που συζητήθηκαν παραπάνω, η κρυπτογραφία δεν κρύβει τα μεταδιδόμενα μηνύματα, αλλά τα μετατρέπει σε μια μορφή που δεν είναι κατανοητή από άτομα που δεν έχουν δικαιώματα πρόσβασης σε αυτά, διασφαλίζοντας την ακεραιότητα και την αυθεντικότητα των πληροφοριών στη διαδικασία της αλληλεπίδρασης πληροφοριών.

Οι πληροφορίες έτοιμες για μετάδοση κρυπτογραφούνται χρησιμοποιώντας κάποιο αλγόριθμο κρυπτογράφησης και ένα κλειδί κρυπτογράφησης. Ως αποτέλεσμα αυτών των ενεργειών, μετατρέπεται σε κρυπτογράφημα, δηλαδή σε κλειστό κείμενο ή γραφική εικόνα, και με αυτή τη μορφή μεταδίδεται μέσω του καναλιού επικοινωνίας. Η κρυπτογραφημένη έξοδος που προκύπτει δεν μπορεί να γίνει κατανοητή από κανέναν εκτός από τον ιδιοκτήτη του κλειδιού.

Ένας κρυπτογράφηση συνήθως νοείται ως μια οικογένεια αντιστρέψιμων μετασχηματισμών, καθένας από τους οποίους καθορίζεται από κάποια παράμετρο που ονομάζεται κλειδί, καθώς και από τη σειρά εφαρμογής αυτής της μεταμόρφωσης, που ονομάζεται λειτουργία κρυπτογράφησης. Συνήθως το κλειδί είναι κάποια αλφαβητική ή αριθμητική ακολουθία.

Κάθε μετασχηματισμός καθορίζεται μοναδικά από ένα κλειδί και περιγράφεται από κάποιο αλγόριθμο κρυπτογράφησης. Για παράδειγμα, ένας αλγόριθμος κρυπτογράφησης μπορεί να προβλέπει την αντικατάσταση κάθε γράμματος του αλφαβήτου με έναν αριθμό και το κλειδί μπορεί να είναι η σειρά των αριθμών των γραμμάτων αυτού του αλφαβήτου. Για να είναι επιτυχής η ανταλλαγή κρυπτογραφημένων δεδομένων, ο αποστολέας και ο παραλήπτης πρέπει να γνωρίζουν το σωστό κλειδί και να το κρατούν μυστικό.

Ο ίδιος αλγόριθμος μπορεί να χρησιμοποιηθεί για κρυπτογράφηση σε διάφορους τρόπους λειτουργίας. Κάθε λειτουργία κρυπτογράφησης έχει τόσο τα πλεονεκτήματα όσο και τα μειονεκτήματά της. Επομένως, η επιλογή του τρόπου λειτουργίας εξαρτάται από συγκεκριμένη κατάσταση. Κατά την αποκρυπτογράφηση, χρησιμοποιείται κρυπτογραφικός αλγόριθμος, ο οποίος γενική περίπτωσημπορεί να διαφέρει από τον αλγόριθμο που χρησιμοποιείται για την κρυπτογράφηση, επομένως, τα αντίστοιχα κλειδιά μπορεί επίσης να διαφέρουν. Ένα ζεύγος αλγορίθμων κρυπτογράφησης και αποκρυπτογράφησης ονομάζεται κρυπτοσύστημα (σύστημα κρυπτογράφησης) και οι συσκευές που τους υλοποιούν ονομάζονται τεχνολογία κρυπτογράφησης.

Υπάρχουν συμμετρικά και ασύμμετρα κρυπτοσυστήματα. Στα συμμετρικά κρυπτοσυστήματα, το ίδιο ιδιωτικό κλειδί χρησιμοποιείται για κρυπτογράφηση και αποκρυπτογράφηση. ΣΕ ασύμμετρα κρυπτοσυστήματαΤα κλειδιά για κρυπτογράφηση και αποκρυπτογράφηση είναι διαφορετικά, με το ένα από αυτά να είναι ιδιωτικό και το άλλο ανοιχτό (δημόσιο).

Υπάρχουν αρκετά διάφορους αλγόριθμουςκρυπτογραφική προστασία πληροφοριών, για παράδειγμα DES, RSA, GOST 28147-89, κ.λπ. Η επιλογή της μεθόδου κρυπτογράφησης εξαρτάται από τα χαρακτηριστικά των μεταδιδόμενων πληροφοριών, τον όγκο και την απαιτούμενη ταχύτητα μετάδοσης, καθώς και τις δυνατότητες των κατόχων (το κόστος του χρησιμοποιημένου τεχνικές συσκευές, λειτουργική αξιοπιστία κ.λπ.).

Η κρυπτογράφηση δεδομένων χρησιμοποιείται παραδοσιακά από την κυβέρνηση και τις υπηρεσίες άμυνας, αλλά καθώς οι ανάγκες αλλάζουν, μερικές από τις πιο εδραιωμένες εταιρείες αρχίζουν να ενστερνίζονται τη δύναμη που παρέχει η κρυπτογράφηση για τη διασφάλιση του απορρήτου των πληροφοριών. Οι εταιρικές χρηματοοικονομικές υπηρεσίες (κυρίως στις ΗΠΑ) αντιπροσωπεύουν μια σημαντική και μεγάλη βάση χρηστών και συχνά έχουν συγκεκριμένες απαιτήσεις για τον αλγόριθμο που χρησιμοποιείται στη διαδικασία κρυπτογράφησης.

περιπλανώμενος. Πρότυπο κρυπτογράφησης Δεδομένα DES(Data Encryption Standard) αναπτύχθηκε από την IBM στις αρχές της δεκαετίας του 1970. και είναι επί του παρόντος το κυβερνητικό πρότυπο για την κρυπτογράφηση ψηφιακές πληροφορίες. Συνιστάται από την American Bankers Association. Πολύπλοκος αλγόριθμοςΤο DES χρησιμοποιεί ένα κλειδί 56 bit και 8 bit ισοτιμίας και απαιτεί από έναν εισβολέα να δοκιμάσει 72 τετράδισεκατομμύρια πιθανούς συνδυασμούς κλειδιών, παρέχοντας υψηλή ασφάλεια με χαμηλό κόστος. Με συχνές αλλαγές πλήκτρων, ο αλγόριθμος λύνει ικανοποιητικά το πρόβλημα της στροφής εμπιστευτικές πληροφορίεςαπρόσιτη. Ταυτόχρονα, η αγορά εμπορικών συστημάτων δεν απαιτεί πάντα τόσο αυστηρή ασφάλεια όπως οι κυβερνητικές ή αμυντικές υπηρεσίες, επομένως μπορούν να χρησιμοποιηθούν άλλοι τύποι προϊόντων, όπως το PGP (Pretty Good Privacy). Η κρυπτογράφηση δεδομένων μπορεί να πραγματοποιηθεί σε λειτουργίες On-line (με ρυθμό λήψης πληροφοριών) και off-line (αυτόνομη).

Ο αλγόριθμος RSA επινοήθηκε από τον R.L. Rivest, A. Shamir and L. Aldeman το 1978 και αντιπροσωπεύει ένα σημαντικό βήμα στην κρυπτογραφία. Αυτός ο αλγόριθμος έχει επίσης υιοθετηθεί ως πρότυπο από το Εθνικό Γραφείο Προτύπων.

Το DES είναι τεχνικά ένας συμμετρικός αλγόριθμος, ενώ ο RSA είναι ένας ασύμμετρος αλγόριθμος - είναι ένα σύστημα κοινής χρήσης στο οποίο κάθε χρήστης έχει δύο κλειδιά, με ένα μόνο μυστικό. Το δημόσιο κλειδί χρησιμοποιείται για την κρυπτογράφηση ενός μηνύματος από τον χρήστη, αλλά μόνο ο καθορισμένος παραλήπτης μπορεί να το αποκρυπτογραφήσει με το ιδιωτικό του κλειδί. το δημόσιο κλειδί είναι άχρηστο για αυτό. Αυτό καθιστά περιττές τις μυστικές συμφωνίες μεταφοράς κλειδιών μεταξύ ανταποκριτών. Το DES καθορίζει το μήκος των δεδομένων και του κλειδιού σε bit, ενώ το RSA μπορεί να υλοποιηθεί με οποιοδήποτε μήκος κλειδιού. Όσο μεγαλύτερο είναι το κλειδί, τόσο υψηλότερο είναι το επίπεδο ασφάλειας (αλλά η διαδικασία κρυπτογράφησης και αποκρυπτογράφησης διαρκεί επίσης περισσότερο). Εάν τα κλειδιά DES μπορούν να δημιουργηθούν σε μικροδευτερόλεπτα, τότε ο κατά προσέγγιση χρόνος για τη δημιουργία ενός κλειδιού RSA είναι δεκάδες δευτερόλεπτα. Επομένως, τα δημόσια κλειδιά RSA προτιμώνται από τους προγραμματιστές λογισμικού και τα ιδιωτικά κλειδιά DES προτιμώνται από τους προγραμματιστές υλικού.

Κατά την ανταλλαγή ηλεκτρονικής τεκμηρίωσης, μπορεί να προκύψει μια κατάσταση όπου ένα από τα μέρη αρνείται τις υποχρεώσεις του (άρνηση συγγραφής), καθώς και παραποίηση μηνυμάτων που λαμβάνονται από τον αποστολέα (απόδοση πατρότητας). Ο κύριος μηχανισμός για την επίλυση αυτού του προβλήματος είναι η δημιουργία ενός αναλόγου μιας χειρόγραφης υπογραφής - μιας ηλεκτρονικής ψηφιακής υπογραφής (DS). Υπάρχουν δύο βασικές απαιτήσεις για τη CPU: υψηλή πολυπλοκότητα παραποίησης και ευκολία επαλήθευσης.

