¿Qué es un controlador de raid? ¿Qué es una matriz RAID y un controlador Raid? Importante: para comprender el funcionamiento y las funciones principales de los controladores raid y otros dispositivos que forman un sistema de almacenamiento de información, es necesario tener una buena comprensión de qué es la información.
Introducción
Las medidas para proteger la información del acceso no autorizado son parte integral de las actividades de gestión, científicas y productivas (comerciales) de una empresa (institución, firma, etc.), independientemente de su afiliación departamental y forma de propiedad, y se llevan a cabo en conjunto. con otras medidas para garantizar el régimen de privacidad establecido. La práctica de organizar la protección de la información contra el acceso no autorizado durante su procesamiento y almacenamiento en un sistema automatizado debe tener en cuenta los siguientes principios y reglas para garantizar la seguridad de la información:
Cumplimiento del nivel de seguridad de la información con las disposiciones legislativas y requisitos reglamentarios para la protección de la información sujeta a protección según la legislación vigente, incl. selección de la clase de seguridad de la planta de acuerdo con las características del procesamiento de la información (tecnología de procesamiento, condiciones operativas específicas de la planta) y el nivel de su confidencialidad.
Identificación de información y documentación confidencial en forma de listado de información a proteger, su ajuste oportuno.
Las decisiones más importantes sobre protección de la información deben ser tomadas por la dirección de la empresa (organización, empresa), el propietario del AS.
Determinar el procedimiento para fijar los niveles de autoridad de acceso de los sujetos, así como el círculo de personas a quienes se otorga este derecho.
Establecimiento y ejecución de reglas de control de acceso, es decir. un conjunto de reglas que rigen los derechos de acceso de los sujetos de acceso a los objetos de acceso.
Establecer la responsabilidad personal de los usuarios por el mantenimiento del nivel de seguridad del AS en el tratamiento de información sujeta a protección según la legislación vigente.
Garantizar la seguridad física de la instalación en la que se encuentra la central nuclear protegida (territorio, edificios, locales, medios de almacenamiento de información), mediante la instalación de postes adecuados, equipos técnicos de seguridad o cualquier otro medio que impida o complique significativamente el robo de equipos informáticos, medios de información. , así como NSD a SVT y líneas de comunicación.
Organización de un servicio de seguridad de la información (personas responsables, administrador de AS), responsable de registrar, almacenar y emitir medios de información, contraseñas, claves, mantener la información oficial del sistema de seguridad de la información NSD (generar contraseñas, claves, mantener reglas de control de acceso), aceptar nuevo software incluido en el AS, así como monitorear el avance del proceso tecnológico de procesamiento de información confidencial, etc.
Control sistemático y operativo del nivel de seguridad de la información protegida, verificación de las funciones protectoras de las herramientas de seguridad de la información. Las herramientas de seguridad de la información deben contar con un certificado que acredite su cumplimiento de los requisitos de seguridad de la información.
Herramientas de seguridad de la información- se trata de un conjunto de dispositivos y dispositivos, instrumentos y sistemas técnicos de ingeniería, eléctricos, electrónicos, ópticos y de otro tipo, así como otros elementos materiales utilizados para resolver diversos problemas de protección de la información, incluida la prevención de fugas y la garantía de la seguridad de la información protegida.
En general, los medios para garantizar la seguridad de la información en términos de prevenir acciones deliberadas, según el método de implementación, se pueden dividir en grupos: técnicos (hardware), software, hardware y software mixtos, organizativos.
Medios técnicos (hardware)- Se trata de dispositivos de diversos tipos (mecánicos, electromecánicos, electrónicos y otros) que resuelven problemas de seguridad de la información con hardware. Impiden la penetración física o, si se produce, impiden el acceso a la información, incluso enmascarándola. La primera parte del problema se resuelve con cerraduras, rejas, alarmas de seguridad, etc. La segunda parte se resuelve con generadores de ruido, protectores contra sobretensiones, escaneo.
radios y muchos otros dispositivos que “bloquean” posibles canales de fuga de información o permiten su detección. Las ventajas de los medios técnicos están asociadas a su fiabilidad, independencia de factores subjetivos y alta resistencia a la modificación.
La protección de hardware incluye diversos dispositivos electrónicos, electrónico-mecánicos y electroópticos. Ya
Con el tiempo se ha desarrollado un número importante de dispositivos de hardware para diversos fines, pero los más extendidos son los siguientes:
registros especiales para almacenar datos de seguridad: contraseñas, códigos identificativos, clasificaciones o niveles de seguridad;
dispositivos para medir las características individuales de una persona (voz, huellas dactilares) con fines de identificación;
Circuitos para interrumpir la transmisión de información en una línea de comunicación con el fin de verificar periódicamente la dirección de salida de datos.
dispositivos para cifrar información (métodos criptográficos).
Las herramientas de software incluyen programas para identificación de usuarios, control de acceso, cifrado de información, eliminación de residuos
Información (de trabajo) como archivos temporales, control de prueba del sistema.
protección, etc. Las ventajas del software son versatilidad, flexibilidad, confiabilidad, facilidad de instalación, capacidad de ser modificado y desarrollado. Desventajas: funcionalidad de red limitada, uso de parte de los recursos del servidor de archivos y estaciones de trabajo, alta sensibilidad a cambios accidentales o intencionales, posible dependencia del tipo de computadora (su hardware).
El hardware y el software combinados implementan las mismas funciones que el hardware y el software por separado y tienen propiedades intermedias.
Los medios organizativos consisten en organizacional-técnico (preparación de locales con computadoras, tendido de un sistema de cables, teniendo en cuenta los requisitos para limitar el acceso al mismo, etc.) y organizacional-legal (legislación nacional y reglas de trabajo establecidas por la dirección de una empresa en particular). ). Las ventajas de las herramientas organizativas son que permiten resolver muchos problemas diferentes, son fáciles de implementar, responden rápidamente a acciones no deseadas en la red y tienen posibilidades ilimitadas de modificación y desarrollo.
Las herramientas de software se distinguen según el grado de distribución y disponibilidad. Se utilizan otros medios en los casos en que es necesario proporcionar un nivel adicional de protección de la información.
.Canales de fuga de información de aeronaves.
Los posibles canales de fuga de información son los canales asociados con el acceso a los elementos del sistema y los cambios en la estructura de sus componentes. El segundo grupo incluye:
leer intencionalmente datos de archivos de otros usuarios;
leer información residual, es decir, datos que quedan en medios magnéticos después de completar las tareas;
copiar medios de almacenamiento;
Uso intencional de terminales para acceder a información.
usuarios registrados;
hacerse pasar por un usuario registrado robando contraseñas y otros detalles para restringir el acceso a la información utilizada en los sistemas de procesamiento;
el uso de las llamadas "trampas", agujeros y "lagunas" para acceder a la información, es decir, oportunidades para eludir el mecanismo de control de acceso que surgen como resultado de imperfecciones en los componentes de software de todo el sistema (sistemas operativos, sistemas de gestión de bases de datos, etc.) y ambigüedades en los lenguajes de programación utilizados en los sistemas automatizados de procesamiento de datos.
.Métodos de protección de la información en las fuerzas armadas.
En presencia de medios simples para almacenar y transmitir información, existían y no han perdido su importancia hasta el día de hoy los siguientes métodos para protegerla del acceso intencional: restringir el acceso; control de acceso; separación de acceso (privilegios); transformación criptográfica de información; control de acceso y contabilidad; medidas legislativas.
Estos métodos se llevaron a cabo de forma puramente organizativa o con la ayuda de medios técnicos.
Con la llegada del procesamiento automatizado de información, el medio físico de información ha cambiado y se ha complementado con nuevos tipos, y los medios técnicos para procesarla se han vuelto más complejos.
En este sentido, se están desarrollando viejos métodos de protección de la información en los sistemas informáticos y están surgiendo otros nuevos:
métodos de control funcional que brindan detección y diagnóstico de fallas, fallas de hardware y errores humanos, así como errores de software;
métodos para aumentar la confiabilidad de la información;
métodos para proteger la información de situaciones de emergencia;
métodos para controlar el acceso a la instalación interna de equipos, líneas de comunicación y controles tecnológicos;
métodos de delimitación y control de acceso a la información;
métodos de identificación y autenticación de usuarios, medios técnicos, soportes de almacenamiento y documentos;
Los métodos para proteger la información del acceso no autorizado se pueden dividir en 4 tipos
2.1 Acceso físico y de datos
Las reglas de control de acceso a datos son los únicos métodos existentes para lograr los requisitos de identificación individual discutidos anteriormente. La mejor política de control de acceso es una política de "privilegios mínimos". En otras palabras, el usuario tiene acceso únicamente a la información que necesita en su trabajo. Para información clasificada como confidencial (o equivalente) o superior, el acceso puede cambiar y confirmarse periódicamente.
En algún nivel (al menos confidencial registrado o equivalente) debería haber un sistema de comprobaciones y controles de acceso, así como un registro de cambios. Deben existir reglas que definan la responsabilidad de todos los cambios en datos y programas. Debe existir un mecanismo para detectar intentos de acceso no autorizado a recursos como datos y programas. Se debe notificar al propietario del recurso, a los gerentes de departamento y al personal de seguridad sobre posibles violaciones para evitar la posibilidad de colusión.
2 Control de acceso a equipos
Para controlar el acceso a la instalación interna, líneas de comunicación y controles tecnológicos, se utilizan equipos a prueba de manipulación. Esto significa que la instalación interna de equipos y elementos tecnológicos y paneles de control se cierran con tapas, puertas o carcasas sobre las que se instala el sensor. Los sensores se activan cuando se abre el equipo y producen señales eléctricas, que se envían a través de circuitos colectores a un dispositivo de control centralizado. Instalar un sistema de este tipo tiene sentido si se cubren de manera más completa todos los aspectos tecnológicos del equipo, incluidas las herramientas de descarga de software, el panel de control de la computadora y los conectores de cables externos del hardware incluido en el sistema informático. Idealmente, para sistemas con mayores requisitos para la efectividad de la seguridad de la información, es aconsejable cerrar las tapas con una cerradura mecánica con un sensor o controlar la inclusión de medios estándar para iniciar sesión en el sistema: terminales de usuario.
El control sobre la apertura de equipos es necesario no solo para proteger la información del acceso no autorizado, sino también para mantener la disciplina tecnológica con el fin de garantizar el funcionamiento normal del sistema informático, porque a menudo durante el funcionamiento, en paralelo con la resolución de los problemas principales. , se lleva a cabo la reparación o el mantenimiento del equipo, y puede resultar que accidentalmente se olvidó de conectar el cable o que la consola de la computadora cambió el programa de procesamiento de información. Desde el punto de vista de proteger la información del acceso no autorizado, los equipos a prueba de manipulaciones protegen contra las siguientes acciones:
cambios y destrucción del diagrama esquemático del sistema y equipo informático;
conectar un dispositivo de terceros;
cambiar el algoritmo del sistema informático mediante el uso de consolas y controles tecnológicos;
descargar programas de terceros e introducir "virus" de software en el sistema;
uso de terminales por personas no autorizadas, etc.
