Tendințele de dezvoltare a tehnologiilor informaționale observate în ultimii ani pot duce la apariția unor forme de luptă (informaționale) calitativ noi, numite război informațional. Nu există o definiție bine stabilită și recunoscută la nivel internațional a războiului informațional. Una dintre componentele războiului informațional este așa-numita armă informațională, pe care experții o definesc ca un set de mijloace și metode care permit furtul, denaturarea sau distrugerea informațiilor, limitarea sau încetarea accesului la acestea pentru cumpărătorii legitimi, perturbarea sau dezactivarea rețelelor de telecomunicații și sisteme informatice, utilizate în asigurarea vieţii societăţii şi a statului.

Clasificarea principiilor de protecție împotriva accesului neautorizat

Principiul accesului rezonabil. Acest principiu constă în îndeplinirea obligatorie a 2 condiții principale: utilizatorul trebuie să aibă un „formular de autorizare” suficient pentru a obține informații despre nivelul de confidențialitate cerut de acesta, iar aceste informații sunt necesare pentru ca acesta să își îndeplinească funcțiile de producție.

Principiul profunzimii suficiente a controlului accesului. Instrumentele de securitate a informațiilor ar trebui să includă mecanisme de control al accesului la toate tipurile de informații și resurse software ale sistemelor automate, care, în conformitate cu principiul accesului rezonabil, ar trebui să fie partajate între utilizatori.

Principiul diferențierii fluxurilor de informații. Pentru a preveni încălcările securității informațiilor, care, de exemplu, pot apărea atunci când informațiile secrete sunt scrise pe medii neclasificate și pe fișiere neclasificate, transferate în programe și procese care nu sunt concepute pentru a procesa informații clasificate, precum și atunci când informațiile secrete sunt transmise în condiții nesigure. canalele și liniile de comunicare, este necesar să se efectueze o diferențiere adecvată a fluxurilor de informații.

Principiul purității resurselor reutilizabile. Acest principiu constă în curățarea resurselor care conțin informații confidențiale atunci când sunt șterse sau eliberate de utilizator înainte ca aceste resurse să fie redistribuite altor utilizatori.

Principiul responsabilitatii personale. Fiecare utilizator trebuie să fie personal responsabil pentru activitățile sale în sistem, inclusiv pentru orice operațiuni cu informații confidențiale și posibile încălcări ale protecției acestuia, de ex. orice acțiuni accidentale sau deliberate care conduc sau pot duce la acces neautorizat la informații confidențiale, denaturarea sau distrugerea acestora sau care fac astfel de informații inaccesibile utilizatorilor legitimi.

Principiul integrității mijloacelor de protecție. Acest principiu presupune că instrumentele de securitate a informațiilor din sistemele automate ar trebui să își îndeplinească cu acuratețe funcțiile în conformitate cu principiile enumerate și să fie izolate de utilizatori, iar pentru întreținerea acestora ar trebui să includă o interfață specială securizată pentru instrumentele de control, semnalând încercările de a încălca securitatea informației și influențarea proceselor. în sistem.

Principalele direcții de asigurare a protecției împotriva accesului neautorizat

Asigurarea protecției echipamentelor informatice (CVT) și a sistemelor automatizate (AS) se realizează prin: sistemul de control acces (ADS) al subiecților la obiecte de acces; furnizarea de fonduri pentru SDD.

Principalele funcții ale SynRM sunt:

• - implementarea regulilor de control acces (APD) ale subiecților și proceselor acestora la date;
• - implementarea DRP a subiecților și a proceselor acestora pe dispozitivele de creare a copiilor pe hârtie;
• - izolarea programelor procesului efectuat în interesul subiectului de alte subiecte;
• - gestionarea fluxului de date pentru a preveni scrierea datelor pe suporturi cu ștampilă necorespunzătoare;
• - implementarea regulilor de schimb de date între subiecți pentru AS și SVT, construite pe principiile rețelei.

Furnizarea de mijloace pentru SynRM îndeplinește următoarele funcții:

• - identificarea și identificarea (autentificarea) subiecților și menținerea legăturii subiectului de procesul efectuat pentru subiect;
• - înregistrarea acțiunilor subiectului și a procesului acestuia;
• - oferirea de oportunități de excludere și includere a unor noi subiecte și obiecte de acces, precum și schimbarea puterilor subiecților; reacția la încercările de UA, de exemplu, semnalizare, blocare, recuperare după UA;
• - testare;
• - curățarea memoriei RAM și a zonelor de lucru pe medii magnetice după terminarea lucrului utilizatorului cu datele protejate;
• - contabilizarea iesirii formelor tiparite si grafice si a exemplarelor tiparite in AS;
• - controlul integrității componentei software și informaționale atât din SynRM, cât și al mijloacelor care îl furnizează.

Metodele de implementare a SynRM depind de caracteristicile specifice ale SVT și AS. Aplicare posibilă următoarele moduri protecție și orice combinație a acestora:

• - DRS distribuite și DRS localizate în complexul software și hardware (nucleu de protecție);
• - DRS în cadrul sistemului de operare, DBMS sau programe de aplicație;
• - DRS în mijloacele de implementare a interacțiunilor de rețea sau la nivel de aplicație; utilizarea transformărilor criptografice sau a metodelor de control al accesului direct; software și (sau) implementare tehnică a SynRM.

Concluzie: este imposibil să protejezi în mod absolut informațiile împotriva accesului neautorizat. Pentru a alege principiul organizării protecției împotriva accesului neautorizat, este necesară o abordare individuală în fiecare caz specific.

Analiza comparativă a celor mai comune mijloace de protejare a informațiilor împotriva accesului neautorizat

A fost efectuată o analiză comparativă a celor mai comune mijloace de protecție a informațiilor (IPS) împotriva accesului neautorizat (UAS) utilizate pentru protejarea datelor în sistemele informaționale. Criteriile de comparație sunt selectate pe baza caracteristicilor SZI din NSD.

Pentru a proteja informațiile din sistemele informatice de atacuri la nivelul sistemului de operare, al rețelei softwareși sisteme de gestionare a bazelor de date, sunt utilizate mijloace de protecție a informațiilor împotriva accesului neautorizat (ISZ de la NSD). Factorul determinant în alegerea facilităţilor de securitate a informaţiilor de la NSD în sistemul informaţional este respectarea normelor şi cerinţelor organelor abilitate în domeniul prelucrării datelor. Cele mai comune mijloace de protejare a informațiilor împotriva accesului neautorizat în ISPD-ul familiei MS Windows sunt următoarele instrumente: „Secret Net LSP”, „Dallas Lock 8.0?K”, „Pantsir?K”, „Aura 1.2.4”.

Toate instrumentele de securitate a informațiilor de mai sus sunt software certificat de securitate a informațiilor care acceptă operarea offline și în rețea. În plus, îndeplinesc funcții similare, cum ar fi:

• 1. Identificarea și autentificarea utilizatorilor.
• 2. Diferențierea și controlul accesului utilizatorilor la resursele sistemului, terminale, calculatoare, noduri de rețea de calculatoare, dispozitive externe, programe, volume, directoare, fișiere etc.
• 3. Contabilitatea purtătorilor de informații.
• 4. Controlul integrității resurselor protejate.
• 5. Controlul componentelor IPS.
• 6. Controlul tipăririi și etichetării documentelor.
• 7. Distrugerea (suprascrierea) conținutului fișierelor atunci când acestea sunt șterse.
• 8. Înregistrarea evenimentelor de securitate în jurnal.
• 9. Copie Shadow informații de ieșire.

În modul de rețea, SZI îndeplinește următoarele funcții:

• 1. Gestionarea centralizată a setărilor IPS.
• 2. Colectare centralizată de informații despre evenimentele de securitate pe computerele protejate.

Metoda de analiză comparativă a informațiilor de securitate a informațiilor din NSD „Secret Net LSP”, „Dallas Lock 8.0?K”, „Shell?K”, „Aura 1.2.4” este prezentată mai jos.

Criteriile de analiză comparativă din această lucrare sunt următoarele caracteristici tehnice ale IPS de la NSD:

• 1. Clasa de securitate.
• 2. Nivelul de control al NDV.
• 3. .
• 4. Cerințe hardware suplimentare: cantitatea necesară de spațiu liber pe hard disk pentru a găzdui sistemul de securitate a informațiilor.
• 5. : da sau nu.

Caracteristicile tehnice specificate pentru instalațiile de securitate a informațiilor selectate de la NSD sunt prezentate în Tabelul 1.

Tabelul 1 - Caracteristicile tehnice ale unității de securitate a informațiilor de la NSD

Tabelul 2 - Matricea indicatorilor

În această matrice, fiecare indicator Aij atribuită o anumită valoare numerică.

Să explicăm scopul valorilor numerice ale indicatorilor Aij pe exemplul sistemului de securitate a informațiilor de la NSD „Secret Net LSP”. Clasa de securitate, nivelul de control al NDV și clasa sistemului automatizat sunt mai mari decât cele ale restului facilitatilor de securitate a informațiilor acceptate pentru analiza comparativă. Pe de altă parte, capacitatea de hard disk necesară pentru implementarea acestui sistem de securitate a informațiilor este mult mai mare, ceea ce introduce limitări asupra capacităților hardware. Acum este necesar să introducem următoarea regulă pentru cuantificarea indicatorului Aij: indicatorul ar trebui să capete o valoare mai mare, cu atât mai mare este semnificația criteriului selectat pentru luarea deciziilor. În acest caz particular, vom efectua o evaluare cantitativă a indicatorilor pentru criteriile de comparație acceptate, după cum urmează:

A 1J= 1 / (Clasa de securitate: 3 sau 5);

A 2J= 1 / (Nivel de control al NDV: 2 sau 4);

A 3J= 1 / (Clasa sistemelor automatizate: 2 - pentru clasa 1B sau 4 - pentru clasa 1G);

A 4J= 1 / (Spațiu necesar pe hard disk în GB);

A 5J= 1 - suport hardware suplimentar disponibil; 0 - fără suport hardware suplimentar.

Astfel, nu este dificil să se obțină valorile numerice ale matricei indicatorilor (Tabelul 3).