Τόσο τα συμμετρικά όσο και τα ασύμμετρα συστήματα κρυπτογράφησης μπορούν να χρησιμοποιηθούν για τη δημιουργία CPU. Στην πρώτη περίπτωση, το ίδιο το μήνυμα, κρυπτογραφημένο με μυστικό κλειδί, μπορεί να χρησιμεύσει ως υπογραφή. Αλλά μετά από κάθε έλεγχο, το μυστικό κλειδί γίνεται γνωστό. Για να βγούμε από αυτήν την κατάσταση, είναι απαραίτητο να εισαγάγετε ένα τρίτο μέρος - έναν μεσάζοντα, τον οποίο εμπιστεύονται οποιαδήποτε μέρη, ο οποίος κρυπτογραφεί εκ νέου τα μηνύματα από το κλειδί ενός από τους συνδρομητές στο κλειδί ενός άλλου.

Τα ασύμμετρα συστήματα κρυπτογράφησης έχουν όλες τις ιδιότητες που απαιτούνται από μια CPU. Υπάρχουν δύο πιθανές προσεγγίσεις για την κατασκευή μιας CPU.

• 1. Μετατροπή του μηνύματος σε μια φόρμα από την οποία μπορείτε να ανακατασκευάσετε το ίδιο το μήνυμα και, ως εκ τούτου, να επαληθεύσετε την ορθότητα της ίδιας της υπογραφής.
• 2. Η υπογραφή υπολογίζεται και μεταδίδεται μαζί με το αρχικό μήνυμα.

Έτσι, για διαφορετικούς κρυπτογράφησης, το έργο της αποκρυπτογράφησης - η αποκρυπτογράφηση ενός μηνύματος εάν το κλειδί είναι άγνωστο - έχει διαφορετική πολυπλοκότητα. Το επίπεδο πολυπλοκότητας αυτής της εργασίας καθορίζει την κύρια ιδιότητα του κρυπτογράφησης - την ικανότητα αντίστασης στις προσπάθειες του εχθρού να συλλάβει τις προστατευμένες πληροφορίες. Από αυτή την άποψη, μιλούν για την κρυπτογραφική ισχύ ενός κρυπτογράφησης, κάνοντας διάκριση μεταξύ πιο ισχυρών και λιγότερο ισχυρών κρυπτογράφησης. Τα χαρακτηριστικά των πιο δημοφιλών μεθόδων κρυπτογράφησης δίνονται στον Πίνακα. 10.1.

Πίνακας 10.1.Χαρακτηριστικά των πιο κοινών μεθόδων κρυπτογράφησης

Κατά την εξέταση ζητημάτων που σχετίζονται με τη λήψη πληροφοριών που αποθηκεύονται και υποβάλλονται σε επεξεργασία σε συστήματα υπολογιστών, οι κύριες μέθοδοι μη εξουσιοδοτημένης πρόσβασης θεωρήθηκαν οι ακόλουθες:

Υπέρβαση των μέτρων ασφαλείας λογισμικού.

Μη εξουσιοδοτημένη αντιγραφή πληροφοριών.

Υποκλοπή πληροφοριών σε κανάλια επικοινωνίας.

Χρήση σελιδοδεικτών λογισμικού.

Χρήση σελιδοδεικτών υλικού.

Αναχαίτιση ψευδούς ηλεκτρομαγνητικής ακτινοβολίας και παρεμβολής (PEMIN).

Όταν εξετάζουμε μεθόδους προστασίας, δεν θα τις χωρίσουμε στις παραπάνω μεθόδους, καθώς σε πολλές περιπτώσεις οι ίδιες μέθοδοι αποδεικνύονται αποτελεσματικό μέσο πρόληψης διάφορα είδημη εξουσιοδοτημένη πρόσβαση.

Οι κύριες μέθοδοι προστασίας είναι οι εξής:

Έλεγχος ταυτότητας χρηστών στο στάδιο της καταχώρισης των διαπιστευτηρίων τους.

Φυσική προστασία συστημάτων υπολογιστών;

Αναγνώριση σελιδοδεικτών λογισμικού και υλικού.

Κωδικοποίηση πληροφοριών.

Αυτές (και άλλες) μέθοδοι σε διάφορους συνδυασμούς εφαρμόζονται σε συστήματα προστασίας λογισμικού και υλικού-λογισμικού πληροφορίες υπολογιστήαπό μη εξουσιοδοτημένη πρόσβαση. Μερικά από αυτά τα συστήματα θα περιγραφούν παρακάτω.

Φυσικά, για την προστασία των πληροφοριών υπολογιστή, πρέπει να εφαρμοστεί όλο το φάσμα των οργανωτικών και τεχνικών μέτρων, συμπεριλαμβανομένης της φυσικής ασφάλειας της επικράτειας, της εισαγωγής ελέγχου πρόσβασης, της εφαρμογής γραμμικού και χωρικού θορύβου, αναγνώρισης ενσωματωμένων συσκευών κ.λπ. τυπικό για οποιοδήποτε σύστημα πληροφοριών, επομένως εδώ δεν θα ληφθούν υπόψη ξεχωριστά.

Έλεγχος ταυτότητας χρηστών στο στάδιο της καταχώρησης των διαπιστευτηρίων τους. Ο περιορισμός της πρόσβασης των χρηστών στους υπολογιστικούς πόρους περιλαμβάνει τη χρήση εννοιών όπως η αναγνώριση και η πιστοποίηση ταυτότητας.

Ταυτοποίηση είναι η εκχώρηση μεμονωμένης εικόνας, ονόματος ή αριθμού σε ένα θέμα (πρόσωπο) ή αντικείμενο (υπολογιστή, δίσκο κ.λπ.) με το οποίο θα αναγνωριστεί στο σύστημα.

Authentication - έλεγχος της αυθεντικότητας ενός αντικειμένου ή ενός θέματος με βάση τα χαρακτηριστικά ταυτοποίησής του.

Ο έλεγχος ταυτότητας μπορεί να πραγματοποιηθεί από ένα άτομο, μια συσκευή υλικού ή ένα πρόγραμμα υπολογιστικό σύστημα. ΣΕ αυτοματοποιημένες συσκευέςΤα αναγνωριστικά ελέγχου ταυτότητας χρησιμοποιούνται συνήθως:

μεμονωμένα φυσιολογικά σημεία: δακτυλικό αποτύπωμα (Εικ. 185), περίγραμμα της παλάμης (Εικ. 189), εικόνα αμφιβληστροειδούς κ.λπ.

Ρύζι. 185. Εμφάνισησυσκευές ελέγχου ταυτότητας δακτυλικών αποτυπωμάτων

Ρύζι. 186. Εξωτερική όψη της συσκευής ελέγχου ταυτότητας κωδικού πρόσβασης παλάμης.

ειδικές συσκευές αναγνώρισης (Toys Metogu), κατασκευασμένες με τη μορφή μπρελόκ - «ταμπλέτες», πλαστικές μαγνητικές κάρτες κ.λπ., που αναγνωρίζονται με χρήση ειδικών συσκευών ανάγνωσης πληροφοριών (βλ. Εικ. 187).

Ρύζι. 187. Εγκατεστημένος αναγνώστης σε υπολογιστή

Κάθε ένα από αυτά τα χαρακτηριστικά έχει τα δικά του πλεονεκτήματα και μειονεκτήματα. Για παράδειγμα, οι κωδικοί πρόσβασης είναι συχνά ασήμαντοι και εύκολοι να μαντευτούν, και οι χρήστες συνήθως τους γράφουν σε σημειωματάρια. Τα μεμονωμένα φυσιολογικά σημάδια ενός ατόμου μπορεί να αλλάξουν (για παράδειγμα, ένα κόψιμο σε ένα δάχτυλο). Η συσκευή αναγνώρισης μπορεί να χαθεί ή να κλαπεί από τον χρήστη. Επομένως, αυτή τη στιγμή στα συστήματα ελέγχου ταυτότητας προσπαθούν να ενσωματώσουν διαφορετικούς τύπουςχαρακτηριστικά αναγνώρισης: κωδικός - αποτύπωμα, κωδικός - μαγνητική κάρτα κ.λπ.

Ως αποτέλεσμα του ελέγχου ταυτότητας, καθορίζεται η εξουσιοδότηση του χρήστη για πρόσβαση στους πόρους του συστήματος υπολογιστή (αρχεία, βάσεις δεδομένων, τμήματα μνήμης) και για τους τύπους λειτουργιών που εκτελούνται (ανάγνωση, εγγραφή, εκτέλεση κ.λπ.).

Ο έλεγχος ταυτότητας είναι μια θεμελιωδώς απαραίτητη διαδικασία που είναι εγγενής σε όλα τα συστήματα ασφάλειας πληροφοριών, ο ρόλος του αυξάνεται ιδιαίτερα με την απομακρυσμένη πρόσβαση στο δίκτυο.

Η φυσική προστασία συστημάτων υπολογιστών περιλαμβάνει τη χρήση συσκευών που θα εμπόδιζαν την πρόσβαση σε πληροφορίες χωρίς να παραβιάζουν τη φυσική ακεραιότητα του προσωπικού υπολογιστή.

Σε ορισμένες περιπτώσεις, είναι θεμελιώδες να χρησιμοποιούνται μέτρα που αποκλείουν τη μυστική (συμπεριλαμβανομένης της τακτικής) πρόσβασης σε έναν υπολογιστή με σκοπό την αντιγραφή ή την τροποποίηση πληροφοριών. Τα μέσα φυσικής προστασίας είναι ιδανικά για την επίλυση αυτού του προβλήματος.

1. Σφράγιση της μονάδας συστήματος και άλλων στοιχείων του μηχανογραφικού συστήματος με ειδικές σφραγίδες ή τη σφραγίδα του προϊσταμένου της υπηρεσίας ασφαλείας.

