Axborot xavfsizligi uskunalari
Uskuna himoya vositalariga turli xil elektron, elektromekanik, elektro-optik qurilmalar kiradi. Bugungi kunga kelib, turli maqsadlar uchun uskunalarning katta qismi ishlab chiqilgan, ammo quyidagilar eng ko'p ishlatiladi:
xavfsizlik ma'lumotlarini saqlash uchun maxsus registrlar: parollar, identifikator kodlari, shtamplar yoki maxfiylik darajalari;
shaxsni aniqlash uchun uning individual xususiyatlarini (ovoz, barmoq izlari) o'lchash asboblari;
ma'lumotlar uzatish manzilini vaqti -vaqti bilan tekshirish maqsadida, aloqa liniyasida ma'lumot uzatishni to'xtatish sxemalari.
ma'lumotlarni shifrlash qurilmalari (kriptografik usullar).
Axborotni himoya qilishning texnik vositalari
Axborot tizimining perimetrini himoya qilish uchun quyidagilar yaratilmoqda: xavfsizlik va yong'in signalizatsiyasi; raqamli video kuzatuv tizimlari; kirishni boshqarish tizimlari (ACS). Axborotni texnik aloqa kanallari orqali uning oqishidan himoya qilish quyidagi vositalar va chora -tadbirlar yordamida ta'minlanadi: ekranlangan kabeldan foydalanish va ekranlangan inshootlarda sim va kabellarni yotqizish; aloqa liniyalariga yuqori chastotali filtrlarni o'rnatish; ekranlangan xonalarni qurish ("kapsulalar"); himoyalangan uskunalardan foydalanish; faol shovqin tizimlarini o'rnatish; nazorat qilinadigan hududlarni yaratish.
Moliyaviy lug'at
Davlat siri bo'lgan ma'lumotlarni himoya qilish uchun mo'ljallangan texnik, kriptografik, dasturiy va boshqa vositalar, ular qo'llaniladigan vositalar, shuningdek axborotni himoya qilish samaradorligini nazorat qilish vositalari. EdwART .... Favqulodda lug'at
Axborot xavfsizligi vositalari- davlat siri bo'lgan ma'lumotlarni himoya qilish uchun mo'ljallangan texnik, kriptografik, dasturiy ta'minot va boshqa vositalar, ular qo'llaniladigan vositalar, shuningdek axborotni himoya qilish samaradorligini nazorat qilish vositalari ...
Axborot xavfsizligi uchun dasturiy ta'minot - bu KS dasturiy ta'minotiga faqat himoya funktsiyalarini bajarish uchun kiritilgan maxsus dasturlar.
Axborotni himoya qilishning asosiy dasturiy vositalariga quyidagilar kiradi:
* KS foydalanuvchilarini aniqlash va autentifikatsiya qilish dasturlari;
* foydalanuvchilarning COP resurslariga kirishini farqlash dasturlari;
* ma'lumotlarni shifrlash dasturlari;
* axborot resurslarini (tizimli va amaliy dasturiy ta'minot, ma'lumotlar bazalari, kompyuter o'qitish vositalari va boshqalar) ruxsatsiz o'zgarishlardan, foydalanish va nusxalashdan himoya qilish dasturlari.
Shuni tushunish kerakki, KUning axborot xavfsizligini ta'minlash bilan bog'liq identifikatsiya - bu KU sub'ektining yagona nomini aniq tan olish. Autentifikatsiya - bu taqdim etilgan ism berilgan mavzuga mos kelishini tasdiqlash (sub'ektning shaxsini tasdiqlash) 5.
Shuningdek, axborot xavfsizligi dasturiga quyidagilar kiradi:
* qoldiq ma'lumotlarni yo'q qilish dasturlari (RAM bloklarida, vaqtinchalik fayllar va hk);
kompressor stantsiyasining xavfsizligi bilan bog'liq hodisalarni tekshirish (jurnallarni yuritish) dasturlari, bu hodisalarning qayta tiklanish imkoniyatini va sodir bo'lish faktini isbotlashni ta'minlash;
* huquqbuzar bilan ishlashni simulyatsiya qilish dasturlari (uni maxfiy ma'lumotlarni olishga chalg'itadi);
* COP xavfsizligini sinovdan o'tkazish dasturlari va boshqalar.
Axborot xavfsizligi dasturining afzalliklari quyidagilardan iborat:
* replikatsiya qulayligi;
* moslashuvchanlik (ma'lum bir CS axborot xavfsizligiga tahdidlarning xususiyatlarini hisobga olgan holda, har xil foydalanish shartlariga moslashtirish qobiliyati);
* foydalanish qulayligi - ba'zi dasturiy vositalar, masalan, shifrlash, "shaffof" (foydalanuvchiga ko'rinmas) rejimda ishlaydi, boshqalari esa foydalanuvchidan hech qanday yangi (boshqa dasturlarga nisbatan) ko'nikmalarni talab qilmaydi;
* axborot xavfsizligiga yangi tahdidlarni hisobga olgan holda o'zgartirishlar kiritish orqali ularni rivojlantirish uchun deyarli cheksiz imkoniyatlar.
Guruch. 4
Guruch. 5
Axborot xavfsizligi dasturlarining kamchiliklari quyidagilarni o'z ichiga oladi.