La tarea principal de los sistemas de control de manipulación de equipos es cubrir todos los accesos tecnológicos y anormales al equipo durante el período de operación. Si estos últimos son necesarios durante el funcionamiento del sistema, el equipo retirado para reparación o mantenimiento se desconecta del circuito de trabajo para intercambiar información a proteger antes de iniciar el trabajo, y se introduce en el circuito de trabajo bajo la supervisión y control de personas. responsable de la seguridad de la información.
2.3 Transformación criptográfica de la información
Proteger los datos mediante cifrado es una de las posibles soluciones al problema de la seguridad de los datos. Los datos cifrados sólo son accesibles para alguien que sepa cómo descifrarlos, lo que hace que sea completamente inútil que usuarios no autorizados roben datos cifrados. La criptografía garantiza no sólo el secreto de la información, sino también su autenticidad. El secreto se mantiene cifrando mensajes individuales o el archivo completo. La autenticidad de la información se confirma mediante cifrado con un código especial que contiene toda la información, que es verificado por el destinatario para confirmar la identidad del autor. No sólo certifica el origen de la información, sino que también garantiza su inmutabilidad. Incluso la simple transformación de información es un medio muy eficaz de ocultar su significado a la mayoría de los infractores no cualificados.
La criptografía es hoy la única forma conocida de garantizar el secreto y confirmar la autenticidad de la información transmitida desde los satélites. La naturaleza del estándar de cifrado de datos DES es tal que su algoritmo es público, sólo la clave debe ser secreta. Además, se deben utilizar las mismas claves para cifrar y descifrar la información; de lo contrario, será imposible leerla.
El principio del cifrado es codificar texto mediante una clave. Los sistemas de cifrado tradicionales utilizaban la misma clave para codificar y decodificar. En los nuevos sistemas de cifrado de clave pública o asimétrico, las claves están emparejadas: una se usa para codificar y la otra para decodificar información. En dicho sistema, cada usuario posee un par de claves único. Una clave, la llamada clave "pública", es conocida por todos y se utiliza para cifrar mensajes. Otra clave, llamada clave "secreta", se mantiene estrictamente secreta y se utiliza para descifrar los mensajes entrantes. Al implementar un sistema de este tipo, un usuario que necesita enviar un mensaje a otro puede cifrar el mensaje con la clave pública de este último. Sólo el propietario de la clave secreta personal puede descifrarla, por lo que no hay riesgo de interceptación. Este sistema también se puede utilizar para crear protección contra la falsificación de firmas digitales.
El uso práctico del cifrado de seguridad de Internet e Intranet combina esquemas simétricos tradicionales y nuevos asimétricos. El cifrado de clave pública se utiliza para negociar una clave simétrica secreta, que luego se utiliza para cifrar los datos reales. El cifrado proporciona el más alto nivel de seguridad de datos. Tanto el hardware como el software utilizan diferentes algoritmos de cifrado.
4 Control de acceso y restricciones
Para bloquear posibles canales de acceso no autorizados a la información del PC, además de los mencionados, se pueden aplicar otros métodos y medios de protección. Cuando se utiliza una PC en modo multiusuario, es necesario utilizar un programa para controlar y limitar el acceso. Existen muchos programas similares, a menudo desarrollados por los propios usuarios. Sin embargo, la naturaleza específica del funcionamiento del software de PC es tal que, utilizando su teclado, un programador antiintrusos suficientemente cualificado puede eludir fácilmente este tipo de protección. Por lo tanto, esta medida sólo es efectiva para la protección contra un infractor no calificado. Para protegerse contra un intruso profesional, le ayudará un conjunto de herramientas de software y hardware. Por ejemplo, una llave electrónica especial insertada en una ranura libre de la PC y fragmentos de programas especiales integrados en aplicaciones de PC que interactúan con la llave electrónica según un algoritmo conocido solo por el usuario. Si no tiene una clave, estos programas no funcionarán. Sin embargo, dicha clave es incómoda de usar, ya que cada vez es necesario abrir la unidad del sistema de la PC. En este sentido, su parte variable, la contraseña, se envía a un dispositivo separado, que se convierte en la clave en sí, y el dispositivo de lectura se instala en el panel frontal de la unidad del sistema o se fabrica como un dispositivo remoto separado. De esta forma podrás bloquear tanto el arranque del PC como el programa de control de acceso y control de acceso.
Las llaves electrónicas más populares de dos empresas estadounidenses, por ejemplo, tienen capacidades similares: Rainbow Technologies (RT) y Software Security (SSI) En el mercado nacional se ofrecen varias llaves electrónicas: NovexKey - de NOVEX, HASP y Plug -. por ALADDIN, etc. Entre ellos, la mayoría están destinados a proteger contra la copia no autorizada de un producto de software, es decir, a proteger los derechos de autor para su creación, por lo tanto, para un propósito diferente. Sin embargo, en este caso no siempre están protegidos los canales de visualización y documentación, el software y los medios de información, las radiaciones electromagnéticas parásitas y las interferencias de la información. Su superposición se garantiza mediante métodos y medios ya conocidos: colocar el ordenador en una habitación protegida, grabar y almacenar los medios de almacenamiento en armarios metálicos y cajas fuertes, y cifrar.
El sistema de control de acceso (ARS) es uno de los componentes principales de un sistema integral de seguridad de la información. En este sistema se pueden distinguir los siguientes componentes:
acceder a los medios de autenticación del sujeto;
medios para restringir el acceso a dispositivos técnicos de un sistema informático;
medios para restringir el acceso a programas y datos;
medios para bloquear acciones no autorizadas;
herramientas de registro de eventos;
operador de turno del sistema de control de acceso.
La eficacia del sistema de control de acceso está determinada en gran medida por la fiabilidad de los mecanismos de autenticación. De particular importancia es la autenticación durante la interacción de procesos remotos, que siempre se realiza mediante métodos criptográficos. Al operar mecanismos de autenticación, las principales tareas son:
generación o producción de identificadores, su contabilidad y almacenamiento, transferencia de identificadores al usuario y control sobre la correcta implementación de los procedimientos de autenticación en un sistema informático (CS). Si los atributos de acceso (contraseña, código personal, etc.) se ven comprometidos, es necesario excluirlos urgentemente de la lista de permitidos. Estas acciones deberán ser realizadas por el operador del sistema de control de acceso de turno.
En grandes redes distribuidas, el problema de generar y entregar atributos de identificación y claves de cifrado no es una tarea trivial. Por ejemplo, la distribución de claves de cifrado secretas debe realizarse fuera del sistema informático protegido. Los valores de ID de usuario no deben almacenarse ni transmitirse en el sistema en texto claro. Al ingresar y comparar identificadores, es necesario aplicar medidas de protección especiales contra el espionaje al escribir contraseñas y la influencia de programas maliciosos como registradores de pulsaciones de teclas y simuladores DSS. Los medios para restringir el acceso a los medios técnicos evitan acciones no autorizadas por parte de un atacante, como encender un medio técnico, cargar un sistema operativo, ingresar/salir información, usar dispositivos no estándar, etc. El control de acceso lo lleva a cabo el operador de el sistema de distribución de datos mediante el uso de hardware y software. De esta manera, el operador del sistema de control puede controlar el uso de las llaves de las cerraduras de suministro de energía directamente al dispositivo técnico o a todos los dispositivos ubicados en una habitación separada, y controlar de forma remota el bloqueo del suministro de energía al dispositivo o el bloqueo de Carga del sistema operativo. A nivel de hardware o software, el operador puede cambiar la estructura técnica de las herramientas que un usuario particular puede utilizar.
Los medios para restringir el acceso a programas y datos se utilizan con mayor intensidad y determinan en gran medida las características del sistema de distribución de datos. Estas herramientas son hardware y software. Son configurados por funcionarios del departamento que garantizan la seguridad de la información y cambian cuando cambian los permisos del usuario o cuando cambia el programa y la estructura de la información. El acceso a los archivos está controlado por el administrador de acceso. El acceso a registros y campos individuales de registros en archivos de bases de datos también se regula mediante sistemas de gestión de bases de datos.
La eficiencia del RDS se puede aumentar cifrando archivos almacenados en dispositivos de almacenamiento externos, así como borrando completamente los archivos cuando se destruyen y borrando archivos temporales. Incluso si un atacante obtiene acceso a medios informáticos mediante, por ejemplo, copias no autorizadas, no podrá acceder a la información sin una clave de cifrado.
En las redes distribuidas, el acceso entre subsistemas, como las LAN remotas, se regula mediante firewalls. Se debe utilizar un firewall para controlar las comunicaciones entre sistemas informáticos protegidos y desprotegidos. Al mismo tiempo, el acceso está regulado tanto desde un CS desprotegido a uno protegido como desde un sistema protegido a uno desprotegido. Es recomendable colocar una computadora que implemente las funciones de firewall en el lugar de trabajo del operador ICSI.
Los medios para bloquear acciones no autorizadas de los sujetos de acceso son un componente integral del DSS. Si los atributos del sujeto de acceso o el algoritmo de sus acciones no están permitidos para este sujeto, entonces el trabajo adicional en el CS de dicho infractor finaliza hasta la intervención del operador del ICS. Bloquear significa eliminar o complicar significativamente la selección automática de atributos de acceso.
Las herramientas de registro de eventos también son un componente obligatorio del DRS. Los registros de eventos se encuentran en el VZU. Dichos registros registran datos sobre los usuarios que inician y cierran sesión en el sistema, todos los intentos de realizar acciones no autorizadas, el acceso a ciertos recursos, etc. El registro está configurado para registrar ciertos eventos y analizar periódicamente su contenido por parte del operador de turno y los altos funcionarios. de la unidad OBI. Es recomendable automatizar el proceso de configuración y análisis del registro mediante programación.
El control directo del DRS lo lleva a cabo el operador de turno del KSZI, quien, por regla general, también desempeña las funciones de administrador de turno del CS. Carga el sistema operativo, proporciona la configuración requerida y los modos de funcionamiento del CS, ingresa los poderes y atributos del usuario en el DRS, controla y administra el acceso de los usuarios a los recursos del CS.
.Herramientas de seguridad de la información en sistemas informáticos.