Η σφράγιση της μονάδας συστήματος σάς επιτρέπει να αποτρέψετε την ανεξέλεγκτη μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες στον σκληρό δίσκο (παρακάμπτοντας εγκατεστημένο σύστημαπροστασία) αφαιρώντας το δίσκο και συνδέοντάς τον σε άλλον υπολογιστή. Επιπλέον, αυτή η διαδικασία σάς επιτρέπει να εξαλείψετε τον κίνδυνο εμφάνισης σελιδοδεικτών υλικού στον υπολογιστή σας, φυσικά, εάν φροντίσατε να ελέγξετε για την απουσία τους πριν σφραγίσετε τον υπολογιστή σας. Μετά τον έλεγχο, μην τεμπελιάσετε να σφραγίσετε όλα τα άλλα εξαρτήματα, συμπεριλαμβανομένων των καλωδίων patch, αφού σύγχρονες τεχνολογίεςσας επιτρέπουν επίσης να ορίσετε σελιδοδείκτες σε αυτά.

2. Τοποθέτηση ειδικών ενθεμάτων στην «τσέπη» του εύκαμπτου δίσκου, εξοπλισμένα με κλειδαριά με κλειδί.

Αυτό το μέτρο μπορεί να χρησιμοποιηθεί ως μέσο προστασίας από μυστική αντιγραφή πληροφοριών, έναντι μόλυνσης υπολογιστή από ιούς και σελιδοδείκτες λογισμικού.

3. Η χρήση ειδικών κλειδαριών που μπλοκάρουν το πληκτρολόγιο του υπολογιστή. Αυτό αποτελεσματική θεραπείαπροστασία πληροφοριών από πιθανή σκόπιμη τροποποίηση, καθώς και από μόλυνση από ιούς υπολογιστών και εγκατάσταση σελιδοδεικτών λογισμικού.

4. Οργάνωση αποθήκευσης μαγνητικών και οπτικά μέσαπληροφορίες σε χρηματοκιβώτια ή σε ειδικές δισκέτες που κλειδώνουν. Σας επιτρέπει να αποκλείσετε τη μυστική αντιγραφή πληροφοριών από αυτά τα μέσα, την τροποποίησή τους, τη μόλυνση από ιούς υπολογιστών και την εισαγωγή σελιδοδεικτών λογισμικού.

Αναγνώριση σελιδοδεικτών λογισμικού και υλικού. Η εξάλειψη των σελιδοδεικτών λογισμικού σε έναν προσωπικό υπολογιστή είναι μια εργασία κοντά στην ουσία με την καταπολέμηση ιών υπολογιστών. Γεγονός είναι ότι επί του παρόντος δεν υπάρχει σαφής ταξινόμηση προγραμμάτων με δυνητικά επικίνδυνες επιπτώσεις. Έτσι, για παράδειγμα, προγράμματα όπως " δούρειος ίππος», λογικές βόμβες, ιοί και κάποια άλλα.

Με τον όρο «δούρειος ίππος» εννοούμε προγράμματα που έχουν σχεδιαστεί για την επίλυση ορισμένων μυστικών προβλημάτων, αλλά μεταμφιεσμένα ως «ευγενή» προϊόντα λογισμικού. Κλασικό παράδειγμα «Trojans» είναι προγράμματα που προσδιορίζονται σε ορισμένα προγράμματα για την υποστήριξη οικονομικών συναλλαγών τοπικών τραπεζικών δικτύων. Αυτά τα προγράμματα εκτελούσαν τη λειτουργία πίστωσης ποσών ίσων με «μισή δεκάρα» στον λογαριασμό των κατόχων τους. Τέτοια ποσά που προκύπτουν από συναλλαγές τραπεζικών εμβασμάτων πρέπει να στρογγυλοποιούνται, οπότε η εξαφάνισή τους πέρασε απαρατήρητη. Η κλοπή ανακαλύφθηκε μόνο λόγω της ραγδαίας ανάπτυξης προσωπικούς λογαριασμούςυπαλλήλους που είναι υπεύθυνοι για λογισμικό. Η άνευ προηγουμένου ανάπτυξη οφειλόταν στον τεράστιο αριθμό πράξεων μετατροπής. Τα προγράμματα δούρειου ίππου περιλαμβάνουν επίσης τους σελιδοδείκτες λογισμικού που συζητήθηκαν παραπάνω.

Κατά κανόνα, οι λογικές βόμβες είναι προγράμματα που πραγματοποιούν τις καταστροφικές τους ενέργειες όταν πληρούνται ορισμένες προϋποθέσεις, για παράδειγμα, εάν η δέκατη τρίτη ημέρα του μήνα πέσει Παρασκευή, 26 Απριλίου κ.λπ.

Οι ιοί, όπως σημειώθηκε παραπάνω, είναι προγράμματα ικανά να «αναπαράγουν» και να εκτελούν αρνητικές ενέργειες.

Η συμβατικότητα μιας τέτοιας ταξινόμησης μπορεί να ειπωθεί με βάση ότι το παράδειγμα με ένα πρόγραμμα σελιδοδεικτών σε χρηματοπιστωτικό σύστημαΗ τράπεζα μπορεί επίσης να χαρακτηριστεί ως λογική βόμβα, καθώς το γεγονός πίστωσης "μισής δεκάρας" σε προσωπικό λογαριασμό συνέβη ως αποτέλεσμα της εκπλήρωσης μιας προϋπόθεσης - κλασματικό υπόλοιπο ως αποτέλεσμα μιας πράξης σε χρηματικό ποσό. Η λογική βόμβα «Παρασκευή και δέκατη τρίτη» δεν είναι παρά ένας ιός, αφού έχει τη δυνατότητα να μολύνει άλλα προγράμματα. Και γενικά, τα προγράμματα σελιδοδεικτών μπορούν να ενσωματωθούν σε έναν υπολογιστή όχι μόνο ως αποτέλεσμα της άμεσης συμπερίληψής τους στο κείμενο συγκεκριμένων προϊόντων λογισμικού, αλλά επίσης, όπως ένας ιός, υποδεικνύοντας μια συγκεκριμένη διεύθυνση για μελλοντική τοποθέτηση και σημεία εισόδου.

Από τα παραπάνω συνάγεται ότι για να προστατεύσετε τον υπολογιστή σας από σελιδοδείκτες λογισμικού, πρέπει να συμμορφώνεστε με όλες τις απαιτήσεις που ορίζονται όταν εξετάζετε θέματα καταπολέμησης ιών υπολογιστών. Επιπλέον, είναι απαραίτητο να αποκλείσετε την ανεξέλεγκτη πρόσβαση στις υπολογιστικές σας εγκαταστάσεις μη εξουσιοδοτημένα άτομα, η οποία μπορεί να διασφαλιστεί, μεταξύ άλλων μέσω της χρήσης των μέσων φυσικής προστασίας που έχουν ήδη συζητηθεί.

Όσον αφορά τα θέματα καταπολέμησης σελιδοδεικτών λογισμικού - υποκλοπών κωδικών πρόσβασης, θα πρέπει να σημειωθούν τα ακόλουθα μέτρα.

1. Απαιτήσεις για προστασία από προσομοιωτές συστημάτων εγγραφής:

Διαδικασία συστήματος, που λαμβάνει από τον χρήστη το όνομα και τον κωδικό πρόσβασής του κατά την εγγραφή του, πρέπει να έχει δικό του επιτραπέζιο υπολογιστή, απρόσιτο σε άλλους προϊόντα λογισμικού;

Η εισαγωγή χαρακτηριστικών αναγνώρισης χρήστη (για παράδειγμα, κωδικός πρόσβασης) πρέπει να γίνεται χρησιμοποιώντας συνδυασμούς πλήκτρων που δεν είναι διαθέσιμοι σε άλλα προγράμματα εφαρμογής.

Ο χρόνος για τον έλεγχο ταυτότητας θα πρέπει να είναι περιορισμένος (περίπου 30 δευτερόλεπτα), γεγονός που θα επιτρέψει την αναγνώριση προγραμμάτων προσομοιωτών από το γεγονός ότι το παράθυρο εγγραφής παραμένει στην οθόνη της οθόνης για μεγάλο χρονικό διάστημα.

2. Συνθήκες που παρέχουν προστασία από προγράμματα υποκλοπής κωδικών πρόσβασης τύπου φίλτρου:

Αποτρέψτε την αλλαγή διατάξεων πληκτρολογίου κατά την εισαγωγή κωδικού πρόσβασης.

Παρέχετε πρόσβαση στις επιλογές διαμόρφωσης για αλυσίδες λειτουργικών μονάδων προγράμματος και στις ίδιες τις μονάδες που εμπλέκονται στην εργασία με τον κωδικό πρόσβασης χρήστη μόνο στον διαχειριστή του συστήματος.

3. Η προστασία από τη διείσδυση υποκατάστατων των λειτουργικών μονάδων λογισμικού του συστήματος ελέγχου ταυτότητας δεν προβλέπει συγκεκριμένες συστάσεις, αλλά μπορεί να εφαρμοστεί μόνο με βάση μια μόνιμη, καλά μελετημένη πολιτική του επικεφαλής της υπηρεσίας ασφαλείας και διαχειριστής συστήματος; Κάποια παρηγοριά εδώ μπορεί να είναι η χαμηλή πιθανότητα οι ανταγωνιστές σας να χρησιμοποιήσουν υποκατάστατα προγράμματα λόγω της πολυπλοκότητας της πρακτικής εφαρμογής τους.

Το λειτουργικό σύστημα πληροί πλήρως όλες τις δηλωμένες απαιτήσεις για προστασία από σελιδοδείκτες λογισμικού - υποκλοπές κωδικών πρόσβασης. Σύστημα Windows NT και εν μέρει UNIX.