* himoya dasturlarining ishlashi uchun zarur bo'lgan resurslardan foydalanish hisobiga COP samaradorligining pasayishi;
* past ishlash (shunga o'xshash funktsiyalarni bajarishdan ko'ra, apparat himoyasi, masalan, shifrlash);
* dasturiy ta'minotni himoya qilish uchun ko'plab vositalarni joylashtirish (va ularni CS dasturiy ta'minotida emas, balki 4 va 5 -rasmlarda), bu buzg'unchiga ularni chetlab o'tishning asosiy imkoniyatini yaratadi;
* CS ishlashi paytida dasturiy ta'minotni himoyalashda zararli o'zgarishlar ehtimoli.
Operatsion tizim xavfsizligi
Operatsion tizim har qanday kompyuterning eng muhim dasturiy komponenti hisoblanadi, shuning uchun axborot tizimining umumiy xavfsizligi ko'p jihatdan har bir operatsion tizimda xavfsizlik siyosatining bajarilish darajasiga bog'liq.
Windows 2000, Millenium operatsion tizimlari oilasi - bu klonlar bo'lib, ular dastlab uy kompyuterlarida ishlashga qaratilgan. Bu operatsion tizimlar himoyalangan rejim imtiyozlari darajasidan foydalanadi, lekin hech qanday qo'shimcha tekshiruv o'tkazmaydi va xavfsizlik tavsiflovchi tizimlarini qo'llab -quvvatlamaydi. Natijada, har qanday dastur o'qish va yozish huquqiga ega bo'lgan RAMning to'liq hajmiga kira oladi. Tarmoq xavfsizligi choralari mavjud, biroq ularni amalga oshirish talab darajasida emas. Bundan tashqari, Windows XP versiyasida kompyuterning bir nechta paketlarda qotib qolishiga yo'l qo'ygan asosiy xatoga yo'l qo'yildi, bu esa OS obro'siga jiddiy putur etkazdi; keyingi versiyalarda ushbu klonning tarmoq xavfsizligini yaxshilash uchun ko'p qadamlar qo'yildi6. .
Windows Vista, 7 operatsion tizimlarining avlodi allaqachon MicroSoft -dan ancha ishonchli ishlab chiqilgan. Bu qattiq diskdagi turli foydalanuvchilarning fayllarini ishonchli himoya qiladigan ko'p foydalanuvchilarli tizimlar (lekin ma'lumotlar shifrlanmagan va fayllarni boshqa operatsion tizimning diskidan yuklash orqali muammosiz o'qish mumkin, masalan, MS- DOS). Bu operatsion tizimlar Intel protsessorlarining himoyalangan rejim imkoniyatlaridan faol foydalanadi va jarayonning o'zi ularga jarayondan tashqaridan qo'shimcha kirishni ta'minlamoqchi bo'lmasa, boshqa dasturlardan ma'lumotlarni va ishlov berish kodini ishonchli himoya qila oladi.
Uzoq vaqt mobaynida ko'plab turli xil tarmoq hujumlari va xavfsizlik xatolar hisobga olindi. Ularga tuzatishlar xizmat paketlari ko'rinishida berildi.
Klonlarning yana bir tarmog'i UNIX operatsion tizimidan o'sadi. Bu OS dastlab tarmoq va ko'p foydalanuvchilar sifatida ishlab chiqilgan va shuning uchun darhol axborot xavfsizligi vositalarini o'z ichiga olgan. Deyarli barcha keng tarqalgan UNIX klonlari uzoq rivojlanish yo'lini bosib o'tdi va ular o'zgartirilganda, shu vaqt ichida topilgan barcha hujum usullarini hisobga oldilar. Ular o'zlarini etarli darajada isbotladilar: LINUX (S.U.S.), OpenBSD, FreeBSD, Sun Solaris. Tabiiyki, aytilganlarning hammasi ushbu operatsion tizimlarning so'nggi versiyalariga tegishli. Bu tizimlardagi asosiy xatolar endi uzluksiz ishlaydigan yadro bilan emas, balki tizim va dasturiy yordam dasturlari bilan bog'liq. Ularda xatolar mavjudligi ko'pincha tizimning butun xavfsizlik chegarasini yo'qotishiga olib keladi.
Asosiy komponentlar:
Mahalliy xavfsizlik ma'muri ruxsatsiz kirish uchun javobgardir, foydalanuvchining kirish ma'lumotlarini tekshiradi va quyidagilarni saqlaydi:
Audit - foydalanuvchi harakatlarining to'g'riligini tekshirish
Hisob menejeri - foydalanuvchilarning harakatlari va tizim bilan o'zaro aloqalarini qo'llab -quvvatlash.
Xavfsizlik monitor - foydalanuvchining ob'ektga kirish huquqi etarli ekanligini tekshiradi
Audit jurnali - foydalanuvchilarning kirishi, fayllar va papkalar bilan ishlash to'g'risidagi ma'lumotlarni o'z ichiga oladi.
Autentifikatsiya paketi - tizim fayllari almashtirilmasligini tekshiradi. MSV10 - bu standart paket.
Windows XP qo'shildi:
zaxira nusxalari uchun parollarni belgilashingiz mumkin
fayllarni almashtirish himoyasi
demarkatsiya tizimi ... parolni kiritish va foydalanuvchi hisobini yaratish orqali. Arxivlashni bunday huquqlarga ega foydalanuvchi bajarishi mumkin.