Tabelul 3 - Matricea indicatorilor. Valori numerice

O analiză comparativă ulterioară se realizează prin calcularea ratingului conform criteriilor de comparație.

Unde Aij- valoarea curentă a indicatorului;

Țintind- valoarea minima indicator pentru criteriul specificat;

Aimax- valoarea maximă a indicatorului pentru criteriul specificat;

Unde m- numărul de criterii pentru instrumentul de securitate a informațiilor.

Un exemplu de calcul conform metodei propuse este prezentat mai jos în tabelele 4 și 5. Coeficienții de pondere sunt atribuiți din condiția cerințelor de prioritate pentru primele trei criterii de comparație.

Tabelul 4 - Date inițiale pentru calcularea ratingului final al SZI de la NSD

Concluzie: După analizarea principalelor criterii pentru SZI selectat din NSD, se propune o metodă de analiză comparativă a acestora. Din punct de vedere al nivelului tehnic, printre mijloacele considerate de protejare a informațiilor, facilitatea de securitate a informațiilor de la NSD „Secret Net LSP” are un avantaj incontestabil. Cu toate acestea, trebuie avut în vedere faptul că această facilitate de securitate a informațiilor poate fi utilizată nu numai pentru a proteja informațiile confidențiale, ci și pentru a proteja informațiile secrete (certificat conform clasei a 3-a de securitate a SVT și la nivelul 2 de control al SVT). NDV), prin urmare, pentru a proteja ISPD „Secret Net LSP”, în acest caz, redundant. Alte priorități sunt distribuite după cum urmează: „Shell? K”, „Dallas Lock 8.0? K” și SZI „Aura 1.2.4”.

Acces neautorizat la informații (UAS)- este vorba despre accesul la date care încalcă regulile de control al accesului prin implementarea anumitor mijloace, care sunt echipamente informatice sau sisteme automatizate. Potrivit experților, există modalități de acces neautorizat:

• Înclinație spre cooperare
• Cooperare la inițiativă
• întrebând, întrebând
• Ascultarea cu urechea
• Furt
• Observare
• Fals (schimbare)
• copierea
• Distrugere
• Interceptare
• Conexiune ilegală
• Fotografierea
• Cunoștință secretă

Cooperare la inițiativă se manifestă adesea în anumite situații, când persoanele nemulțumite sunt gata să întreprindă acțiuni ilegale de dragul profitului. Motivele pot fi foarte diferite, acestea sunt financiare, morale, politice etc. Este ușor să convingi o astfel de persoană să coopereze în furnizarea de informații confidențiale ale întreprinderii, dacă, desigur, are acces.

Înclinație spre cooperare- de obicei acestea sunt metode violente din partea atacatorilor. Astfel de metode se bazează pe intimidare, mită sau șantaj. Declinarea angajaților se realizează prin amenințări reale cu urmărirea penală a șantajului. Aceasta este cea mai agresivă metodă existentă, deoarece o vizită pașnică se poate transforma în acte violente de intimidare.

tatonare, tatonare este un tip de activitate care se bazează pe sarcina unui angajat întrebări naive pentru a obține informații specifice. De asemenea, puteți obține date prin angajare falsă sau alte acțiuni.

Ascultarea cu urechea- Aceasta este o metodă de spionaj industrial sau de informații, care este folosită de oameni speciali (observatori, informatori) cu mijloace speciale de ascultare. Ascultarea se poate realiza direct prin perceperea undelor acustice sau prin mijloace speciale la distanta.

Observare- Aceasta este o metodă de informații despre starea activității observatului. Această metodă se realizează folosind instrumente optice. Un astfel de proces necesită mult timp și bani, așa că această metodă este de obicei implementată intenționat, la un anumit moment, cu oameni calificați.

Furt- Aceasta este luarea deliberată a resurselor altora, a documentelor etc. În linii mari, ei fură tot ce se află rău, așa că trebuie să tratați cu atenție purtătorii de date confidențiali.

copierea- De obicei, documentele care conțin informații valoroase sunt copiate. Accesul se obține mod ilegal, de multe ori din cauza bietului SZI.

Fals este o schimbare a datelor care, în realitățile concurenței, are scară largă. Falsifică totul pentru a obține date valoroase.

Distrugere— Ștergerea datelor de pe mediile tehnice de stocare. Dacă o luăm mai abstract, atât oamenii, cât și documentele și alte elemente ale sistemului informațional care au o anumită semnificație sunt distruse.

Conexiune ilegală- înțelegeți conexiunea fără contact sau prin contact la diferite fire pentru diferite scopuri.

Interceptare- aceasta este primirea de informații de inteligență prin primirea de semnale de energie electromagnetică prin metode pasive de recepție. Orice semnal în comunicațiile radio sau prin cablu sunt supuse interceptării.

Cunoștință secretă- aceasta este o metoda de obtinere a datelor la care subiectul nu are acces, dar in anumite circumstante, poate invata ceva. De exemplu, uitați-vă la ecranul computerului sau deschideți un document aflat pe masă.

Fotografierea- o metodă de obținere a unei imagini a obiectelor pe material fotografic. O caracteristică a metodei este obținerea de date detaliate la descifrarea imaginii.

Potrivit experților, o astfel de listă nu este intersectată și independentă la un anumit nivel de abstractizare. Ne permite să luăm în considerare un anumit set de mostre de astfel de metode împreună. Figura 1 prezintă un model generalizat al metodelor UA la sursele de informații confidențiale.

Nu este un secret pentru nimeni că serviciile speciale își monitorizează îndeaproape secțiile, în timp ce folosesc diverse contrainformații. În același timp, este necesar să înțelegem prin ce metodă de obținere a informațiilor există acces neautorizat. Cale este o metodă sau un curs de acțiune care duce la realizarea unui scop. Metoda de manipulare(metoda UA) este un set de acțiuni și tehnici în scopul obținerii ilegale de date cu impact suplimentar asupra acestor informații.

În timpul nostru, metodele de acces la date sunt diferite: implementarea unor mijloace tehnice speciale, utilizarea defectelor în sisteme sau altele, așa cum se arată în Fig.1. În plus, metodele UA sunt direct legate de caracteristicile sursei datelor confidențiale.
Având un set surse informații și un set de metode de NSD la acestea, puteți calcula probabilitatea și construi un model al conexiunii lor. Multe metode sunt aplicabile surselor - mijloace tehnice de prelucrare și oameni. Deși alte metode nu afectează, de exemplu, astfel de surse comune, pericolul lor poate fi și mai mare.

Gradul de pericol al metodei NSD se uită la daunele cauzate. După câtă informație are astăzi prețul ei, atunci însuși faptul de a obține informații este echivalat cu primirea de bani. Atacantul are trei goluri:

• obțineți date pentru concurenți și vindeți.
• schimba datele in reteaua de informatii. Dezinformare.
• Distrugeți datele.

Figura - 1 (click pe imagine pentru vizualizare)

Scopul principal este de a obține informații despre starea, componența și activitățile obiectelor de interes confidențial în scopuri proprii sau de îmbogățire. Un alt scop este schimbarea informațiilor care există în rețeaua informațională. Această metodă poate duce la dezinformare în anumite domenii de activitate, modificarea rezultatului sarcinilor stabilite. În același timp, este foarte dificil să implementați o astfel de schemă de dezinformare, trebuie să efectuați o întreagă gamă de acțiuni și să prevedeți o mulțime de evenimente. Cel mai periculos obiectiv este distrugerea datelor. Atât alegerea acțiunilor, cât și caracteristicile lor calitative sau cantitative depind de sarcini.

Modalități ale DNS de informare folosind mijloace tehnice

Orice sistem electronic, care conține un set de noduri, elemente și conductori și, în același timp, are surse de semnal de informare - există canale pentru scurgerea informațiilor confidențiale. Metodele de acces neautorizat și canalele de scurgere sunt legate în mod obiectiv. Opțiunile de conectare sunt prezentate în tabel. unu.

tabelul 1

Din fiecare sursă se formează un canal de scurgere a datelor, în timp ce parametrii specifici săi sunt studiați și metodele de atac sunt testate în laboratoare. Acțiunile pot fi active sau pasive. Cele pasive includ implementarea unor canale tehnice de scurgere de informații fără contact direct sau conexiune. Metodele sunt de obicei orientate către date. Metodele active sunt conectate la liniile de comunicare. Liniile de comunicare pot fi:

• Cablat (fibră optică).
• Wireless (Wi-Fi).

Căi de NSD către liniile de comunicare

Adesea, liniile telefonice sau liniile de fibră optică sunt folosite ca linii de comunicație. Metodele de ascultare a liniilor telefonice sunt prezentate în Fig. 2.

Desen - 2

Există, de asemenea, sisteme de interceptare a liniei care nu necesită contact direct cu linia telefonică. Astfel de sisteme folosesc metode inductive de achiziție de date. Astfel de sisteme nu sunt utilizate pe scară largă, deoarece sunt foarte mari datorită prezenței mai multor etape de amplificare a semnalului de joasă frecvență și, în plus, a unei surse de alimentare externă.

Dar astăzi, liniile de fibră optică au o gamă mai largă de implementare. Informația este transmisă printr-un astfel de canal sub forma unui flux de lumină pulsatorie, care nu este afectat de interferențe magnetice și electrice. De asemenea, este mai greu să interceptați datele printr-un astfel de canal, ceea ce crește securitatea transmisiei. În același timp, viteza de transfer atinge Gigabytes / secundă. Pentru a se conecta la un astfel de canal de comunicație, straturile de protecție ale cablului sunt îndepărtate. Apoi, mantaua reflectorizante este eliminată și cablul este îndoit la un unghi special pentru a capta informații. În acest caz, puterea semnalului va scădea imediat vizibil. De asemenea, vă puteți conecta fără contact la canalul de comunicare, dar pentru aceasta trebuie să aveți un anumit nivel de cunoștințe și pregătire.