Μόνο οι οργανισμοί που έχουν άδεια από την Ομοσπονδιακή Υπηρεσία Κυβερνητικών Επικοινωνιών και Πληροφοριών για αυτόν τον τύπο δραστηριότητας μπορούν να αναγνωρίσουν επαγγελματικά τους σελιδοδείκτες υλικού. Οι οργανισμοί αυτοί διαθέτουν κατάλληλο εξοπλισμό, τεχνικές και εκπαιδευμένο προσωπικό. Είναι δυνατό να αποκαλύψει το πρωτόγονο υλικό στη γυναίκα χρησιμοποιώντας μια μέθοδο χειροτεχνίας. Εάν αντιμετωπίζετε ορισμένες οικονομικές δυσκολίες και δεν έχετε την οικονομική δυνατότητα να συνάψετε μια κατάλληλη συμφωνία, τότε τουλάχιστον λάβετε μέτρα για να προστατεύσετε φυσικά τον υπολογιστή σας.

Οι πληροφορίες κωδικοποίησης παρέχουν τα περισσότερα υψηλό επίπεδοπροστασία από μη εξουσιοδοτημένη πρόσβαση. Ο απλούστερος τύπος κωδικοποίησης μπορεί να θεωρηθεί ως η συνήθης συμπίεση δεδομένων με χρήση προγραμμάτων αρχειοθέτησης, αλλά επειδή μπορεί να προστατεύσει μόνο από μη εξουσιοδοτημένο χρήστη, η αρχειοθέτηση δεν θα πρέπει να θεωρείται ως ανεξάρτητη μέθοδος προστασίας. Ωστόσο, μια τέτοια κωδικοποίηση καθιστά δυνατή την αύξηση της κρυπτογραφικής ισχύος άλλων μεθόδων όταν χρησιμοποιούνται μαζί.

Χωρίς να αγγίξουμε τις κύριες μεθόδους κωδικοποίησης, θα εξετάσουμε μόνο παραδείγματα συστημάτων ασφάλειας πληροφοριών υλικού και λογισμικού στα οποία η κωδικοποίηση είναι ένα από τα ίδια στοιχεία μαζί με άλλες μεθόδους ασφαλείας.

Σύμπλεγμα υλικού και λογισμικού "Accord". Περιλαμβάνει έναν ελεγκτή μίας πλακέτας που συνδέεται σε μια διαθέσιμη υποδοχή υπολογιστή, μια συσκευή ελέγχου ταυτότητας επαφών, λογισμικό και προσωπικά αναγνωριστικά μνήμης αφής DS199x σε μορφή tablet. Συσκευή επαφής(εξαγωγέας πληροφοριών) εγκαθίσταται στον μπροστινό πίνακα του υπολογιστή και ο έλεγχος ταυτότητας πραγματοποιείται αγγίζοντας το "χάπι" (αναγνωριστικό) στον εξαγωγέα. Η διαδικασία ελέγχου ταυτότητας πραγματοποιείται πριν από την εκκίνηση του λειτουργικού συστήματος. συν-

Η αποθήκευση δεδομένων παρέχεται ως πρόσθετη λειτουργίακαι πραγματοποιείται με χρήση πρόσθετου λογισμικού.

Σύμπλεγμα λογισμικού και υλικού «Dallas LockZ.1». Παρέχει άφθονες ευκαιρίεςσχετικά με την προστασία πληροφοριών, συμπεριλαμβανομένων: διασφαλίζει την εγγραφή του χρήστη πριν από τη φόρτωση του λειτουργικού συστήματος και μόνο με την παρουσίαση προσωπικών ηλεκτρονική κάρταΑγγίξτε Μνήμη και εισαγωγή κωδικού πρόσβασης. εφαρμόζει αυτόματο και αναγκαστικό μπλοκάρισμα του υπολογιστή με σβήσιμο της οθόνης κατά την απουσία του εγγεγραμμένου χρήστη. πραγματοποιεί εγγυημένη διαγραφή αρχείων κατά τη διαγραφή τους. εκτελεί Κωδικοποίηση ανθεκτική στο θόρυβοαρχεία.

Σύστημα λογισμικούπροστασία πληροφοριών "Cobra". Ελέγχει την ταυτότητα των χρηστών χρησιμοποιώντας έναν κωδικό πρόσβασης και διαφοροποιεί τις δυνάμεις τους. Σας επιτρέπει να εργάζεστε σε λειτουργία διαφανούς κρυπτογράφησης. Παρέχει υψηλό βαθμό προστασίας πληροφοριών σε προσωπικούς υπολογιστές.

Σύστημα προστασίας λογισμικού "Snow-1.0". Σχεδιασμένο για να ελέγχει και να περιορίζει την πρόσβαση σε πληροφορίες που είναι αποθηκευμένες σε έναν προσωπικό υπολογιστή, καθώς και να προστατεύει πληροφοριακούς πόρους σταθμός εργασίαςτοπικό δίκτυο. Το "Snow-1.0" περιλαμβάνει ένα πιστοποιημένο σύστημα κωδικοποίησης πληροφοριών "Rime", κατασκευασμένο με χρήση τυπικός αλγόριθμοςμετασχηματισμός κρυπτογραφικών δεδομένων GOST 28147-89.

Ένα παράδειγμα συστήματος που κωδικοποιεί μόνο πληροφορίες είναι η συσκευή Krypton-ZM.

Σας υπενθυμίζουμε ότι αυτή η υποενότητα εξέτασε μεθόδους προστασίας που είναι μοναδικές στα δίκτυα υπολογιστών. Ωστόσο, πλήρης προστασία πληροφοριών σε υπολογιστικές εγκαταστάσειςείναι αδύνατη χωρίς την ολοκληρωμένη εφαρμογή όλων των παραπάνω οργανωτικών και τεχνικών μέτρων.

Εάν το έργο της εταιρείας σας σχετίζεται με την εκτέλεση κυβερνητικών εντολών, τότε πιθανότατα δεν μπορείτε να κάνετε χωρίς να λάβετε άδεια εργασίας με κρατικά μυστικά και επομένως να ελέγξετε τον εξοπλισμό για την παρουσία πιθανών ενσωματωμένων "σελιδοδεικτών" και για την παρουσία και κίνδυνος τεχνικά κανάλιαδιαρροές πληροφοριών. Ωστόσο, εάν δεν υπάρχει τέτοια ανάγκη, τότε σε ορισμένες περιπτώσεις μπορείτε να το κάνετε μόνοι σας, καθώς το κόστος μιας τέτοιας εργασίας εξακολουθεί να είναι αρκετά υψηλό.

Μη εξουσιοδοτημένη πρόσβαση –ανάγνωση, ενημέρωση ή καταστροφή πληροφοριών χωρίς την αρμόδια αρχή να το κάνει.

Η μη εξουσιοδοτημένη πρόσβαση πραγματοποιείται, κατά κανόνα, χρησιμοποιώντας το όνομα κάποιου άλλου, αλλάζοντας φυσικές διευθύνσειςσυσκευές, χρήση πληροφοριών που απομένουν μετά την επίλυση προβλημάτων, τροποποίηση λογισμικού και πληροφοριών, κλοπή μέσων αποθήκευσης, εγκατάσταση εξοπλισμού εγγραφής.

Για την επιτυχή προστασία των πληροφοριών σας, ο χρήστης πρέπει να έχει απολύτως σαφή κατανόηση του δυνατού τρόπους μη εξουσιοδοτημένης πρόσβασης. Παραθέτουμε τους κύριους τυπικούς τρόπους απόκτησης πληροφοριών χωρίς άδεια:

· κλοπή μέσων αποθήκευσης και απορρίμματα παραγωγής.

· Αντιγραφή μέσων αποθήκευσης υπερβαίνοντας τα μέτρα ασφαλείας.

· Μεταμφίεση ως εγγεγραμμένος χρήστης.

· φάρσα (μεταμφίεση ως αιτήματα συστήματος).

· αξιοποίηση των ελλείψεων των λειτουργικών συστημάτων και των γλωσσών προγραμματισμού.

· χρήση σελιδοδεικτών λογισμικού και μπλοκ λογισμικού τύπου «Δούρειος ίππος».

· Υποκλοπή ηλεκτρονικής ακτινοβολίας.

· αναχαίτιση ακουστικής ακτινοβολίας.

· φωτογράφιση από απόσταση.

· χρήση συσκευών ακρόασης.

· κακόβουλη απενεργοποίηση μηχανισμών προστασίας κ.λπ.

Για την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, χρησιμοποιούνται τα ακόλουθα:

1) οργανωτικές εκδηλώσεις.

2) τεχνικά μέσα;

3) λογισμικό?

4) κρυπτογράφηση.

Οργανωτικές εκδηλώσειςσυμπεριλαμβάνω:

· Λειτουργία πρόσβασης.

· αποθήκευση πολυμέσων και συσκευών σε χρηματοκιβώτιο (δισκέτες, οθόνη, πληκτρολόγιο κ.λπ.).

· περιορισμός της πρόσβασης προσώπων στις αίθουσες ηλεκτρονικών υπολογιστών κ.λπ.

Τεχνικά μέσασυμπεριλαμβάνω:

· φίλτρα, οθόνες για εξοπλισμό.

· Κλειδί για το κλείδωμα του πληκτρολογίου.

· Συσκευές ελέγχου ταυτότητας – για ανάγνωση δακτυλικών αποτυπωμάτων, σχήμα χεριού, ίριδα, ταχύτητα και τεχνικές πληκτρολόγησης κ.λπ.

· ηλεκτρονικά κλειδιάσε μικροκυκλώματα κ.λπ.

Εργαλεία λογισμικού συμπεριλαμβάνω:

· πρόσβαση με κωδικό πρόσβασης– ρύθμιση αδειών χρήστη.