NTFS: fayl va papkalarga kirishni boshqarish
XP va 2000 yilda - foydalanuvchilarga kirish huquqlarining yanada to'liq va chuqur farqlanishi.
EFS - ma'lumotlarga kirishni cheklash uchun ma'lumotlarni (fayllar va papkalarni) shifrlash va shifrini ochishni ta'minlaydi.
Kriptografik himoya usullari
Kriptografiya - bu ma'lumotlarni himoya qilish haqidagi fan. U xavfsizlikning to'rtta muhim muammosiga - maxfiylik, autentifikatsiya, yaxlitlik va o'zaro ta'sir ishtirokchilarini nazorat qilish echimlarini qidirmoqda. Shifrlash-bu ma'lumotlarni shifrlash-shifrlash kalitlari yordamida o'qilmaydigan shaklga o'tkazish. Shifrlash maxfiylikni ta'minlashga imkon beradi, bu ma'lumotni maqsadli bo'lmaganlardan sir saqlash.
Kriptografiya axborotni o'zgartirishning matematik usullarini izlash va o'rganish bilan shug'ullanadi (7).
Zamonaviy kriptografiya to'rtta asosiy bo'limni o'z ichiga oladi:
nosimmetrik kriptosistemalar;
ochiq kalitli kriptosistemalar;
elektron imzo tizimlari;
kalitlarni boshqarish.
Kriptografik usullardan foydalanishning asosiy yo'nalishlari-maxfiy ma'lumotlarni aloqa kanallari (masalan, elektron pochta) orqali uzatish, uzatilgan xabarlarning autentifikatsiyasi, axborotni (hujjatlarni, ma'lumotlar bazalarini) ommaviy axborot vositalarida shifrlangan holda saqlash.
Diskni shifrlash
Shifrlangan disk - bu boshqa fayllar yoki dasturlarni o'z ichiga oladigan konteyner fayli (ularni to'g'ridan -to'g'ri ushbu shifrlangan fayldan o'rnatish va ishga tushirish mumkin). Bu diskka faqat konteyner fayliga parol kiritilgandan so'ng kirish mumkin bo'ladi - keyin kompyuterda tizim tomonidan mantiqiy deb tan olingan va boshqa disk bilan ishlashdan farq qilmaydigan boshqa disk paydo bo'ladi. Diskni ajratgandan so'ng, mantiqiy disk yo'qoladi, u shunchaki "ko'rinmas" bo'lib qoladi.
Bugungi kunda shifrlangan disklarni yaratish uchun eng keng tarqalgan dasturlar DriveCrypt, BestCrypt va PGPdisk hisoblanadi. Ularning har biri masofaviy xakerlikdan ishonchli himoyalangan.
Dasturlarning umumiy xususiyatlari: (8)
- konteyner faylidagi ma'lumotlarning barcha o'zgarishlari birinchi navbatda RAMda sodir bo'ladi, ya'ni. qattiq disk har doim shifrlangan bo'lib qoladi. Kompyuter muzlab qolsa ham, maxfiy ma'lumotlar shifrlangan bo'lib qoladi;
- dasturlar ma'lum vaqtdan keyin yashirin mantiqiy diskni blokirovka qilishi mumkin;
- ularning barchasi vaqtinchalik fayllardan shubhalanadilar (fayllarni almashtirish). O'zgartirish fayliga kirishi mumkin bo'lgan barcha maxfiy ma'lumotlarni shifrlash mumkin. O'zgartirish faylida saqlanadigan ma'lumotni yashirishning juda samarali usuli - bu kompyuterni operativ xotira hajmini oshirishni unutmasdan, uni butunlay o'chirib qo'yish;
- qattiq diskning fizikasi shundayki, agar siz ba'zi ma'lumotlarni boshqalar bilan yozib qo'ysangiz ham, oldingi yozuv to'liq o'chirilmaydi. Zamonaviy magnit mikroskopiya vositalari yordamida (Magnit kuch mikroskopi - MFM) ular baribir tiklanishi mumkin. Ushbu dasturlar yordamida siz qattiq diskdagi fayllarni hech qanday iz qoldirmasdan xavfsiz o'chirishingiz mumkin;
- har uchala dastur ham maxfiy ma'lumotlarni qattiq diskda ishonchli shifrlangan shaklda saqlaydi va bu ma'lumotlarga istalgan dastur dasturidan shaffof kirishni ta'minlaydi;
- ular shifrlangan konteyner fayllarini tasodifiy o'chirishdan himoya qiladi;
- Troyanlar va viruslar bilan yaxshi ishlash.
Foydalanuvchilarni aniqlash usullari
Samolyotga kirishdan oldin, foydalanuvchi o'zini tanitishi kerak, keyin tarmoqni himoya qilish mexanizmlari foydalanuvchining haqiqiyligini tasdiqlashi, ya'ni foydalanuvchi haqiqatan ham o'zi da'vo qilayotganini tekshirishi kerak. Himoya mexanizmining mantiqiy modeliga muvofiq, samolyot ishlaydigan kompyuterda joylashgan bo'lib, unga foydalanuvchi terminali orqali yoki boshqa yo'l bilan ulangan. Shuning uchun, identifikatsiya, autentifikatsiya va avtorizatsiya protseduralari mahalliy ishchi kompyuterda sessiya boshlanishida amalga oshiriladi.