Căi de NSD la liniile de comunicație fără fir

Transport de date folosind SCW de înaltă frecvență și benzi VHF face posibilă implementarea transmisiei de informații și a unei rețele de calculatoare unde este dificil să se pună canale obișnuite cu fir. În astfel de canale de comunicare, transferul de informații este posibil la o viteză de până la 2 Mbps. În acest caz, există posibilitatea de interferență și interceptare a informațiilor. Interceptarea datelor funcționează pe baza interceptării radiațiilor electromagnetice cu analiză și decriptare ulterioară. Interceptarea informațiilor prin astfel de canale are propriile sale caracteristici:

• datele pot fi obținute fără contact direct cu sursa;
• semnalul nu este afectat de perioada anului/zi;
• datele sunt primite în timp real;
• interceptarea se realizează pe ascuns.
• domeniul de interceptare este limitat doar de caracteristicile undelor de propagare.

Protecție împotriva accesului neautorizat

Există o poveste despre cum ar trebui să fie stocată informațiile. Trebuie să fie într-o singură copie pe un computer care se află într-un seif blindat, deconectat de la toate rețelele și deconectat de la curent. Această metodă, ca să spunem ușor, este foarte crudă, dar au existat cazuri. Pentru a proteja datele împotriva accesului neautorizat, trebuie să înțelegeți care acces este considerat autorizat și care nu. Pentru asta ai nevoie de:

• împărțiți informațiile în clase care sunt procesate sau stocate pe un computer
• împărțiți utilizatorii în clase în funcție de accesul la date
• aranjați aceste clase în anumite legături de schimb de date între ele

Sistemele de protecție a datelor împotriva accesului neautorizat ar trebui să sprijine implementarea următoarelor funcții:

• autentificare
• Identificare
• delimitarea accesului utilizatorilor la computere
• diferențierea accesului utilizatorilor la oportunități față de informații
• administrare:
  • procesarea jurnalelor de înregistrare
  • definirea drepturilor de acces la resurse
  • lansarea sistemului de protecție pe computer
  • sisteme de protecţie a computerelor demontate
• Concluzie asupra încercărilor de NSD
• înregistrarea evenimentelor:
  • încălcări de acces
  • autentificare/deconectare utilizator
• controlul operabilității și integrității sistemelor de protecție
• menținerea securității informațiilor în timpul reparațiilor și întreținerii preventive și în situații de urgență

Drepturile utilizatorilor de a accesa resurse descriu tabelele pe baza cărora este verificată autentificarea accesului utilizatorului. Dacă Utilizatorul nu poate obține drepturile de acces solicitate, atunci se înregistrează faptul UA și se întreprind anumite acțiuni.

Autentificarea și identificarea utilizatorului

Pentru ca un utilizator să acceseze resursele sistemului, el trebuie să parcurgă procesul:

• Identificare- procesul de atribuire sistemului unui nume de utilizator sau alt identificator
• Autentificare- procesul de confirmare a unui utilizator de către sistem pe baza unui identificator și a unei parole sau a altor informații (vezi , )

Pe baza acestui fapt, pentru a efectua aceste proceduri, este necesar ca:

• a fost un program de autentificare
• utilizatorul avea informații unice

Există două forme de stocare a datelor de identificare a utilizatorului, este internă (înregistrare în baza de date) sau externă (card). Pentru orice purtător de informații care trebuie recunoscut de sistem, există o corespondență în sistemul de autentificare:

• ID i — identificatorul imuabil al utilizatorului i, care este analog cu numele de utilizator pentru sistem
• K i - date de autentificare a utilizatorului

Există două scheme tipice de autentificare și identificare. Prima schema:

Într-o astfel de schemă, E i = F (ID i , Ki), unde irecuperabilitate Ki este considerată ca un anumit prag de intensitate a muncii T 0 pentru refacerea Ki prin E i și ID i . Pentru o pereche de Ki și K j, posibila coincidență a valorilor lui E. În legătură cu această situație, probabilitatea autentificare falsă utilizatorii sistemului nu trebuie să depășească un anumit prag P 0 . În practică, sunt date următoarele valori: T 0 \u003d 10 20 ....10 30, P 0 \u003d 10 -7 ....10 -9.

Pentru o astfel de schemă, există un protocol de autentificare și identificare:

• Utilizatorul își oferă identitatea
• Se calculează valoarea E = F(ID, K).

Într-o altă schemă, E i = F(S i , Ki), unde S este un vector aleator care este setat atunci când este creat ID-ul utilizatorului. F este o funcție care are un aspect irecuperabilitate valorile lui Ki prin E i și S i .

Protocol pentru a doua schemă de autentificare și identificare:

• Utilizatorul își arată ID-ul sistemului
• Dacă există un astfel de ID i , unde ID=ID i , atunci utilizatorul a fost identificat cu succes, altfel nu.
• Vectorul S este alocat prin ID-ul de identificare
• Algoritmul de autentificare cere utilizatorului să introducă autentificatorul său K
• Se calculează valoarea E = F(S, K).
• Dacă E = E 1, atunci autentificarea a trecut, altfel nu.

A doua schemă este utilizată în sistemul de operare UNIX. Utilizatorul își introduce numele (Login) ca identificator, iar parola ca autentificator. Funcția F este algoritmul de criptare DES. (cm. )

Recent, metodele biometrice de identificare și autentificare câștigă amploare, acest lucru fiind facilitat de:

• Grad ridicat de procură asupra caracteristicilor datorită unicității lor
• Falsificarea dificilă a acestor semne

Atributele utilizatorului pot fi:

• amprentele digitale
• modelul retinei și irisului
• forma mâinii
• forma urechii
• forma feței
• caracteristici vocale
• scris de mână

La înregistrare, utilizatorul trebuie să-și arate caracteristicile biometrice. Imaginea scanată este comparată cu imaginea care există în baza de date. Sisteme de identificare a ochilor au probabilitatea de a repeta aceste caracteristici - 10 -78 . Astfel de sisteme sunt cele mai fiabile dintre celelalte sisteme biometrice. Astfel de sisteme sunt utilizate în zonele de apărare și instalații militare. Sisteme de identificare a amprentelor cel mai comun. Motivul pentru masa este că există o bază de date mare de amprente. Mulțumesc poliției. Sisteme de identificare facială și vocală cele mai accesibile din cauza ieftinității lor. Astfel de sisteme sunt utilizate pentru identificarea de la distanță, de exemplu, în rețele.

De remarcat faptul că utilizarea caracteristicilor biometrice pentru identificarea subiecților nu a primit încă un suport de reglementare adecvat, sub formă de standarde. Prin urmare, utilizarea unor astfel de sisteme este permisă numai în cazul în care sunt prelucrate date care constituie un secret comercial sau oficial.

Autentificarea reciprocă a utilizatorilor

Părțile care intră într-un schimb de informații au nevoie de autentificare reciprocă. Un astfel de proces este de obicei implementat la începutul unei sesiuni de schimb. Pentru autentificare, există modalități:

• mecanism de marcare temporală ( timbru temporar)
• mecanism cerere-răspuns

Mecanismul cerere-răspuns implică o situație în care utilizatorul A dorește să se asigure că datele trimise de utilizatorul B nu sunt false. Pentru a face acest lucru, utilizatorul A trimite un element imprevizibil − cerere X, pe care utilizatorul B trebuie să efectueze o operație predeterminată și să trimită rezultatul utilizatorului A. Utilizatorul A verifică rezultatul cu ceea ce trebuia să iasă. Dezavantajul acestei metode este că puteți restabili modelul dintre cerere și răspuns.

Mecanismul de marcare temporală implică înregistrarea timpului pentru fiecare mesaj trimis. În acest caz, utilizatorul rețelei poate determina cum învechit mesaj. În ambele cazuri, trebuie aplicată o criptare suplimentară.

De asemenea, au mecanism de strângere de mână, care se bazează pe cele două mecanisme anterioare și constă în verificarea reciprocă a cheilor, care este utilizată de părțile la schimb. Acest principiu este folosit pentru a crea o conexiune între computerul gazdă și așa mai departe în rețele.

Ca exemplu, luați în considerare doi utilizatori A și B care au aceeași cheie secretă K AB .

• Utilizatorul A inițiază mecanismul și îi trimite utilizatorului B ID-ul A în formă clară
• Utilizatorul B primește ID-ul A, găsește cheia K AB pentru utilizare ulterioară
• Utilizatorul A generează o secvență S folosind un generator PG și o trimite utilizatorului B ca criptogramă E K AB S
• Utilizatorul B decriptează această criptogramă
• Ambii utilizatori modifică secvența S, folosind funcția unidirecțională f
• Utilizatorul B criptează mesajul f(S) și trimite criptograma E K AB (f(S)) utilizatorului A
• Utilizatorul A decriptează o astfel de criptogramă și compară f(S) a originalului și a celei decriptate. Dacă sunt egale, atunci se dovedește autenticitatea utilizatorului B pentru utilizatorul A.

Utilizatorul B dovedește identitatea lui A în același mod. Avantajul unui astfel de mecanism este că participanții la comunicare nu primesc nicio informație secretă în timpul mecanismului.

De asemenea, puteți utiliza sisteme DLP. Astfel de sisteme se bazează pe analiza fluxurilor de date care se intersectează cu datele sistemului informațional protejat. Când semnătura este declanșată, elementul activ al sistemului este declanșat, iar transmisia pachetului, fluxului, sesiunii este blocată. Astfel de sisteme se bazează pe două metode. Prima analizează trăsăturile formale ale informaţiei. De exemplu, etichete, valori ale funcției hash etc. Această metodă vă permite să evitați falsele pozitive (erori de primul fel), dar pentru aceasta, documentele trebuie procesate cu clasificare suplimentară. O altă modalitate este analiza de conținut. Permite rezultate false pozitive, dar vă permite să detectați transferul de date confidențiale nu numai între documentele procesate. Sarcina principală a unor astfel de sisteme este de a preveni transferul de date confidențiale în afara sistemului informațional. O astfel de scurgere poate fi intenționată sau neintenționată. Practica arată că 75% dintre incidente nu au loc intenționat, ci din cauza greșelilor, neglijenței sau neatenției angajaților înșiși. Astfel de scurgeri nu sunt greu de detectat, este mai dificil de detectat atacuri speciale. Rezultatul luptei depinde de mulți parametri și este imposibil să se garanteze succesul 100%.

