Co je to raid controller? Co je pole RAID a řadič RAID? Důležité: abyste porozuměli provozu a hlavním funkcím raid controllerů a dalších zařízení, která tvoří systém ukládání informací, musíte dobře rozumět tomu, co jsou informace

Zavedení

Opatření na ochranu informací před neoprávněným přístupem jsou nedílnou součástí manažerských, vědeckých, výrobních (obchodních) činností podniku (instituce, firmy apod.) bez ohledu na jejich resortní příslušnost a formu vlastnictví a jsou prováděna ve spojení s dalšími opatřeními k zajištění nastoleného režimu soukromí. Praxe organizace ochrany informací před neoprávněným přístupem během jejich zpracování a ukládání v automatizovaném systému by měla zohledňovat následující zásady a pravidla pro zajištění bezpečnosti informací:

Soulad úrovně informační bezpečnosti s legislativními ustanoveními a regulatorními požadavky na ochranu informací podléhajících ochraně dle platné legislativy vč. výběr bezpečnostní třídy závodu v souladu s charakteristikou zpracování informací (technologie zpracování, konkrétní provozní podmínky závodu) a mírou jejich utajení.

Identifikace důvěrných informací a dokumentace ve formě seznamu informací, které mají být chráněny, jeho včasná úprava.

Nejdůležitější rozhodnutí o ochraně informací by mělo činit vedení podniku (organizace, společnosti), vlastník AS.

Stanovení postupu pro nastavení úrovní přístupových oprávnění subjektů a také okruhu osob, kterým je toto právo přiznáno.

Stanovení a provádění pravidel kontroly přístupu, tzn. soubor pravidel upravujících přístupová práva subjektů přístupu k objektům přístupu.

Stanovení osobní odpovědnosti uživatelů za udržování úrovně zabezpečení AS při zpracování informací podléhajících ochraně podle platné legislativy.

Zajištění fyzické ostrahy objektu, na kterém se nachází chráněná jaderná elektrárna (území, budovy, areál, úložiště informačních nosičů), instalací vhodných stanovišť, technických zabezpečovacích zařízení nebo jiných prostředků, které zabrání nebo výrazně zkomplikují krádeže výpočetní techniky , informační média, dále NSD až SVT a komunikační linky.

Organizace služby informační bezpečnosti (odpovědné osoby, správce AS), zodpovědná za evidenci, ukládání a vydávání nosičů informací, hesel, klíčů, udržování oficiálních informací systému informační bezpečnosti NSD (generování hesel, klíčů, udržování pravidel kontroly přístupu), přijímání nový software zařazený do AS, dále sledování průběhu technologického procesu zpracování důvěrných informací atp.

Systematická a operativní kontrola úrovně zabezpečení chráněných informací, ověřování ochranných funkcí nástrojů informační bezpečnosti. Nástroje pro bezpečnost informací musí mít certifikát potvrzující jejich shodu s požadavky na bezpečnost informací.

Nástroje informační bezpečnosti- jedná se o soubor strojírenských, elektrických, elektronických, optických a dalších zařízení a zařízení, přístrojů a technických systémů, jakož i dalších hmotných prvků sloužících k řešení různých problémů ochrany informací, včetně zamezení úniků a zajištění bezpečnosti chráněných informací.

Obecně lze prostředky zajištění informační bezpečnosti z hlediska zabránění záměrnému jednání v závislosti na způsobu implementace rozdělit do skupin: technické (hardwarové), softwarové, smíšené hardwarové a softwarové, organizační.

Technické (hardwarové) prostředky- jedná se o zařízení různých typů (mechanická, elektromechanická, elektronická a další), která řeší problémy informační bezpečnosti s hardwarem. Zabraňují fyzickému průniku, nebo pokud k průniku dojde, zabraňují přístupu k informacím, včetně jejich maskování. První část problému řeší zámky, mříže na oknech, bezpečnostní alarmy atd. Druhá část je řešena generátory hluku, přepěťovými ochranami, skenováním

rádia a mnoho dalších zařízení, která „blokují“ potenciální kanály úniku informací nebo umožňují jejich detekci. Výhody technických prostředků jsou spojeny s jejich spolehlivostí, nezávislostí na subjektivních faktorech a vysokou odolností vůči modifikacím.

Hardwarová ochrana zahrnuje různá elektronická, elektronicko-mechanická a elektrooptická zařízení. Zatím

Postupem času bylo vyvinuto značné množství hardwarových zařízení pro různé účely, ale nejrozšířenější jsou následující:

speciální registry pro ukládání bezpečnostních údajů: hesel, identifikačních kódů, klasifikací nebo úrovní zabezpečení;

přístroje pro měření individuálních vlastností osoby (hlas, otisky prstů) za účelem identifikace;

obvody pro přerušení přenosu informací na komunikační lince za účelem periodické kontroly výstupní adresy dat.

zařízení pro šifrování informací (kryptografické metody).

Mezi softwarové nástroje patří programy pro identifikaci uživatele, řízení přístupu, šifrování informací, odstraňování zbytků

(pracovní) informace, jako jsou dočasné soubory, kontrola testu systému

ochrana atd. Výhody softwaru jsou všestrannost, flexibilita, spolehlivost, snadná instalace, možnost úpravy a vývoje. Nevýhody - omezená funkčnost sítě, využití části prostředků souborového serveru a pracovních stanic, vysoká citlivost na náhodné či záměrné změny, možná závislost na typech počítačů (jejich hardwaru).

Smíšený hardware a software implementují stejné funkce jako hardware a software samostatně a mají mezilehlé vlastnosti.

Organizační prostředky se skládají z organizačně-technických (příprava prostor s počítači, položení kabelového systému, zohlednění požadavků na omezení přístupu k němu apod.) a organizačně-právních (národní legislativa a pracovní řády stanovené vedením konkrétního podniku). ). Výhody organizačních nástrojů spočívají v tom, že umožňují řešit mnoho různých problémů, jsou snadno implementovatelné, rychle reagují na nežádoucí akce v síti a mají neomezené možnosti úprav a rozvoje.

Softwarové nástroje se rozlišují podle stupně distribuce a dostupnosti. Jiné prostředky se používají v případech, kdy je nutné zajistit další úroveň ochrany informací.

.Kanály úniku informací o letadlech

Možné kanály úniku informací jsou kanály spojené s přístupem k prvkům systému a změnami ve struktuře jeho součástí. Do druhé skupiny patří:

záměrné čtení dat ze souborů jiných uživatelů;

čtení zbytkových informací, tj. dat zbývajících na magnetickém médiu po dokončení úkolů;

kopírování paměťových médií;

záměrné používání terminálů pro přístup k informacím

registrovaní uživatelé;

vydávání se za registrovaného uživatele krádeží hesel a dalších podrobností za účelem omezení přístupu k informacím používaným v systémech zpracování;

používání tzv. „pastí“, děr a „mezisek“ pro přístup k informacím, tedy příležitostí obejít mechanismus kontroly přístupu, které vznikají v důsledku nedokonalostí softwarových komponent celého systému (operační systémy, systémy správy databází, atd.) a nejasnosti v programovacích jazycích používaných v systémech automatizovaného zpracování dat.

.Způsoby ochrany informací v ozbrojených silách

Při existenci jednoduchých prostředků pro uchovávání a přenos informací existovaly a dodnes neztratily na významu následující způsoby ochrany před úmyslným přístupem: omezení přístupu; kontrola přístupu; oddělení přístupu (privilegií); kryptografická transformace informací; kontrola přístupu a účetnictví; legislativní opatření.

Tyto metody byly prováděny čistě organizačně nebo pomocí technických prostředků.

S nástupem automatizovaného zpracování informací se fyzická média informací změnila a doplnila o nové typy a technické prostředky jejich zpracování se staly složitějšími.

V tomto ohledu se vyvíjejí staré metody ochrany informací v počítačových systémech a objevují se nové:

metody funkční kontroly, které poskytují detekci a diagnostiku poruch, selhání hardwaru a lidských chyb, jakož i chyb softwaru;

metody pro zvýšení spolehlivosti informací;

způsoby ochrany informací před nouzovými situacemi;

způsoby kontroly přístupu k vnitřní instalaci zařízení, komunikačních linek a technologických kontrol;

způsoby vymezování a kontroly přístupu k informacím;

způsoby identifikace a ověřování uživatelů, technické prostředky, paměťová média a dokumenty;

Způsoby ochrany informací před neoprávněným přístupem lze rozdělit do 4 typů

2.1 Fyzický a datový přístup

Pravidla řízení přístupu k datům jsou jedinými existujícími metodami k dosažení výše uvedených požadavků na individuální identifikaci. Nejlepší zásadou řízení přístupu je zásada „minimálních oprávnění“. Jinými slovy, uživatel má přístup pouze k těm informacím, které ke své práci potřebuje. U informací klasifikovaných jako důvěrné (nebo ekvivalentní) nebo vyšší se přístup může měnit a být pravidelně potvrzován.

Na určité úrovni (alespoň registrovaná jako důvěrná nebo ekvivalentní) musí existovat systém kontrol a kontroly přístupu a také protokolování změn. Musí existovat pravidla definující odpovědnost za všechny změny dat a programů. Musí být zaveden mechanismus pro detekci pokusů o neoprávněný přístup ke zdrojům, jako jsou data a programy. Vlastník zdroje, manažeři oddělení a bezpečnostní pracovníci musí být informováni o potenciálním porušení, aby se předešlo možnosti tajné dohody.

2 Řízení přístupu k zařízení

Pro kontrolu přístupu k vnitřní instalaci, komunikačním linkám a technologickým kontrolám se používá zařízení pro detekci neoprávněné manipulace. To znamená, že vnitřní instalace zařízení a technologických prvků a ovládacích panelů jsou uzavřeny kryty, dvířky nebo pouzdry, na kterých je snímač instalován. Senzory se spouštějí při otevření zařízení a vytvářejí elektrické signály, které jsou odesílány sběrnými obvody do centralizovaného řídicího zařízení. Instalace takového systému má smysl, pokud jsou kompletně pokryty všechny technologické přístupy k zařízení, včetně nástrojů pro stahování softwaru, ovládacího panelu počítače a externích kabelových konektorů hardwaru obsaženého v počítačovém systému. V ideálním případě je u systémů se zvýšenými požadavky na efektivitu informační bezpečnosti vhodné uzavírat víka mechanickým zámkem se senzorem nebo kontrolovat zařazení standardních prostředků přihlašování do systému – uživatelských terminálů.