Keyinchalik, har xil tarmoq protokollari o'rnatilganda va tarmoq resurslariga kirishdan oldin, identifikatsiya, autentifikatsiya va avtorizatsiya protseduralari ba'zi masofaviy ish stoli kompyuterlarida qayta tiklanib, kerakli resurslar yoki tarmoq xizmatlariga mos kelishi mumkin.
Agar foydalanuvchi terminal yordamida hisoblash tizimida ishlay boshlasa, tizim uning ismini va identifikatsiya raqamini so'raydi. Foydalanuvchining javoblariga ko'ra, kompyuter tizimi uning identifikatsiyasini amalga oshiradi. Tarmoqda o'zaro bog'liq bo'lgan sub'ektlar bir -birlarini aniqlashlari tabiiyroqdir.
Parollar - bu autentifikatsiyaning yagona usuli. Boshqa usullar mavjud:
1. Foydalanuvchi ixtiyorida oldindan belgilangan ma'lumotlar: parol, shaxsiy identifikatsiya raqami, maxsus shifrlangan iboralarni ishlatishga kelishuv.
2. Foydalanuvchi ixtiyoridagi apparat elementlari: kalitlar, magnit kartalar, mikrosxemalar va boshqalar.
3. Foydalanuvchining tipik shaxsiy xususiyatlari: barmoq izlari, ko'zning to'r pardasi chizilgani, shakl o'lchami, ovozi va boshqa murakkabroq tibbiy va biokimyoviy xususiyatlari.
4. Haqiqiy vaqtda foydalanuvchilarning xatti -harakatlarining tipik usullari va xususiyatlari: dinamikaning xususiyatlari, klaviaturadagi ish uslubi, o'qish tezligi, manipulyatorlardan foydalanish qobiliyati va boshqalar.
5. Odatlar: maxsus kompyuter ish qismlarini ishlatish.
6. Ta'lim, madaniyat, tayyorgarlik, ma'lumot, tarbiya, odatlar va boshqalar tufayli foydalanuvchi ko'nikmalari va bilimlari.
Agar kimdir terminal orqali kompyuter tizimiga kirishni yoki ommaviy ishni bajarishni xohlasa, kompyuter tizimi foydalanuvchining haqiqiyligini tasdiqlashi kerak. Foydalanuvchining o'zi odatda hisoblash tizimini tasdiqlamaydi. Agar autentifikatsiya protsedurasi bir tomonlama bo'lsa, bunday protsedura bir tomonlama ob'ekt autentifikatsiyasi deb nomlanadi (9).
Axborot xavfsizligi uchun maxsus dasturiy ta'minot.
Ma'lumotni ruxsatsiz kirishdan himoya qilish uchun maxsus dasturiy vositalar, umuman olganda, tarmoq operatsion tizimining o'rnatilgan vositalaridan ko'ra yaxshiroq imkoniyat va xususiyatlarga ega. Shifrlash dasturlaridan tashqari, boshqa ko'plab tashqi xavfsizlik vositalari mavjud. Eng tez -tez eslatib o'tilganlardan, axborot oqimini cheklashga imkon beradigan quyidagi ikkita tizimni qayd etish lozim.
Xavfsizlik devorlari - xavfsizlik devorlari (tom ma'noda xavfsizlik devori - olov devori). Mahalliy va global tarmoqlar o'rtasida ular orqali o'tadigan barcha tarmoq / transport qatlamlari trafigini tekshiradigan va filtrlaydigan maxsus oraliq serverlar yaratiladi. Bu tashqaridan korporativ tarmoqlarga ruxsatsiz kirish xavfini keskin kamaytirishi mumkin, lekin bu xavfni umuman yo'q qilmaydi. Usulning xavfsizroq versiyasi - bu maskarad, mahalliy tarmoqdan keladigan barcha trafik xavfsizlik devori serveri nomidan yuborilganda, mahalliy tarmoq deyarli ko'rinmas bo'ladi.
Proksi -serverlar (proksi - ishonchnoma, ishonchli shaxs). Mahalliy va global tarmoqlar orasidagi barcha tarmoq / transport qatlamlari trafigi butunlay taqiqlangan - bunday yo'nalish yo'q va mahalliy tarmoqdan global tarmoqqa qo'ng'iroqlar maxsus vositachi serverlar orqali amalga oshiriladi. Shubhasiz, bu usul yordamida global tarmoqdan mahalliy tarmoqqa qo'ng'iroqlar printsipial jihatdan imkonsiz bo'lib qoladi. Bundan tashqari, bu usul yuqori darajadagi hujumlardan - masalan, dastur darajasida (viruslar, Java kodlari va JavaScript) etarli darajada himoyalanmaganligi aniq.