În concluzie, trebuie remarcat faptul că NSD este o amenințare deliberată cu acces la . Există multe moduri de a face acest lucru. Serviciul de securitate a informațiilor trebuie să monitorizeze cu atenție fluxurile de informații, precum și utilizatorii sistemului informațional. Odată cu dezvoltarea tehnologiei, apar noi metode de NSD și implementarea lor. Este necesar ca autoritățile să aloce resurse pentru actualizarea și îmbunătățirea sistemului de protecție a sistemului informațional, întrucât în ​​timp acesta devine depășit și își pierde capacitatea de a preveni noile atacuri. Trebuie amintit că nu există o protecție absolută, dar trebuie să lupți pentru aceasta.

Introducere

Măsurile de protecție a informațiilor împotriva accesului neautorizat fac parte integrantă din activitățile de management, științifice, industriale (comerciale) ale unei întreprinderi (instituție, firmă etc.), indiferent de afilierea departamentală și de forma de proprietate a acestora, și sunt realizate împreună. cu alte măsuri pentru asigurarea confidenţialităţii regimului stabilit. Practica de organizare a protecției informațiilor împotriva accesului neautorizat în timpul prelucrării și stocării acestora în SA ar trebui să țină cont de următoarele principii și reguli pentru asigurarea securității informațiilor:

Respectarea nivelului de securitate a informațiilor cu prevederile legislative și cerințele de reglementare pentru protecția informațiilor supuse protecției conform legislației în vigoare, incl. selectarea clasei de securitate AS în funcție de caracteristicile procesării informațiilor (tehnologia de prelucrare, condițiile specifice de funcționare ale AS) și nivelul de confidențialitate a acestuia.

Identificarea informațiilor confidențiale și a documentației sub forma unei liste de informații care trebuie protejate, ajustarea acestora în timp util.

Cele mai importante decizii privind securitatea informațiilor ar trebui luate de conducerea întreprinderii (organizație, firmă), proprietarul AS.

Stabilirea procedurii de stabilire a nivelurilor de autoritate de acces pentru subiecți, precum și a cercului de persoane cărora li se acordă acest drept.

Stabilirea și executarea regulilor de control al accesului, de ex. un set de reguli care guvernează drepturile de acces ale subiecților de acces la obiectele de acces.

Stabilirea responsabilității personale a utilizatorilor pentru menținerea nivelului de securitate al SA atunci când prelucrează informațiile care fac obiectul protecției conform legislației în vigoare.

Asigurarea protectiei fizice a instalatiei in care se afla centrala nucleara protejata (teritoriu, cladiri, spatii, medii de stocare) prin infiintarea de posturi corespunzatoare, mijloace tehnice de protectie sau prin orice alte mijloace care impiedica sau impiedica semnificativ furtul echipamentelor informatice; mijloacele informaționale, precum și de la NSD la SVT și liniile de comunicare.

Organizarea serviciului de securitate a informațiilor (persoane responsabile, administrator al SA), care este responsabil de contabilitate, stocare și emitere medii de informare, parole, chei, întreținerea informațiilor de serviciu ale unității de securitate a informațiilor a NSD (generarea de parole, chei). , menținerea regulilor de control al accesului), acceptarea noilor software incluse în AS, precum și controlul asupra cursului proces tehnologic prelucrarea informațiilor confidențiale etc.

Controlul sistematic și operațional al nivelului de securitate al informațiilor protejate, verificarea funcțiilor de protecție a instrumentelor de securitate a informațiilor. Instrumentele de securitate a informațiilor trebuie să aibă un certificat care să ateste conformitatea lor cu cerințele de securitate a informațiilor.

Instrumente de securitate a informațiilor- un set de dispozitive și dispozitive de inginerie, electrice, electronice, optice și alte dispozitive, instrumente și sisteme tehnice, precum și alte elemente reale utilizate pentru rezolvarea diferitelor probleme de protecție a informațiilor, inclusiv prevenirea scurgerilor și asigurarea securității informațiilor protejate.

În general, mijloacele de asigurare a protecției informațiilor în ceea ce privește prevenirea acțiunilor deliberate, în funcție de modalitatea de implementare, pot fi împărțite în grupe: tehnice (hardware), software, mixte hardware și software, organizatorice.

Mijloace tehnice (hardware).- este vorba de dispozitive de diverse tipuri (mecanice, electromecanice, electronice si altele), care rezolva problemele de protectie a informatiilor cu hardware. Ele împiedică pătrunderea fizică sau, dacă pătrunderea a avut loc, împiedică accesul la informații, inclusiv prin mascarea acesteia. Prima parte a sarcinii este rezolvată de încuietori, gratii pe ferestre, alarme de securitate etc. A doua parte este generatoare de zgomot, filtre de rețea care scanează

receptoare radio și multe alte dispozitive care „blochează” potențialele canale de scurgere de informații sau permit detectarea acestora. Avantajele mijloacelor tehnice sunt legate de fiabilitatea lor, independența față de factorii subiectivi și rezistența ridicată la modificare.

Protecția hardware include diverse dispozitive electronice, electro-mecanice, electro-optice. În prezent

timp, a fost dezvoltat un număr semnificativ de hardware pentru diverse scopuri, dar următoarele sunt cele mai utilizate pe scară largă:

registre speciale pentru stocarea detaliilor de securitate: parole care identifică coduri, vulturi sau niveluri de secretizare;

dispozitive de măsurare a caracteristicilor individuale ale unei persoane (voce, amprente) în vederea identificării acesteia;

scheme de întrerupere a transmiterii informaţiei în linia de comunicaţie în vederea verificării periodice a adresei de emitere a datelor.

dispozitive pentru criptarea informațiilor (metode criptografice).

Software includ programe pentru identificarea utilizatorilor, controlul accesului, criptarea informațiilor, eliminarea reziduurilor

informații (funcționale), cum ar fi fișierele temporare, controlul testării sistemului

protecție etc. Avantajele instrumentelor software sunt versatilitatea, flexibilitatea, fiabilitatea, ușurința de instalare, capacitatea de modificare și dezvoltare. Dezavantaje - funcționalitate limitată a rețelei, utilizarea unei părți din resursele serverului de fișiere și stațiilor de lucru, sensibilitate ridicată la modificări accidentale sau deliberate, posibilă dependență de tipurile de computere (hardware-ul acestora).

Hardware și software mixt implementează aceleași funcții ca hardware și software separat și au proprietăți intermediare.

Mijloacele organizatorice constau în tehnice organizatorice (pregătirea spațiilor cu calculatoare, amenajarea sistem de cabluri luând în considerare cerințele de restricționare a accesului la acesta etc.) și organizatorice și juridice (legile naționale și regulile de lucru stabilite de conducerea unei anumite întreprinderi). Avantajele instrumentelor organizaționale sunt că vă permit să rezolvați multe probleme eterogene, sunt ușor de implementat, răspund rapid la acțiunile nedorite din rețea și au posibilități nelimitate de modificare și dezvoltare.

În funcție de gradul de distribuție și accesibilitate, instrumentele software sunt alocate. Alte mijloace sunt utilizate în cazurile în care este necesar să se asigure un nivel suplimentar de protecție a informațiilor.

.Canale de scurgeri de informații despre aeronave

Posibilele canale de scurgere de informații sunt canale asociate cu accesul la elementele sistemului și modificările în structura componentelor acestuia. Al doilea grup include:

citirea deliberată a datelor din fișierele altor utilizatori;

citirea informațiilor reziduale, adică a datelor rămase pe suport magnetic după finalizarea sarcinilor;

copierea suporturilor;

utilizarea intenționată pentru a accesa informațiile terminalului

Utilizatori Înregistrați;

deghizarea în utilizator înregistrat prin furtul de parole și alte detalii de control al accesului la informațiile utilizate în sistemele de procesare;

utilizarea așa-numitelor „găuri”, găuri și „lacune” pentru accesarea informațiilor, adică posibilitatea de a ocoli mecanismul de control al accesului care decurge din imperfecțiunea componentelor software la nivelul întregului sistem (sisteme de operare, sisteme de gestionare a bazelor de date etc. ) și ambiguitățile limbajelor de programare utilizate în sistemele automate de prelucrare a datelor.

.Metode de securitate a informațiilor în forțele armate

În prezența unor mijloace simple de stocare și transmitere a informațiilor, au existat și nu și-au pierdut până acum din valoare următoarele metode de protejare a acesteia împotriva accesului deliberat: restricționarea accesului; controlul accesului; partajarea accesului (privilegii); transformarea criptografică a informațiilor; control acces si contabilitate; măsuri legislative.

Aceste metode au fost realizate pur organizațional sau cu ajutorul mijloacelor tehnice.

Odată cu apariția procesării automate a informațiilor, mediile fizice ale informațiilor s-au schimbat și s-au completat cu noi tipuri, iar mijloacele tehnice de prelucrare a acesteia au devenit mai complicate.

În acest sens, se dezvoltă metode vechi și noi de protecție a informațiilor în sistemele de calcul:

metode de control funcțional care asigură detectarea și diagnosticarea defecțiunilor, defecțiunilor hardware și erorilor umane, precum și erori de software;

metode de creștere a fiabilității informațiilor;

metode de protejare a informațiilor împotriva situațiilor de urgență;

metode de control al accesului la instalația internă a echipamentelor, liniilor de comunicații și controale tehnologice;

metode de diferențiere și control al accesului la informații;

metode de identificare și autentificare a utilizatorilor, mijloace tehnice, suporturi de informații și documente;

Metodele de protejare a informațiilor împotriva accesului neautorizat pot fi împărțite în 4 tipuri

2.1 Accesul fizic și la date

Regulile de exercitare a controlului accesului la date sunt singurele metode existente pentru a îndeplini cerințele de identificare individuală discutate mai sus. Cea mai bună politică de control al accesului este o politică de „cel mai mic privilegiu”. Cu alte cuvinte, utilizatorul are acces doar la informațiile de care are nevoie în munca sa. La informațiile clasificate drept confidențiale (sau echivalente) și mai sus, accesul este supus modificării și este confirmat periodic.