1Tipos de APS SZI
De todo lo anterior, las herramientas de seguridad de la información de software y hardware se pueden dividir en varios tipos:
Software y hardware para proteger la información contra copias no autorizadas.
Herramientas de software y hardware para la protección criptográfica y estenográfica de la información (incluidos los medios para enmascarar la información) cuando se almacena en soportes de datos y cuando se transmite a través de canales de comunicación.
Medios de software y hardware para interrumpir el funcionamiento del programa del usuario si viola las reglas de acceso.
Herramientas de software y hardware para borrar datos, que incluyen:
Software y hardware para emitir una alarma cuando se intenta un acceso no autorizado a la información.
Herramientas de software y hardware para detectar y localizar las acciones de software y marcadores de software y hardware.
2 Dispositivo para destruir rápidamente información en discos magnéticos duros “Stek-N”
Diseñado para el borrado rápido (de emergencia) de información grabada en discos magnéticos duros, tanto en uso como no en uso en el momento del borrado.
Características principales de los productos de la serie Stack:
la máxima velocidad posible de destrucción de información;
la capacidad de permanecer en el estado armado durante el tiempo que se desee sin que se deteriore el rendimiento;
posibilidad de uso en sistemas controlados remotamente con suministro de energía autónomo;
sin partes móviles;
El borrado de información grabada en un medio magnético se produce sin su destrucción física, pero el uso posterior del disco vuelve a ser problemático.
El dispositivo está disponible en tres modelos básicos: “Stack-HCl”, “Stack-HC2”, “Stack-NA1”.
El modelo "Stack-HCl" tiene como objetivo crear un lugar de trabajo para borrar rápidamente información de una gran cantidad de discos duros antes de reciclarlos. Sólo tiene alimentación de red y se caracteriza por un corto tiempo de transición al modo "Listo" después del siguiente borrado. El modelo tiene un bajo costo y es extremadamente fácil de operar (Fig. 1).
El modelo "Stack-NS2" está destinado a crear cajas fuertes de información estacionarias para datos informáticos; solo tiene alimentación eléctrica; Está equipado con sistemas para mantener el régimen de temperatura del disco duro, autoprueba y también se puede equipar con un módulo de inicialización remota (Fig. 2).
El modelo "Stack-HAl" tiene como objetivo crear cajas fuertes de información portátiles para datos informáticos; tiene alimentación de red y autónoma. Equipado con un sistema de autoprueba y un módulo de inicialización remota.
El dispositivo se puede utilizar para borrar información de otros tipos de medios que caben en una cámara de trabajo de 145x105x41 mm y tienen propiedades similares.
El producto borra información útil y de servicio registrada en soportes magnéticos. Por lo tanto, los medios sólo pueden utilizarse con equipos especiales. Además, en algunos casos es posible desalinear la unidad principal.
Enumeremos las principales características de Stack-NS1 (2):
La duración máxima para que el dispositivo entre en el modo "Listo" es de 7 a 10 s.
La fuente de alimentación del producto es de 220 V, 50 Hz.
La potencia térmica máxima disipada es de 8 W.
en el ciclo "Cargar"/"Borrar" - al menos 0,5 horas.
Dimensiones - 235x215x105 mm.
Enumeremos las principales características de Stack-HA1:
La duración máxima de la transición del dispositivo al modo "Listo" no es más de 15...30 s.
La duración del borrado de información en un disco es de 300 ms.
Fuente de alimentación del producto: 220 V, 50 Hz o batería externa de 12 V.
Duración permitida del funcionamiento continuo del producto:
en el modo "Listo" - ilimitado;
en el ciclo “Cargar”/“Borrar” - al menos 30 veces durante 0,5 horas.
Dimensiones - 235x215x105 mm.
Detector de 3 conexiones LAN FLUKE
Las contramedidas en redes informáticas son una tarea muy específica que requiere habilidades de vigilancia y trabajo previo. Este tipo de servicio utiliza varios dispositivos:
osciloscopio de mano;
reflectómetro de intervalo de tiempo con análisis de conexiones de transición para funcionamiento en “línea libre”;
analizador de tráfico de red/analizador de protocolos;
una computadora con un paquete de software de detección especial;
Analizador de espectro portátil.
Estos instrumentos se utilizan además de osciloscopios, analizadores de espectro, multímetros, receptores de búsqueda, máquinas de rayos X y otras contramedidas. Es un instrumento para comandos de contravigilancia (Fig. 2). La "Herramienta básica" proporciona todas las funciones de un escáner de cable, incluidas las funciones de un reflectómetro de dominio temporal de alta calidad. Las capacidades de análisis de tráfico son importantes para identificar y rastrear interrupciones en la red, intrusiones de piratas informáticos y registrar la presencia de dispositivos de vigilancia camuflados en una red local. LANmeter también se utiliza para realizar auditorías y comprobaciones de red.
El analizador de cables FLUKE DSP-2000\DSP-4000 y el medidor de parámetros FLUKE 105B también son instrumentos necesarios para realizar inspecciones de contramedidas y complementan el LANmeter.
Durante las inspecciones, un osciloscopio conectado a la red para evaluación general suele permitir observar la forma de las señales y su presencia. Si existen dispositivos de vigilancia de espectro extendido en la red, el osciloscopio proporcionará una determinación rápida de este hecho, así como una indicación de voltajes, la presencia de ruido de RF e información limitada sobre conexiones transitorias.
Se utiliza un analizador de espectro portátil para ver rápidamente el espectro de radiofrecuencia de una red. Se debe observar cualquier señal que no corresponda con la apariencia típica en la red bajo prueba. Una vez que se han verificado minuciosamente todas las combinaciones de cables en la red para detectar la presencia de señales extrañas (usando un osciloscopio y un analizador de espectro), se usa un analizador de tráfico de red para monitorear cualquier actividad que ocurra en cada segmento específico (o entrada de cable). Este tiene el propósito de identificar cualquier anomalía en el tráfico de la red que pueda indicar el uso de software especial, vigilancia no autorizada o una brecha de seguridad.
Un analizador de tráfico de red generalmente evalúa solo los encabezados de los paquetes y puede proporcionar al usuario varias funciones básicas de la red, como PING, ruta de seguimiento, búsqueda de DNS y proporcionar listas de direcciones de red activas o encontradas. Desde este punto de vista, el especialista en contramedidas recibirá una lista de todos los objetos de la red, que luego podrá comparar con la lista física.
Un técnico de contramedidas puede apagar un segmento de la red (generalmente apagando el enrutador o conmutador) y desconectar todo el cableado. Esto aislará el grupo de computadoras y algunos de los cables del resto de la red y brindará una cobertura adecuada para el resto de la inspección. El cableado físico se puede examinar en busca de dispositivos de vigilancia o anomalías.
4 Sistema de seguridad de la información Secret Net 6.0
Net es un medio certificado para proteger la información contra el acceso no autorizado y le permite hacer que los sistemas automatizados cumplan con los requisitos de los documentos reglamentarios:
No. 98-FZ ("Sobre los secretos comerciales")
No. 152-FZ ("Sobre datos personales")
No. 5485-1-FZ ("Sobre los secretos de estado")
STO BR (Estándar del Banco de Rusia)
Los certificados de FSTEC de Rusia le permiten utilizar el sistema de seguridad de la información de NSD Secret Net para proteger:
información confidencial y secretos de estado en sistemas automatizados hasta la clase 1B inclusive;
sistemas de información de datos personales hasta la clase K1 inclusive.
Para garantizar la seguridad de las estaciones de trabajo y servidores de la red, se utilizan varios mecanismos de protección:
identificación y autenticación mejoradas;
control de acceso autorizado y selectivo;
entorno de software cerrado;
protección de datos criptográficos;
otros mecanismos de defensa.
El administrador de seguridad cuenta con un medio único para gestionar todos los mecanismos de seguridad, lo que le permite gestionar y supervisar de forma centralizada la implementación de los requisitos de la política de seguridad.
Toda la información sobre eventos en el sistema de información relacionados con la seguridad se registra en un único libro de registro. El administrador de seguridad se enterará inmediatamente de cualquier intento por parte de los usuarios de cometer acciones ilegales.
Existen herramientas para generar informes, preprocesar registros y gestionar operativamente estaciones de trabajo remotas.
El sistema Secret Net consta de tres componentes: la parte del cliente, el servidor de seguridad y el subsistema de gestión (Fig. 3).
Una característica especial del sistema Secret Net es su arquitectura cliente-servidor, en la que la parte del servidor proporciona almacenamiento y procesamiento centralizados de los datos del sistema de seguridad, y la parte del cliente protege los recursos de la estación de trabajo o servidor y almacena la información de administración en su propia base de datos. .
La parte cliente del sistema de seguridad (tanto la versión independiente como la de red) se instala en una computadora que contiene información importante, ya sea una estación de trabajo en la red o algún tipo de servidor (incluido un servidor de seguridad).
El objetivo principal de la parte del cliente:
proteger los recursos informáticos del acceso no autorizado y delimitar los derechos de los usuarios registrados;
registrar eventos que ocurren en una estación de trabajo o servidor de red y transmitir información a un servidor de seguridad;
ejecución de acciones de control centralizadas y descentralizadas del administrador de seguridad.
Los clientes de Secret Net están equipados con soporte de hardware (para identificar usuarios mediante identificadores electrónicos y gestionar descargas desde medios externos).
El servidor de seguridad se instala en una computadora dedicada o controlador de dominio y brinda soluciones a las siguientes tareas:
mantener la base de datos central (CDB) del sistema de seguridad, operando bajo el control del DBMS Oracle 8.0 Personal Edition y que contiene la información necesaria para el funcionamiento del sistema de seguridad;
recopilar información sobre eventos en curso de todos los clientes de Secret Net en un único registro y transferir la información procesada al subsistema de gestión;
interacción con el subsistema de gestión y transmisión de comandos de control del administrador a la parte cliente del sistema de seguridad.
El subsistema de gestión de Secret Net se instala en el lugar de trabajo del administrador de seguridad y le proporciona las siguientes capacidades:
autenticación de usuario.
asegurando el control de acceso a la información y dispositivos protegidos.
entorno de información confiable.
control de los canales de difusión de información confidencial.
control de dispositivos informáticos y medios de almacenamiento enajenados basado en políticas centralizadas que excluyen fugas de información confidencial.
La gestión centralizada de las políticas de seguridad le permite responder rápidamente a eventos de acceso no autorizados.
Monitoreo operativo y auditoría de seguridad.
sistema de seguridad escalable, la capacidad de utilizar Secret Net (versión de red) en una organización con una gran cantidad de sucursales.
Opciones de implementación de Secret Net 6
Modo sin conexión: diseñado para proteger una pequeña cantidad (hasta 20-25) de estaciones de trabajo y servidores. En este caso, cada máquina se administra localmente.