Keling, xavfsizlik devori qanday ishlashini batafsil ko'rib chiqaylik. Bu apparat va dasturiy ta'minot yordamida tarmoqqa kirishni markazlashtirish va nazorat qilish orqali tarmoqni boshqa tizimlar va tarmoqlarning xavfsizlik tahdidlaridan himoya qilish usuli. Xavfsizlik devori - bu bir nechta komponentlardan tashkil topgan xavfsizlik to'sig'i (masalan, xavfsizlik devori dasturini boshqaruvchi yo'riqnoma yoki shlyuz). Xavfsizlik devori tashkilotning ichki tarmoqqa kirishni boshqarish siyosatiga muvofiq tuzilgan. Barcha kiruvchi va chiquvchi paketlar faqat ruxsat berilgan paketlar o'tishiga ruxsat beruvchi xavfsizlik devoridan o'tishi kerak.
Paketni filtrlaydigan xavfsizlik devori - bu kiruvchi va chiquvchi paketlarning ayrim turlarini rad etish uchun tuzilgan dasturiy ta'minot bilan ishlaydigan yo'riqnoma yoki kompyuter. Paketlarni filtrlash paketlarning TCP va IP sarlavhalaridagi ma'lumotlar (yuboruvchi va qabul qiluvchining manzillari, ularning port raqamlari va boshqalar) asosida amalga oshiriladi.
Ekspert darajasidagi xavfsizlik devori - OSI modelining uchta qatlamida - tarmoq, sessiya va dasturda qabul qilingan paketlar tarkibini tekshiradi. Bu vazifani bajarish uchun paketlarni filtrlashning maxsus algoritmlari har bir paketni vakolatli paketlarning ma'lum namunasi bilan solishtirish uchun ishlatiladi.
Xavfsizlik devorini yaratish ekranlash muammosini hal qilish bilan bog'liq. Tekshiruv muammosining rasmiy sozlanishi quyidagicha. Axborot tizimlarining ikkita to'plami bo'lsin. Ekran - bu mijozlarning bir to'plamdan boshqasiga serverlarga kirishini farqlash vositasi. Ekran ikkita tizim to'plami orasidagi barcha axborot oqimlarini nazorat qilish orqali o'z vazifalarini bajaradi (6 -rasm). Oqimlarni boshqarish ularni filtrlashdan iborat bo'lishi mumkin, ehtimol ba'zi o'zgarishlarni amalga oshiradi.
Keyingi tafsilot darajasida ekran (yarim o'tkazuvchan membrana) filtrlar ketma-ketligi sifatida qulay tarzda qaraladi. Filtrlarning har biri ma'lumotlarni tahlil qilib bo'lgach, ularni kechiktirishi (o'tkazib yubormasligi) mumkin va darhol ekrandan "tashlab yuborishi" mumkin. Bundan tashqari, ma'lumotlarni o'zgartirishga, tahlilni davom ettirish uchun ma'lumotlarning bir qismini keyingi filtrga o'tkazishga yoki qabul qiluvchining nomidan ma'lumotlarni qayta ishlashga va natijani jo'natuvchiga qaytarishga ruxsat beriladi (7 -rasm).
Guruch. 7
Kirishni boshqarish funktsiyalaridan tashqari, ekranlar ma'lumot almashishni qayd qiladi.
Odatda ekran nosimmetrik emas, buning uchun "ichkarida" va "tashqarisida" atamalari aniqlanadi. Bunday holda, ekranlash muammosi ichki hududni potentsial dushman tashqi tomondan himoya qilish sifatida shakllantirilgan. Shunday qilib, xavfsizlik devorlari (FW) ko'pincha Internetga kirish imkoniga ega bo'lgan tashkilotning korporativ tarmog'ini himoya qilish uchun o'rnatiladi.
Himoyalash tashqi xizmatlar yukini kamaytirish yoki yo'q qilish orqali orqa xizmatlarning mavjudligini saqlashga yordam beradi. Ichki xavfsizlik xizmatlarining zaifligi kamayadi, chunki tajovuzkor dastlab ekranni yengib o'tishi kerak, bu erda himoya mexanizmlari ayniqsa ehtiyotkorlik bilan tuzilgan. Bundan tashqari, ekranlash tizimi, universaldan farqli o'laroq, sodda va shuning uchun xavfsizroq tarzda joylashtirilishi mumkin.
Himoya qilish, shuningdek, tashqi hududga yo'naltirilgan axborot oqimlarini boshqarishga imkon beradi, bu esa tashkilotning ISda maxfiylik rejimini saqlashga yordam beradi.
Himoya qisman bo'lishi mumkin, ma'lum axborot xizmatlarini himoya qiladi (masalan, elektron pochta himoyasi).
Chegaralangan interfeysni qochishning bir turi deb ham hisoblash mumkin. Ko'zga ko'rinmas ob'ektga hujum qilish qiyin, ayniqsa asboblar to'plami qattiq. Shu ma'noda, veb -interfeys tabiiy ravishda himoyalangan, ayniqsa gipermatnli hujjatlar dinamik tarzda tuzilganda. Har bir foydalanuvchi o'zi ko'rishi kerak bo'lgan narsani ko'radi. Dinamik ravishda yaratilgan gipermatnli hujjatlar va o'zaro bog'liq ma'lumotlar bazalaridagi tasvirlar o'rtasida o'xshashlik bo'lishi mumkin, bunda Internetda imkoniyatlar ancha kengroq bo'ladi.