· Κλείδωμα της οθόνης και του πληκτρολογίου χρησιμοποιώντας έναν συνδυασμό πλήκτρων στο βοηθητικό πρόγραμμα Diskreet από το πακέτο Norton Utilites.

· χρήση κεφαλαίων προστασία με κωδικό πρόσβασης BIOS – για το ίδιο το BIOS και για τον υπολογιστή συνολικά, κ.λπ.

Κρυπτογράφηση– αυτή είναι μια μετατροπή (κωδικοποίηση) ανοιχτές πληροφορίεςκρυπτογραφημένο, απρόσιτο σε ξένους. Η κρυπτογράφηση χρησιμοποιείται κυρίως για τη μετάδοση ευαίσθητων πληροφοριών μέσω μη ασφαλών καναλιών επικοινωνίας. Μπορείτε να κρυπτογραφήσετε οποιαδήποτε πληροφορία - κείμενα, εικόνες, ήχο, βάσεις δεδομένων κ.λπ. Η ανθρωπότητα χρησιμοποιεί κρυπτογράφηση από τη στιγμή που υπήρχαν μυστικές πληροφορίες που έπρεπε να κρυφτούν από τους εχθρούς. Το πρώτο κρυπτογραφημένο μήνυμα που είναι γνωστό στην επιστήμη είναι ένα αιγυπτιακό κείμενο, στο οποίο χρησιμοποιήθηκαν άλλοι χαρακτήρες αντί για τα τότε αποδεκτά ιερογλυφικά. Η επιστήμη μελετά μεθόδους κρυπτογράφησης και αποκρυπτογράφησης μηνυμάτων. κρυπτολογία , του οποίου η ιστορία ξεκινά περίπου τέσσερις χιλιάδες χρόνια. Αποτελείται από δύο κλάδους: την κρυπτογραφία και την κρυπτανάλυση.

Κρυπτογράφησηείναι η επιστήμη των τρόπων κρυπτογράφησης πληροφοριών. Κρυπτανάλυση είναι η επιστήμη των μεθόδων και τεχνικών για το σπάσιμο κρυπτογράφησης.

Συνήθως θεωρείται ότι ο ίδιος ο αλγόριθμος κρυπτογράφησης είναι γνωστός σε όλους, αλλά το κλειδί του είναι άγνωστο, χωρίς το οποίο το μήνυμα δεν μπορεί να αποκρυπτογραφηθεί. Αυτή είναι η διαφορά μεταξύ της κρυπτογράφησης και της απλής κωδικοποίησης, στην οποία για να επαναφέρετε ένα μήνυμα αρκεί να γνωρίζετε μόνο τον αλγόριθμο κωδικοποίησης.

Κλειδί- αυτή είναι μια παράμετρος του αλγορίθμου κρυπτογράφησης (κρυπτογράφηση), η οποία σας επιτρέπει να επιλέξετε έναν συγκεκριμένο μετασχηματισμό από όλες τις επιλογές που παρέχονται από τον αλγόριθμο. Η γνώση του κλειδιού σάς επιτρέπει να κρυπτογραφείτε και να αποκρυπτογραφείτε ελεύθερα μηνύματα.

Όλοι οι κρυπτογράφοι (συστήματα κρυπτογράφησης) χωρίζονται σε δύο ομάδες - συμμετρικούς και ασύμμετρους (με δημόσιο κλειδί). Συμμετρική κρυπτογράφησησημαίνει ότι το ίδιο κλειδί χρησιμοποιείται τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση μηνυμάτων. Σε συστήματα με δημόσιο κλειδίχρησιμοποιούνται δύο κλειδιά - δημόσιο και ιδιωτικό, τα οποία σχετίζονται μεταξύ τους χρησιμοποιώντας ορισμένες μαθηματικές εξαρτήσεις. Οι πληροφορίες κρυπτογραφούνται χρησιμοποιώντας ένα δημόσιο κλειδί, το οποίο είναι διαθέσιμο σε όλους, και αποκρυπτογραφούνται χρησιμοποιώντας ένα ιδιωτικό κλειδί, το οποίο είναι γνωστό μόνο στον παραλήπτη του μηνύματος.

Δύναμη κρυπτογράφησηςείναι η αντίσταση ενός κρυπτογράφησης στην αποκρυπτογράφηση χωρίς να γνωρίζει το κλειδί. Ένας αλγόριθμος θεωρείται ανθεκτικός εάν, για επιτυχή αποκάλυψη, απαιτεί από τον εχθρό μη εφικτούς υπολογιστικούς πόρους, έναν ανέφικτο όγκο υποκλοπών μηνυμάτων ή χρόνο που μετά τη λήξη του οι προστατευμένες πληροφορίες δεν θα είναι πλέον σχετικές.

Ένας από τους πιο διάσημους και παλαιότερους κρυπτογράφους είναι κρυπτογράφηση του Καίσαρα. Σε αυτόν τον κρυπτογράφηση, κάθε γράμμα αντικαθίσταται από ένα άλλο, που βρίσκεται στο αλφάβητο έναν δεδομένο αριθμό θέσεων k στα δεξιά του. Το αλφάβητο είναι κλειστό σε ένα δαχτυλίδι, έτσι ώστε οι τελευταίοι χαρακτήρες να αντικαθίστανται από τον πρώτο. Η κρυπτογράφηση του Καίσαρα αναφέρεται σε απλοί κρυπτογράφοι αντικατάστασης, καθώς κάθε χαρακτήρας του αρχικού μηνύματος αντικαθίσταται από έναν άλλο χαρακτήρα από το ίδιο αλφάβητο. Τέτοιοι κρυπτογράφοι λύνονται εύκολα χρησιμοποιώντας ανάλυση συχνότητας, επειδή σε κάθε γλώσσα η συχνότητα εμφάνισης των γραμμάτων είναι περίπου σταθερή για οποιοδήποτε κείμενο αρκετά μεγάλο.

Πολύ πιο δύσκολο να σπάσει κρυπτογράφηση Vigenere, που έγινε μια φυσική εξέλιξη του κρυπτογράφησης του Καίσαρα. Για να χρησιμοποιήσετε τον κρυπτογράφηση Vigenère, χρησιμοποιείται μια λέξη-κλειδί που καθορίζει μια τιμή μεταβλητής μετατόπισης. Ο κρυπτογράφησης Vigenère έχει σημαντικά υψηλότερη κρυπτογραφική ισχύ από τον κρυπτογράφηση του Caesar. Αυτό σημαίνει ότι είναι πιο δύσκολο να το ανοίξετε - να βρείτε τη σωστή λέξη-κλειδί. Θεωρητικά, εάν το μήκος του κλειδιού είναι ίσο με το μήκος του μηνύματος και κάθε κλειδί χρησιμοποιείται μόνο μία φορά, ο κρυπτογράφηση Vigenère δεν μπορεί να σπάσει.

Μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες (UAI)- πρόκειται για πρόσβαση σε δεδομένα που παραβιάζει τους κανόνες ελέγχου πρόσβασης με την εφαρμογή ορισμένων μέσων που είναι η τεχνολογία υπολογιστών ή αυτοματοποιημένα συστήματα. Σύμφωνα με τους ειδικούς, οι μέθοδοι μη εξουσιοδοτημένης πρόσβασης είναι:

• Τάση για συνεργασία
• Πρωτοβουλιακή συνεργασία
• Ανιχνεύοντας, διερευνώντας
• Υποκλοπή
• Κλοπή
• Παρατήρηση
• Ψεύτικο (αλλαγή)
• Αντίγραφο
• Καταστροφή
• Διακοπή
• Παράνομη σύνδεση
• Φωτογράφηση
• Κρυφή γνωριμία

Πρωτοβουλιακή συνεργασίασυχνά εκδηλώνεται σε ορισμένες καταστάσεις, όταν δυσαρεστημένα άτομα είναι έτοιμα να διαπράξουν παράνομες ενέργειες για χάρη του κέρδους. Οι λόγοι μπορεί να είναι πολύ διαφορετικοί, συμπεριλαμβανομένων οικονομικών, ηθικών, πολιτικών κ.λπ. Ένα τέτοιο άτομο μπορεί εύκολα να πειστεί να συνεργαστεί για την παροχή εμπιστευτικών πληροφοριών της επιχείρησης, εάν, φυσικά, έχει πρόσβαση.

Τάση για συνεργασία- συνήθως πρόκειται για βίαιες μεθόδους εκ μέρους των επιτιθέμενων. Τέτοιες μέθοδοι βασίζονται στον εκφοβισμό, τη δωροδοκία ή τον εκβιασμό. Η παρότρυνση των εργαζομένων πραγματοποιείται μέσω πραγματικών απειλών και εκβιασμών. Αυτή είναι η πιο επιθετική μέθοδος που υπάρχει, αφού μια ειρηνική επίσκεψη μπορεί να μετατραπεί σε βίαιες ενέργειες με στόχο τον εκφοβισμό.

Ανιχνεύοντας, διερευνώντας- αυτός είναι ένας τύπος δραστηριότητας που βασίζεται στο να θέτει κανείς αφελείς ερωτήσεις σε έναν υπάλληλο για να λάβει ορισμένες πληροφορίες. Μπορείτε επίσης να εκβιάσετε δεδομένα μέσω ψευδούς απασχόλησης ή άλλων ενεργειών.

Υποκλοπήείναι μια μέθοδος βιομηχανικής κατασκοπείας ή αναγνώρισης που χρησιμοποιείται ιδιαίτερους ανθρώπους(παρατηρητές, πληροφοριοδότες) με ειδικά μέσακρυφακούοντας. Η υποκλοπή μπορεί να πραγματοποιηθεί απευθείας με την αντίληψη ακουστικών κυμάτων ή με ειδικά μέσα σε απόσταση.