Kontrola nad otevřením zařízení je nezbytná nejen v zájmu ochrany informací před neoprávněným přístupem, ale také pro zachování technologické kázně, aby bylo zajištěno normální fungování počítačového systému, protože často během provozu, souběžně s řešením hlavních problémů , provádí se oprava nebo údržba zařízení a může se ukázat, že omylem zapomněli připojit kabel nebo počítačová konzole změnila program zpracování informací. Z hlediska ochrany informací před neoprávněným přístupem chrání ochrana proti neoprávněné manipulaci zařízení před následujícími akcemi:

změny a zničení schematického schématu počítačového systému a zařízení;

připojení zařízení třetí strany;

změna algoritmu počítačového systému pomocí technologických konzol a ovládacích prvků;

stahování programů třetích stran a zavádění softwarových „virů“ do systému;

používání terminálů neoprávněnými osobami atd.

Hlavním úkolem systémů kontroly tamperu zařízení je pokrýt všechny abnormální a technologické přístupy k zařízení po dobu provozu. Je-li toto při provozu systému vyžadováno, je zařízení odebrané k opravě nebo údržbě odpojeno od pracovního okruhu pro výměnu informací, které má být chráněno před zahájením práce, a je uvedeno do pracovního okruhu pod dohledem a kontrolou osob. zodpovědný za informační bezpečnost.

2.3 Kryptografická transformace informací

Ochrana dat pomocí šifrování je jedním z možných řešení problému bezpečnosti dat. Šifrovaná data jsou přístupná pouze někomu, kdo ví, jak je dešifrovat, takže je zcela zbytečné, aby neoprávnění uživatelé ukradli šifrovaná data. Kryptografie zajišťuje nejen utajení informací, ale také jejich autentičnost. Utajení je udržováno šifrováním jednotlivých zpráv nebo celého souboru. Pravost informací je potvrzena zašifrováním speciálním kódem obsahujícím veškeré informace, který je příjemcem ověřen pro potvrzení identity autora. Nejenže osvědčuje původ informace, ale také zaručuje její neměnnost. I prostá transformace informace je velmi účinným prostředkem, jak skrýt její význam před většinou nekvalifikovaných porušovatelů.

Kryptografie je dnes jediným známým způsobem, jak zajistit utajení a potvrdit pravost informací přenášených ze satelitů. Povaha standardu šifrování dat DES je taková, že jeho algoritmus je veřejný, pouze klíč musí být tajný. Kromě toho musí být k šifrování a dešifrování informací použity stejné klíče, jinak je nebude možné přečíst.

Principem šifrování je kódování textu pomocí klíče. Tradiční šifrovací systémy používaly stejný klíč pro kódování a dekódování. V nových systémech veřejného klíče nebo asymetrického šifrování jsou klíče párované: jeden se používá pro kódování, druhý se používá pro dekódování informací. V takovém systému každý uživatel vlastní jedinečný pár klíčů. Jeden klíč, tzv. „veřejný“ klíč, zná každý a používá se k šifrování zpráv. Další klíč, nazývaný „tajný“ klíč, je přísně tajný a používá se k dešifrování příchozích zpráv. Při implementaci takového systému může jeden uživatel, který potřebuje poslat zprávu druhému, zašifrovat zprávu jeho veřejným klíčem. Dešifrovat jej může pouze vlastník osobního tajného klíče, takže nehrozí žádné zachycení. Tento systém lze také použít k vytvoření ochrany proti padělání digitálních podpisů.

Praktické využití internetového a intranetového bezpečnostního šifrování kombinuje tradiční symetrická a nová asymetrická schémata. Šifrování veřejným klíčem se používá k vyjednání tajného symetrického klíče, který se pak používá k šifrování skutečných dat. Šifrování poskytuje nejvyšší úroveň zabezpečení dat. Hardware i software používají různé šifrovací algoritmy.

4 Kontrola a omezení přístupu

Za účelem blokování možných kanálů neoprávněného přístupu k informacím o PC lze kromě zmíněných použít i další metody a prostředky ochrany. Při použití PC ve víceuživatelském režimu je nutné použít program pro ovládání a omezení přístupu. Podobných programů, často vyvinutých samotnými uživateli, je mnoho. Specifická povaha fungování PC softwaru je však taková, že s použitím jeho klávesnice může dostatečně kvalifikovaný programátor narušitelů tento druh ochrany snadno obejít. Toto opatření je tedy účinné pouze pro ochranu před nekvalifikovaným porušovatelem. K ochraně před profesionálním narušitelem pomůže sada softwarových a hardwarových nástrojů. Například speciální elektronický klíč vložený do volného PC slotu a speciální programové fragmenty vložené do PC aplikačních programů, které interagují s elektronickým klíčem podle algoritmu známého pouze uživateli. Pokud nemáte klíč, tyto programy nebudou fungovat. Použití takového klíče je však nepohodlné, protože pokaždé musíte otevřít systémovou jednotku PC. V tomto ohledu je jeho variabilní část - heslo - vyvedena na samostatné zařízení, které se stává samotným klíčem, a čtecí zařízení je instalováno na předním panelu systémové jednotky nebo je vyrobeno ve formě samostatného vzdáleného zařízení. Tímto způsobem můžete zablokovat spouštění počítače i program pro řízení přístupu a řízení přístupu.

Podobné schopnosti mají například nejoblíbenější elektronické klíče od dvou amerických společností: Rainbow Technologies (RT) a Software Security (SSI) Na domácím trhu je nabízena řada elektronických klíčů: NovexKey - od NOVEX, HASP a Plug -. od ALADDIN atd. Většina z nich je určena k ochraně před neoprávněným kopírováním softwarového produktu, tedy k ochraně autorských práv k jeho vytvoření, tedy k jinému účelu. V tomto případě však nejsou vždy chráněny zobrazovací a dokumentační kanály, software a informační média, rozptýlené elektromagnetické záření a rušení informací. Jejich přesah je zajištěn již známými metodami a prostředky: umístěním počítače do zabezpečené místnosti, záznamem a uložením paměťových médií v plechových skříních a trezorech, šifrováním.

Přístupový systém (ARS) je jednou z hlavních součástí komplexního systému informační bezpečnosti. V tomto systému lze rozlišit následující komponenty:

prostředky autentizace subjektu přístupu;

prostředky omezující přístup k technickým zařízením počítačového systému;

prostředky pro omezení přístupu k programům a datům;

prostředky k blokování neoprávněných akcí;

nástroje pro registraci událostí;

povinnost operátora systému kontroly vstupu.

Účinnost systému řízení přístupu je do značné míry určena spolehlivostí autentizačních mechanismů. Zvláštní význam má autentizace při interakci vzdálených procesů, která se vždy provádí pomocí kryptografických metod. Při provozu autentizačních mechanismů jsou hlavními úkoly:

generování nebo výroba identifikátorů, jejich účtování a ukládání, předávání identifikátorů uživateli a kontrola správné implementace autentizačních procedur v počítačovém systému (CS). Pokud dojde ke kompromitaci přístupových atributů (heslo, osobní kód atd.), je nutné je urychleně vyloučit ze seznamu povolených. Tyto úkony musí provést obsluha systému kontroly přístupu ve službě.

Ve velkých distribuovaných sítích není problém generování a doručování identifikačních atributů a šifrovacích klíčů triviálním úkolem. Například distribuce tajných šifrovacích klíčů musí být prováděna mimo chráněný počítačový systém. Hodnoty ID uživatele nesmí být v systému uloženy ani přenášeny jako prostý text. Při zadávání a porovnávání identifikátorů je nutné uplatňovat speciální ochranná opatření proti slídění při psaní hesla a vlivu škodlivých programů, jako jsou keyloggery a simulátory DSS. Prostředky pro omezení přístupu k technickým prostředkům zabraňují neoprávněnému jednání útočníka, jako je zapnutí technického prostředku, načtení operačního systému, vstup-výstup informací, použití nestandardních zařízení apod. Kontrolu přístupu provádí provozovatel systém distribuce dat pomocí hardwaru a softwaru. Obsluha řídicího systému tak může ovládat použití klíčů od napájecích zámků přímo k technickému zařízení nebo ke všem zařízením umístěným v samostatné místnosti a dálkově ovládat blokování napájení zařízení nebo blokování načítání OS. Na hardwarové nebo softwarové úrovni může operátor měnit technickou strukturu nástrojů, které může konkrétní uživatel používat.

Prostředky omezující přístup k programům a datům jsou využívány nejintenzivněji a do značné míry určují vlastnosti systému distribuce dat. Tyto nástroje jsou hardwarové a softwarové. Konfigurují je pracovníci oddělení zajišťujícího bezpečnost informací a mění se, když se změní uživatelská oprávnění nebo když se změní program a struktura informací. Přístup k souborům řídí správce přístupu. Přístup k záznamům a jednotlivým polím záznamů v databázových souborech je také regulován pomocí systémů pro správu databází.

Efektivitu RDS lze zvýšit šifrováním souborů uložených na externích úložných zařízeních a také úplným vymazáním souborů při jejich zničení a vymazáním dočasných souborů. I když útočník získá přístup k počítačovým médiím například neoprávněným kopírováním, bez šifrovacího klíče se k informacím nedostane.

V distribuovaných CS je přístup mezi subsystémy, jako jsou vzdálené sítě LAN, regulován pomocí firewallů. K řízení komunikace mezi chráněnými a nechráněnými počítačovými systémy je nutné použít bránu firewall. Zároveň je regulován přístup jak z nechráněného CS do chráněného, ​​tak přístup z chráněného systému do nechráněného. Na pracovišti operátora ICSI je vhodné umístit počítač, který implementuje funkce firewallu.

Nedílnou součástí DSS jsou prostředky pro blokování neoprávněného jednání subjektů přístupu. Pokud atributy přístupového subjektu nebo algoritmus jeho jednání nejsou pro tento subjekt povoleny, je další práce v CS takového narušitele ukončena až do zásahu operátora ICS. Blokovací prostředky eliminují nebo výrazně zkomplikují automatický výběr přístupových atributů.

Povinnou součástí DRS jsou také nástroje pro registraci událostí. Deníky akcí jsou umístěny na VZU. Tyto protokoly zaznamenávají údaje o uživatelích, kteří se přihlašují do systému a odhlašují se ze systému, o všech pokusech o provedení neoprávněných akcí, přístupu k určitým zdrojům atd. Protokol je nakonfigurován tak, aby zaznamenával určité události a pravidelně analyzoval jeho obsah pracovníky ve službě a osobami vyšších úředníků z jednotky OBI. Je vhodné programově automatizovat proces nastavení a analýzy protokolu.

Přímou kontrolu DRS provádí operátor služby KSZI, který zpravidla vykonává i funkce správce povinností ČS. Načítá OS, poskytuje požadovanou konfiguraci a provozní režimy CS, zadává uživatelské pravomoci a atributy do DRS, řídí a spravuje uživatelský přístup ke zdrojům CS.

.Nástroje informační bezpečnosti v počítačových systémech

1Typy APS SZI

Ze všeho výše uvedeného lze softwarové a hardwarové nástroje pro zabezpečení informací rozdělit do několika typů:

Software a hardware pro ochranu informací před neoprávněným kopírováním.