Modo de red (con administración centralizada): diseñado para implementación en una red de dominio con Active Directory. Esta opción cuenta con herramientas de gestión centralizada y permite aplicar políticas de seguridad en toda la organización. La versión de red de Secret Net se puede implementar con éxito en una red de dominio compleja
El esquema de gestión implementado en Secret Net le permite gestionar la seguridad de la información en términos del área temática real y garantizar plenamente una estricta separación de poderes entre el administrador de la red y el administrador de seguridad.
3.5 Cerradura electrónica “Sobol”
Diseñado para proteger los recursos informáticos del acceso no autorizado.
La cerradura electrónica Sobol (EZ) está certificada por FSTEC de Rusia. El Certificado No. 1574 del 14 de marzo de 2008 confirma el cumplimiento del producto con los requisitos del Documento Guía de la Comisión Técnica Estatal de Rusia “Protección contra el acceso no autorizado a la información. Parte 1. Software de seguridad de la información. Clasificación según el nivel de control sobre la ausencia de capacidades no declaradas” y permite su uso en el desarrollo de sistemas de seguridad para sistemas automatizados con clase de seguridad hasta 1B inclusive.
La cerradura electrónica Sobol se puede utilizar como un dispositivo que protege una computadora independiente, así como una estación de trabajo o servidor que forma parte de una red de área local.
Se utilizan los siguientes mecanismos de protección:
identificación y autenticación de usuarios; registro de intentos de acceso a una PC;
prohibición de cargar el sistema operativo desde medios extraíbles; monitorear la integridad del entorno de software.
monitorear la integridad del entorno de software
monitorear la integridad del registro del sistema de Windows
temporizador de vigilancia
registro de intentos de acceso a una PC
control de configuración
Las capacidades para identificar y autenticar usuarios, así como registrar intentos de acceso a una PC, no dependen del tipo de sistema operativo utilizado.
El funcionamiento de la cerradura electrónica Sobol es comprobar el identificador personal y la contraseña del usuario cuando intenta iniciar sesión en el sistema. Si un usuario no registrado intenta iniciar sesión en el sistema, la cerradura electrónica registra el intento y el hardware bloquea hasta 4 dispositivos (por ejemplo: puertos FDD, CD-ROM, ZIP, LPT, SCSI). La cerradura electrónica utiliza identificación y autenticación mejorada (de dos factores) de los usuarios mediante identificadores personales. Los siguientes se pueden utilizar como identificadores personales de usuario:
eToken PRO (Java).
Tarjeta inteligente eToken PRO a través del lector USB Athena ASEDrive IIIe USB V2.
El sistema operativo se puede cargar desde el disco duro sólo después de presentar la identificación registrada. La información del servicio sobre el registro del usuario (nombre, número de identificador personal asignado, etc.) se almacena en la memoria no volátil de la cerradura electrónica. La cerradura electrónica mantiene un registro del sistema, cuyos registros se almacenan en una memoria especial no volátil. El registro del sistema registra los inicios de sesión de los usuarios, los intentos de inicio de sesión, los intentos de acceso no autorizado y otros eventos relacionados con la seguridad del sistema. Almacena la siguiente información: fecha y hora del evento, nombre de usuario e información sobre el tipo de evento (por ejemplo, el usuario inició sesión, ingresó una contraseña incorrecta, presentó una identificación de usuario no registrada, excedió el número de intentos de inicio de sesión, otros eventos).
Así, la cerradura electrónica Sobol proporciona información al administrador sobre todos los intentos de acceder a la PC.
El mecanismo de monitoreo de integridad utilizado en el complejo Sobol le permite controlar la inmutabilidad de archivos y sectores físicos del disco duro antes de cargar el sistema operativo. Para ello se calculan algunos valores de referencia de los objetos que se están verificando y se comparan con los valores de referencia calculados previamente para cada uno de estos objetos. La formación de una lista de objetos sujetos a control, indicando la ruta a cada archivo controlado y las coordenadas de cada sector controlado, se realiza mediante el programa de gestión de plantillas de control de integridad. El control de integridad opera bajo sistemas operativos que utilizan los siguientes sistemas de archivos: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 y EXT3. El administrador tiene la capacidad de configurar el modo de funcionamiento de la cerradura electrónica, que impedirá que los usuarios inicien sesión en el sistema si se viola la integridad de los archivos controlados. El subsistema para prohibir el inicio desde disquetes y CD garantiza que todos los usuarios, excepto el administrador, no puedan iniciar el sistema operativo desde estos medios extraíbles. Un administrador puede permitir que los usuarios individuales de computadoras inicien el sistema operativo desde medios extraíbles.
Para configurar la cerradura electrónica Sobol, el administrador tiene la capacidad de determinar la longitud mínima de la contraseña del usuario, el número máximo de inicios de sesión fallidos del usuario, agregar y eliminar usuarios, bloquear el trabajo del usuario en la computadora y crear copias de seguridad de identificadores personales. .
La cerradura electrónica Sobol se puede utilizar como parte del sistema de seguridad de la información Secret Net para generar claves de cifrado y firmas digitales. Además, cuando se utiliza Sobol EZ como parte de Secret Net, se proporciona una gestión centralizada unificada de sus capacidades. Utilizando el subsistema de gestión de Secret Net, el administrador de seguridad puede gestionar el estado de los identificadores personales de los empleados: asignar identificadores electrónicos, bloquearlos temporalmente, invalidarlos, lo que permite gestionar el acceso de los empleados a las computadoras del sistema automatizado de la organización.
El conjunto básico de cerradura electrónica Sobol-PCI incluye (Fig.4):
Controlador Sobol-PCI;
Lector de memoria táctil;
dos identificadores DS-1992;
interfaz para bloquear la carga desde FDD;
interfaz para bloquear el arranque desde CD-ROM;
software para generar listas de programas controlados;
documentación.
6 Sistema de protección de información corporativa Secret Disk Server NG
Diseñado para proteger información confidencial y bases de datos corporativas (Fig. 5).
El sistema está diseñado para funcionar en Windows NT 4.0 Server/Workstation/2000 Professional SP2 / XP Professional / Server 2000 SP2 / Server 2003. El uso de cifrado transparente de información mediante potentes algoritmos de cifrado le permite continuar trabajando durante el cifrado inicial de datos. .
La compatibilidad con una amplia gama de unidades le permite proteger los discos duros de servidores individuales, cualquier matriz de discos (SAN, matrices RAID de software y hardware), así como unidades extraíbles.
El sistema no sólo protege de forma fiable los datos confidenciales, sino que también oculta su presencia.
Cuando instala Secret Disk Server NG, las unidades lógicas seleccionadas se cifran. Los derechos de acceso a ellos para los usuarios de la red se establecen mediante Windows NT.
El cifrado se lleva a cabo mediante programación mediante el controlador del kernel del sistema (controlador en modo kernel).
Además del algoritmo de conversión de datos incorporado con una longitud de clave de 128 bits, Secret Disk Server NG le permite conectar módulos de protección criptográfica externos, por ejemplo, CIPF CryptoPro CSP ruso certificado versiones 2.0/3.0 y Signal-COM CSP que implementan el algoritmo de cifrado ruso más potente GOST 28147-89 con una longitud de clave de 256 bits. La velocidad de cifrado es muy alta, por lo que pocas personas notarán una ligera desaceleración durante el funcionamiento.
Las claves de cifrado se ingresan en el controlador NG de Secret Disk Server antes de trabajar con particiones protegidas (o al iniciar el servidor). Para ello se utilizan tarjetas con microprocesador (tarjetas inteligentes) protegidas por un código PIN. Sin conocer el código no podrás utilizar la tarjeta. Tres intentos de ingresar el código incorrecto bloquearán la tarjeta. Cuando el servidor está en ejecución, no se necesita una tarjeta inteligente y se puede ocultar en un lugar seguro.
Durante el funcionamiento del sistema, las claves de cifrado se almacenan en la RAM del servidor y nunca terminan en el disco en el archivo de intercambio. El código PIN y las claves de cifrado las genera el propio usuario. Al generar, se utiliza una secuencia de números aleatorios, formados de acuerdo con la trayectoria del movimiento del mouse y las características de tiempo al presionar teclas arbitrarias. Disk Server NG tiene una interfaz abierta para enviar una señal de "alarma" y le permite conectar varios sensores. y dispositivos de control de acceso al local (sensores de apertura de puertas, ventanas, movimiento, cambios de volumen, cerraduras electrónicas y de combinación).
Cuando conecta unidades protegidas, puede iniciar automáticamente los programas y servicios necesarios que figuran en el archivo de configuración. Después de reiniciar el servidor sin presentar una tarjeta inteligente o intentar leer los discos en otra computadora, las particiones protegidas serán "visibles" como áreas sin formato que no se pueden leer. Si surge un peligro, puede "destruir" información instantáneamente, haciendo que las secciones protegidas sean "invisibles". La entrega incluye un CD de instalación, un dispositivo universal para trabajar con tarjetas inteligentes (externo), un juego de cables, una placa Hardlock especial, documentación en ruso y 3 tarjetas inteligentes.
7 Sistema de protección de información confidencial Secret Disk
Disk es un sistema para proteger información confidencial para una amplia gama de usuarios de computadoras: ejecutivos, gerentes, contables, auditores, abogados, etc.
Cuando instala el sistema Secret Disk, aparece un nuevo disco lógico virtual (uno o más) en su computadora. Todo lo que se escribe en él se cifra automáticamente y, cuando se lee, se descifra. El contenido de esta unidad lógica se encuentra en un contenedor especial: un archivo cifrado. El archivo del disco secreto se puede ubicar en el disco duro de la computadora, en un servidor, en medios extraíbles como Zip, Jaz, CD-ROM o un disco magnetoóptico que garantiza la protección de los datos incluso si se retira dicho disco o la computadora misma. Usar una unidad secreta equivale a incorporar capacidades de cifrado en cada aplicación que ejecute.
Conectar una unidad secreta y trabajar con datos cifrados solo es posible después de la autenticación de hardware de la entrada del usuario y la contraseña correcta. Para la autenticación, se utiliza un identificador electrónico: una tarjeta inteligente, una llave electrónica o un llavero. Después de conectar el disco secreto, se vuelve "visible" para el sistema operativo Windows como otro disco duro, y cualquier programa puede acceder a los archivos grabados en él. Sin una identificación electrónica y sin conocer la contraseña, no puede conectar un disco secreto; para los extraños, seguirá siendo solo un archivo cifrado con un nombre arbitrario (por ejemplo, game.exe o girl.tif).