Παρατήρηση- Αυτή είναι μια μέθοδος νοημοσύνης σχετικά με την κατάσταση της δραστηριότητας του παρατηρούμενου. Αυτή η μέθοδος πραγματοποιείται χρησιμοποιώντας οπτικά όργανα. Μια τέτοια διαδικασία απαιτεί πολύ χρόνο και χρήμα, επομένως αυτή η μέθοδος εφαρμόζεται συνήθως σκόπιμα, σε μια συγκεκριμένη χρονική στιγμή, με εξειδικευμένα άτομα.

Κλοπή— Πρόκειται για τη σκόπιμη αφαίρεση πόρων, εγγράφων άλλων ανθρώπων, κ.λπ. Σε γενικές γραμμές, κλέβουν ό,τι έχει κακή κατοχή, επομένως πρέπει να είστε προσεκτικοί με τους εμπιστευτικούς φορείς δεδομένων.

Αντίγραφο— Τα έγγραφα που περιέχουν πολύτιμες πληροφορίες συνήθως αντιγράφονται. Η πρόσβαση αποκτάται παράνομα, συχνά λόγω κακής ασφάλειας πληροφοριών.

Απομίμηση- πρόκειται για μια αλλαγή στα δεδομένα που, στην πραγματικότητα του ανταγωνισμού, είναι σε μεγάλη κλίμακα. Παραποιούν τα πάντα για να λάβουν πολύτιμα δεδομένα.

Καταστροφή— Διαγραφή δεδομένων σε μέσα τεχνικής αποθήκευσης. Πιο αφηρημένα, άνθρωποι, έγγραφα και άλλα στοιχεία του πληροφοριακού συστήματος που έχουν κάποιο νόημα καταστρέφονται.

Παράνομη σύνδεση— κατανοούν την ανεπαφική σύνδεση ή την επαφή με διαφορετικά καλώδιαγια διαφορετικούς σκοπούς.

Διακοπήείναι η απόκτηση πληροφοριών νοημοσύνης με λήψη σημάτων ηλεκτρομαγνητικής ενέργειας χρησιμοποιώντας μεθόδους παθητικής λήψης. Οποιαδήποτε σήματα σε ραδιοφωνικές ή ενσύρματες επικοινωνίες υπόκεινται σε υποκλοπή.

Κρυφή γνωριμίαείναι μια μέθοδος απόκτησης δεδομένων στα οποία το υποκείμενο δεν έχει πρόσβαση, αλλά υπό ορισμένες συνθήκες μπορεί να μάθει κάτι. Για παράδειγμα, κοιτάξτε σε μια οθόνη υπολογιστή ή ανοίξτε ένα έγγραφο που βρίσκεται στο τραπέζι.

Φωτογράφηση- μέθοδος λήψης εικόνων αντικειμένων σε φωτογραφικό υλικό. Ένα ιδιαίτερο χαρακτηριστικό της μεθόδου είναι ότι λαμβάνει λεπτομερή δεδομένα κατά την αποκρυπτογράφηση μιας εικόνας.

Σύμφωνα με τους ειδικούς, μια τέτοια λίστα δεν είναι διασταυρούμενη και ανεξάρτητη σε ένα ορισμένο επίπεδο αφαίρεσης. Σας επιτρέπει να εξετάσετε μαζί ένα συγκεκριμένο σύνολο δειγμάτων τέτοιων μεθόδων. Το σχήμα 1 δείχνει ένα γενικευμένο μοντέλο μεθόδων NSD σε πηγές εμπιστευτικών πληροφοριών.

Δεν είναι μυστικό ότι οι υπηρεσίες πληροφοριών παρακολουθούν στενά τις κατηγορίες τους, χρησιμοποιώντας διάφορα εργαλεία αντικατασκοπείας. Ταυτόχρονα, πρέπει να καταλάβετε με ποια μέθοδο απόκτησης πληροφοριών υπάρχει μη εξουσιοδοτημένη πρόσβαση. Τρόποςείναι μια τεχνική ή διαδικασία που οδηγεί στην υλοποίηση ενός στόχου. Μέθοδος μη εξουσιοδοτημένης πρόσβασης(μέθοδος NSD) είναι ένα σύνολο ενεργειών και τεχνικών με σκοπό την παράνομη απόκτηση δεδομένων με πρόσθετη επιρροή σε αυτές τις πληροφορίες.

Σήμερα, οι μέθοδοι πρόσβασης δεδομένων στα δεδομένα είναι διαφορετικές: η εφαρμογή ειδικών τεχνικών μέσων, η χρήση σφαλμάτων σε συστήματα ή άλλα, όπως φαίνεται στο Σχ. 1. Επιπλέον, οι μέθοδοι NSD σχετίζονται άμεσα με τα χαρακτηριστικά της πηγής των εμπιστευτικών δεδομένων.
Έχοντας ένα σετ πηγέςπληροφορίες και ένα σύνολο μεθόδων NSD για αυτούς, μπορείτε να υπολογίσετε την πιθανότητα και να δημιουργήσετε ένα μοντέλο της σύνδεσής τους. Πολλές μέθοδοι ισχύουν για πηγές - τεχνολογία επεξεργασίας και ανθρώπους. Αν και άλλες μέθοδοι δεν επηρεάζουν τέτοιες κοινές πηγές, ο κίνδυνος τους μπορεί να είναι ακόμη μεγαλύτερος.

Ο βαθμός επικινδυνότητας της μεθόδου NSD καθορίζεται από τη ζημιά που προκαλείται. Όσο κι αν η πληροφορία σήμερα έχει τη δική της τιμή, το ίδιο το γεγονός της απόκτησης πληροφοριών ισοδυναμεί με τη λήψη χρημάτων. Ο επιθετικός έχει τρία γκολ:

• λάβετε δεδομένα για τους ανταγωνιστές και πουλήστε.
• αλλαγή δεδομένων στο δίκτυο πληροφοριών. Παραπληροφόρηση.
• Καταστρέψτε δεδομένα.

Εικόνα - 1 (για προβολή, κάντε κλικ στην εικόνα)

Ο κύριος στόχος είναι η απόκτηση πληροφοριών σχετικά με την κατάσταση, τη σύνθεση και τις δραστηριότητες αντικειμένων εμπιστευτικών συμφερόντων για δικούς τους σκοπούς ή εμπλουτισμό. Ένας άλλος στόχος είναι η αλλαγή των πληροφοριών που υπάρχουν στο δίκτυο πληροφοριών. Αυτή η μέθοδος μπορεί να οδηγήσει σε παραπληροφόρηση σε ορισμένους τομείς δραστηριότητας και να αλλάξει το αποτέλεσμα των εργασιών που έχουν ανατεθεί. Ταυτόχρονα, είναι πολύ δύσκολο να εφαρμόσετε ένα τέτοιο σχέδιο παραπληροφόρησης πρέπει να πραγματοποιήσετε μια ολόκληρη σειρά ενεργειών και να προβλέψετε πολλά γεγονότα. Ο πιο επικίνδυνος στόχος είναι η καταστροφή δεδομένων. Η επιλογή των ενεργειών και τα ποιοτικά ή ποσοτικά τους χαρακτηριστικά εξαρτώνται από τα καθήκοντα.

Μέθοδοι NSD για πρόσβαση σε πληροφορίες με χρήση τεχνικών μέσων

Κάθε ηλεκτρονικό σύστημα, που περιέχει ένα σύνολο κόμβων, στοιχείων και αγωγών και ταυτόχρονα διαθέτει πηγές σήματος πληροφοριών - υπάρχουν κανάλια για διαρροή εμπιστευτικών πληροφοριών. Οι μέθοδοι NSD και τα κανάλια διαρροής σχετίζονται αντικειμενικά. Οι επιλογές σύνδεσης εμφανίζονται στον Πίνακα. 1.

Πίνακας - 1

Κάθε πηγή δημιουργεί ένα κανάλι διαρροής δεδομένων, ενώ οι συγκεκριμένες παράμετροί της μελετώνται και οι μέθοδοι επίθεσης ελέγχονται σε εργαστήρια. Οι ενέργειες μπορεί να είναι ενεργές ή παθητικές. Τα παθητικά κανάλια περιλαμβάνουν την υλοποίηση τεχνικών καναλιών για διαρροή πληροφοριών χωρίς άμεση επαφή ή σύνδεση. Οι μέθοδοι είναι συνήθως προσανατολισμένες στα δεδομένα. Οι ενεργές μέθοδοι συνδέονται με γραμμές επικοινωνίας. Οι γραμμές επικοινωνίας μπορεί να είναι:

• Ενσύρματη (οπτική ίνα).
• Ασύρματο (Wi-Fi).

Μέθοδοι NSD στις γραμμές επικοινωνίας

Συχνά τηλεφωνικές γραμμές ή γραμμές οπτικών ινών. Οι μέθοδοι για την παρακολούθηση τηλεφωνικών γραμμών φαίνονται στο Σχ. 2.

Εικόνα - 2

Υπάρχουν επίσης συστήματα υποκλοπής γραμμής που δεν απαιτούν άμεση επαφή με την τηλεφωνική γραμμή. Τέτοια συστήματα χρησιμοποιούν επαγωγικές μεθόδους απόκτησης δεδομένων. Τέτοια συστήματα δεν έχουν ευρεία εφαρμογή, καθώς είναι πολύ μεγάλα λόγω του περιεχομένου πολλών σταδίων ενίσχυσης ενός αδύναμου σήματος χαμηλής συχνότητας και, επιπλέον, μιας εξωτερικής πηγής ισχύος.