Softwarové a hardwarové nástroje pro kryptografickou a stenografickou ochranu informací (včetně prostředků maskování informací) při ukládání na datové nosiče a při přenosu komunikačními kanály.

Softwarové a hardwarové prostředky k přerušení činnosti uživatelského programu, pokud poruší pravidla přístupu.

Softwarové a hardwarové nástroje pro mazání dat, včetně:

Software a hardware pro vyhlášení poplachu při pokusu o neoprávněný přístup k informacím.

Softwarové a hardwarové nástroje pro detekci a lokalizaci akcí softwaru a záložek softwaru a hardwaru.

2 Zařízení pro rychlé zničení informací na pevných magnetických discích „Stek-N“

Navrženo pro rychlé (nouzové) vymazání informací zaznamenaných na pevných magnetických discích, které se v době vymazávání používají i nepoužívají.

Hlavní vlastnosti produktů řady Stack:

maximální možná rychlost ničení informací;

schopnost zůstat v nataženém stavu tak dlouho, jak je požadováno, bez zhoršení výkonu;

možnost použití v dálkově ovládaných systémech s autonomním napájením;

žádné pohyblivé části;

k vymazání informace zaznamenané na magnetickém médiu dochází bez jeho fyzického zničení, následné použití disku je však opět problematické.

Zařízení je dostupné ve třech základních modelech: „Stack-HCl“, „Stack-HC2“, „Stack-NA1“.

Model „Stack-HCl“ je zaměřen na vytvoření pracoviště pro rychlé vymazání informací z velkého počtu pevných disků před jejich recyklací. Má pouze síťové napájení a vyznačuje se krátkou dobou přechodu do režimu „Ready“ po dalším vymazání. Model má nízkou cenu a extrémně snadno se ovládá (obr. 1).

Model „Stack-NS2“ je zaměřen na vytváření stacionárních informačních trezorů pro počítačová data, má pouze síťové napájení. Je vybaven systémy pro udržování teplotního režimu HDD, autotestem a lze jej dovybavit i dálkovým inicializačním modulem (obr. 2).

Model „Stack-HAl“ je zaměřen na vytváření přenosných informačních trezorů pro počítačová data, má síťové a autonomní napájení. Vybaven systémem autotestu a modulem pro vzdálenou inicializaci.

Zařízení lze použít k vymazání informací z jiných typů médií, která se vejdou do pracovní komory 145x105x41mm a mají podobné vlastnosti.

Produkt vymaže užitečné a servisní informace zaznamenané na magnetickém médiu. Proto lze média používat pouze se speciálním vybavením. Kromě toho je v některých případech možné vychýlit hlavní jednotku.

Uveďme hlavní charakteristiky Stack-NS1(2):

Maximální doba, po kterou zařízení přejde do režimu „Připraveno“ je 7-10 s.

Napájení výrobku je 220 V, 50 Hz.

Maximální ztrátový tepelný výkon je 8 W.

v cyklu „Nabíjení“/„Vymazání“ - alespoň 0,5 hodiny.

Rozměry - 235x215x105 mm.

Uveďme hlavní charakteristiky Stack-HA1:

Maximální doba, po kterou zařízení přejde do režimu „Připraveno“, není delší než 15...30 s.

Doba mazání informací na jednom disku je 300 ms.

Napájení produktu - 220 V, 50 Hz nebo externí baterie 12 V.

Přípustná doba nepřetržitého provozu výrobku:

v režimu „Připraveno“ - neomezeně;

v cyklu „Nabíjení“/„Vymazání“ - alespoň 30krát po dobu 0,5 hodiny.

Rozměry - 235x215x105 mm.

3 Detektor připojení LAN FLUKE

Protiopatření v počítačových sítích jsou velmi specifickým úkolem, který vyžaduje dovednosti dohledu a zázemí. Tento typ služby využívá několik zařízení:

ruční osciloskop;

reflektometr časového intervalu s analýzou přechodových spojení pro provoz na „volné lince“;

analyzátor síťového provozu/analyzátor protokolů;

počítač se speciálním detekčním softwarovým balíčkem;

přenosný spektrální analyzátor.

Tyto přístroje se používají vedle osciloskopů, spektrálních analyzátorů, multimetrů, vyhledávacích přijímačů, rentgenových přístrojů a dalších protiopatření. Jedná se o přístroj pro protisledovací povely. "Základní nástroj" poskytuje všechny funkce kabelového skeneru, včetně funkcí vysoce kvalitního reflektometru v časové oblasti. Možnosti analýzy provozu jsou důležité při identifikaci a sledování narušení sítě, vniknutí hackerů a zaznamenávání přítomnosti maskovaných sledovacích zařízení v místní síti. LANmeter se také používá při provádění síťových auditů a kontrol.

Analyzátor kabelů FLUKE DSP-2000\DSP-4000 a měřič parametrů FLUKE 105B jsou rovněž nezbytnými nástroji pro provádění kontrol protiopatření a doplňují LANmetr.

Při kontrolách vám osciloskop připojený k síti pro obecné posouzení obvykle umožňuje pozorovat tvar signálů a jejich přítomnost. Pokud jsou v síti sledovací zařízení s rozprostřeným spektrem, osciloskop poskytne rychlé zjištění této skutečnosti, stejně jako indikaci napětí, přítomnost RF šumu a omezené informace o přechodných spojeních.

Přenosný spektrální analyzátor se používá k rychlému zobrazení vysokofrekvenčního spektra sítě. Je třeba pozorovat jakékoli signály, které neodpovídají typickému vzhledu v testované síti. Jakmile byly všechny kombinace vodičů v síti důkladně zkontrolovány na přítomnost vnějších signálů (pomocí osciloskopu a spektrálního analyzátoru), použije se analyzátor síťového provozu ke sledování jakékoli aktivity vyskytující se na každém konkrétním segmentu (nebo kabelovém vstupu). To je účelem identifikace jakékoli anomálie síťového provozu, která může naznačovat použití speciálního softwaru, neoprávněné sledování nebo narušení bezpečnosti.

Analyzátor síťového provozu obvykle vyhodnocuje pouze hlavičky paketů a může uživateli poskytnout několik základních síťových funkcí, jako je PING, Trace Route, DNS vyhledávání a poskytování seznamů nalezených nebo aktivních síťových adres. Z tohoto pohledu obdrží specialista na protiopatření seznam všech síťových objektů, které lze následně porovnat s fyzickým seznamem.

Technik protiopatření může vypnout segment sítě (obvykle vypnutím routeru nebo přepínače) a odpojit všechny kabely. Tím izolujete skupinu počítačů a některé kabely od zbytku sítě a poskytnete odpovídající krytí pro zbytek kontroly. Fyzické zapojení lze prozkoumat, zda neobsahuje sledovací zařízení nebo anomálie.

4 Systém zabezpečení informací Secret Net 6.0

Net je certifikovaný prostředek ochrany informací před neoprávněným přístupem a umožňuje vám uvést automatizované systémy do souladu s požadavky regulačních dokumentů:

č. 98-FZ ("O obchodním tajemství")

č. 152-FZ ("O osobních údajích")

č. 5485-1-FZ („O státních tajemstvích“)

STO BR (Standard Bank of Russia)

Certifikáty FSTEC Ruska vám umožňují používat systém zabezpečení informací od NSD Secret Net k ochraně:

důvěrné informace a státní tajemství v automatizovaných systémech do třídy 1B včetně;

informační systémy osobních údajů do třídy K1 včetně.

K zajištění bezpečnosti síťových pracovních stanic a serverů se používají různé ochranné mechanismy:

zdokonalená identifikace a autentizace;

autoritativní a selektivní kontrola přístupu;

uzavřené softwarové prostředí;

ochrana kryptografických dat;

další obranné mechanismy.

Bezpečnostní administrátor má k dispozici jediný prostředek pro správu všech bezpečnostních mechanismů, který mu umožňuje centrálně řídit a monitorovat implementaci požadavků bezpečnostní politiky.

Veškeré informace o událostech v informačním systému souvisejících s bezpečností jsou evidovány v jediné knize jízd. Bezpečnostní administrátor se okamžitě dozví o všech pokusech uživatelů o protiprávní jednání.

Existují nástroje pro generování reportů, předzpracování logů a provozní řízení vzdálených pracovních stanic.

Systém Secret Net se skládá ze tří komponent: klientské části, bezpečnostního serveru a řídícího subsystému (obr. 3).

Zvláštností systému Secret Net je jeho architektura klient-server, ve které serverová část zajišťuje centralizované ukládání a zpracování dat bezpečnostního systému a klientská část chrání zdroje pracovní stanice nebo serveru a ukládá informace o správě do vlastní databáze. .

Klientská část bezpečnostního systému (samostatná i síťová verze) je nainstalována na počítači obsahujícím důležité informace, ať už jde o pracovní stanici v síti nebo nějaký druh serveru (včetně bezpečnostního serveru).

Hlavní účel klientské části:

ochrana počítačových zdrojů před neoprávněným přístupem a vymezení práv registrovaných uživatelů;

záznam událostí vyskytujících se na pracovní stanici nebo síťovém serveru a přenos informací na bezpečnostní server;

provádění centralizovaných a decentralizovaných kontrolních akcí bezpečnostního správce.

Klienti Secret Net jsou vybaveni hardwarovou podporou (pro identifikaci uživatelů pomocí elektronických identifikátorů a správu stahování z externích médií).

Bezpečnostní server je nainstalován na vyhrazeném počítači nebo řadiči domény a poskytuje řešení pro následující úlohy:

udržování centrální databáze (CDB) bezpečnostního systému, fungující pod kontrolou DBMS Oracle 8.0 Personal Edition a obsahující informace nezbytné pro provoz bezpečnostního systému;

shromažďování informací o probíhajících událostech od všech klientů Secret Net do jednoho protokolu a přenos zpracovaných informací do řídícího subsystému;

interakce s řídícím subsystémem a přenos řídících příkazů administrátora do klientské části bezpečnostního systému.

Subsystém správy Secret Net je nainstalován na pracovišti bezpečnostního administrátora a poskytuje mu následující možnosti:

autentizace uživatele.

zajištění kontroly přístupu k chráněným informacím a zařízením.

důvěryhodné informační prostředí.

kontrola kanálů pro šíření důvěrných informací.

kontrola počítačových zařízení a odcizených paměťových médií na základě centralizovaných zásad, které vylučují úniky důvěrných informací.

centralizovaná správa bezpečnostních politik umožňuje rychle reagovat na události neoprávněného přístupu.

provozní monitorování a bezpečnostní audit.

škálovatelný bezpečnostní systém, možnost použití Secret Net (síťová verze) v organizaci s velkým počtem poboček.