Como cualquier disco físico, un disco seguro se puede compartir en una red local. Después de desconectar el disco, todos los archivos y programas grabados en él quedarán inaccesibles.
Lista de características principales:
Proteja los datos confidenciales utilizando algoritmos de cifrado profesionales (la capacidad de conectar bibliotecas criptográficas externas).
Generación de claves de cifrado por parte del propio usuario.
Autenticación de usuario de hardware mediante llaveros electrónicos, tarjetas inteligentes, tarjetas PCMCIA o llaves electrónicas.
Doble protección. Cada disco secreto está protegido por la identificación electrónica personal del usuario y la contraseña para acceder a este disco.
Trabajar con archivos cifrados. La información se puede comprimir y cifrar para usted mismo (mediante un identificador electrónico),
y para el intercambio seguro con colegas (con contraseña).
El bloqueo de computadora de Secret Disk le permite atenuar la pantalla y bloquear el teclado cuando la identificación electrónica está desactivada, cuando se presiona una combinación de teclas específica o cuando el usuario está inactivo durante un tiempo prolongado. Cuando el sistema está bloqueado, las unidades secretas no se desactivan, las aplicaciones en ejecución que utilizan datos protegidos continúan funcionando normalmente y el trabajo de otros usuarios que tienen acceso compartido a la unidad secreta en la red no se ve interrumpido.
Modo de coacción. En una situación crítica, puede ingresar una contraseña de emergencia especial. En este caso, el sistema conectará temporalmente la unidad, destruyendo la clave de cifrado personal en el identificador electrónico (lo que imposibilitará el acceso a la unidad en el futuro) y luego simulará uno de los errores conocidos de Windows.
Posibilidad de recuperación de datos en caso de pérdida (o daño intencionado) de un identificador electrónico o pérdida de una contraseña.
Interfaz de usuario sencilla y cómoda.
Diferencias en los algoritmos de cifrado (según las necesidades, se puede utilizar uno de los algoritmos integrados):
algoritmo de codificación incorporado con una longitud de clave de 128 bits;
Algoritmo criptográfico RC4 con una longitud de clave de 40 bits, integrado en Windows 95, 98 (para la versión fuera de EE. UU.);
algoritmo criptográfico GOST 28147-89 con una longitud de clave de 256 bits (emulador de software de la placa Krypton o placa Krypton).
La placa Krypton está certificada para proteger secretos de estado y ANKAD la suministra a pedido especial.
Versión DeLuxe: con protección de hardware contra el arranque de la computadora.
8 Complejo de hardware y software de equipos de seguridad "Accord-AMDZ"
SZI NSD Accord-AMDZ es un módulo de arranque confiable de hardware (TMDZ) para servidores de PC y estaciones de trabajo de red local compatibles con IBM, que brinda protección de dispositivos y recursos de información contra el acceso no autorizado.
El complejo es aplicable para la construcción de sistemas para proteger la información contra el acceso no autorizado de acuerdo con los documentos rectores de la FSTEC (Comisión Técnica Estatal) de Rusia “Protección contra el acceso no autorizado a la información. Parte 1. Software de seguridad de la información. Clasificación según el nivel de control de la ausencia de capacidades no declaradas" - según el 3er nivel de control, "Sistemas automatizados. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información" según la clase de seguridad 1D, y para su uso como medio para identificar/autenticar usuarios, monitorear la integridad del entorno de software y hardware de una PC (PC) al crear sistemas automatizados que cumplan con los requisitos del documento rector de la FSTEC (Comisión Técnica Estatal) de Rusia "Sistemas automatizados". Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos de protección de la información" hasta la clase 1B inclusive.
El complejo es un conjunto de hardware y software que asegura la implementación de las funciones básicas de protección contra el acceso no autorizado a computadoras personales (PC) basadas en:
uso de identificadores personales de usuario;
mecanismo de contraseña;
bloquear la carga del sistema operativo desde medios de almacenamiento extraíbles;
monitorear la integridad del hardware y software (archivos generales, software de aplicación y datos) de una computadora personal (PC);
garantizar un modo de inicio confiable para los sistemas operativos instalados en una computadora personal (PC).
La parte de software del complejo, que incluye herramientas de identificación y autenticación, medios para monitorear la integridad del hardware y software de una computadora personal (PC), medios para registrar las acciones del usuario, así como herramientas de administración (configuraciones de firmware) y auditoría (trabajar con el libro de registro) se encuentran en la memoria no volátil (NVM) del controlador durante la fabricación del complejo. El acceso a las complejas herramientas de administración y auditoría se proporciona únicamente al administrador de BI.
La identificación y autenticación de los usuarios, así como el control de la integridad del hardware y el software de la computadora personal (PC), se realizan mediante un controlador complejo antes de cargar el sistema operativo instalado en la computadora personal (PC). Al modificar el software del sistema, no es necesario reemplazar el controlador. Esto proporciona soporte para un modo de programación de controlador especial sin reducir el nivel de protección.
El complejo garantiza la implementación de las funciones básicas de protección contra el acceso no autorizado tanto en una PC local como en estaciones de trabajo LAN como parte de un sistema integrado de protección contra el acceso no autorizado en una LAN, incluida la configuración, el control del funcionamiento y la gestión del complejo.
Características clave:
Protección de los recursos de la computadora personal (PC) de personas no autorizadas para trabajar en ella mediante la identificación de los usuarios de la computadora personal (PC) mediante identificadores personales DS 199x, antes de cargar el sistema operativo (OS).
Autenticación de usuarios de computadoras personales (PC) mediante una contraseña de hasta 12 caracteres, ingresada desde el teclado (la longitud de la contraseña la establece el administrador de BI al registrar al usuario), con protección contra la divulgación de la contraseña, antes de cargar el sistema operativo. (SO).
Bloquear descargas de medios alienados.
Monitorear la integridad del hardware, software e información condicionalmente permanente de una computadora personal (PC) antes de cargar el sistema operativo con la implementación de un algoritmo de control paso a paso. Esto garantiza la protección contra la introducción de influencias destructivas del software (DPI).
Admite sistemas de archivos FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS. Se trata, en particular, de sistemas operativos de las familias MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD, vSphere, etc.
Registro en una computadora personal (PC) para hasta 16 usuarios.
Registro de eventos monitoreados en el log del sistema ubicado en la memoria no volátil del controlador.
La capacidad de cambiar físicamente las señales de control de los dispositivos periféricos según el nivel de autoridad del usuario, lo que le permite controlar la entrada/salida de información a medios físicos alienados y dispositivos de procesamiento de datos.
Administración del software integrado del complejo (registro de usuarios e identificadores personales, asignación de archivos para control de integridad, control del hardware de la PC, visualización del log del sistema).
Monitorear la integridad de programas y datos, protegiéndolos de modificaciones no autorizadas.
Registro, recopilación, almacenamiento y distribución de datos sobre eventos que ocurren en una computadora personal (PC) en relación con el sistema de protección contra el acceso no autorizado a la LAN.
Limitar el acceso de usuarios y programas de PC a dispositivos de hardware de acuerdo con su nivel de autoridad.
Accord-AMDZ se puede implementar en varios controladores. Puede ser: o PCI-X - Controladores Accord-5MX o Accord-5.5 (Fig. 6B) express - Controladores Accord-5.5.e o Accord-GX (Fig. 6A)
Mini PCI-express - Accord-GXM (Fig. 6B)Media tarjeta PCI-express - Controlador Accord-GXMH
9 Complejo de hardware y software IP Safe-PRO
Diseñado para construir redes IP privadas virtuales seguras creadas sobre la base de redes públicas (incluida Internet).
Realizado sobre la base de una computadora IBM PC compatible con dos interfaces Ethernet (configuración básica) con el sistema operativo FreeBSD (Fig. 7).
Características adicionales:
funciones de enrutamiento estático y firewall (protección contra suplantación de identidad, procesamiento de datos por direcciones, puertos, protocolos, etc.);
capacidad de soportar los estándares de interfaz G.703, G.704, V.35, RS-232, etc.;
sistema de respaldo en caliente;
trabajar en modos sincrónicos y asincrónicos.
Presupuesto:
El protocolo de la familia IPsec utilizado es ESP (Encapsulating Security Payload, RFC 2406) en modo túnel (que proporciona los siguientes servicios de seguridad: confidencialidad e integridad de datos, autenticación de fuentes de datos, ocultación de la topología de redes corporativas locales, protección contra análisis de tráfico).
El sistema de claves es simétrico (con posibilidad de administración centralizada y descentralizada).
Algoritmos criptográficos: GOST 28147, RC5, 3DES, DES, SHA-1, MD5.
10 Complejo de cifrado de hardware y software CONTINENTE 3.6 (Fig.8)
El complejo proporciona protección criptográfica de la información (de acuerdo con GOST 28147-89) transmitida a través de canales de comunicación abiertos entre componentes VPN, que pueden ser redes informáticas locales, sus segmentos y computadoras individuales.
Un esquema de claves moderno, que implementa el cifrado de cada paquete mediante una clave única, proporciona protección garantizada contra la posibilidad de descifrar los datos interceptados.
Para protegerse contra la penetración de redes públicas, el complejo Continent 3.6 proporciona filtrado de paquetes recibidos y transmitidos según varios criterios (direcciones de remitente y destinatario, protocolos, números de puerto, campos de paquetes adicionales, etc.). Proporciona soporte para VoIP, videoconferencia, ADSL, acceso telefónico y canales de comunicación satelital, tecnología NAT/PAT para ocultar la estructura de la red.
Características y características clave de APKSh "Continent" 3.6:
.Protección criptográfica de los datos transmitidos de acuerdo con GOST 28147-89
APKSH "Continent" 3.6 utiliza un esquema de claves moderno que cifra cada paquete utilizando una clave única. Esto proporciona un alto grado de protección de datos contra el descifrado en caso de interceptación.
El cifrado de datos se realiza de acuerdo con GOST 28147-89 en modo gamma con retroalimentación. La protección de datos contra distorsión se lleva a cabo de acuerdo con GOST 28147-89 en el modo de inserción simulada. Las claves criptográficas se gestionan de forma centralizada desde el NCC.
.Firewalling: proteger los segmentos de la red interna del acceso no autorizado
Crypto gateway "Continent" 3.6 proporciona filtrado de paquetes recibidos y transmitidos según varios criterios (direcciones de remitente y destinatario, protocolos, números de puerto, campos de paquetes adicionales, etc.). Esto le permite proteger los segmentos de la red interna de la penetración de las redes públicas.
.Acceso seguro para usuarios remotos a los recursos de la red VPN
El software especial "Continent AP", que forma parte de APKSH "Continent" 3.6, le permite organizar el acceso seguro desde computadoras remotas a la red VPN corporativa.