Ma'lumotlar bazasi jadvallari kabi boshqa manbalarga kirishda bu xizmat funktsiyalari vositachiligida (aniqrog'i, integratsiyalashganida) veb -xizmatning himoya vazifasi ham yaqqol namoyon bo'ladi. Bu nafaqat so'rovlar oqimini nazorat qiladi, balki ma'lumotlarning haqiqiy tashkil qilinishini ham yashiradi.
Arxitektura xavfsizligi jihatlari
Universal operatsion tizimlar yordamida tarmoq muhitiga xos bo'lgan tahdidlarga qarshi kurashish mumkin emas. Umumiy OS - bu katta dastur, ehtimol, aniq xatolardan tashqari, noqonuniy ravishda imtiyozlar olish uchun ishlatilishi mumkin bo'lgan ba'zi xususiyatlarni o'z ichiga oladi. Zamonaviy dasturlash texnologiyasi bunday katta dasturlarni xavfsiz qilishga imkon bermaydi. Bundan tashqari, murakkab tizim bilan shug'ullanadigan ma'mur har doim ham kiritilgan o'zgarishlarning barcha oqibatlarini hisobga olmaydi. Va nihoyat, ko'p foydalanuvchilardan iborat universal tizimda xavfsizlik teshiklari foydalanuvchilar tomonidan doimiy ravishda yaratiladi (zaif va / yoki kamdan-kam hollarda o'zgartirilgan parollar, noto'g'ri o'rnatilgan kirish huquqlari, qarovsiz terminal va boshqalar). Yagona istiqbolli usul, soddaligi tufayli rasmiy yoki norasmiy tekshirishga ruxsat beruvchi maxsus xavfsizlik xizmatlarini ishlab chiqish bilan bog'liq. Xavfsizlik devori - bu turli xil tarmoq protokollariga xizmat ko'rsatish bilan bog'liq bo'lgan keyingi parchalanish imkonini beradigan vosita.
Xavfsizlik devori himoyalangan (ichki) tarmoq va tashqi muhit (tashqi tarmoqlar yoki korporativ tarmoqning boshqa segmentlari) o'rtasida joylashgan. Birinchi holda, ular tashqi ME haqida gapirishadi, ikkinchisida - ichki. Sizning nuqtai nazaringizga qarab, tashqi xavfsizlik devori birinchi yoki oxirgi (lekin yagona) himoya chizig'i deb hisoblanishi mumkin. Birinchisi, siz dunyoga tashqi hujumchi nigohi bilan qarasangiz. Ikkinchisi - agar biz korporativ tarmoqning barcha komponentlarini himoya qilishga intilsak va ichki foydalanuvchilarning noqonuniy xatti -harakatlarini oldini olsak.
Xavfsizlik devori - bu faol auditni o'rnatish uchun ideal joy. Bir tomondan, ham birinchi, ham oxirgi mudofaa chizig'ida shubhali harakatlarni aniqlash o'ziga xos tarzda muhimdir. Boshqa tomondan, ME tashqi muhit bilan aloqani uzishgacha shubhali harakatlarga o'zboshimchalik bilan kuchli reaktsiyani amalga oshirishga qodir. Ammo shuni bilishingiz kerakki, ikkita xavfsizlik xizmatini ulash, asosan, mavjudlik hujumlari uchun qulay teshikni yaratishi mumkin.
Xavfsizlik devoriga korporativ resurslarga kirishga muhtoj bo'lgan tashqi foydalanuvchilarning identifikatsiyasini / autentifikatsiyasini tayinlash maqsadga muvofiqdir (tarmoqqa yagona kirish kontseptsiyasini qo'llab-quvvatlagan holda).
Himoyani ajratish tamoyillari tufayli, tashqi aloqalarni himoya qilish uchun odatda ikki qismli ekran ishlatiladi (8-rasmga qarang). Birlamchi filtrlash (masalan, "qora ro'yxat" ga kiruvchi hujumlar bilan xavfli bo'lgan SNMP boshqaruv protokoli paketlarini yoki ma'lum IP -manzillari bo'lgan paketlarni blokirovka qilish) chegara yo'riqchisi tomonidan amalga oshiriladi (keyingi bo'limga ham qarang). demilitarizatsiya zonasi deb ataladi (tashkilotning tashqi axborot xizmatlari qabul qilinadigan o'rtacha xavfsizlikka ega tarmoq)-korporativ tarmoqning ichki qismini himoya qiluvchi asosiy ME.
Nazariy jihatdan, xavfsizlik devori (ayniqsa, ichki) ko'p protokoli bo'lishi kerak, lekin amalda TCP / IP protokoli oilasining ustunligi shunchalik kuchliki, boshqa protokollarni qo'llab-quvvatlash xavfsizlik uchun zararli bo'lib tuyuladi. xizmat qanchalik himoyasiz bo'lsa).
Guruch. sakkiz
Umuman olganda, tashqi va ichki xavfsizlik devorlari to'siqqa aylanishi mumkin, chunki tarmoq trafigi tez o'sib bormoqda. Ushbu muammoni hal qilish usullaridan biri MEni bir nechta apparat qismlariga bo'lish va maxsus vositachi serverlarni tashkil qilishni o'z ichiga oladi. Asosiy xavfsizlik devori kiruvchi trafikni turiga qarab tasniflashi va filtrlashni tegishli vositachilarga topshirishi mumkin (masalan, HTTP trafigini tahlil qiluvchi vositachi). Chiquvchi trafikni birinchi navbatda vositachi server qayta ishlaydi, u ham funktsional foydali harakatlarni bajarishi mumkin, masalan, tashqi veb -serverlarning sahifalarini keshlash, bu umuman tarmoqdagi yukni va ayniqsa asosiy ME ni kamaytiradi.