La un anumit nivel (de către macarînregistrate confidențiale sau echivalente) ar trebui să existe un sistem de verificări și control al accesului, precum și de înregistrare a modificărilor. Ar trebui să existe reguli care să definească cine este responsabil pentru toate modificările datelor și programelor. Ar trebui stabilit un mecanism pentru a detecta încercările de acces neautorizat la resurse precum date și programe. Proprietarul resurselor, managerii de departament și personalul de securitate ar trebui să fie anunțați cu privire la potențialele încălcări pentru a preveni posibilitatea de coluziune.

2 Controlul accesului hardware

Pentru controlul accesului la instalația internă, liniile de comunicație și controalele tehnologice se utilizează echipamente de control al deschiderii echipamentelor. Aceasta înseamnă că instalația internă a echipamentelor și corpurilor tehnologice și panourilor de comandă este închisă cu capace, uși sau carcase pe care este instalat senzorul. Senzorii sunt declanșați la deschiderea echipamentului și emit semnale electrice, care sunt alimentate prin circuitele de colectare către un dispozitiv de control centralizat. Instalarea unui astfel de sistem are sens cu o suprapunere mai completă a tuturor abordărilor tehnologice ale echipamentului, inclusiv instrumente de descărcare a software-ului, un panou de control al computerului și conectori de cablu extern ai hardware-ului inclus în sistem de calcul. În cazul ideal, pentru sistemele cu cerințe crescute pentru eficacitatea protecției informațiilor, este recomandabil să închideți capacele sub încuietoare mecanică cu un senzor sau să puneți sub control includerea mijloacelor standard de intrare în sistem - terminale de utilizator.

Controlul deschiderii echipamentelor este necesar nu numai în interesul protejării informațiilor împotriva accesului neautorizat, ci și pentru a respecta disciplina tehnologică pentru a asigura funcționarea normală a sistemului informatic, deoarece adesea în timpul funcționării, în paralel cu rezolvarea principalelor sarcini, echipamentele sunt reparate sau prevenite și se poate dovedi că au uitat din greșeală să se conecteze cablul sau telecomanda computerului a schimbat programul de procesare a informațiilor. Din punctul de vedere al protecției informațiilor împotriva accesului neautorizat, controlul împotriva falsificării protejează împotriva următoarelor acțiuni:

schimbare și distrugere schema circuitului sistem și echipamente informatice;

conectarea unui dispozitiv extern;

modificarea algoritmului sistemului informatic prin utilizarea consolelor și comenzilor tehnologice;

descărcarea de programe terță parte și introducerea de software „viruși” în sistem;

utilizarea terminalelor de către persoane neautorizate etc.

Sarcina principală a sistemelor de control al deschiderii echipamentelor este de a bloca toate abordările nestandard și tehnologice ale echipamentului pentru perioada de funcționare. În cazul în care acestea din urmă sunt solicitate în timpul funcționării sistemului, echipamentele scoase pentru reparații sau întreținere înainte de începerea lucrului sunt deconectate de la circuitul de lucru pentru schimbul de informații pentru a fi protejate și introduse în circuitul de lucru sub supravegherea și controlul persoanelor. responsabil pentru securitatea informațiilor.

2.3 Transformarea criptografică a informațiilor

Protejarea datelor cu criptare este una dintre cele solutii posibile preocupările lor de securitate. Datele criptate devin disponibile numai pentru cineva care știe cum să le decripteze și, prin urmare, furtul datelor criptate este absolut inutil pentru utilizatorii neautorizați. Criptografia asigură nu numai secretul informațiilor, ci și autenticitatea acesteia. Secretul este menținut prin criptare mesaje individuale sau întregul fișier. Autenticitatea informațiilor este confirmată prin criptare cu un cod special care conține toate informațiile, care este verificat de destinatar pentru a confirma identitatea autorului. Nu numai că certifică originea informației, dar garantează și imuabilitatea acesteia. Chiar și o simplă transformare a informațiilor este foarte instrument eficient, ceea ce face posibilă ascunderea sensului său de majoritatea infractorilor necalificați.

Criptografia este în prezent singura modalitate cunoscută de a asigura secretul și autenticitatea informațiilor transmise de la sateliți. Natura standardului de criptare a datelor DES este de așa natură încât algoritmul său este public, doar cheia trebuie să fie secretă. Mai mult, aceleași chei trebuie folosite pentru a cripta și decripta informațiile, altfel va fi imposibil de citit.

Principiul criptării este codificarea textului folosind o cheie. În sistemele tradiționale de criptare, aceeași cheie a fost folosită pentru codificare și decodare. În sistemele noi cu cheie publică sau criptare asimetrică, cheile sunt împerecheate: una este folosită pentru codificare, cealaltă pentru decodarea informațiilor. Într-un astfel de sistem, fiecare utilizator deține o pereche unică de chei. O cheie, așa-numita „publică”, este cunoscută tuturor și este folosită pentru a codifica mesajele. O altă cheie, numită cheie „secretă”, este ținută strict secretă și este folosită pentru a decripta mesajele primite. La implementarea unui astfel de sistem, un utilizator care trebuie să trimită un mesaj altuia poate cripta mesajul cu cheia publică a acestuia din urmă. Numai proprietarul cheii secrete personale o poate decripta, astfel încât pericolul de interceptare este exclus. Acest sistem poate fi folosit și pentru a crea protecție împotriva falsificării semnăturilor digitale.

Utilizarea practică a criptării de securitate a Internetului și a intranetului combină schemele simetrice tradiționale și noile scheme asimetrice. Criptarea cu cheie publică este utilizată pentru a conveni asupra unei chei simetrice secrete, care este apoi folosită pentru a cripta datele reale. Criptarea oferă cel mai înalt nivel de securitate a datelor. Se aplică atât hardware-ul, cât și software-ul diverși algoritmi criptare.

4 Control și control acces

Pentru a bloca posibilele canale UA către informațiile PC, pe lângă cele menționate, se pot aplica și alte metode și mijloace de protecție. Când utilizați un computer într-un mod multi-utilizator, este necesar să aplicați un program de control și control al accesului în acesta. Există multe astfel de programe, care sunt adesea dezvoltate de utilizatorii înșiși. Cu toate acestea, specificul funcționării software-ului pentru computer este de așa natură încât, folosind tastatura sa, un programator suficient de calificat poate ocoli cu ușurință acest tip de protecție. Prin urmare, această măsură este eficientă numai pentru protecția împotriva unui intrus necalificat. Pentru a vă proteja împotriva unui contravenient profesionist, un complex de software și hardware vă va ajuta. De exemplu, un dongle special introdus într-un slot liber pentru PC și fragmente speciale de software încorporate în programe de aplicație pentru PC care interacționează cu dongle-ul conform unui algoritm cunoscut doar de utilizator. Fără cheie, aceste programe nu funcționează. Cu toate acestea, o astfel de cheie este incomod de utilizat, deoarece de fiecare dată trebuie să deschideți unitatea de sistem PC. În acest sens, partea sa variabilă - parola - este afișată pe un dispozitiv separat, care devine cheia reală, iar cititorul este instalat pe panoul frontal al unității de sistem sau este realizat ca un dispozitiv separat la distanță. În acest fel, puteți bloca atât boot-ul PC-ului, cât și programul de control acces și demarcare.

De exemplu, cele mai populare dongle-uri de la două companii americane, Rainbow Technologies (RT) și Software Security (SSI), au capabilități similare. piata interna sunt oferite o serie de chei electronice: NovexKey - de NOVEX, HASP și Plug - de ALADDIN, etc. Cele mai multe dintre ele sunt concepute pentru a proteja împotriva copierii neautorizate a unui produs software, adică pentru a proteja drepturile de autor pentru crearea acestuia, deci, pentru scopuri. Totuși, în același timp, canalele de afișare, documentație, software și suporturi de informații, radiațiile electromagnetice false și interferența informațiilor nu rămân întotdeauna protejate. Suprapunerea lor este asigurată de metode și mijloace deja cunoscute: plasarea unui computer într-o cameră securizată, înregistrarea și stocarea mediilor de informații în dulapuri metalice și seifuri și criptare.

Sistemul de control al accesului (ASD) este una dintre componentele principale ale unui sistem cuprinzător de securitate a informațiilor. Acest sistem are următoarele componente:

acces la mijloace de autentificare a subiectului;

mijloace de delimitare a accesului la dispozitivele tehnice ale sistemului informatic;

mijloace de diferențiere a accesului la programe și date;

mijloace de blocare a acțiunilor neautorizate;

mijloace de înregistrare a evenimentelor;

operator de serviciu al sistemului de control acces.

Eficacitatea sistemului de control al accesului este determinată în mare măsură de fiabilitatea mecanismelor de autentificare. O importanță deosebită este autentificarea în interacțiunea proceselor de la distanță, care se realizează întotdeauna folosind metode criptografice. La operarea mecanismelor de autentificare, principalele sarcini sunt:

generarea sau producerea de identificatori, înregistrarea și stocarea acestora, transferul de identificatori către utilizator și controlul asupra implementării corecte a procedurilor de autentificare într-un sistem informatic (CS). Atunci când atributele de acces (parolă, cod personal etc.) sunt compromise, acestea trebuie urgent excluse din lista celor permise. Aceste acțiuni trebuie efectuate de către operatorul de serviciu al sistemului de control acces.

În CS-urile distribuite mari, problema generării și furnizării de atribute de identificare și chei de criptare nu este sarcină banală. Deci, de exemplu, distribuția chei secrete criptarea trebuie efectuată în afara sistemului informatic protejat. Valorile ID utilizator nu ar trebui să fie stocate sau transmise în sistem în mod clar. În momentul introducerii și comparării identificatorilor, este necesar să se ia măsuri speciale pentru a proteja împotriva spionării setului de parole și a impactului programelor de sabotaj precum keylogger și simulatoare SynRM. Mijloacele de delimitare a accesului la mijloacele tehnice previn acțiunile neautorizate ale unui intrus, cum ar fi pornirea unui dispozitiv tehnic, încărcarea unui sistem de operare, intrarea-ieșire de informații, utilizarea dispozitivelor nestandardizate etc. Delimitarea accesului este efectuată de SynRM operator prin utilizarea hardware și software. Astfel, operatorul SynRM poate controla utilizarea cheilor de la încuietorile sursei de alimentare direct la instalația tehnică sau la toate dispozitivele situate într-o cameră separată, poate controla de la distanță blocarea alimentării dispozitivului sau blocarea pornirii sistemului de operare. La nivel hardware sau software, operatorul poate modifica structura tehnică a instrumentelor pe care le poate folosi un anumit utilizator.