Σήμερα όμως οι γραμμές οπτικών ινών έχουν ευρύτερο φάσμα εφαρμογών. Οι πληροφορίες μέσω ενός τέτοιου καναλιού μεταδίδονται με τη μορφή παλλόμενου φωτεινή ροή, το οποίο δεν επηρεάζεται από μαγνητικές και ηλεκτρικές παρεμβολές. Είναι επίσης πιο δύσκολο να υποκλαπούν δεδομένα μέσω ενός τέτοιου καναλιού, γεγονός που αυξάνει την ασφάλεια μετάδοσης. Σε αυτή την περίπτωση, η ταχύτητα μεταφοράς φτάνει τα Gigabyte/δευτερόλεπτο. Για να συνδεθείτε σε ένα τέτοιο κανάλι επικοινωνίας, αφαιρούνται τα προστατευτικά στρώματα του καλωδίου. Στη συνέχεια ξεκολλούν το ανακλαστικό περίβλημα και λυγίζουν το καλώδιο σε ειδική γωνία για να συλλάβουν τις πληροφορίες. Σε αυτή την περίπτωση, η ισχύς του σήματος θα μειωθεί αμέσως αισθητά. Μπορείτε επίσης να συνδεθείτε χωρίς επαφή σε ένα κανάλι επικοινωνίας, αλλά για αυτό πρέπει να έχετε ένα συγκεκριμένο επίπεδο γνώσεων και εκπαίδευσης.

Μέθοδοι NSD για ασύρματες γραμμές επικοινωνίας

Η μεταφορά δεδομένων χρησιμοποιώντας ζώνες MHF και VHF υψηλής συχνότητας καθιστά δυνατή την υλοποίηση μεταφοράς πληροφοριών και ενός δικτύου υπολογιστών όπου είναι δύσκολο να εγκατασταθούν συμβατικά ενσύρματα κανάλια. Σε τέτοια κανάλια επικοινωνίας, η μεταφορά πληροφοριών είναι δυνατή με ταχύτητες έως και 2 Mbit/s. Σε αυτή την περίπτωση υπάρχει πιθανότητα παρεμβολής και υποκλοπής πληροφοριών. Η υποκλοπή δεδομένων λειτουργεί με βάση την αναχαίτιση ηλεκτρομαγνητικής ακτινοβολίας με περαιτέρω ανάλυση και αποκρυπτογράφηση. Η υποκλοπή πληροφοριών μέσω τέτοιων καναλιών έχει τα δικά της χαρακτηριστικά:

• Τα δεδομένα μπορούν να ληφθούν χωρίς άμεση επαφή με την πηγή.
• Το σήμα δεν επηρεάζεται από την εποχή του έτους/ημέρα.
• τα δεδομένα λαμβάνονται σε πραγματικό χρόνο·
• η υποκλοπή πραγματοποιείται κρυφά.
• το εύρος αναχαίτισης περιορίζεται μόνο από τα χαρακτηριστικά των κυμάτων διάδοσης.

Προστασία από μη εξουσιοδοτημένη πρόσβαση

Υπάρχει μια ιστορία για το πώς πρέπει να αποθηκεύονται οι πληροφορίες. Πρέπει να είναι σε ένα αντίγραφο σε υπολογιστή που βρίσκεται σε θωρακισμένο χρηματοκιβώτιο, αποσυνδεδεμένο από όλα τα δίκτυα και απενεργοποιημένο. Αυτή η μέθοδος, για να το θέσω ήπια, είναι πολύ σκληρή, ωστόσο, υπήρξαν τέτοιες περιπτώσεις. Για να προστατεύσετε τα δεδομένα από μη εξουσιοδοτημένη πρόσβαση, πρέπει να κατανοήσετε ποια πρόσβαση θεωρείται εξουσιοδοτημένη και ποια όχι. Για να το κάνετε αυτό χρειάζεστε:

• διαιρέστε τις πληροφορίες σε κλάσεις που υποβάλλονται σε επεξεργασία ή αποθηκεύονται σε υπολογιστή
• χωρίστε τους χρήστες σε κατηγορίες με βάση την πρόσβαση στα δεδομένα
• τακτοποιήστε αυτές τις κλάσεις σε συγκεκριμένες σχέσεις ανταλλαγής δεδομένων μεταξύ τους

Το σύστημα προστασίας δεδομένων από μη εξουσιοδοτημένη πρόσβαση πρέπει να υποστηρίζει την υλοποίηση των ακόλουθων λειτουργιών:

• πιστοποίηση
• αναγνώριση
• περιορισμός της πρόσβασης των χρηστών σε υπολογιστές
• περιορισμός της πρόσβασης των χρηστών στις δυνατότητες πληροφοριών
• διαχείριση:
  • επεξεργασία ημερολογίου
  • τον καθορισμό δικαιωμάτων πρόσβασης σε πόρους
  • εκκίνηση ενός συστήματος προστασίας σε έναν υπολογιστή
  • αποσυναρμολογημένα συστήματα προστασίας υπολογιστών
• Συμπέρασμα σχετικά με τις προσπάθειες NSD
• εγγραφή εκδήλωσης:
  • παραβιάσεις πρόσβασης
  • σύνδεση / αποσύνδεση χρήστη
• παρακολούθηση της απόδοσης και της ακεραιότητας των συστημάτων προστασίας
• διατηρώντας ασφάλεια πληροφοριώνκατά τη διάρκεια εργασιών επισκευής και συντήρησης και καταστάσεων έκτακτης ανάγκης

Τα δικαιώματα χρήστη για πρόσβαση σε πόρους περιγράφουν τους πίνακες βάσει των οποίων επαληθεύεται ο έλεγχος ταυτότητας χρήστη μέσω της πρόσβασης. Εάν ο Χρήστης δεν μπορεί να αποκτήσει τα ζητούμενα δικαιώματα πρόσβασης, τότε καταγράφεται το γεγονός της μη εξουσιοδοτημένης πρόσβασης και γίνονται ορισμένες ενέργειες.

Έλεγχος ταυτότητας και αναγνώριση χρήστη

Για να έχει πρόσβαση ένας χρήστης στους πόρους του συστήματος, πρέπει να ακολουθήσει την ακόλουθη διαδικασία:

• Αναγνώριση- τη διαδικασία κατά την οποία ένας χρήστης παρέχει στο σύστημα το όνομά του ή άλλο αναγνωριστικό
• Πιστοποίηση- η διαδικασία επιβεβαίωσης από το σύστημα ενός χρήστη με βάση ένα αναγνωριστικό και κωδικό πρόσβασης ή άλλες πληροφορίες (βλ.,)

Με βάση αυτό, για να πραγματοποιήσετε αυτές τις διαδικασίες, πρέπει:

• υπήρχε ένα πρόγραμμα ελέγχου ταυτότητας
• ο χρήστης είχε μοναδικές πληροφορίες διαθέσιμες

Υπάρχουν δύο μορφές αποθήκευσης δεδομένων ταυτότητας χρήστη: εσωτερική (καταγραφή στη βάση δεδομένων) ή εξωτερική (κάρτα). Κάθε φορέας πληροφοριών που πρέπει να αναγνωριστεί από το σύστημα έχει αντιστοιχία στο σύστημα ελέγχου ταυτότητας:

• ID i - αμετάβλητο αναγνωριστικό του i-ου χρήστη, το οποίο για το σύστημα είναι ανάλογο με το όνομα χρήστη
• K i - δεδομένα ελέγχου ταυτότητας χρήστη

Υπάρχουν δύο τυπικά σχήματα ελέγχου ταυτότητας και αναγνώρισης. Πρώτο σχέδιο:

Σε ένα τέτοιο σχήμα E i = F (ID i, K i), όπου μη ανακτήσιμηΤο K i θεωρείται ως ένα ορισμένο κατώφλι έντασης εργασίας T 0 για την αποκατάσταση του K i από το E i και το ID i . Για ένα ζεύγος K i και K j υπάρχει μια πιθανή σύμπτωση των τιμών του E. Σε σχέση με αυτήν την κατάσταση, η πιθανότητα ψευδής έλεγχος ταυτότηταςΟι χρήστες του συστήματος δεν πρέπει να υπερβαίνουν ένα ορισμένο όριο P 0 . Στην πράξη δίνουν τις εξής τιμές: T 0 = 10 20 ....10 30, P 0 = 10 -7 ....10 -9.

Για ένα τέτοιο σχήμα, υπάρχει ένα πρωτόκολλο ελέγχου ταυτότητας και αναγνώρισης:

• Ο χρήστης παρέχει την ταυτότητά του
• Υπολογίζεται η τιμή E = F(ID, K).

Σε ένα άλλο σχήμα, E i = F(S i, K i), όπου S είναι ένα τυχαίο διάνυσμα που καθορίζεται κατά τη δημιουργία ενός αναγνωριστικού χρήστη. Το F είναι μια συνάρτηση που έχει μια όψη ανεπανόρθωτοτιμές του K i κατά E i και S i.

Πρωτόκολλο για το δεύτερο σχήμα ελέγχου ταυτότητας και αναγνώρισης:

• Ο χρήστης δείχνει στο σύστημα την ταυτότητά του
• Αν υπάρχει τέτοιο ID i , όπου ID=ID i , τότε η αναγνώριση χρήστη ήταν επιτυχής, διαφορετικά όχι.
• Το διάνυσμα S εκχωρείται με ID
• Ο αλγόριθμος ελέγχου ταυτότητας ζητά από τον χρήστη να εισαγάγει τον έλεγχο ταυτότητας K
• Υπολογίζεται η τιμή E = F(S, K).
• Εάν E = E 1, ο έλεγχος ταυτότητας πέρασε, διαφορετικά όχι.

Το δεύτερο σχήμα χρησιμοποιείται στο UNIX OS. Ο χρήστης εισάγει το όνομά του (Σύνδεση) ως αναγνωριστικό και έναν κωδικό πρόσβασης ως έλεγχο ταυτότητας. Η συνάρτηση F είναι ο αλγόριθμος κρυπτογράφησης DES. (εκ.)