Možnosti nasazení Secret Net 6

Offline režim – navržený pro ochranu malého počtu (až 20-25) pracovních stanic a serverů. V tomto případě je každý stroj spravován lokálně.

Síťový režim (s centralizovanou správou) – určený pro nasazení v doménové síti s Active Directory. Tato možnost má centralizované nástroje pro správu a umožňuje vám aplikovat zásady zabezpečení v celé organizaci. Síťovou verzi Secret Net lze úspěšně nasadit ve složité doménové síti

Schéma řízení implementované v Secret Net umožňuje řídit informační bezpečnost z hlediska skutečné předmětové oblasti a plně zajistit přísné oddělení pravomocí mezi správcem sítě a správcem bezpečnosti.

3.5 Elektronický zámek „Sobol“

Navrženo k ochraně počítačových zdrojů před neoprávněným přístupem.

Elektronický zámek Sobol (EZ) je certifikován FSTEC Ruska. Certifikát č. 1574 ze dne 14. března 2008 potvrzuje shodu produktu s požadavky Návodu Státní technické komise Ruska „Ochrana před neoprávněným přístupem k informacím. Část 1. Software pro bezpečnost informací. Klasifikace podle úrovně kontroly nad absencí nedeklarovaných schopností“ a umožňuje její využití při vývoji bezpečnostních systémů pro automatizované systémy s bezpečnostní třídou do 1B včetně.

Elektronický zámek Sobol lze použít jako zařízení, které chrání samostatný počítač, ale i pracovní stanici nebo server, který je součástí lokální sítě.

Používají se následující ochranné mechanismy:

identifikace a autentizace uživatelů; registrace pokusů o přístup k PC;

zákaz načítání OS z vyměnitelných médií; monitorování integrity softwarového prostředí.

monitorování integrity softwarového prostředí

sledování integrity systémového registru Windows

hlídací časovač

registrace pokusů o přístup k PC

kontrola konfigurace

Možnosti identifikace a ověřování uživatelů, stejně jako záznam pokusů o přístup k PC, nezávisí na typu použitého OS.

Funkce elektronického zámku Sobol spočívá v kontrole osobního identifikátoru a hesla uživatele při pokusu o přihlášení do systému. Pokud se neregistrovaný uživatel pokusí přihlásit do systému, elektronický zámek pokus zaregistruje a hardwarově uzamkne až 4 zařízení (například: FDD, CD-ROM, ZIP, LPT, SCSI porty). Elektronický zámek využívá identifikaci a vylepšenou (dvoufaktorovou) autentizaci uživatelů pomocí osobních identifikátorů. Jako osobní identifikátor uživatele lze použít následující:

eToken PRO (Java).

Smart karta eToken PRO přes USB čtečku Athena ASEDrive IIIe USB V2.

Operační systém lze načíst z pevného disku pouze po předložení registrovaného ID. Servisní informace o registraci uživatele (jméno, číslo přiděleného osobního identifikátoru atd.) jsou uloženy v energeticky nezávislé paměti elektronického zámku. Elektronický zámek vede systémový deník, jehož záznamy jsou uloženy ve speciální energeticky nezávislé paměti. Systémový protokol zaznamenává přihlášení uživatelů, pokusy o přihlášení, pokusy o neoprávněný přístup a další události související se zabezpečením systému. Uchovává následující informace: datum a čas události, uživatelské jméno a informace o typu události (např. uživatel se přihlásil, zadal nesprávné heslo, předložil neregistrované ID uživatele, překročil počet pokusů o přihlášení, další akce).

Elektronický zámek Sobol tak poskytuje správci informace o všech pokusech o přístup k PC.

Mechanismus monitorování integrity používaný v komplexu Sobol umožňuje řídit neměnnost souborů a fyzických sektorů pevného disku před načtením operačního systému. Za tímto účelem se vypočítají některé referenční hodnoty kontrolovaných objektů a porovnají se s referenčními hodnotami dříve vypočítanými pro každý z těchto objektů. Vytvoření seznamu objektů podléhajících kontrole s uvedením cesty ke každému kontrolovanému souboru a souřadnic každého kontrolovaného sektoru se provádí pomocí programu pro správu šablon kontroly integrity. Kontrola integrity funguje pod operačními systémy, které používají následující systémy souborů: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 a EXT3. Správce má možnost nastavit provozní režim elektronického zámku, který zablokuje uživatelům přihlášení do systému v případě narušení integrity kontrolovaných souborů. Subsystém pro zákaz spouštění z disket a CD zajišťuje, že všichni uživatelé kromě správce nemohou zavést operační systém z těchto vyměnitelných médií. Správce může jednotlivým uživatelům počítačů povolit spouštění operačního systému z vyměnitelných médií.

Pro konfiguraci elektronického zámku Sobol má administrátor možnost určit minimální délku hesla uživatele, maximální počet neúspěšných přihlášení uživatele, přidávat a odebírat uživatele, blokovat práci uživatele na počítači a vytvářet záložní kopie osobních identifikátorů. .

Elektronický zámek Sobol lze použít jako součást systému zabezpečení informací Secret Net pro generování šifrovacích klíčů a digitálních podpisů. Při použití Sobol EZ jako součásti Secret Net je navíc zajištěna jednotná centralizovaná správa jeho schopností. Pomocí řídicího subsystému Secret Net může bezpečnostní správce spravovat stav osobních identifikátorů zaměstnanců: přidělovat elektronické identifikátory, dočasně je blokovat, zneplatnit, což umožňuje spravovat přístup zaměstnanců k počítačům automatizovaného systému organizace.

Základní sada elektronického zámku Sobol-PCI obsahuje (obr. 4):

řadič Sobol-PCI;

Dotyková čtečka paměti;

dva identifikátory DS-1992;

rozhraní pro blokování načítání z FDD;

rozhraní pro blokování bootování z CD-ROM;

Software pro generování seznamů řízených programů;

dokumentace.

6 Secret Disk Server NG podnikový systém ochrany informací

Navrženo pro ochranu důvěrných informací a podnikových databází (obr. 5).

Systém je navržen pro práci ve Windows NT 4.0 Server/Workstation/2000 Professional SP2 / XP Professional / Server 2000 SP2 / Server 2003. Použití transparentního šifrování informací pomocí silných šifrovacích algoritmů umožňuje pokračovat v práci během počátečního šifrování dat. .

Podpora široké škály jednotek umožňuje chránit jednotlivé serverové pevné disky, libovolná disková pole (SAN, softwarová a hardwarová pole RAID) i vyměnitelné disky.

Systém nejen spolehlivě chrání důvěrná data, ale také skrývá jejich přítomnost.

Při instalaci serveru Secret Disk Server NG jsou vybrané logické jednotky zašifrovány. Přístupová práva pro síťové uživatele se nastavují pomocí nástrojů Windows NT.

Šifrování je prováděno programově ovladačem systémového jádra (ovladač režimu jádra).

Kromě vestavěného algoritmu konverze dat s délkou klíče 128 bitů vám Secret Disk Server NG umožňuje připojit externí moduly kryptografické ochrany, například certifikované ruské CIPF CryptoPro CSP verze 2.0/3.0 a Signal-COM CSP, které implementují nejvýkonnější ruský šifrovací algoritmus GOST 28147-89 s délkou klíče 256 bit. Rychlost šifrování je velmi vysoká, takže mírné zpomalení při provozu zaznamená jen málokdo.

Šifrovací klíče se zadávají do ovladače Secret Disk Server NG před prací s chráněnými oddíly (nebo při spouštění serveru). K tomuto účelu slouží mikroprocesorové karty (smart karty) chráněné PIN kódem. Bez znalosti kódu nelze kartu použít. Tři pokusy o zadání špatného kódu kartu zablokují. Když server běží, není potřeba čipová karta a lze ji schovat na bezpečném místě.

Během provozu systému jsou šifrovací klíče uloženy v paměti RAM serveru a nikdy neskončí na disku ve swapovacím souboru. PIN kód a šifrovací klíče si generuje uživatel sám. Při generování se používá sekvence náhodných čísel tvořená podle trajektorie pohybu myši a časové charakteristiky stisku libovolných kláves Disk Server NG má otevřené rozhraní pro odesílání „alarmového“ signálu a umožňuje připojení různých senzorů a zařízení pro kontrolu přístupu do prostor (senzory otevírání dveří, oken, pohybu, změny hlasitosti, elektronické a kombinační zámky).

Když připojíte chráněné disky, můžete automaticky spustit potřebné programy a služby uvedené v konfiguračním souboru. Po restartování serveru bez předložení čipové karty nebo pokusu o čtení disků na jiném počítači budou chráněné oddíly „viditelné“ jako nezformátované oblasti, které nelze přečíst. Pokud nastane nebezpečí, můžete okamžitě „zničit“ informace a učinit chráněné sekce „neviditelnými“. Součástí dodávky je instalační CD, univerzální zařízení pro práci s čipovými kartami (externí), sada kabelů, speciální deska Hardlock, dokumentace v ruštině, 3 čipové karty.

7 Systém ochrany důvěrných informací Secret Disk

Disk je systém pro ochranu důvěrných informací pro širokou škálu uživatelů počítačů: vedoucí pracovníky, manažery, účetní, auditory, právníky atd.

Při instalaci systému Secret Disk se na vašem počítači objeví nový virtuální logický disk (jeden nebo více). Vše, co je do něj zapsáno, se automaticky zašifruje a při čtení se to dešifruje. Obsah této logické jednotky je umístěn ve speciálním kontejneru – zašifrovaném souboru. Tajný diskový soubor může být umístěn na pevném disku počítače, na serveru, na vyměnitelných médiích, jako je Zip, Jaz, CD-ROM nebo magneto-optický disk, zajišťuje ochranu dat, i když je takový disk nebo samotný počítač odstraněn. Používání tajného disku je ekvivalentní zabudování možností šifrování do každé aplikace, kterou spouštíte.

Připojení tajného disku a práce se zašifrovanými daty je možná pouze po hardwarové autentizaci uživatelského vstupu a správném hesle. K autentizaci se používá elektronický identifikátor – čipová karta, elektronický klíč nebo klíčenka. Po připojení tajného disku se stane „viditelným“ pro operační systém Windows jako další pevný disk a soubory na něm zaznamenané jsou přístupné všem programům. Bez elektronického ID a bez znalosti hesla nemůžete tajný disk připojit - pro outsidery zůstane jen zašifrovaný soubor s libovolným názvem (například game.exe nebo girl.tif).

Jako každý fyzický disk lze zabezpečený disk sdílet v místní síti. Po odpojení disku se všechny soubory a programy na něm nahrané stanou nedostupnými.

Seznam hlavních charakteristik:

Chraňte důvěrná data pomocí profesionálních šifrovacích algoritmů (možnost připojení externích kryptografických knihoven).