Mijloacele de delimitare a accesului la programe și date sunt utilizate cel mai intens și determină în mare măsură caracteristicile SynRM. Aceste instrumente sunt hardware și software. Acestea sunt configurate de oficialii departamentului care asigură securitatea informațiilor și se modifică atunci când se modifică permisiunile utilizatorului sau când software-ul și structura informatiei. Accesul la fișiere este controlat de managerul de acces. Accesul la înregistrări și la câmpurile individuale ale înregistrărilor din fișierele bazei de date este, de asemenea, reglementat de sistemele de gestionare a bazelor de date.

Eficiența RAN poate fi îmbunătățită prin criptarea fișierelor stocate pe dispozitive de stocare externe, precum și prin ștergerea completă a fișierelor atunci când acestea sunt distruse și ștergerea fișierelor temporare. Chiar dacă un atacator obține acces la media mașinii prin, de exemplu, copiere neautorizată, el nu va putea accesa informații fără o cheie de criptare.

În CS-urile distribuite, accesul între subsisteme, cum ar fi rețelele LAN la distanță, este controlat de firewall-uri. Un firewall trebuie utilizat pentru a controla comunicațiile dintre sistemele informatice securizate și nesecurizate. În același timp, accesul este reglementat atât de la un CS neprotejat la unul securizat, cât și accesul de la un sistem protejat la unul neprotejat. Funcții de implementare pe calculator firewall, este indicat să se plaseze la locul de muncă al operatorului KSZI.

Mijloacele de blocare a acțiunilor neautorizate ale subiecților accesați sunt o componentă integrală a DS. Dacă atributele subiectului de acces sau algoritmul acțiunilor sale nu sunt permise pentru acest subiect, atunci lucrările ulterioare în CS ale unui astfel de intrus sunt încheiate până la intervenția operatorului CSIS. Blocarea înseamnă exclude sau complică foarte mult selecția automată a atributelor de acces.

Facilitățile de înregistrare a evenimentelor sunt, de asemenea, o componentă obligatorie a RAN. Jurnalele de evenimente sunt localizate pe VZU. Astfel de jurnale înregistrează date despre utilizatorii care se conectează și se deconectează din sistem, despre toate încercările de a efectua acțiuni neautorizate, despre accesul la anumite resurse etc. Jurnalul este configurat să înregistreze anumite evenimente și să analizeze periodic conținutul acestuia de către operatorul de serviciu și mai mare. -clasarea oficialilor persoane din divizia OBI. Este recomandabil să automatizați procesul de configurare și analiză a jurnalului în mod programatic.

Controlul direct al SynRM este efectuat de operatorul CSIS de gardă, care, de regulă, îndeplinește și funcțiile de administrator CS de gardă. Încarcă sistemul de operare, oferă configurația și modurile de operare necesare ale CS, introduce puterile și atributele utilizatorilor în SynRM, controlează și gestionează accesul utilizatorilor la resursele CS.

.Mijloace de asigurare a securității informațiilor în sistemele informatice

1Tipuri de APS SZI

Din toate cele de mai sus, instrumentele software și hardware de securitate a informațiilor pot fi împărțite în mai multe tipuri:

Mijloace software și hardware de protejare a informațiilor împotriva copierii neautorizate.

Mijloace software și hardware de protecție criptografică și stenografică a informațiilor (inclusiv mijloace de mascare a informațiilor) în timpul stocării acesteia pe suporturile de date și în timpul transmiterii prin canale de comunicație.

Mijloace software și hardware de întrerupere a funcționării programului utilizatorului atunci când acesta încalcă regulile de acces.

Software și hardware pentru ștergerea datelor, inclusiv:

Mijloace software și hardware de emitere a unui semnal de alarmă în cazul unei încercări de acces neautorizat la informații.

Instrumente software și hardware pentru detectarea și localizarea acțiunii software-ului și a marcajelor software și hardware.

2 Un dispozitiv pentru distrugerea rapidă a informațiilor pe hard discuri magnetice"Stiva-N"

Conceput pentru ștergerea rapidă (de urgență) a informațiilor înregistrate pe hard disk-uri magnetice, atât în ​​funcțiune, cât și nefuncționale la momentul ștergerii.

Principalele caracteristici ale produselor din seria „Stack”:

viteza maximă posibilă de distrugere a informațiilor;

abilitatea de a fi în starea de îndoire pentru o perioadă de timp arbitrar lungă fără a degrada performanța;

posibilitatea de aplicare in sisteme telecomandate cu alimentare autonoma;

fără piese mobile;

ștergerea informațiilor înregistrate pe un mediu magnetic are loc fără distrugerea fizică a acesteia, dar utilizarea ulterioară a discului este din nou problematică.

Dispozitivul este produs sub forma a trei modele de bază: „Stack-HCl”, „Stack-HC2”, „Stack-HA1”.

Modelul „Stack-HCl” se concentrează pe crearea unui loc de muncă pentru ștergerea rapidă a informațiilor din un numar mare hard disk-uri înainte de eliminarea lor. Are doar alimentare de la rețea, se caracterizează printr-un timp scurt de tranziție la modul „Ready” după următoarea ștergere. Modelul are un cost redus și este extrem de ușor de gestionat (Fig. 1).

Modelul „Stack-NS2” este axat pe crearea de seifuri de informații staționare pentru datele computerului, are doar sursă de alimentare. Este echipat cu sisteme de menținere a regimului de temperatură al HDD-ului, autotestare, și poate fi echipat și cu un modul de inițializare la distanță (Fig. 2).

Modelul „Stack-HAl” este axat pe crearea de seifuri portabile cu informații pentru datele computerului, are rețea și alimentare autonomă. Echipat cu sistem de autotestare și modul de inițializare de la distanță.

Dispozitivul poate fi folosit pentru a șterge informații de pe medii de alte tipuri care se potrivesc într-o cameră de lucru 145x105x41mm și au proprietăți similare.

Produsul oferă ștergerea informațiilor utile și de service înregistrate pe suport magnetic. Prin urmare, mediile pot fi utilizate numai dacă sunt disponibile echipamente speciale. În plus, în unele cazuri este posibilă alinierea greșită a blocului capului.

Enumerăm principalele caracteristici ale Stivei-NS1(2):

Durata maximă a tranziției dispozitivului la modul „Gata” este de 7-10 s.

Alimentare produs - 220 V, 50 Hz.

Puterea termică maximă eliminată - 8 W.

în ciclul „Încărcare” / „Ștergere” - cel puțin 0,5 ore.

Dimensiuni - 235x215x105 mm.

Enumerăm principalele caracteristici ale Stack-HA1:

Durata maximă a tranziției dispozitivului la modul „Gata” nu este mai mare de 15...30 s.

Durata ștergerii informațiilor de pe un disc este de 300 ms.

Alimentarea produsului este de 220 V, 50 Hz sau o baterie externă de 12 V.

Durata permisă de funcționare continuă a produsului:

în modul „Gata” - fără limitare;

în ciclul „Încărcare” / „Ștergere” - de cel puțin 30 de ori timp de 0,5 ore.

Dimensiuni - 235x215x105 mm.

3 Detector de conexiune LAN ( retea locala) FLUKE

Contramăsurile pe rețelele de calculatoare sunt o sarcină foarte specifică care necesită abilități de monitorizare și lucru în fundal. Acest tip de serviciu utilizează mai multe dispozitive:

osciloscop portabil;

reflectometru cu interval de timp cu analiza legăturilor tranzitorii pentru funcționarea pe „linia liberă”;

analizor de trafic de rețea/analizator de protocol;

un computer cu un pachet special de software de detectare;

analizor de spectru portabil.

Aceste dispozitive sunt utilizate pe lângă osciloscoape, analizoare de spectru, multimetre, receptoare de căutare, aparate cu raze X și alte dispozitive de contramăsuri.Este un dispozitiv pentru comenzile de contrasupraveghere (Fig. 2). „Instrumentul de bază” oferă toate funcțiile unui scanner prin cablu, inclusiv funcțiile unui reflectometru în domeniul timpului de înaltă calitate. Capacitățile de analiză a traficului sunt importante în identificarea și monitorizarea întreruperilor rețelei, intruziunilor hackerilor și detectarea prezenței dispozitivelor de supraveghere camuflate pe o rețea locală. LANmeter este, de asemenea, utilizat în audituri și inspecții de rețea.

Analizorul de cabluri FLUKE DSP-2000\DSP-4000 și contorul de parametri FLUKE 105B sunt, de asemenea, instrumente esențiale pentru efectuarea inspecțiilor de contramăsuri și completează LANmetrul.

În timpul inspecțiilor, un osciloscop conectat la rețea pentru evaluare generală vă permite de obicei să observați forma semnalelor și prezența lor. Dacă există dispozitive necinstite în rețea cu un spectru extins, osciloscopul va oferi definiție rapidă acest fapt, precum și o indicație a tensiunilor, prezența zgomotului RF și informații limitate despre diafonie.

Analizorul de spectru portabil este utilizat pentru vizualizare rapidă spectrul de frecvențe radio al rețelei. Orice semnal care nu urmează modelul tipic din rețeaua testată trebuie să fie respectat. Când toate combinațiile de fire de rețea sunt verificate cu atenție pentru prezența semnalelor străine (folosind un osciloscop și un analizor de spectru), un analizor de trafic de rețea este utilizat pentru a monitoriza orice activitate care are loc pe fiecare segment specific (sau intrare de cablu). Acest lucru are scopul de a identifica orice anomalie în traficul de rețea care ar putea fi un indicator al utilizării unui software special, al supravegherii neautorizate sau al unei breșe de securitate.

Un sniffer de trafic de rețea evaluează, de obicei, doar antetele pachetelor și poate oferi utilizatorului mai multe funcții de bază de rețea, cum ar fi trecerea datelor de la un program la altul (PING), urmărirea căii (Trace Route), căutarea DNS și furnizarea de liste de informații găsite sau active. adrese de rețea. Din acest punct de vedere, specialistul în contramăsuri va primi o listă cu toate obiectele de rețea, care pot fi apoi verificate cu lista fizică.