Korporativ tarmoq faqat bitta tashqi kanalni o'z ichiga olgan holatlar, qoida emas, balki istisno hisoblanadi. Aksincha, korporativ tarmoq har biri Internetga ulangan bir necha geografik tarqalgan segmentlardan iborat bo'lgan odatiy holatdir. Bunday holda, har bir ulanish o'z ekrani bilan himoyalangan bo'lishi kerak. Aniqroq aytganda, korporativ tashqi xavfsizlik devori birlashtirilgan va barcha komponentlarni izchil boshqarish (boshqarish va audit) muammosini hal qilish zarur deb hisoblashimiz mumkin.
Kompozit korporativ ME -larning (yoki ularning tarkibiy qismlarining) qarama -qarshi tomoni - shaxsiy xavfsizlik devorlari va shaxsiy himoya vositalari. Birinchisi, shaxsiy kompyuterlarga o'rnatilgan va faqat ularni himoya qiladigan dasturiy mahsulotlar. Ikkinchisi alohida qurilmalarda amalga oshiriladi va uy ofis tarmog'i kabi kichik lokal tarmoqni himoya qiladi.
Xavfsizlik devorlarini o'rnatayotganda, siz avval muhokama qilingan me'moriy xavfsizlik tamoyillariga amal qilishingiz kerak, birinchi navbatda, soddaligi va boshqarilishi, himoyani ajratish, shuningdek, xavfli holatga o'tishning iloji yo'qligi. Bundan tashqari, nafaqat tashqi, balki ichki tahdidlarni ham hisobga olish kerak.
Ma'lumotni arxivlash va ko'paytirish tizimlari
Ma'lumotlarni ishonchli va samarali arxivlash tizimini tashkil etish tarmoqdagi axborot xavfsizligini ta'minlashda eng muhim vazifalardan biridir. Bir yoki ikkita server o'rnatilgan kichik tarmoqlarda, ko'pincha arxiv tizimini to'g'ridan -to'g'ri bepul server uyalariga o'rnatish uchun ishlatiladi. Katta korporativ tarmoqlarda maxsus ajratilgan arxiv serverini tashkil qilish afzalroqdir.
Bunday server mahalliy kompyuter tarmog'i ma'muri tomonidan belgilangan vaqtda serverlar va ish stantsiyalarining qattiq disklaridan ma'lumotlarni avtomatik ravishda arxivlaydi va zaxira nusxasi to'g'risida hisobot beradi.
Maxsus qimmatli arxiv ma'lumotlarini saqlash maxsus qo'riqlanadigan xonada tashkil etilishi kerak. Mutaxassislar yong'in yoki tabiiy ofat yuz berganda, eng qimmatli ma'lumotlarning takroriy arxivlarini boshqa binoda saqlashni tavsiya qiladi. Magnit disklar ishlamay qolganda ma'lumotlarning tiklanishini ta'minlash uchun ko'pincha diskli massiv tizimlar ishlatiladi - RAID (Arzon disklarning ortiqcha massivlari) standartiga mos keladigan bitta qurilma sifatida ishlaydigan disklar guruhlari. Bu massivlar o'qish / yozishning eng tez tezligini, ma'lumotlarni to'liq tiklash va ishlamay qolgan drayverlarni tez almashtirishni ta'minlaydi (massivdagi boshqa drayverlarni o'chirmasdan).
Disk massivlarini tashkil qilish bir necha darajalarda amalga oshiriladigan turli xil texnik echimlarni nazarda tutadi:
RAID 0 darajasi sizga ma'lumot oqimini ikki yoki undan ortiq disklar o'rtasida osongina ajratish imkonini beradi. Bu yechimning afzalligi shundaki, kirish -chiqish tezligi massivdagi disklar soniga mutanosib ravishda oshadi.
RAID 1-darajali "ko'zgu" deb nomlangan disklarni tashkil qilishdan iborat. Ma'lumotni yozish paytida tizimning asosiy diskidagi ma'lumotlar oynali diskda takrorlanadi va agar asosiy disk ishlamay qolsa, "ko'zgu" disk darhol yoqiladi.
RAID 2 va 3 darajalari parallel disklar massivlarini yaratishni nazarda tutadi, ular yozilganda, ma'lumotlar disklar bo'ylab bir darajada tarqaladi.
RAID 4 va 5 darajalari nol darajadagi modifikatsiyadir, bunda ma'lumotlar oqimi massiv disklari bo'ylab taqsimlanadi. Farqi shundaki, 4 -darajali ortiqcha ma'lumotlarni saqlash uchun maxsus disk ajratilgan, 5 -darajali esa ortiqcha ma'lumotlar massivdagi barcha disklarga taqsimlangan.