Generování šifrovacích klíčů samotným uživatelem.

Hardwarová autentizace uživatele pomocí elektronických klíčenek, čipových karet, PCMCIA karet nebo elektronických klíčů.

Dvojitá ochrana. Každý tajný disk je chráněn osobním elektronickým ID uživatele a heslem pro přístup k tomuto disku.

Práce se šifrovanými archivy. Informace lze komprimovat a šifrovat buď pro sebe (pomocí elektronického identifikátoru),

a pro bezpečnou výměnu s kolegy (s heslem).

Zámek počítače Secret Disk umožňuje ztlumit obrazovku a uzamknout klávesnici, když je elektronické ID deaktivováno, když je stisknuta určitá kombinace kláves nebo když je uživatel delší dobu neaktivní. Když je systém uzamčen, tajné disky nejsou deaktivovány, spuštěné aplikace využívající chráněná data nadále normálně fungují a práce ostatních uživatelů, kteří mají sdílený přístup k tajnému disku v síti, není narušena.

Nátlakový režim. V kritické situaci můžete zadat speciální nouzové heslo. V tomto případě systém dočasně připojí disk, zničí osobní šifrovací klíč v elektronickém identifikátoru (což v budoucnu znemožní přístup k disku) a poté simuluje jednu ze známých chyb Windows.

Možnost obnovy dat v případě ztráty (či úmyslného poškození) elektronického identifikátoru nebo ztráty hesla.

Jednoduché a pohodlné uživatelské rozhraní.

Rozdíly v šifrovacích algoritmech (v závislosti na potřebách lze použít jeden z vestavěných algoritmů):

vestavěný kódovací algoritmus s délkou klíče 128 bitů;

kryptografický algoritmus RC4 s délkou klíče 40 bitů, zabudovaný do Windows 95, 98 (pro neamerickou verzi);

kryptografický algoritmus GOST 28147-89 s délkou klíče 256 bitů (softwarový emulátor desky Krypton nebo desky Krypton).

Kryptonová deska je certifikována pro ochranu státních tajemství a je dodávána na speciální žádost ANKAD.

Verze DeLuxe - s hardwarovou ochranou proti prvotnímu spuštění počítače.

8 Hardwarový a softwarový komplex zabezpečovacího zařízení "Accord-AMDZ"

SZI NSD Accord-AMDZ je hardwarově důvěryhodný spouštěcí modul (TMDZ) pro PC servery kompatibilní s IBM a pracovní stanice v lokální síti, který poskytuje ochranu zařízení a informačních zdrojů před neoprávněným přístupem.

Komplex je použitelný pro budování systémů pro ochranu informací před neoprávněným přístupem v souladu s řídícími dokumenty FSTEC (Státní technická komise) Ruska „Ochrana před neoprávněným přístupem k informacím. Část 1. Software pro bezpečnost informací. Klasifikace podle úrovně kontroly absence nedeklarovaných schopností“ - podle 3. úrovně kontroly, „Automatizované systémy. Ochrana před neoprávněným přístupem k informacím. Klasifikace automatizovaných systémů a požadavky na ochranu informací“ podle bezpečnostní třídy 1D a pro použití jako prostředek identifikace/autentizace uživatelů, sledování integrity softwarového a hardwarového prostředí PC (PC) při vytváření automatizovaných systémů, které splňují požadavky řídícího dokumentu FSTEC (Státní technická komise) Ruska „Automatizované systémy. Ochrana před neoprávněným přístupem k informacím. Klasifikace automatizovaných systémů a požadavky na ochranu informací“ do třídy 1B včetně.

Komplex je souborem hardwaru a softwaru, který zajišťuje implementaci základních funkcí ochrany před neoprávněným přístupem k osobním počítačům (PC) na základě:

používání osobních identifikátorů uživatele;

mechanismus hesla;

blokování načítání operačního systému z vyměnitelných úložných médií;

monitorování integrity hardwaru a softwaru (obecné soubory, aplikační software a data) osobního počítače (PC);

zajištění důvěryhodného režimu spouštění pro operační systémy nainstalované na osobním počítači (PC).

Softwarová část komplexu zahrnující identifikační a autentizační nástroje, prostředky pro sledování integrity hardwaru a softwaru osobního počítače (PC), prostředky pro záznam akcí uživatelů, dále nástroje pro správu (nastavení firmwaru) a audit (práce s logbook) jsou umístěny v energeticky nezávislé paměti (NVM) během výroby komplexu. Přístup ke komplexním nástrojům pro správu a audit má pouze správce BI.

Identifikaci a autentizaci uživatelů, sledování integrity hardwaru a softwaru osobního počítače (PC) provádí komplexní kontrolér před zavedením operačního systému nainstalovaného na osobním počítači (PC). Při úpravě systémového softwaru není nutná výměna ovladače. To poskytuje podporu pro speciální režim programování regulátoru bez snížení úrovně ochrany.

Komplex zajišťuje implementaci základních funkcí ochrany před neoprávněným přístupem jak v rámci lokálního PC, tak na pracovních stanicích LAN v rámci integrovaného systému ochrany před neoprávněným přístupem na LAN, včetně konfigurace, řízení provozu a správy komplex.

Klíčové vlastnosti:

Ochrana prostředků osobního počítače (PC) před osobami neoprávněnými na něm pracovat pomocí identifikace uživatelů osobního počítače (PC) pomocí osobních identifikátorů DS 199x - před načtením operačního systému (OS).

Autentizace uživatelů osobních počítačů (PC) pomocí hesla o délce do 12 znaků, zadávaného z klávesnice (délku hesla nastavuje administrátor BI při registraci uživatele), s ochranou proti prozrazení hesla - před načtením operačního systému (OS).

Blokování stahování z odcizených médií.

Sledování integrity hardwaru, softwaru, podmíněně trvalých informací osobního počítače (PC) před načtením OS s implementací algoritmu řízení krok za krokem. Tím je zajištěna ochrana proti vnesení destruktivních softwarových vlivů (DPI).

Podporuje souborové systémy FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS. Jedná se zejména o operační systémy rodin MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD, vSphere aj.

Registrace na osobním počítači (PC) až pro 16 uživatelů.

Registrace monitorovaných událostí v systémovém logu umístěném v energeticky nezávislé paměti regulátoru.

Schopnost fyzicky přepínat řídicí signály periferních zařízení v závislosti na úrovni oprávnění uživatele, což vám umožňuje řídit vstup/výstup informací na odcizená fyzická média a zařízení pro zpracování dat.

Správa integrovaného softwaru komplexu (registrace uživatelů a osobních identifikátorů, přiřazení souborů pro kontrolu integrity, kontrola hardwaru PC, prohlížení systémového logu).

Sledování integrity programů a dat a jejich ochrana před neoprávněnými úpravami.

Registrace, sběr, uchovávání a distribuce dat o událostech na osobním počítači (PC) ve vztahu k systému ochrany před neoprávněným přístupem do LAN.

Omezení přístupu uživatelů a PC programů k hardwarovým zařízením v souladu s jejich úrovní oprávnění.

Accord-AMDZ lze implementovat na různé ovladače. Může se jednat o: nebo PCI-X - ovladače Accord-5MX nebo Accord-5.5 (obr. 6B) express - ovladače Accord-5.5.e nebo Accord-GX (obr. 6A)

Mini PCI-express - Accord-GXM (obr. 6B) PCI-express poloviční karta - Accord-GXMH řadič

9 Hardwarový a softwarový komplex IP Safe-PRO

Určeno pro budování bezpečných virtuálních privátních IP sítí vytvořených na bázi veřejných sítí (včetně Internetu).

Vyrobeno na bázi počítače kompatibilního s IBM PC se dvěma ethernetovými rozhraními (základní konfigurace) s operačním systémem FreeBSD (obr. 7).

Další funkce:

funkce statického směrování a firewallu (ochrana proti spoofingu, zpracování dat podle adres, portů, protokolů atd.);

schopnost podporovat standardy rozhraní G.703, G.704, V.35, RS-232 atd.;

systém horké zálohy;

pracovat v synchronním i asynchronním režimu.

Specifikace:

Použitým protokolem rodiny IPsec je ESP (Encapsulating Security Payload, RFC 2406) v tunelovém režimu (poskytující následující bezpečnostní služby: důvěrnost a integritu dat, autentizaci zdroje dat, skrytí topologie lokálních podnikových sítí, ochranu před analýzou provozu).

Klíčový systém je symetrický (s možností centralizované i decentralizované správy).

Kryptografické algoritmy - GOST 28147, RC5, 3DES, DES, SHA-1, MD5.

10 Hardwarový a softwarový komplex šifrování CONTINENT 3.6 (obr. 8)

Komplex poskytuje kryptografickou ochranu informací (v souladu s GOST 28147-89) přenášených otevřenými komunikačními kanály mezi komponentami VPN, kterými mohou být místní počítačové sítě, jejich segmenty a jednotlivé počítače.

Moderní schéma klíče, implementující šifrování každého paketu pomocí jedinečného klíče, poskytuje zaručenou ochranu proti možnosti dešifrování zachycených dat.

Pro ochranu před průnikem z veřejných sítí poskytuje komplex Continent 3.6 filtrování přijatých a odesílaných paketů podle různých kritérií (adresy odesílatele a příjemce, protokoly, čísla portů, doplňková pole paketů atd.). Poskytuje podporu pro VoIP, videokonference, ADSL, Dial-Up a satelitní komunikační kanály, technologii NAT/PAT pro skrytí struktury sítě.

Klíčové vlastnosti a vlastnosti APKSh "Continent" 3.6:

.Kryptografická ochrana přenášených dat v souladu s GOST 28147-89

APKSH "Continent" 3.6 používá moderní schéma klíče, které šifruje každý paket pomocí jedinečného klíče. To poskytuje vysoký stupeň ochrany dat před dešifrováním v případě zachycení.

Šifrování dat se provádí v souladu s GOST 28147-89 v gama režimu se zpětnou vazbou. Ochrana dat před zkreslením se provádí v souladu s GOST 28147-89 v režimu simulovaného vkládání. Kryptografické klíče jsou spravovány centrálně z NCC.

.Firewalling - ochrana vnitřních segmentů sítě před neoprávněným přístupem

Crypto gateway "Continent" 3.6 poskytuje filtrování přijatých a odesílaných paketů podle různých kritérií (adresy odesílatele a příjemce, protokoly, čísla portů, doplňková pole paketů atd.). To umožňuje chránit vnitřní segmenty sítě před pronikáním z veřejných sítí.

.Zabezpečený přístup pro vzdálené uživatele k síťovým zdrojům VPN

Speciální software "Continent AP", který je součástí APKSH "Continent" 3.6, umožňuje organizovat bezpečný přístup ze vzdálených počítačů do podnikové sítě VPN.