.Creación de subsistemas de información con separación de accesos a nivel físico.
En APKSH "Continent" 3.6, puede conectar 1 interfaz externa y 3-9 internas en cada puerta de enlace criptográfica. Esto amplía significativamente las capacidades del usuario a la hora de configurar la red de acuerdo con la política de seguridad corporativa. En particular, la presencia de varias interfaces internas le permite separar las subredes de los departamentos de la organización a nivel de tarjeta de red y establecer el grado necesario de interacción entre ellas.
.Soporte para canales de comunicación comunes.
Trabaje a través de conexiones de acceso telefónico, equipos ADSL conectados directamente a la puerta de enlace criptográfica, así como a través de canales de comunicación satelital.
."Transparencia" para cualquier aplicación y servicio de red.
Las pasarelas criptográficas Continent 3.6 son "transparentes" para cualquier aplicación y servicio de red que se ejecute sobre el protocolo TCP/IP, incluidos servicios multimedia como telefonía IP y videoconferencia.
.Trabajar con tráfico de alta prioridad
El mecanismo de priorización del tráfico implementado en APKSH "Continent" 3.6 le permite proteger el tráfico de voz (VoIP) y las videoconferencias sin pérdida de calidad de la comunicación.
.Reservar ancho de banda garantizado para determinados servicios
Reservar ancho de banda garantizado para determinados servicios asegura el paso del tráfico de correo electrónico, sistemas de gestión documental, etc. incluso con el uso activo de la telefonía IP en canales de comunicación de baja velocidad.
Soporte VLAN
La compatibilidad con VLAN garantiza una fácil integración de APKSH en una infraestructura de red dividida en segmentos virtuales.
.Ocultar la red interna. Soporte para tecnologías NAT/PAT
La compatibilidad con la tecnología NAT/PAT le permite ocultar la estructura interna de los segmentos de red protegidos al transmitir tráfico abierto, así como organizar zonas desmilitarizadas y segmentar redes protegidas.
La ocultación de la estructura interna de los segmentos protegidos de la red corporativa se realiza:
método para encapsular paquetes transmitidos (al cifrar el tráfico);
utilizar la tecnología de traducción de direcciones de red (NAT) cuando se trabaja con recursos de acceso público.
11. Posibilidad de integración con sistemas de detección de ataques.
En cada puerta de enlace criptográfica, es posible seleccionar específicamente una de las interfaces para verificar el tráfico que pasa a través de la puerta de enlace criptográfica en busca de intentos de acceso no autorizados (ataques a la red). Para hacer esto, debe definir dicha interfaz como un "puerto SPAN" y conectarle una computadora con un sistema de detección de ataques instalado (por ejemplo, RealSecure). Después de esto, todos los paquetes que llegan a la entrada del filtro de paquetes de la puerta de enlace criptográfica comienzan a transmitirse a esta interfaz.
3.11 Maleta de transporte “SHADOW K1”
"SHADOW K1" está diseñado para transportar computadoras portátiles o unidades de disco duro y magnético (HDD) individuales (cartuchos streamer, unidades ZIP) con la posibilidad de destrucción de emergencia de información en caso de un intento de HDD (Fig. 11).
Estructuralmente, el complejo está montado en un estuche a prueba de polvo, humedad y explosiones en el que se transportará la computadora portátil. La información protegida se coloca en un disco duro adicional, que se encuentra en un estuche separado de la computadora portátil en un compartimento especial y se conecta a él mediante un cable de interfaz externo.
La destrucción de emergencia de información se lleva a cabo:
automáticamente al intentar abrir el caso sin permiso;
automáticamente cuando se realizan intentos no autorizados de abrir el compartimento donde se encuentra el disco duro protegido;
automáticamente, después de 24 horas de duración de la batería;
remotamente a las órdenes del usuario. El proceso de destrucción no afecta el rendimiento de la computadora portátil y no depende de si se ha realizado el trabajo;
con información en este momento o no. Es posible fabricar un complejo para el transporte de discos duros, disquetes, casetes de audio, vídeo y streamers.
El complejo puede estar en dos modos: modo de espera (RO) y modo de seguridad (P1).
En el modo RO, se prueban todos los componentes, bloques y sensores principales. Se proporciona acceso gratuito a un ordenador portátil o soportes magnéticos.
En el modo P1, la información se destruye automáticamente cuando un NSD o un usuario intenta hacerlo en cualquier momento a través de un canal de radio (alcance de hasta 100 metros). El desarmado y armado se realiza mediante una tarjeta de proximidad electrónica sin contacto.
El complejo TEN cuenta con una fuente de energía autónoma que garantiza un funcionamiento ininterrumpido durante hasta 24 horas.
Características adicionales:
destrucción de información por orden del usuario desde cualquier teléfono celular a través del canal GSM;
protección completa de la carcasa, eliminando aperturas y perforaciones incorrectas;
Registro completo del trabajo en tiempo real, registrando los últimos 96 eventos en memoria no volátil, con una descripción detallada.
12 Sistema hardware y software para protección de mensajes criptográficos SX-1
El sistema de hardware y software SX-1 está diseñado para la protección criptográfica de mensajes transmitidos a través de canales de comunicación entre PC o mensajes almacenados en la memoria de la PC (Fig. 9).
En el sistema SX-1, por primera vez en la práctica criptográfica nacional y extranjera, cifrado de flujo caótico.
El sistema SX-1 proporciona:
transformación criptográfica de mensajes de texto y (o) gráficos transmitidos (recibidos) o generados, formateados como archivos y grabándolos en discos duros o disquetes;
alta resistencia de los datos clave a verse comprometidos por cualquier acción de los atacantes y del personal que da servicio al hardware y software;
Rendimiento garantizado de funciones específicas durante al menos 2 años sin cambiar la clave del sistema.
El sistema SX-1 incluye:
Una placa con una computadora de un solo chip (SOC), instalada en la ranura ISA de una PC IBM/AT (o colocada en un contenedor separado de 140x110x35 mm) y conectada a la PC mediante un conector COM;
Software especial (SPO) instalado en una PC con sistema operativo Windows.
Principales características del sistema:
La probabilidad de adivinar la clave del sistema en el késimo intento no es más que k2-240 .
La probabilidad de adivinar la clave de sesión en el késimo intento no es más que k10-10 .
La velocidad de conversión criptográfica es de al menos 190.000 bps.
Uso de algoritmos de cifrado sólidos con una longitud de clave de 128 bits para cifrar datos;
Posibilidad de conectar un módulo criptográfico "Krypton" certificado por FAPSI producido por la empresa "Ankad", o una placa "Krypton", que implementa el algoritmo de cifrado GOST 28147-89 con una longitud de clave de 256 bits;
Generar claves de cifrado únicas basadas en una secuencia de números aleatorios.
Para instalar el sistema necesita:
Instale el sistema SX-1 desde el disquete incluido, siguiendo estrictamente las instrucciones que se muestran secuencialmente en la pantalla de la PC.
Conecte a los conectores del contenedor con una computadora de un solo chip el cable de alimentación del adaptador incluido y el cable suministrado destinado a conectar el contenedor a la PC.
Conecte el contenedor mediante un cable al conector COM.
Conecte el adaptador a una tensión CA de 220 V 50 Hz.
13 Firewall y cifrado de flujo IP PAK "FPSU-IP"
Diseñado para firewall y protección de datos criptográficos al crear redes privadas virtuales (Red Privada Virtual) en redes públicas (Fig. 10).
El cortafuegos personal "FPSU-IP/Cliente" dispone del certificado FSTEC nº 1281 para la clase de seguridad 5 según el RD para cortafuegos, y al realizar una sesión de comunicación con el cortafuegos básico "FPSU-IP" (certificado FSTEC nº 1091 de fecha 31 de octubre de 2011 .) - según la 3.ª clase de seguridad. Como núcleo criptográfico se utiliza la herramienta de protección de información criptográfica certificada por el FSB “Tunnel 2.0” (certificado nº SF/124-1906 del 13 de agosto de 2012, según el nivel KS1).
Este sistema de hardware y software garantiza el intercambio seguro de información entre una estación de abonado remota (estación de trabajo) y una red protegida por el complejo FPSU-IP a través de redes de datos abiertas. El complejo FPSU-IP/Cliente se instala en la estación de trabajo de un usuario remoto y realiza las funciones de un firewall y un constructor VPN para las interacciones de información "estaciones de trabajo - servidores protegidos". Esto garantiza un acceso autenticado y seguro a los servidores protegidos por el complejo FPSU-IP mediante la creación de una conexión VPN entre la estación de trabajo y el complejo FPSU-IP central. La gestión administrativa, control y auditoría de todas las conexiones VPN se realiza de forma centralizada mediante la estación de trabajo “Gestión Remota”, mientras que se pueden utilizar simultáneamente hasta 4 estaciones de trabajo con las potencias adecuadas, lo que determina una alta estabilidad y confiabilidad de la gestión con posibilidad de auditoría cruzada. de gestión.
ME “FPSU-IP/Cliente” consta de software de usuario, así como una “clave VPN” de dispositivo USB activa (Fig. 11), que almacena un identificador de cliente único, clave e información de servicio y es, en esencia, un virtual micro- Una computadora con la arquitectura adecuada.
Gracias a la compresión de la información, el complejo proporciona un aumento notable en la velocidad de transferencia de datos y tiene la capacidad de soportar simultáneamente hasta 1024 conexiones criptográficamente seguras con una velocidad de cifrado del flujo IP total "on pass" de hasta 90 Mbit/s. El complejo utiliza únicamente sus propias implementaciones de todas las pilas de protocolos TCP/IP, algoritmos para el control automatizado de los complejos y los medios de protección criptográfica incorporados en ellos.
“FPSU-IP/Client” funciona bajo los sistemas operativos de la familia Windows XP/Vista/7/Server 2003/Server 2008, Linux, MacOS. Para llevar a cabo una interacción segura en una estación de trabajo (PC), primero debe instalar el software de usuario “FPSU-IP/Client”, insertar la “llave VPN” en el puerto USB de la PC y, en la “ventana emergente” invitación (después de conectar la "clave VPN"), realice la introducción del código PIN correspondiente.
Después de esto, los complejos “FPSU-IP/Cliente” y “FPSU-IP” (que contienen el subsistema correspondiente para dar servicio a los complejos FPSU-IP/Cliente) establecen una conexión segura y realizan la autenticación y autorización del usuario. La autenticación ocurre al crear un túnel VPN entre “FPSU-IP/Cliente” y el complejo “FPSU-IP”. Después de la autenticación por parte del complejo FPSU-IP, el cliente está autorizado. Además, se proporciona una traducción de la dirección IP real del cliente a la dirección IP de la red protegida.