Ortiqcha ma'lumotlardan foydalanishga asoslangan tarmoqdagi ishonchlilik va ma'lumotlarni himoya qilishni yaxshilash nafaqat tarmoq massivlari, masalan, disk massivlari darajasida, balki tarmoq operatsion tizimi darajasida ham amalga oshiriladi. Masalan, Novell Netware operatsion tizimining xatolarga bardoshli versiyalarini - SFT (System Fault Tolerance) ni amalga oshiradi:
- SFT darajasi I. Birinchi daraja FAT va katalog yozuvlari jadvallarining qo'shimcha nusxalarini yaratishni, har bir yangi yozilgan ma'lumotlar blokini fayl serveriga zudlik bilan tekshirishni, shuningdek har bir qattiq diskda diskning taxminan 2% ni zaxiralashni nazarda tutadi. makon.
- II darajali SFT qo'shimcha ravishda "oynali" drayverlarni yaratish qobiliyatini, shuningdek, disk boshqaruvchilari, quvvat manbalari va interfeys kabellarining takrorlanishini o'z ichiga oladi.
- SFT III darajali versiyasi mahalliy tarmoqda takrorlanadigan serverlardan foydalanishga imkon beradi, ulardan biri "master", ikkinchisi esa barcha ma'lumotlarning nusxasini o'z ichiga oladi, server "magistr" ishlamay qolganda ishga tushadi. .
Xavfsizlik tahlili
Xavfsizlikni tahlil qilish xizmati zaifliklarni tezda bartaraf etish maqsadida ularni aniqlashga mo'ljallangan. O'z -o'zidan, bu xizmat hech narsadan himoya qilmaydi, lekin tajovuzkor ularni ishlatishdan oldin xavfsizlik kamchiliklarini aniqlashga (va yo'q qilishga) yordam beradi. Birinchidan, men me'moriy emas (ularni yo'q qilish qiyin), balki ma'muriy xatolar natijasida yoki dasturiy ta'minot versiyalarini yangilashga e'tibor bermaslik natijasida paydo bo'lgan "operatsion" bo'shliqlarni nazarda tutyapman.
Xavfsizlikni tahlil qilish tizimlari (shuningdek, xavfsizlik skanerlari deb ham ataladi), yuqorida muhokama qilingan faol audit vositalari kabi, bilimlarni to'plashga va ulardan foydalanishga asoslangan. Bu xavfsizlik kamchiliklari haqida bilishni anglatadi: ularni qanday izlash kerak, ular qanchalik jiddiy va ularni qanday hal qilish kerak.
Shunga ko'ra, bunday tizimlarning yadrosi mavjud imkoniyatlar diapazonini aniqlaydigan va deyarli doimiy yangilanishni talab qiladigan zaifliklar bazasidir.
Asosan, har xil tabiatdagi bo'shliqlarni aniqlash mumkin: zararli dasturlarning mavjudligi (xususan, viruslar), zaif foydalanuvchi parollari, yomon konfiguratsiya qilingan operatsion tizimlar, xavfli tarmoq xizmatlari, o'chirilmagan tuzatishlar, dasturlarning zaif joylari va boshqalar. Biroq, eng samarali tarmoq skanerlari (TCP / IP protokoli oilasining ustunligi tufayli), shuningdek, virusga qarshi vositalar (10). Biz antivirus himoyasini alohida xavfsizlik xizmati sifatida hisobga olmaganda, xavfsizlikni tahlil qilish vositasi sifatida tasniflaymiz.
Skanerlar zaifliklarni passiv tahlil orqali, ya'ni konfiguratsiya fayllarini, ishlatilgan portlarni va boshqalarni tekshirish orqali, ham tajovuzkorning harakatlariga taqlid qilish orqali aniqlay oladi. Topilgan ba'zi zaifliklar avtomatik tarzda o'chirilishi mumkin (masalan, zararlangan fayllarni dezinfeksiya qilish), boshqalari ma'murga xabar qilinadi.
Xavfsizlikni tahlil qilish tizimlari tomonidan taqdim etiladigan nazorat reaktiv, tabiatan kechikkan, u yangi hujumlardan himoya qilmaydi, lekin shuni esda tutish kerakki, mudofaani echelon qilish kerak, va xavfsizlik nazorati chiziqlardan biri sifatida etarli darajada. Ma'lumki, hujumlarning aksariyati odatiy xarakterga ega; ular mumkin, chunki ma'lum bo'lgan xavfsizlik teshiklari yillar davomida hal qilinmagan.
Axborot xavfsizligi dasturlari - bu axborot tizimidagi ma'lumotlarni himoya qilish uchun mo'ljallangan maxsus dasturlar va dasturiy tizimlar.
Dastur o'z ichiga foydalanuvchini identifikatsiya qilish, kirishni boshqarish, vaqtinchalik fayllar kabi qoldiq (ishchi) ma'lumotlarni olib tashlash, xavfsizlik tizimini sinovdan o'tkazish va boshqalarni o'z ichiga oladi. Dasturiy ta'minotning afzalliklari - ko'p qirralilik, moslashuvchanlik, ishonchlilik, o'rnatish qulayligi, o'zgartirish va ishlab chiqish qobiliyati.
Kamchiliklari - fayl serveri va ish stantsiyalari resurslarining bir qismidan foydalanish, tasodifiy yoki qasddan qilingan o'zgarishlarga yuqori sezuvchanlik, kompyuterlar turiga (ularning uskunalariga) bog'liq bo'lishi mumkin.
Do'stlaringiz bilan baham: |