.Vytváření informačních subsystémů s oddělením přístupu na fyzické úrovni

V APKSH "Continent" 3.6 můžete připojit 1 externí a 3-9 interních rozhraní na každou krypto bránu. To výrazně rozšiřuje možnosti uživatele při konfiguraci sítě v souladu s firemní bezpečnostní politikou. Zejména přítomnost několika interních rozhraní umožňuje oddělit podsítě organizačních oddělení na úrovni síťové karty a vytvořit mezi nimi nezbytnou míru interakce.

.Podpora společných komunikačních kanálů

Pracujte přes vytáčené připojení, zařízení ADSL připojené přímo ke kryptobráně a také prostřednictvím satelitních komunikačních kanálů.

."Transparentnost" pro jakékoli aplikace a síťové služby

Šifrovací brány Continent 3.6 jsou „transparentní“ pro všechny aplikace a síťové služby běžící přes protokol TCP/IP, včetně multimediálních služeb, jako je IP telefonie a videokonference.

.Práce s provozem s vysokou prioritou

Mechanismus priority provozu implementovaný v APKSH "Continent" 3.6 vám umožňuje chránit hlasový (VoIP) provoz a videokonference bez ztráty kvality komunikace.

.Rezervace zaručené šířky pásma pro určité služby

Rezervace zaručené šířky pásma pro určité služby zajišťuje průchod e-mailového provozu, systémy pro správu dokumentů atd. i při aktivním využívání IP telefonie na nízkorychlostních komunikačních kanálech.

podpora VLAN

Podpora VLAN zajišťuje snadnou integraci APKSH do síťové infrastruktury rozdělené do virtuálních segmentů.

.Skrytí vnitřní sítě. Podpora technologií NAT/PAT

Podpora technologie NAT/PAT umožňuje skrýt vnitřní strukturu chráněných segmentů sítě při přenosu otevřeného provozu, stejně jako organizovat demilitarizované zóny a segmentovat chráněné sítě.

Skrytí vnitřní struktury chráněných segmentů podnikové sítě se provádí:

způsob zapouzdření přenášených paketů (při šifrování provozu);

pomocí technologie překladu síťových adres (NAT) při práci s veřejně přístupnými zdroji.

11. Možnost integrace se systémy detekce útoků

Na každé kryptografické bráně je možné specificky vybrat jedno z rozhraní pro kontrolu provozu procházejícího kryptografickou bránou na pokusy o neoprávněný přístup (síťové útoky). Chcete-li to provést, musíte takové rozhraní definovat jako „SPAN port“ a připojit k němu počítač s nainstalovaným systémem detekce útoků (například RealSecure). Poté se všechny pakety přicházející na vstup filtru paketů krypto brány začnou předávat tomuto rozhraní.

3.11 Přepravní kufr „SHADOW K1“

"SHADOW K1" je určen pro přepravu notebooků nebo jednotlivých pevných a magnetických disků (HDD) (streamer cartridge, ZIP mechaniky) s možností nouzového zničení informací v případě pokusu o pohon HDD (obr. 11).

Konstrukčně je komplex namontován v prachotěsném, vlhkém a explozivním obalu, ve kterém bude notebook přepravován. Chráněné informace jsou umístěny na přídavném pevném disku, který je umístěn v pouzdře odděleném od notebooku ve speciální přihrádce a je k němu připojen externím kabelem rozhraní.

Nouzové zničení informací se provádí:

automaticky při pokusu o otevření pouzdra bez povolení;

automaticky při neoprávněném pokusu otevřít přihrádku, kde se nachází chráněný pevný disk;

automaticky, po 24 hodinách životnosti baterie;

vzdáleně na příkaz uživatele. Proces ničení neovlivňuje výkon notebooku a nezávisí na tom, zda došlo k nějaké práci;

s informacemi v tuto chvíli nebo ne. Je možné vyrobit komplex pro přepravu pevných disků, disket, audio, video a streamer kazet.

Komplex může být ve dvou režimech: pohotovostním režimu (RO) a bezpečnostním režimu (P1).

V režimu RO jsou testovány všechny hlavní komponenty, bloky a senzory. K dispozici je bezplatný přístup k notebooku nebo magnetickým médiím.

V režimu P1 jsou informace automaticky zničeny, když se o to NSD nebo uživatel pokusí kdykoli prostřednictvím rádiového kanálu (dosah až 100 metrů). Vypínání a zapínání se provádí pomocí bezkontaktní elektronické Bezdotykové karty.

Komplex TEN má autonomní zdroj energie, který zajišťuje nepřetržitý provoz po dobu až 24 hodin.

Další funkce:

zničení informací na příkaz uživatele z libovolného mobilního telefonu přes GSM kanál;

úplná ochrana pouzdra, vyloučení nesprávného otevírání a vrtání;

plné protokolování práce v reálném čase, záznam posledních 96 událostí do energeticky nezávislé paměti, s podrobným popisem.

12 Hardwarový a softwarový systém pro ochranu kryptografických zpráv SX-1

Hardwarový a softwarový systém SX-1 je určen pro kryptografickou ochranu zpráv přenášených komunikačními kanály mezi PC nebo zpráv uložených v paměti PC (obr. 9).

V systému SX-1 se poprvé v tuzemské i zahraniční kryptografické praxi chaotická proudová šifra.

Systém SX-1 poskytuje:

kryptografická transformace přenášených (přijatých) nebo generovaných textových a (nebo) grafických zpráv, formátovaných jako soubory, a jejich záznam na pevné disky nebo diskety;

vysoká odolnost klíčových dat vůči kompromitaci jakýmkoliv jednáním útočníků a personálu obsluhujícího hardware a software;

garantovaný výkon specifikovaných funkcí po dobu minimálně 2 let bez změny systémového klíče.

Systém SX-1 obsahuje:

Deska s jednočipovým počítačem (SOC), instalovaná do ISA slotu IBM PC/AT PC (nebo umístěná v samostatném kontejneru o rozměrech 140x110x35 mm) a připojená k PC pomocí COM konektoru;

Speciální software (SPO) nainstalovaný na PC s OS Windows.

Hlavní vlastnosti systému:

Pravděpodobnost uhodnutí systémového klíče na k-tý pokus není větší než k2-240 .

Pravděpodobnost uhodnutí klíče relace na k-tý pokus není větší než k10-10 .

Rychlost kryptografické konverze je minimálně 190 000 bps.

Použití silných šifrovacích algoritmů s délkou klíče 128 bitů k šifrování dat;

Možnost připojení FAPSI certifikovaného kryptografického modulu "Krypton" vyrobeného společností "Ankad" nebo desky "Krypton", implementující šifrovací algoritmus GOST 28147-89 s délkou klíče 256 bitů;

Generování jedinečných šifrovacích klíčů na základě sekvence náhodných čísel.

K instalaci systému potřebujete:

Nainstalujte systém SX-1 z diskety, která je součástí dodávky, přesně podle pokynů, které se postupně zobrazují na obrazovce počítače.

Připojte ke konektorům kontejneru s jednočipovým počítačem napájecí kabel z přiloženého adaptéru a dodaný kabel určený pro připojení kontejneru k PC.

Kontejner připojte pomocí kabelu ke konektoru COM.

Připojte adaptér ke střídavému napětí 220 V 50 Hz.

13 Firewall a IP stream encryptor PAK "FPSU-IP"

Určeno pro firewalling a ochranu kryptografických dat při vytváření virtuálních privátních sítí (Virtual Private Network) ve veřejných sítích (obr. 10).

Personální firewall „FPSU-IP/Client“ má certifikát FSTEC č. 1281 pro bezpečnostní třídu 5 v souladu s RD pro firewally a při provádění komunikační relace se základním firewallem „FPSU-IP“ (FSTEC certifikát č. 1091 ze dne 31. října 2011 .) - dle bezpečnostní třídy 3. Jako kryptografické jádro je použit nástroj pro ochranu kryptografických informací „Tunnel 2.0“ certifikovaný FSB (certifikát č. SF/124-1906 ze dne 13. srpna 2012, podle úrovně KS1).

Tento hardwarový a softwarový systém zajišťuje bezpečnou výměnu informací mezi vzdálenou účastnickou stanicí (pracovní stanicí) a sítí chráněnou komplexem FPSU-IP prostřednictvím otevřených datových sítí. Komplex FPSU-IP/Client je instalován na pracovní stanici vzdáleného uživatele a plní funkce firewallu a VPN builderu pro informační interakce „pracovní stanice – chráněné servery“. To zajišťuje ověřený a bezpečný přístup k serverům chráněným komplexem FPSU-IP vytvořením připojení VPN mezi pracovní stanicí a centrálním komplexem FPSU-IP. Administrativní správa, kontrola a audit všech VPN připojení se provádí centrálně pomocí pracovní stanice „Remote Management“, přičemž lze současně využívat až 4 pracovní stanice s příslušnými pravomocemi, což určuje vysokou stabilitu a spolehlivost správy s možností křížového auditu řízení.

ME „FPSU-IP/Client“ se skládá z uživatelského softwaru a aktivního USB zařízení „VPN-key“ (obr. 11), které uchovává jedinečný identifikátor klienta, klíč a servisní informace a je v podstatě virtuální mikro- Počítač s vhodnou architekturou.

Díky kompresi informací poskytuje komplex znatelné zvýšení rychlosti přenosu dat a má schopnost současně podporovat až 1024 kryptograficky bezpečných spojení s rychlostí šifrování celkového IP streamu „on pass“ až 90 Mbit/s. Komplex využívá pouze vlastní implementace všech zásobníků protokolů TCP/IP, algoritmy pro automatizované řízení komplexů a v nich zabudované prostředky kryptografické ochrany.

„FPSU-IP/Client“ funguje pod operačními systémy řady Windows XP/Vista/7/Server 2003/Server 2008, Linux, MacOS. Chcete-li provést bezpečnou interakci na pracovní stanici (PC), musíte nejprve nainstalovat uživatelský software „FPSU-IP/Client“, vložit „klíč VPN“ do USB portu počítače a na „vyskakovací okno“ pozvání (po připojení „VPN-klíče“) proveďte zadání příslušného PIN kódu.

Poté komplexy „FPSU-IP/Client“ a „FPSU-IP“ (obsahující odpovídající subsystém pro obsluhu komplexů FPSU-IP/Client) vytvoří zabezpečené spojení a provedou autentizaci a autorizaci uživatele. K autentizaci dochází při vytváření tunelu VPN mezi „FPSU-IP/Client“ a komplexem „FPSU-IP“. Po autentizaci komplexem FPSU-IP je klient autorizován. Kromě toho je zajištěn překlad skutečné IP adresy klienta na IP adresu chráněné sítě.