Un specialist în contramăsuri poate dezactiva un segment de rețea (de obicei, prin oprirea unui router sau a unui comutator) și deconectarea tuturor cablurilor. Acest lucru va izola grupul de computere și unele dintre cabluri de restul rețelei și va oferi o acoperire adecvată pentru restul inspecției. Cablajul fizic poate fi verificat pentru dispozitive de supraveghere sau anomalii.

4 Sistem de securitate a informațiilor Secret Net 6.0

Net este un mijloc certificat de protejare a informațiilor împotriva accesului neautorizat și vă permite să aduceți sistemele automatizate în conformitate cu cerințele documentelor de reglementare:

Nr. 98-FZ ("Despre un secret comercial")

Nr. 152-FZ ("Despre datele personale")

Nr. 5485-1-FZ ("Despre secretele de stat")

STO BR (Standard al Băncii Rusiei)

Certificatele FSTEC din Rusia permit utilizarea echipamentelor de securitate a informațiilor de la NSD Secret Net pentru a proteja:

informații confidențiale și secrete de stat în sisteme automatizate până la clasa 1B inclusiv;

sisteme informatice de date cu caracter personal până la clasa K1 inclusiv.

Pentru securitatea stațiilor de lucru și a serverelor de rețea se folosesc diverse mecanisme de protecție:

identificare și autentificare îmbunătățite;

control de acces autoritar și selectiv;

mediu software închis;

protecția datelor criptografice;

alte mecanisme de apărare.

Administratorul de securitate este prevăzut cu un singur instrument pentru gestionarea tuturor mecanismelor de protecție, care permite gestionarea și controlul centralizat a implementării cerințelor politicii de securitate.

Toate informațiile despre evenimentele din sistemul informatic legate de securitate sunt înregistrate într-un singur jurnal. Încercările de a comite acțiuni ilegale de către utilizatori, administratorul de securitate va ști imediat.

Există instrumente pentru generarea de rapoarte, jurnalele de preprocesare, managementul operațional al stațiilor de lucru la distanță.

Sistemul Secret Net este format din trei componente: partea client, serverul de securitate și subsistemul de management (Fig. 3).

O caracteristică a sistemului Secret Net este arhitectura client-server, în care partea de server asigură stocarea și procesarea centralizată a datelor sistemului de securitate, iar partea client - protecția resurselor stației de lucru sau serverului și stocarea informațiilor de control în propria bază de date.

Partea client a sistemului de protecție (atât autonom, cât și în rețea) este instalată pe un computer care conține Informații importante, fie că este vorba de o stație de lucru în rețea sau de orice server (inclusiv un server de securitate).

Scopul principal al părții client:

protecția resurselor informatice împotriva accesului neautorizat și diferențierea drepturilor utilizatorilor înregistrați;

înregistrarea evenimentelor care au loc la stația de lucru sau serverul de rețea și transferul de informații către serverul de securitate;

executarea actiunilor de control centralizat si descentralizat ale administratorului de securitate.

Clienții Secret Net sunt echipați cu suport hardware (pentru identificarea utilizatorilor prin identificatori electronici și gestionarea pornirii de pe medii externe).

Serverul de securitate este instalat pe un computer dedicat sau controler de domeniu și oferă următoarele sarcini:

întreținerea bazei de date centrale (CDB) a sistemului de protecție, care funcționează sub controlul SGBD-ului Oracle 8.0 Personal Edition și conține informațiile necesare funcționării sistemului de protecție;

colectarea de informații despre evenimentele în curs de la toți clienții Secret Net într-un singur jurnal de înregistrare și transferul informațiilor procesate către subsistemul de control;

interacțiunea cu subsistemul de control și transferul comenzilor de control al administratorului către partea client a sistemului de protecție.

Subsistemul de gestionare Secret Net este instalat la locul de muncă al administratorului de securitate și îi oferă acestuia următoarele caracteristici:

autentificarea utilizatorului.

asigurarea diferențierii accesului la informații și dispozitive protejate.

mediu informațional de încredere.

controlul canalelor de distribuție a informațiilor confidențiale.

controlul dispozitivelor computerizate și al mediilor de stocare înstrăinate pe baza politicilor centralizate care exclud scurgerea de informații confidențiale.

gestionarea centralizată a politicilor de securitate, vă permite să răspundeți rapid la evenimentele NSD.

monitorizare operațională și audit de securitate.

sistem de protecție scalabil, capacitatea de a utiliza Secret Net (opțiune de rețea) într-o organizație cu un număr mare de filiale.

Opțiuni de implementare Secret Net 6

Modul offline - conceput pentru a proteja un număr mic (până la 20-25) de stații de lucru și servere. În plus, fiecare aparat este administrat local.

Mod retea(cu management centralizat) - conceput pentru a fi implementat într-o rețea de domeniu cu Active Directory. Această opțiune are instrumente de management centralizate și vă permite să aplicați politici de securitate în întreaga organizație. Versiunea de rețea a Secret Net poate fi implementată cu succes într-o rețea de domeniu complexă

Schema de control implementată în Secret Net vă permite să gestionați securitatea informațiilor în ceea ce privește un domeniu real și în in totalitate asigura o separare strictă a puterilor între administratorul de rețea și administratorul de securitate.

3.5 Încuietoare electronică"Sable"

Proiectat pentru a proteja resursele computerului împotriva accesului neautorizat.

Încuietoarea electronică (EZ) „Sobol” este certificată de FSTEC din Rusia. Certificatul nr. 1574 din 14 martie 2008 confirmă că produsul respectă cerințele Documentului de ghidare al Comisiei Tehnice de Stat a Rusiei „Protecția împotriva accesului neautorizat la informații. Partea 1. Software de securitate a informațiilor. Clasificarea în funcție de nivelul de control al absenței capacităților nedeclarate „și vă permite să o utilizați în dezvoltarea sistemelor de protecție pentru sisteme automate cu o clasă de securitate până la 1B inclusiv.

Lacătul electronic Sobol poate fi folosit ca dispozitiv care oferă protecție pentru un computer de sine stătător, precum și pentru o stație de lucru sau server care face parte dintr-o rețea locală.

În acest caz, se utilizează următoarele mecanisme de protecție:

identificarea și autentificarea utilizatorilor; înregistrarea încercărilor de acces la PC;

interzicerea pornirii sistemului de operare de la suporturi amovibile; controlul integrității mediului software.

controlul integrității mediului software

controlul integrității registrului de sistem Windows

cronometru de supraveghere

înregistrarea încercărilor de acces la PC

controlul configurației

Posibilitățile de identificare și autentificare a utilizatorilor, precum și înregistrarea încercărilor de acces la PC nu depind de tipul de sistem de operare utilizat.

Acțiunea încuietorului electronic Sobol este de a verifica identificatorul personal și parola utilizatorului atunci când încearcă să intre în sistem. În cazul unei încercări de autentificare în sistem de către un utilizator neînregistrat, încuietoarea electronică înregistrează încercarea și efectuează o blocare hardware a până la 4 dispozitive (de exemplu: porturi FDD, CD-ROM, ZIP, LPT, SCSI). Încuietoarea electronică utilizează identificarea și autentificarea îmbunătățită (cu doi factori) a utilizatorilor folosind identificatori personali. Următoarele pot fi utilizate ca identificatori personale de utilizator:

eToken PRO (Java).

Card inteligent eToken PRO prin cititorul USB Athena ASEDrive IIIe USB V2.

Încărcarea sistemului de operare de pe hard disk se efectuează numai după prezentarea identificatorului înregistrat. Informațiile de serviciu despre înregistrarea utilizatorului (nume, numărul de identificare personală atribuit etc.) sunt stocate în memoria nevolatilă a încuietorului electronic. Încuietoarea electronică menține un jurnal de sistem, ale cărui înregistrări sunt stocate într-o memorie specială nevolatilă. Jurnalul de sistem captează autentificări ale utilizatorilor, încercări de conectare, încercări UA și alte evenimente legate de securitatea sistemului. Stochează următoarele informații: data și ora evenimentului, numele utilizatorului și informații despre tipul de eveniment (de exemplu, faptul că utilizatorul s-a autentificat, introducerea parola gresita, prezentând un ID de utilizator neînregistrat, depășirea numărului de încercări de conectare, alte evenimente).

Astfel, încuietoarea electronică Sobol oferă administratorului informații despre toate încercările de acces la PC.

Mecanismul de control al integrității utilizat în complexul Sobol vă permite să controlați imuabilitatea fișierelor și sectoarelor fizice ale hard disk-ului înainte de a încărca sistemul de operare. Pentru a face acest lucru, unele valori de control ale obiectelor verificate sunt calculate și comparate cu cele calculate anterior pentru fiecare dintre aceste obiecte. valori de referinta. Formarea listei de obiecte supuse controlului cu indicarea căii către fiecare fișier controlat și coordonatele fiecărui sector controlat se realizează cu ajutorul programului de gestionare a șabloanelor de control al integrității. Integrity Control funcționează sub sisteme de operare care utilizează următoarele sisteme de fișiere: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 și EXT3. Administratorul are capacitatea de a seta modul de funcționare a blocării electronice, care va bloca utilizatorii să intre în sistem dacă integritatea fișierelor controlate este încălcată. Subsistemul pentru interzicerea pornirii de pe o dischetă și un disc CD asigură că toți utilizatorii, cu excepția administratorului, nu pot porni sistemul de operare de pe aceste medii amovibile. Administratorul poate permite utilizatorilor individuali ai computerului să pornească sistemul de operare de pe un mediu amovibil.

Pentru a configura încuietoarea electronică Sobol, administratorul are capacitatea de a defini lungimea minimă a parolei unui utilizator, numărul maxim de conectări nereușite ale utilizatorilor, adăugarea și ștergerea utilizatorilor, blocarea activității utilizatorului pe computer și crearea unor copii de rezervă ale identificatorilor personali. .