Πρόσφατα, οι βιομετρικές μέθοδοι αναγνώρισης και επαλήθευσης ταυτότητας κερδίζουν δυναμική, που διευκολύνονται από:

• Υψηλός βαθμός εμπιστοσύνης με βάση τα χαρακτηριστικά λόγω της μοναδικότητάς τους
• Δύσκολο να παραποιηθούν αυτά τα σημάδια

Τα ακόλουθα μπορούν να χρησιμοποιηθούν ως χαρακτηριστικά χρήστη:

• δακτυλικά αποτυπώματα
• μοτίβο αμφιβληστροειδή και ίριδα
• σχήμα χεριού
• σχήμα αυτιού
• σχήμα προσώπου
• χαρακτηριστικά φωνής
• γραφικός χαρακτήρας

Κατά την εγγραφή, ο χρήστης πρέπει να δείξει το δικό του βιομετρικά χαρακτηριστικά. Η σαρωμένη εικόνα συγκρίνεται με την εικόνα που υπάρχει στη βάση δεδομένων. Συστήματα αναγνώρισης ματιώνέχουν πιθανότητα επανάληψης αυτών των χαρακτηριστικών - 10 -78. Αυτά τα συστήματα είναι τα πιο αξιόπιστα μεταξύ άλλων βιομετρικά συστήματα. Τέτοια συστήματα χρησιμοποιούνται σε περιοχές αμυντικών και στρατιωτικών εγκαταστάσεων. Συστήματα αναγνώρισης δακτυλικών αποτυπωμάτωντο πιο συνηθισμένο. Ο λόγος της μαζικότητας είναι ότι υπάρχει μεγάλη βάσηαπό δακτυλικά αποτυπώματα. Χάρη στην αστυνομία. Συστήματα αναγνώρισης προσώπου και φωνήςτα πιο προσιτά λόγω του χαμηλού κόστους τους. Τέτοια συστήματα χρησιμοποιούνται για απομακρυσμένη αναγνώριση, για παράδειγμα σε δίκτυα.

Θα πρέπει να σημειωθεί ότι η χρήση βιομετρικών χαρακτηριστικών για τον προσδιορισμό των υποκειμένων δεν έχει λάβει ακόμη επαρκή ρυθμιστική υποστήριξη με τη μορφή προτύπων. Ως εκ τούτου, η χρήση τέτοιων συστημάτων επιτρέπεται μόνο όταν υποβάλλονται σε επεξεργασία δεδομένα που αποτελούν εμπορικό ή επίσημο απόρρητο.

Αμοιβαίος έλεγχος ταυτότητας χρήστη

Τα μέρη που συνάπτουν ανταλλαγή πληροφοριών χρειάζονται αμοιβαίο έλεγχο ταυτότητας. Αυτή η διαδικασία εφαρμόζεται συνήθως στην αρχή της συνεδρίας ανταλλαγής. Για να επαληθεύσετε την αυθεντικότητα, υπάρχουν τρόποι:

• μηχανισμός χρονικής σφραγίδας ( χρονική σφραγίδα)
• μηχανισμός αιτήματος-απόκρισης

Ο μηχανισμός αίτησης-απόκρισης συνεπάγεται μια κατάσταση όπου ο χρήστης Α θέλει να βεβαιωθεί ότι τα δεδομένα που αποστέλλονται από τον χρήστη Β δεν είναι πλαστά. Για να γίνει αυτό, ο χρήστης Α στέλνει ένα απρόβλεπτο στοιχείο − αίτημα Χ, για τον οποίο ο χρήστης Β πρέπει να εκτελέσει μια προσυμφωνημένη λειτουργία και να στείλει το αποτέλεσμα στον χρήστη Α. Ο χρήστης Α ελέγχει το αποτέλεσμα με αυτό που θα έπρεπε να είχε βγει. Το μειονέκτημα αυτής της μεθόδου είναι ότι είναι δυνατή η επαναφορά του μοτίβου μεταξύ της αίτησης και της απάντησης.

Ο μηχανισμός χρονικής σήμανσης περιλαμβάνει την καταγραφή της ώρας για κάθε μήνυμα που αποστέλλεται. Σε αυτήν την περίπτωση, ο χρήστης του δικτύου μπορεί να καθορίσει πόσο απαρχαιωμένοςμήνυμα. Και στις δύο περιπτώσεις, πρέπει να εφαρμοστεί επιπλέον κρυπτογράφηση.

Υπάρχει επίσης μηχανισμός χειραψίας, το οποίο βασίζεται στους δύο προηγούμενους μηχανισμούς και συνίσταται σε αμοιβαία επαλήθευση των κλειδιών που χρησιμοποιούνται από τα μέρη της ανταλλαγής. Αυτή η αρχή χρησιμοποιείται για τη δημιουργία μιας σύνδεσης μεταξύ ενός κεντρικού υπολογιστή και ούτω καθεξής σε δίκτυα.

Ως παράδειγμα, θεωρήστε δύο χρήστες Α και Β που μοιράζονται το ίδιο μυστικό κλειδί K AB.

• Ο χρήστης Α εκκινεί τον μηχανισμό και στέλνει στον χρήστη Β το αναγνωριστικό του Α σε ανοιχτή μορφή
• Ο χρήστης Β λαμβάνει το ID A, βρίσκει το κλειδί K AB για περαιτέρω χρήση
• Ο χρήστης Α δημιουργεί την ακολουθία S χρησιμοποιώντας τη γεννήτρια PG και την στέλνει στον χρήστη Β ως κρυπτόγραμμα E K AB S
• Ο χρήστης Β αποκρυπτογραφεί αυτό το κρυπτόγραμμα
• Και οι δύο χρήστες αλλάζουν την ακολουθία S, χρησιμοποιώντας τη μονόδρομη συνάρτηση f
• Ο χρήστης Β κρυπτογραφεί το μήνυμα f(S) και στέλνει το κρυπτόγραμμα E K AB (f(S)) στον χρήστη Α
• Ο χρήστης Α αποκρυπτογραφεί ένα τέτοιο κρυπτόγραμμα και συγκρίνει το f(S) το αρχικό και το αποκρυπτογραφημένο. Εάν είναι ίσα, τότε αποδεικνύεται η αυθεντικότητα του χρήστη Β για τον χρήστη Α.

Ο χρήστης Β αποδεικνύει την ταυτότητα του Α με τον ίδιο τρόπο. Το πλεονέκτημα ενός τέτοιου μηχανισμού είναι ότι οι συμμετέχοντες στην επικοινωνία δεν λαμβάνουν καμία μυστική πληροφορία κατά τη διάρκεια του μηχανισμού.

Μπορείτε επίσης να χρησιμοποιήσετε συστήματα DLP. Τέτοια συστήματα βασίζονται στην ανάλυση των ροών δεδομένων που διασταυρώνονται με τα δεδομένα του προστατευμένου πληροφοριακού συστήματος. Όταν ενεργοποιείται η υπογραφή, ενεργοποιείται το ενεργό στοιχείο του συστήματος και μπλοκάρεται η μετάδοση του πακέτου, της ροής ή της περιόδου λειτουργίας. Τέτοια συστήματα βασίζονται σε δύο μεθόδους. Ο πρώτος που ανέλυσε τα τυπικά χαρακτηριστικά της πληροφορίας. Για παράδειγμα, ετικέτες, τιμές συναρτήσεων κατακερματισμού, κ.λπ. Αυτή η μέθοδος σάς επιτρέπει να αποφύγετε ψευδώς θετικά (λάθη τύπου 1), αλλά για αυτό, τα έγγραφα πρέπει να υποβληθούν σε επεξεργασία με πρόσθετη ταξινόμηση. Ένας άλλος τρόπος είναι η ανάλυση περιεχομένου. Παραδέχεται ψευδώς θετικά, αλλά σας επιτρέπει να εντοπίζετε τη μεταφορά εμπιστευτικών δεδομένων όχι μόνο μεταξύ επεξεργασμένων εγγράφων. Το κύριο καθήκον τέτοιων συστημάτων είναι να εμποδίζουν τη μεταφορά εμπιστευτικών δεδομένων εκτός του συστήματος πληροφοριών. Μια τέτοια διαρροή μπορεί να είναι σκόπιμη ή ακούσια. Η πρακτική δείχνει ότι το 75% των περιστατικών δεν συμβαίνουν επίτηδες, αλλά από λάθη, αμέλεια ή απροσεξία των ίδιων των εργαζομένων. Τέτοιες διαρροές δεν είναι δύσκολο να ανιχνευθούν ειδικές επιθέσεις. Το αποτέλεσμα του αγώνα εξαρτάται από πολλές παραμέτρους και είναι αδύνατο να εγγυηθεί κανείς 100% επιτυχία.

Συνοψίζοντας, θα πρέπει να σημειωθεί ότι η NSD είναι μια σκόπιμη απειλή με πρόσβαση στο . Υπάρχουν πολλοί τρόποι για να γίνει αυτό. Η υπηρεσία ασφάλειας πληροφοριών πρέπει να παρακολουθεί προσεκτικά τις ροές πληροφοριών καθώς και τους χρήστες του συστήματος πληροφοριών. Με την ανάπτυξη της τεχνολογίας εμφανίζονται νέες μέθοδοι NSD και η εφαρμογή τους. Η διοίκηση πρέπει να διαθέσει πόρους για την ενημέρωση και τη βελτίωση του συστήματος ασφαλείας του πληροφοριακού συστήματος, καθώς με την πάροδο του χρόνου γίνεται ξεπερασμένο και χάνει την ικανότητά του να αποτρέπει νέες επιθέσεις. Πρέπει να θυμόμαστε ότι δεν υπάρχει απόλυτη προστασία, αλλά πρέπει να αγωνιζόμαστε για αυτήν.