Ve druhé fázi komplexy „FPSU-IP/Client“ a „FPSU-IP“ filtrují a přenášejí data v šifrované podobě přes kanál VPN z klienta do komplexu FPSU-IP. Dodatečně je možné provádět průchozí kompresi přenášených dat, což výrazně snižuje objem přenášených informací a zvyšuje rychlost interakce.

Připojení je ukončeno buď na žádost uživatele, nebo po vyjmutí „VPN klíče“ z USB portu.

Vlastností technologie FPSU-IP/Client je schopnost uživatele pracovat z libovolného místa PC v síti, tzn. není vyžadována vazba na konkrétní IP adresu a je zajištěna přísná obousměrná autentizace všech interakcí mezi PC a FPSU-IP. Identifikace uživatele se provádí pomocí čtyřmístného digitálního uživatelského PIN kódu, jehož počet pokusů o zadání je omezen (s dalším přechodem na nutnost použití 10místného PUK kódu). Autorizaci a autentizaci uživatelů zajišťuje komplex FPSU-IP.

Systém vzdálené správy a monitorování pro komplexy FPSU-IP a FPSU-IP/Client zajišťuje kompletní správu a monitorování chráněné sítě. Možnosti auditního systému umožňují provádět samostatné výpočty objemu dat přenášených mezi konkrétními PC a FPSU-IP komplexy, což umožňuje jasnou kontrolu nad prací účastníků.

Komplex FPSU-IP/Client je naprosto transparentní pro všechny standardní internetové protokoly a lze jej použít ve spojení s jakýmkoli softwarem, který poskytuje přístup k IP zdrojům.

Pro zajištění větší bezpečnosti je možné administrativně (vzdáleně nebo lokálně) omezit přístup uživatelů FPSU-IP/Klient k otevřeným segmentům sítě při práci s chráněnými zdroji, a to až do úplného zákazu.

Uveďme si hlavní charakteristiky:

Výkon – poskytuje přenosovou rychlost IP streamů 65

Mbit/sa vyšší, když jsou povoleny všechny režimy ochrany (filtrování+komprese+šifrování).

Šifrovací algoritmus - GOST 28147-89

Klíčový systém/centralizovaná distribuce klíčů - symetrická/centralizovaná.

Zásobník OS/protokolů – 32bitový DOS/nativní.

Zpracovávané úrovně EMVOS jsou síť + přenos, relace a aplikace (selektivně).

Typ a počet rozhraní - 2; 10/100 Ethernet, FDDI.

Protokol VPN/redundance/komprese dat – nativní/ne více než 22 bajtů na paket/díky kompresi dat pass-through je dosaženo efektu zrychlení interakcí s informacemi.

Podpora QoS služeb - organizace až 8 nezávislých VPN tunelů v rámci párových spojení s upřednostňováním informačních toků.

Správa a monitorování komplexů – lokálních i vzdálených, s mechanismy pro „vracení“ poruch. Až 1024 komplexů na pracovní stanici. Poskytuje vizuální (grafické) zobrazení provozního stavu chráněných sítí, alarmování abnormálních událostí a celkový audit informací a interakcí managementu.

Protokolem pro dálkové ovládání komplexů je vlastní tunelový protokol s přísnou obousměrnou autentizací v souladu s X.509.

Vlastní zabezpečení - plný audit událostí a personálních akcí, kontrola přístupu pomocí iButton a USB-Key. Využití speciálních směrovacích procedur a podpora VPN tunelů s využitím adaptivního řízení toku dat za účelem zvýšení stability (přežití) systémů.

Efektivní působení proti aktivním a pasivním informačním vlivům zpravodajského charakteru - skrytí skutečné topologie VPN, NAT, skrytí faktů o použití komplexů, proxy SMNP/SMNP-Trap, Telnet, TFTP, HTTP správa hraničních routerů, správná emulace absence používaných, ale skrytých adres a služeb.

Možnost kaskádového začlenění komplexů - zajišťuje alokaci jednotlivých segmentů sítě do izolovaných zón zvýšené bezpečnosti.

Vzdálený klient (software pro protipráci s "FPSU-IP" + USB klíč) - pro Windows 98, NT, 2000.

Technický software pro šifrování informací

3.14 Nástroj na ochranu kryptografických informací CryptoPro CSP

Cryptoprovider CryptoPro CSP je určen pro:

autorizace a zajištění právního významu elektronických dokumentů při jejich výměně mezi uživateli pomocí postupů pro generování a ověřování elektronického digitálního podpisu (EDS) v souladu s tuzemskými normami GOST R 34.10-94, GOST R 34.11-94, GOST R 34.10-2001;

zajištění důvěrnosti a sledování integrity informací prostřednictvím jejich šifrování a ochrany před imitací v souladu s GOST 28147-89; zajištění autenticity, důvěrnosti a ochrany před předstíráním identity připojení TLS;

kontrola integrity systému a aplikačního softwaru za účelem jeho ochrany před neoprávněnými změnami nebo porušením správného fungování;

řízení klíčových prvků systému v souladu s předpisy o ochranných prostředcích.

Zvláštnosti:

Vestavěná podpora Winlogon

CryptoPro CSP 3.6 obsahuje poskytovatele odvolání, který funguje prostřednictvím odpovědí OCSP

Byla implementována podpora pro platformu x64 Byla zajištěna implementace protokolu EAP/TLS Externí rozhraní CIPF bylo rozšířeno pro zajištění práce s funkčním nosičem klíčů (FKN), klíčová dohoda pro použití v implementacích protokolu IPSec. a pracovat s jinými aplikacemi.

Možnost použití normy GOST R 34.10-94 je vyloučena

Implementované algoritmy:

Algoritmus pro generování hodnoty hashovací funkce je implementován v souladu s požadavky GOST R 34.11 94 "Informační technologie. Ochrana kryptografických informací. Hashovací funkce."

Algoritmy pro generování a ověřování digitálních podpisů jsou implementovány v souladu s požadavky:

GOST R 34.10 94 "Informační technologie. Kryptografická ochrana informací. Systém elektronického digitálního podpisu založený na asymetrickém kryptografickém algoritmu";

GOST R 34.10 94 a GOST R 34.10-2001 "Informační technologie. Kryptografická ochrana informací. Procesy generování a ověřování elektronických digitálních podpisů."

Algoritmus šifrování/dešifrování dat a výpočet imitativních vložek jsou implementovány v souladu s požadavky GOST 28147 89 "Systémy zpracování informací. Kryptografická ochrana." Při generování soukromých a veřejných klíčů je možné generovat s různými parametry v souladu s GOST R 34.10-94 a GOST R 34.10-2001. Při generování hodnoty hashovací funkce a šifrování je možné použít různé náhradní uzly v souladu s GOST R 34.11-94 a GOST 28147-89.

Závěr

Na příkladu systémů automatizovaného zpracování dat jsme prozkoumali a analyzovali potenciální hrozby, možné kanály neoprávněného přístupu, způsoby a prostředky ochrany informací a jejich hardwarová a softwarová řešení. Přirozeně, že uvedené prostředky ochrany a agrární a průmyslový komplex nejsou vždy spolehlivé, protože... Dnes se rychle rozvíjí nejen technika (v našem případě výpočetní technika), neustále se zdokonalují nejen samotné informace, ale i metody, které tyto informace umožňují. Náš věk je často nazýván informačním věkem a přináší s sebou obrovské příležitosti spojené s ekonomickým růstem a technologickými inovacemi. Vlastnictví elektronických dat, která se stává největší hodnotou informační éry, v současnosti ukládá jejich vlastníkům práva a povinnosti kontrolovat jejich používání. Soubory a zprávy uložené na discích a zaslané komunikačními kanály jsou někdy cennější než samotné počítače a disky. Příslib informačního věku lze proto realizovat pouze tehdy, pokud jednotlivci, podniky a další subjekty, které mají informace, které jsou stále citlivější nebo citlivější, budou schopny dostatečně chránit svůj majetek před různými hrozbami, zvolit úroveň ochrany, která bude splňovat jejich bezpečnostní požadavky. na základě analýzy úrovně ohrožení a hodnoty skladovaného majetku.

Reference

1. Zaitsev A.P., Golubyatnikov I.V., Meshcheryakov R.V., Shelupanov A.A. Software a hardware pro informační bezpečnost: Učebnice. Vydání 2 rev. a doplňkové - M.: Mashinostroenie-1, 2006. - 260 s.

2. Vainshtein Yu.V., Demin S.L., Kirko I.N. atd. Učebnice pro obory „Základy informační bezpečnosti“, „Informační bezpečnost a ochrana informací“. - Krasnojarsk, 2007. - 303 s.

Varlataya S.K., Shakhanova M.V. Hardwarové a softwarové nástroje a metody informační bezpečnosti: Učebnice. - Vladivostok: Nakladatelství Státní technické univerzity Dálného východu, 2007. - 318 s.

http://www.accord.ru/amdz.html

Http://signal-com.ru/ru/prod/tele/ipsafe/

http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip

http://www.cryptopro.ru/products/csp/overview

http://www.securitycode.ru/products/pak_sobol/abilities/

http://www.securitycode.ru/products/secret_net/

Http://www.aladdin-rd.ru/catalog/secret_disk/server/

11. Příloha 1 k Předpisům o certifikačním systému pro zařízení pro bezpečnost informací podle bezpečnostních požadavků na informace představující státní tajemství (certifikační systém SZI-GT), schválený nařízením FSB Ruské federace ze dne 13. listopadu 1999 č. 564 „O schválení ustanovení o systému certifikace bezpečnostních zařízení informace o bezpečnostních požadavcích na informace představující státní tajemství a jejich značky shody“

Doučování

Potřebujete pomoc se studiem tématu?

Naši specialisté vám poradí nebo poskytnou doučovací služby na témata, která vás zajímají.
Odešlete přihlášku uvedením tématu právě teď, abyste se dozvěděli o možnosti konzultace.

Problémy informační bezpečnosti Java zaměstnávají mysl nejen vývojářů JDK, ale také vývojářů aplikací. Žádný programovací jazyk nemůže poskytnout 100% bezpečnost. Proto se obracíme ke známému principu, který říká: „Spolehlivá obrana musí být vrstvená. Z tohoto pohledu budou informace uvedeny v této části.

Informace jsou jedním z nejcennějších zdrojů každé společnosti, takže zajištění bezpečnosti informací je prioritou. S rostoucím významem a hodnotou informací roste odpovídajícím způsobem i význam jejich ochrany.

Pro zajištění integrity a důvěrnosti informací je nutné chránit informace před náhodným zničením nebo neoprávněným přístupem k nim. Neporušenost znamená nemožnost neoprávněného nebo náhodného zničení, jakož i úpravy informací. Důvěrnost informací znamená nemožnost neoprávněného získání uložených, odeslaných nebo přijatých informací útočníkem.