En la segunda etapa, los complejos “FPSU-IP/Cliente” y “FPSU-IP” filtran y transmiten datos en forma cifrada a través de un canal VPN desde el cliente al complejo FPSU-IP. Además, es posible realizar una compresión de paso de los datos transmitidos, lo que reduce significativamente el volumen de información transmitida y aumenta la velocidad de interacción.
La conexión finaliza a petición del usuario o cuando se retira la "clave VPN" del puerto USB.
Una característica de la tecnología FPSU-IP/Client es la capacidad del usuario de trabajar desde cualquier ubicación de la PC en la red, es decir. no se requiere vinculación a una dirección IP específica y se garantiza una estricta autenticación bidireccional de todas las interacciones entre la PC y FPSU-IP. La identificación del usuario se realiza mediante un código PIN de usuario digital de cuatro dígitos, cuyo número de intentos de entrada es limitado (con una transición adicional a la necesidad de utilizar un código PUK de 10 dígitos). La autorización y autenticación de los usuarios se realiza mediante el complejo FPSU-IP.
El sistema de monitorización y administración remota de los complejos FPSU-IP y FPSU-IP/Client proporciona una gestión y monitorización completa de la red protegida. Las capacidades del sistema de auditoría permiten realizar cálculos separados del volumen de datos transferidos entre PC específicas y complejos FPSU-IP, lo que permite un control claro sobre el trabajo de los suscriptores.
El complejo FPSU-IP/Cliente es absolutamente transparente para todos los protocolos de Internet estándar y se puede utilizar junto con cualquier software que proporcione acceso a recursos IP.
Para garantizar una mayor seguridad, es posible limitar administrativamente (de forma remota o local) el acceso de los usuarios de FPSU-IP/Cliente a segmentos de red abiertos cuando trabajan con recursos protegidos, hasta una prohibición completa.
Enumeremos las principales características:
Rendimiento: proporciona una velocidad de transmisión de flujos IP de 65
Mbit/s y superiores cuando todos los modos de protección están habilitados (filtrado+compresión+cifrado).
Algoritmo de cifrado - GOST 28147-89
Sistema de llaves/distribución de llaves centralizada - simétrica/centralizada.
Sistema operativo/pila de protocolos: similar a DOS/nativo de 32 bits.
Los niveles EMVOS procesados son red + transporte, sesión y aplicación (selectivamente).
Tipo y número de interfaces: 2; 10/100Ethernet, FDDI.
Protocolo VPN/redundancia/compresión de datos: nativo/no más de 22 bytes por paquete/debido a la compresión de datos de paso, se logra el efecto de acelerar las interacciones de información.
Soporte para servicios QoS: organización de hasta 8 túneles VPN independientes dentro de conexiones por pares con priorización de flujos de información.
Gestión y seguimiento de complejos, locales y remotos, con mecanismos para “revertir” fallos. Hasta 1024 complejos por estación de trabajo. Se proporciona una visualización visual (gráfica) del estado operativo de las redes protegidas, alarmas de eventos anormales y una auditoría total de la información y las interacciones de gestión.
El protocolo para el control remoto de complejos es un protocolo de túnel propio con estricta autenticación bidireccional según X.509.
Seguridad propia: auditoría completa de eventos y acciones del personal, control de acceso mediante iButton y llave USB. Uso de procedimientos de enrutamiento especiales y soporte para túneles VPN que utilizan control de flujo de datos adaptativo para aumentar la estabilidad (supervivencia) de los sistemas.
Contrarrestar eficazmente las influencias de información activas y pasivas de carácter inteligente: ocultar la topología real de VPN, NAT, ocultar los hechos del uso de complejos, proxy SMNP/SMNP-Trap, Telnet, TFTP, gestión HTTP de enrutadores fronterizos, emulación correcta de la ausencia de direcciones y servicios utilizados pero ocultos.
La posibilidad de inclusión de complejos en cascada garantiza la asignación de segmentos de red individuales en zonas aisladas de mayor seguridad.
Cliente remoto (software para contrarrestar con "FPSU-IP" + llave USB) - para Windows 98, NT, 2000.
software técnico de cifrado de información
3.14 Herramienta de protección de información criptográfica CryptoPro CSP
El proveedor de cifrado CryptoPro CSP está diseñado para:
autorización y garantía de la importancia legal de los documentos electrónicos al intercambiarlos entre usuarios, mediante el uso de procedimientos para generar y verificar una firma digital electrónica (EDS) de acuerdo con las normas nacionales GOST R 34.10-94, GOST R 34.11-94, GOST R 34.10-2001;
garantizar la confidencialidad y monitorear la integridad de la información mediante su cifrado y protección contra imitación, de acuerdo con GOST 28147-89; garantizar la autenticidad, confidencialidad y protección contra suplantación de las conexiones TLS;
monitoreo de la integridad del software del sistema y de la aplicación para protegerlo de cambios no autorizados o violaciones del funcionamiento correcto;
Gestión de elementos clave del sistema de acuerdo con la normativa sobre equipos de protección.
Peculiaridades:
Soporte integrado de Winlogon
CryptoPro CSP 3.6 incluye un proveedor de revocación que funciona a través de respuestas OCSP
Se ha implementado soporte para la plataforma x64. Se ha proporcionado la implementación del protocolo EAP/TLS. La interfaz CIPF externa se ha ampliado para garantizar el trabajo con el portador de clave funcional (FKN), acuerdo clave para su uso en implementaciones del protocolo IPSec. y trabajar con otras aplicaciones.
Se excluye la posibilidad de utilizar el estándar GOST R 34.10-94.
Algoritmos implementados:
El algoritmo para generar el valor de la función hash se implementa de acuerdo con los requisitos de GOST R 34.11 94 "Tecnología de la información. Protección de información criptográfica. Función hash".
Los algoritmos para generar y verificar firmas digitales se implementan de acuerdo con los requisitos:
GOST R 34.10 94 "Tecnología de la información. Protección criptográfica de la información. Sistema de firma digital electrónica basado en un algoritmo criptográfico asimétrico";
GOST R 34.10 94 y GOST R 34.10-2001 "Tecnología de la información. Protección de información criptográfica. Procesos para generar y verificar firmas digitales electrónicas".
El algoritmo de cifrado/descifrado de datos y el cálculo de inserciones imitativas se implementan de acuerdo con los requisitos de GOST 28147 89 "Sistemas de procesamiento de información. Protección criptográfica". Al generar claves públicas y privadas, es posible generarlas con varios parámetros de acuerdo con GOST R 34.10-94 y GOST R 34.10-2001. Al generar el valor de la función hash y el cifrado, es posible utilizar varios nodos de reemplazo de acuerdo con GOST R 34.11-94 y GOST 28147-89.
Conclusión
Revisamos y analizamos amenazas potenciales, posibles canales de acceso no autorizado, métodos y medios para proteger la información y sus soluciones de hardware y software utilizando el ejemplo de sistemas automatizados de procesamiento de datos. Naturalmente, los medios de protección especificados y el complejo agrario e industrial no siempre son fiables, porque... Hoy en día, no solo la tecnología (en nuestro caso, la tecnología informática) se está desarrollando rápidamente, no solo se mejora constantemente la información en sí, sino también los métodos que permiten obtenerla; Nuestra era a menudo se llama la era de la información y trae consigo enormes oportunidades asociadas con el crecimiento económico y la innovación tecnológica. Actualmente, la posesión de datos electrónicos, que se está convirtiendo en el mayor valor de la era de la información, impone a sus propietarios los derechos y responsabilidades de controlar su uso. Los archivos y mensajes almacenados en discos y enviados a través de canales de comunicación son a veces más valiosos que las computadoras y los discos mismos. Por lo tanto, la promesa de la Era de la Información sólo puede hacerse realidad si las personas, empresas y otras entidades que poseen información cada vez más sensible o sensible son capaces de proteger adecuadamente su propiedad de diversas amenazas y elegir un nivel de protección que satisfaga sus requisitos de seguridad. basado en un análisis del nivel de amenaza y el valor de la propiedad que se almacena.
Referencias
1. Zaitsev A.P., Golubyatnikov I.V., Meshcheryakov R.V., Shelupanov A.A. Software y hardware para la seguridad de la información: Libro de texto. Edición 2 rev. y adicional - M.: Mashinostroenie-1, 2006. - 260 p.
2. Vainshtein Yu.V., Demin S.L., Kirko I.N. etc. Libro de texto para las disciplinas “Fundamentos de la seguridad de la información”, “Seguridad de la información y protección de la información”. - Krasnoyarsk, 2007. - 303 p.
Varlataya S.K., Shakhanova M.V. Herramientas y métodos de hardware y software de seguridad de la información: Libro de texto. - Vladivostok: Editorial de la Universidad Técnica Estatal del Lejano Oriente, 2007. - 318 p.
Http://www.accord.ru/amdz.html
Http://signal-com.ru/ru/prod/tele/ipsafe/
Http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip
Http://www.cryptopro.ru/products/csp/overview
Http://www.securitycode.ru/products/pak_sobol/abilities/
Http://www.securitycode.ru/products/secret_net/
Http://www.aladdin-rd.ru/catalog/secret_disk/server/
11.Apéndice 1 del Reglamento sobre el sistema de certificación de equipos de seguridad de la información según los requisitos de seguridad de la información que constituye secretos de estado (sistema de certificación SZI-GT), aprobado por Orden del FSB de la Federación de Rusia de 13 de noviembre de 1999 No. 564 "Sobre la aprobación de las disposiciones sobre el sistema de certificación de información sobre equipos de seguridad sobre los requisitos de seguridad de la información que constituye secretos de estado y sus marcas de conformidad"
Tutoría
¿Necesitas ayuda para estudiar un tema?
Nuestros especialistas le asesorarán o brindarán servicios de tutoría sobre temas que le interesen.
Envía tu solicitud indicando el tema ahora mismo para conocer la posibilidad de obtener una consulta.
Los problemas de seguridad de la información de Java ocupan la mente no solo de los desarrolladores de JDK, sino también de los desarrolladores de aplicaciones. Ningún lenguaje de programación puede proporcionar un 100% de seguridad. Por lo tanto, recurrimos al conocido principio que dice: "Una defensa confiable debe estar estratificada". Desde este punto de vista, la información se presentará en esta sección.
La información es uno de los recursos más valiosos de cualquier empresa, por lo que garantizar la seguridad de la información es una prioridad. A medida que aumenta la importancia y el valor de la información, también crece la importancia de protegerla.
Para garantizar la integridad y confidencialidad de la información, es necesario protegerla de la destrucción accidental o del acceso no autorizado a ella. Integridad significa la imposibilidad de destrucción no autorizada o accidental, así como de modificación de la información. Confidencialidad de la información significa la imposibilidad de adquisición no autorizada por parte de un atacante de información almacenada, enviada o recibida.