Neoprávněný přístup označuje nezákonné jednání, v jehož důsledku útočník získá přístup k důvěrným informacím. to znamená, neoprávněný přístup- jedná se o aktivní akce k vytvoření možnosti získat přístup k informacím někoho jiného bez souhlasu vlastníka. Hackování– neoprávněný vstup do počítačové sítě nebo do počítače někoho jiného za účelem získání přístupu k informacím.

Existuje mnoho možných směrů úniku informací a způsobů neoprávněného přístupu k nim v systémech a sítích:

• zachycování informací;
• úprava informací, tzn. provádění změn v něm;
• nahrazení autorství informací, kdy útočník může poslat dopis nebo dokument vaším jménem;
• vytváření falešných zpráv;
• neoprávněný přístup k důvěrným informacím;
• zavedení počítačových virů a tak dále.

Tyto typy hrozeb mohou vzniknout v důsledku neoprávněného přístupu k informacím.

Ochrana informací před neoprávněným přístupem (autentizace a autorizace)

Pro získání přístupu ke zdrojům informačního systému je třeba provést tři procedury: identifikaci, autentizaci a autorizaci.

Pod identifikace odkazuje na přiřazení jedinečných jmen a kódů (identifikátorů) uživatelům (objektům nebo subjektům zdrojů).

Autentizace(autentizace) je postup pro zjištění autenticity uživatele (nebo objektu) podle zadaného identifikátoru. Například: ověření uživatele porovnáním hesla, které zadal, s heslem v databázi; potvrzení pravosti e-mailu kontrolou digitálního podpisu dopisu; kontrola kontrolního součtu souboru, zda je v souladu s částkou deklarovanou autorem tohoto souboru. V ruštině se tento termín používá především v oblasti informačních technologií.

Autentizace by neměla být zaměňována s povolení. Autorizace se týká kontroly oprávnění nebo ověření práva uživatele přistupovat ke konkrétním zdrojům a provádět s nimi určité operace. Autorizace se provádí za účelem rozlišení přístupových práv k síťovým a počítačovým zdrojům.

Jednoduchý algoritmus ověření uživatele se skládá z následujících kroků:

• uživatel zadá parametry svého účtu (login/heslo) a odešle je na server k ověření;
• ověřovací server porovnává přijaté hodnoty s referenčními hodnotami uloženými zpravidla v databázi;
• pokud se údaje shodují s referenčními údaji, je autentizace považována za úspěšnou a uživatel získá přístup do informačního systému; pokud se data neshodují s referenčními hodnotami, uživatel se vrátí k 1. kroku.

Heslo uživatelského účtu musí být uloženo na serveru v hašované podobě. V tomto případě ověřovací server zkontroluje databázi na přítomnost záznamu se specifickou hodnotou uživatelského přihlášení a hash kódem hesla.

K identifikaci uživatelů lze využít technicky složité systémy, které zajistí autentizaci uživatele na základě analýzy jeho jednotlivých parametrů (otisky prstů, perokresba ruky, duhovka, zabarvení hlasu). Rozšiřují se metody fyzické identifikace spojené s pevnými médii – průchody v kontrolních systémech, pasivní plastové karty čtené speciálními zařízeními; aktivní plastové karty obsahující vestavěný mikroobvod.

Elektronický digitální podpis

Jedním z nejpoužívanějších způsobů zajištění informační bezpečnosti je zjišťování pravosti dokumentů na základě elektronického digitálního podpisu. Asymetrické klíče se používají pro práci s digitálními podpisy. Vlastník zašifruje svou zprávu/dokument soukromým klíčem (PrivateKey) a uživatelé s veřejnými klíči (PublicKey) mohou zprávu/dokument dešifrovat a přečíst. Protože soukromý klíč vlastní pouze autor, mohl zprávu zašifrovat pouze on. Tím se potvrdí identita zprávy.

Někdy se používá jako digitální podpis přehled zpráv, zašifrované pomocí PrivateKey. Příjemce může získat výtah zprávy pomocí PublicKey, porovnat jej se samotným výtahem zprávy a ověřit pravost zprávy, tzn. ve své celistvosti a příslušnosti k odesílateli.

Ochrana informací v počítačových sítích

Lokální sítě firem jsou velmi často připojeny k internetu. K ochraně lokálních sítí firem se zpravidla používají firewally. Firewall je prostředek kontroly přístupu, který umožňuje rozdělit síť na dvě části (hranice je mezi lokální sítí a Internetem) a vytvořit sadu pravidel, která určují podmínky pro průchod paketů z jedné části do druhé. . Obrazovky mohou být implementovány hardwarově nebo softwarově.

Obrazovky mohou poskytnout ochranu ve firemních počítačových sítích. Ale často jsou informace ve formě objektů odesílány do nechráněného prohlížeče. V tomto případě musí být objekty ve formě třídy Java serializovány. Serializace objektu není bezpečná. Pokud má serializovaný objekt pro společnost nějakou hodnotu, může být chráněn také během fází serializace a deserializace. Ochrana serializovaného objektu je podrobně popsána na příkladu.

Poznámka: O bezpečnosti informací lze říci mnoho. Myslet můžete i na počítačové viry a antivirové programy. Zde se ale zaměříme zatím jen na ty aspekty, které jsou na webu diskutovány a zajímají Java programátory.

Neoprávněný přístup -číst, aktualizovat nebo ničit informace bez příslušného oprávnění k tomu.

Neoprávněný přístup se provádí zpravidla použitím cizího jména, změnou fyzických adres zařízení, využitím informací zbývajících po vyřešení problémů, úpravou softwaru a informací, krádeží paměťových médií, instalací záznamového zařízení.

Pro úspěšnou ochranu vašich informací musí uživatel naprosto jasně rozumět možnému způsoby neoprávněného přístupu. Uvádíme hlavní typické způsoby získávání informací bez povolení:

· krádeže paměťových médií a výrobního odpadu;

· kopírování paměťových médií překonáním bezpečnostních opatření;

· přestrojit se za registrovaného uživatele;

· hoax (přestrojení za systémové požadavky);

· využití nedostatků operačních systémů a programovacích jazyků;

· používání softwarových záložek a softwarových bloků typu „trojský kůň“;

· zachycení elektronického záření;

· zachycování akustického záření;

· fotografování na dálku;

· používání odposlouchávacích zařízení;

· zlomyslné vypínání ochranných mechanismů atd.

K ochraně informací před neoprávněným přístupem se používají následující:

1) organizační akce;

2) technické prostředky;

3) software;

4) šifrování.

Organizační akce zahrnout:

· režim přístupu;

· uložení médií a zařízení v trezoru (diskety, monitor, klávesnice atd.);

· omezení přístupu osob do počítačových místností apod.

Technické prostředky zahrnout:

· filtry, síta pro zařízení;

· klávesa pro uzamčení klávesnice;

· autentizační zařízení – pro čtení otisků prstů, tvaru ruky, duhovky, rychlosti a technik psaní atd.;

· elektronické klíče na mikroobvodech atd.

Softwarové nástroje zahrnout:

· přístup pomocí hesla – nastavení uživatelských oprávnění;

· uzamknout obrazovku a klávesnici pomocí kombinace kláves v nástroji Diskreet z balíčku Norton Utilites;

· používání nástrojů ochrany heslem BIOSu - na samotném BIOSu a na PC jako celku atd.

Šifrování– Jedná se o transformaci (kódování) otevřených informací na zašifrované informace, které jsou zvenčí nepřístupné. Šifrování se používá především k přenosu citlivých informací přes nezabezpečené komunikační kanály. Šifrovat můžete jakékoli informace - texty, obrázky, zvuk, databáze atd. Lidstvo používá šifrování od chvíle, kdy existovaly tajné informace, které bylo třeba před nepřáteli skrýt. První zašifrovaná zpráva, kterou věda zná, je egyptský text, ve kterém byly místo tehdy přijímaných hieroglyfů použity jiné znaky. Věda studuje metody šifrování a dešifrování zpráv. kryptologie , jehož historie sahá zhruba čtyři tisíce let zpět. Skládá se ze dvou větví: kryptografie a kryptoanalýzy.

Kryptografie je věda o způsobech šifrování informací. Kryptoanalýza je věda o metodách a technikách prolamování šifer.

Obvykle se předpokládá, že samotný šifrovací algoritmus je každému znám, ale jeho klíč je neznámý, bez něhož nelze zprávu dešifrovat. To je rozdíl mezi šifrováním a jednoduchým kódováním, ve kterém k obnovení zprávy stačí znát pouze kódovací algoritmus.

Klíč- jedná se o parametr šifrovacího algoritmu (šifry), který umožňuje vybrat jednu konkrétní transformaci ze všech možností, které algoritmus poskytuje. Znalost klíče vám umožňuje volně šifrovat a dešifrovat zprávy.

Všechny šifry (šifrovací systémy) se dělí do dvou skupin – symetrické a asymetrické (s veřejným klíčem). Symetrická šifra znamená, že stejný klíč se používá k šifrování i dešifrování zpráv. Na systémech s veřejný klíč používají se dva klíče – veřejný a soukromý, které spolu souvisí pomocí některých matematických závislostí. Informace jsou šifrovány pomocí veřejného klíče, který je dostupný všem, a dešifrovány pomocí soukromého klíče, který zná pouze příjemce zprávy.

Síla šifry je odolnost šifry proti dešifrování bez znalosti klíče. Algoritmus je považován za odolný, pokud ke svému úspěšnému odhalení vyžaduje od nepřítele nedosažitelné výpočetní zdroje, nedosažitelné množství zachycených zpráv nebo takovou dobu, po jejíž vypršení již chráněné informace nebudou relevantní.

Jedna z nejznámějších a nejstarších šifer je Caesarova šifra. V této šifře je každé písmeno nahrazeno jiným, umístěným v abecedě o daný počet pozic k napravo od něj. Abeceda je uzavřena do kruhu, takže poslední znaky jsou nahrazeny prvními. Caesarova šifra odkazuje na jednoduché substituční šifry, protože každý znak původní zprávy je nahrazen jiným znakem ze stejné abecedy. Takové šifry lze snadno vyřešit pomocí frekvenční analýzy, protože v každém jazyce je frekvence výskytu písmen přibližně konstantní pro jakýkoli dostatečně velký text.

Mnohem těžší rozbít Vigenèrova šifra, který se stal přirozeným vývojem Caesarovy šifry. Pro použití Vigenèrovy šifry se používá klíčové slovo, které určuje hodnotu proměnného posunu. Vigenèrova šifra má výrazně vyšší kryptografickou sílu než Caesarova šifra. To znamená, že je obtížnější jej otevřít – vybrat správné klíčové slovo. Teoreticky, pokud je délka klíče rovna délce zprávy a každý klíč je použit pouze jednou, Vigenèrovu šifru nelze prolomit.