Acceso no autorizado se refiere a acciones ilegales como resultado de las cuales un atacante obtiene acceso a información confidencial. Eso es, acceso no autorizado- Se trata de acciones activas para crear la posibilidad de obtener acceso a la información de otra persona sin el consentimiento del propietario. Seco– entrada no autorizada a una red informática o al ordenador de otra persona para obtener acceso a información.
Hay muchas direcciones posibles de fuga de información y formas de acceso no autorizado a ella en sistemas y redes:
- interceptación de información;
- modificación de información, es decir hacerle cambios;
- sustitución de autoría de información, cuando un atacante puede enviar una carta o documento en su nombre;
- crear mensajes falsos;
- acceso no autorizado a información confidencial;
- introducción de virus informáticos, etc.
Este tipo de amenazas pueden surgir debido al acceso no autorizado a la información.
Protección de la información contra accesos no autorizados (autenticación y autorización)
Para acceder a los recursos del sistema de información se deben realizar tres procedimientos: identificación, autenticación y autorización.
Bajo identificación se refiere a la asignación de nombres y códigos únicos (identificadores) a los usuarios (objetos o sujetos de recursos).
Autenticación(autenticación) es un procedimiento para establecer la autenticidad de un usuario (u objeto) según el identificador ingresado. Por ejemplo: autenticación de usuario comparando la contraseña que ingresó con la contraseña en la base de datos; confirmar la autenticidad de un correo electrónico comprobando la firma digital de la carta; comprobar la suma de verificación de un expediente para comprobar el cumplimiento del importe declarado por el autor de este expediente. En ruso, el término se utiliza principalmente en el campo de la tecnología de la información.
La autenticación no debe confundirse con autorización. La autorización se refiere a verificar la autoridad o verificar el derecho de un usuario a acceder a recursos específicos y realizar ciertas operaciones en ellos. La autorización se realiza para diferenciar los derechos de acceso a la red y a los recursos informáticos.
El algoritmo de autenticación de usuario simple consta de los siguientes pasos:
- el usuario ingresa los parámetros de su cuenta (nombre de usuario/contraseña) y los envía al servidor para su verificación;
- el servidor de autenticación compara los valores recibidos con los valores de referencia almacenados, por regla general, en la base de datos;
- si los datos coinciden con los datos de referencia, la autenticación se considera exitosa y el usuario obtiene acceso al sistema de información; si los datos no coinciden con los valores de referencia, el usuario regresa al primer paso.
La contraseña de la cuenta de usuario debe almacenarse en el servidor en formato hash. En este caso, el servidor de autenticación verifica en la base de datos la presencia de una entrada con un valor de inicio de sesión de usuario específico y un código hash de contraseña.
Para identificar a los usuarios, se pueden utilizar sistemas complejos desde el punto de vista de implementación técnica que garantizan la autenticación del usuario basándose en el análisis de sus parámetros individuales (huellas dactilares, trazos de las manos, iris, timbre de voz). Se están generalizando los métodos de identificación física asociados con medios duros: pases en sistemas de puntos de control, tarjetas de plástico pasivas leídas mediante dispositivos especiales; Tarjetas de plástico activas que contienen un microcircuito incorporado.
firma digital electrónica
Una de las formas más utilizadas para garantizar la seguridad de la información es determinar la autenticidad de los documentos basándose en una firma digital electrónica. Las claves asimétricas se utilizan para trabajar con firmas digitales. El propietario cifra su mensaje/documento con una clave privada (PrivateKey) y los usuarios con claves públicas (PublicKey) pueden descifrar y leer el mensaje/documento. Dado que solo el autor posee la clave privada, solo él puede cifrar el mensaje. Esto confirma la identidad del mensaje.
A veces se utiliza como firma digital. resumen del mensaje, cifrado con PrivateKey. El destinatario puede recuperar el resumen del mensaje utilizando la clave pública, compararlo con el resumen del mensaje y verificar la autenticidad del mensaje, es decir, en su integridad y pertenencia al remitente.
Protección de la información en redes informáticas.
Las redes locales de empresas suelen estar conectadas a Internet. Para proteger las redes locales de las empresas se suelen utilizar cortafuegos. Un firewall es un medio de control de acceso que permite dividir una red en dos partes (el límite está entre la red local e Internet) y crear un conjunto de reglas que determinan las condiciones para el paso de paquetes de una parte a la otra. otro. Las pantallas se pueden implementar ya sea en hardware o software.
Las pantallas pueden brindar protección en las redes informáticas de la empresa. Pero a menudo la información en forma de objetos se envía a un navegador desprotegido. En este caso, los objetos en forma de clase Java deben serializarse. Serializar un objeto no es seguro. Si el objeto serializado tiene algún valor para la empresa, también puede protegerse durante las etapas de serialización y deserialización. La protección de un objeto serializado se describe detalladamente con un ejemplo.
Nota: se puede decir mucho sobre la seguridad de la información. También puede pensar en virus informáticos y programas antivirus. Pero aquí nos centraremos por ahora sólo en aquellos aspectos que se comentan en el sitio y que son de interés para los programadores de Java.
Acceso no autorizado – leer, actualizar o destruir información sin la autoridad apropiada para hacerlo.
El acceso no autorizado se lleva a cabo, por regla general, utilizando el nombre de otra persona, cambiando las direcciones físicas de los dispositivos, utilizando la información que queda después de resolver problemas, modificando el software y la información, robando medios de almacenamiento, instalando equipos de grabación.
Para proteger exitosamente su información, el usuario debe tener una comprensión absolutamente clara de las posibles formas de acceso no autorizado. Enumeramos las principales formas típicas de obtener información sin permiso:
· robo de medios de almacenamiento y residuos industriales;
· copia de medios de almacenamiento superando las medidas de seguridad;
· disfrazarse de usuario registrado;
· engaño (disfrazado de solicitudes del sistema);
· explotar las deficiencias de los sistemas operativos y los lenguajes de programación;
· uso de marcadores de software y bloques de software del tipo "caballo de Troya";
· interceptación de radiación electrónica;
· interceptación de radiación acústica;
· fotografía remota;
· uso de dispositivos de escucha;
· desactivación maliciosa de mecanismos de protección, etc.
Para proteger la información del acceso no autorizado, se utiliza lo siguiente:
1) eventos organizativos;
2) medios técnicos;
3) software;
4) cifrado.
Eventos organizacionales incluir:
· modo de acceso;
· almacenamiento de medios y dispositivos en una caja fuerte (disquetes, monitor, teclado, etc.);
· restringir el acceso de personas a las salas de ordenadores, etc.
Medios técnicos incluir:
· filtros, rejillas para equipos;
· tecla para bloquear el teclado;
· dispositivos de autenticación – para leer huellas dactilares, forma de la mano, iris, velocidad y técnicas de mecanografía, etc.;
· llaves electrónicas sobre microcircuitos, etc.
herramientas de software incluir:
· acceso con contraseña: configuración de permisos de usuario;
· bloquear la pantalla y el teclado usando una combinación de teclas en la utilidad Diskreet del paquete Norton Utilites;
· uso de herramientas de protección con contraseña del BIOS, en el propio BIOS y en la PC en su conjunto, etc.
Cifrado– Esta es la transformación (codificación) de información abierta en información cifrada que es inaccesible para personas externas. El cifrado se utiliza principalmente para transmitir información confidencial a través de canales de comunicación no seguros. Puede cifrar cualquier información: textos, imágenes, sonido, bases de datos, etc. La humanidad ha estado utilizando el cifrado desde el momento en que existía información secreta que debía ocultarse a los enemigos. El primer mensaje cifrado conocido por la ciencia es un texto egipcio en el que se utilizaban otros caracteres en lugar de los jeroglíficos entonces aceptados. La ciencia estudia métodos para cifrar y descifrar mensajes. criptología , cuya historia se remonta a unos cuatro mil años. Consta de dos ramas: criptografía y criptoanálisis.
Criptografía es la ciencia de las formas de cifrar la información. Criptoanálisis es la ciencia de los métodos y técnicas para descifrar cifrados.
Por lo general, se supone que todos conocen el algoritmo de cifrado, pero se desconoce su clave, sin la cual el mensaje no se puede descifrar. Ésta es la diferencia entre cifrado y codificación simple, en la que para restaurar un mensaje basta con conocer únicamente el algoritmo de codificación.
Llave- este es un parámetro del algoritmo de cifrado (cifrado), que le permite seleccionar una transformación específica entre todas las opciones proporcionadas por el algoritmo. Conocer la clave le permite cifrar y descifrar mensajes libremente.
Todos los cifrados (sistemas de cifrado) se dividen en dos grupos: simétricos y asimétricos (con clave pública). cifrado simétrico significa que se utiliza la misma clave para cifrar y descifrar mensajes. En sistemas con clave pública Se utilizan dos claves: pública y privada, que están relacionadas entre sí mediante algunas dependencias matemáticas. La información se cifra mediante una clave pública, que está disponible para todos, y se descifra mediante una clave privada, conocida únicamente por el destinatario del mensaje.
Fuerza de cifrado es la resistencia de un cifrado a ser descifrado sin conocer la clave. Un algoritmo se considera resistente si, para una divulgación exitosa, requiere del enemigo recursos informáticos inalcanzables, un volumen inalcanzable de mensajes interceptados o un tiempo tal que, después de su vencimiento, la información protegida ya no sea relevante.
Uno de los cifrados más famosos y antiguos es cifrado César. En este cifrado, cada letra se reemplaza por otra, ubicada en el alfabeto un número determinado de posiciones k a la derecha de la misma. El alfabeto se cierra formando un anillo, de modo que los últimos caracteres son reemplazados por los primeros. El cifrado César se refiere a cifrados de sustitución simples, ya que cada carácter del mensaje original es reemplazado por otro carácter del mismo alfabeto. Estos cifrados se resuelven fácilmente mediante análisis de frecuencia, porque en cada idioma la frecuencia de aparición de letras es aproximadamente constante para cualquier texto suficientemente grande.
Mucho más difícil de romper cifrado vigenère, que se convirtió en un desarrollo natural del cifrado César. Para utilizar el cifrado Vigenère, se utiliza una palabra clave que especifica un valor de desplazamiento variable. El cifrado Vigenère tiene una fuerza criptográfica significativamente mayor que el cifrado César. Esto significa que es más difícil abrirlo y elegir la palabra clave adecuada. En teoría, si la longitud de la clave es igual a la longitud del mensaje y cada clave se usa solo una vez, el cifrado Vigenère no se puede descifrar.