Lacătul electronic Sobol poate fi folosit ca parte a sistemului de securitate a informațiilor Secret Net pentru a genera chei de criptare și semnatura digitala. În plus, atunci când utilizați Sobol EZ ca parte a rețelei secrete, este oferită o gestionare centralizată unificată a capabilităților sale. Folosind subsistemul de management Secret Net, un administrator de securitate poate gestiona starea identificatorilor personali ai angajaților: atribuie identificatori electronici, blocați-le temporar, invalidați, ceea ce permite gestionarea accesului angajaților la computerele sistemului automatizat al organizației.

Setul de bază al lacătului electronic Sobol-PCI include (Fig. 4):

controler Sobol-PCI;

Atingeți Cititor de memorie;

doi identificatori DS-1992;

interfață pentru blocarea încărcării din FDD;

interfață pentru blocarea boot-ului de pe CD-ROM;

software de listare programe controlate;

documentație.

6 Sistem de protecție informație corporativă Secret Disk Server NG

Proiectat pentru a proteja informațiile confidențiale, bazele de date corporative (Fig. 5).

Sistemul este proiectat să funcționeze în Windows NT 4.0 Server/Workstation/2000 Professional SP2 / XP Professional / Server 2000 SP2 /Server 2003. Utilizarea metodei de criptare transparentă a informațiilor folosind algoritmi puternici de criptare vă permite să continuați să lucrați în timpul criptării inițiale a datelor .

Suportul pentru o gamă largă de unități vă permite să protejați hard disk-urile de server individuale, orice matrice de discuri (SAN, matrice RAID software și hardware), precum și unitățile amovibile.

Sistemul nu numai că protejează în mod fiabil datele confidențiale, ci și ascunde prezența acestora.

Când este instalat Secret Disk Server NG, unitățile logice selectate sunt criptate. Drepturile de acces la acestea pentru utilizatorii de rețea sunt setate prin Windows NT.

Criptarea este efectuată în mod programatic de către driverul de sistem kernel (driver-mod kernel).

În plus față de algoritmul de conversie a datelor încorporat cu o lungime a cheii de 128 de biți, Secret Disk Server NG vă permite să conectați module externe de protecție criptografică, de exemplu, instrumente rusești de protecție a informațiilor criptografice certificate CryptoPro CSP versiunea 2.0 / 3.0 și Signal-COM CSP care implementează cel mai puternic algoritm de criptare rusesc GOST 28147-89 cu o lungime a cheii de 256 de biți. Viteza de criptare este foarte mare, așa că puțini oameni vor putea observa o ușoară încetinire în timpul funcționării.

Cheile de criptare sunt introduse în driverul Secret Disk Server NG înainte de a lucra cu partiții protejate (sau când serverul pornește). Pentru aceasta se folosesc carduri cu microprocesor (carduri inteligente) protejate de un cod PIN. Fără a cunoaște codul, nu poți folosi cardul. Trei încercări de a introduce codul greșit vor bloca cardul. Când serverul rulează, cardul inteligent nu este necesar și poate fi ascuns într-un loc sigur.

În timp ce sistemul rulează, cheile de criptare sunt stocate în memoria RAM a serverului și nu merg niciodată pe disc în fișierul de swap. Generarea codului PIN și a cheilor de criptare se face chiar de utilizator. La generare, se folosește o secvență de numere aleatoare, care se formează în funcție de traiectoria mișcării mouse-ului și de caracteristicile temporale ale apăsării tastelor arbitrare.Disk Server NG are o interfață deschisă pentru trimiterea unui semnal de „alarma” și vă permite să vă conectați diverși senzori și dispozitive de control al accesului în cameră (senzori pentru deschiderea ușilor, ferestrelor, mișcării, modificări de volum, încuietori electronice și cu combinație).

Când sunt conectate discuri securizate, programele și serviciile necesare enumerate în fișierul de configurare pot fi lansate automat. După repornirea serverului fără a prezenta un card inteligent sau a încercat să citească discuri pe alt computer, partițiile protejate vor fi „vizibile” ca zone neformatate care nu pot fi citite. În cazul unui pericol, puteți „distruge” instantaneu informațiile făcând „invizibile” secțiunile protejate. Pachetul include un CD de instalare, dispozitiv universal pentru lucrul cu carduri inteligente (externe), un set de cabluri, o placă specială Hardlock, documentație în limba rusă, 3 carduri inteligente.

7 Sistem de protecție a informațiilor confidențiale Secret Disk

Disk este un sistem de protejare a informațiilor confidențiale pentru o gamă largă de utilizatori de computere: directori, manageri, contabili, auditori, avocați etc.

La instalarea sistemului Secret Disk, pe computer apare un nou disc logic virtual (unul sau mai multe). Tot ceea ce este scris pe el este criptat automat, iar atunci când este citit, este decriptat. Conținutul acestei unități logice este stocat într-un container special - un fișier criptat. Fișierul disc secret poate fi localizat pe hard disk-ul computerului, pe un server, pe medii amovibile, cum ar fi Zip, Jaz, CD-ROM sau magneto-optice. Discul oferă protecție datelor chiar dacă un astfel de disc sau computerul în sine este îndepărtat . Utilizarea unei unități secrete echivalează cu construirea unei funcționalități de criptare în fiecare aplicație pe care o lansați.

Conectarea unui disc secret și lucrul cu date criptate este posibilă numai după autentificarea hardware a utilizatorului introdus și parola corectă. Pentru autentificare, se folosește un identificator electronic - un smart card, o cheie electronică sau o cheie. După conectarea unui disc secret, acesta devine „vizibil” pentru sistemul de operare. sistem Windows ca alta HDD, iar fișierele înregistrate pe acesta sunt disponibile pentru orice program. Fără un identificator electronic și fără a cunoaște parola, nu puteți conecta un disc secret - pentru cei din afară va rămâne doar un fișier criptat cu un nume arbitrar (de exemplu, game.exe sau girl.tif).

Ca orice unitate fizică, o unitate securizată poate fi disponibilă pentru partajareaîn rețeaua locală. După deconectarea discului, toate fișierele și programele înregistrate pe acesta vor deveni inaccesibile.

Lista principalelor caracteristici:

Protecția datelor confidențiale folosind algoritmi de criptare profesionali (capacitatea de a conecta biblioteci criptografice externe).

Generarea cheilor de criptare de către utilizator.

Autentificarea utilizatorului hardware prin chei electronice, carduri inteligente, carduri PCMCIA sau chei electronice.

Dubla protectie. Fiecare disc secret este protejat de un ID de utilizator electronic personal și de o parolă pentru a accesa acest disc.

Lucrul cu arhive criptate. Informațiile pot fi comprimate și criptate atât pentru dvs. (folosind un identificator electronic),

și pentru schimbul securizat cu colegii (cu parolă).

Computer Lock Secret Disk vă permite să opriți ecranul și să blocați tastatura atunci când ID-ul electronic este oprit, când este apăsată o anumită combinație de taste sau utilizatorul este inactiv pentru o perioadă lungă de timp. Când sistemul este blocat, unitățile secrete nu sunt dezactivate, aplicațiile care rulează care folosesc date protejate continuă să funcționeze normal, lucrul altor utilizatori cărora li se acordă partajarea la o unitate secretă din rețea nu este încălcat.

Modul de constrângere. Într-o situație critică, puteți introduce o parolă specială de urgență. În acest caz, sistemul va conecta discul pentru o perioadă, distrugând cheia de criptare privată din identificatorul electronic (ceea ce va face imposibilă accesarea discului în viitor), apoi va simula una dintre bug-uri cunoscute Windows.

Capacitatea de a recupera date în caz de pierdere (sau deteriorare intenționată) a unui identificator electronic sau pierdere a unei parole.

Interfață de utilizator simplă și convenabilă.

Diferențe în algoritmii de criptare (în funcție de nevoi, se poate utiliza unul dintre algoritmii încorporați):

algoritm de codificare încorporat cu o lungime a cheii de 128 de biți;

algoritm criptografic RC4 cu lungimea cheii de 40 de biți, încorporat în Windows 95, 98 (pentru versiunea non-US);

algoritm criptografic GOST 28147-89 cu o lungime a cheii de 256 de biți (emulator software al plăcii Krypton sau al plăcii Krypton).

Placa Krypton este certificată pentru a proteja secretele de stat și este furnizată de ANKAD la cerere separată.

Versiunea DeLuxe - cu protecție hardware împotriva pornirii computerului.

8 Complex hardware-software al mijloacelor de protecție „Akkord-AMDZ”

SZI NSD Accord-AMDZ este modul hardware pornire de încredere (AMDZ) pentru computerele compatibile cu IBM - servere și stații de lucru ale rețelei locale, care oferă protecție pentru dispozitive și resurse informaționale de la acces neautorizat.

Complexul este aplicabil pentru sistemele de construcție pentru protejarea informațiilor împotriva accesului neautorizat, în conformitate cu documentele de guvernare ale FSTEC (Comisia Tehnică de Stat) a Rusiei „Protecția împotriva accesului neautorizat la informații. Partea 1. Software de securitate a informațiilor. Clasificarea în funcție de nivelul de control a absenței capacităților nedeclarate „- conform nivelului 3 de control,” Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automatizate și cerințe pentru protecția informațiilor „conform clasei de securitate 1D, și pentru utilizare ca mijloc de identificare/autentificare a utilizatorilor, monitorizarea integrității mediului software și hardware al PC-ului (RS) la crearea sistemelor automatizate care îndeplinesc cerințele cerințele documentului de conducere al FSTEC (Comisia Tehnică de Stat) a Rusiei" Sisteme automate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automatizate și cerințe pentru protecția informațiilor” până la clasa 1B inclusiv.

Complexul este un set de instrumente hardware și software care asigură implementarea principalelor funcții de protecție împotriva accesului neautorizat PC (PC) pe baza:

utilizarea de identificare personale de utilizator;

mecanism de parole;

blocarea pornirii sistemului de operare de pe mediile amovibile;

monitorizarea integrității hardware și software (fișiere generale, aplicații software și date) PC (PC);

asigurarea modului de încărcare de încredere a sistemelor de operare instalate în computerul personal (PC).

Partea software complex, inclusiv mijloace de identificare și autentificare, mijloace de monitorizare a integrității hardware și software a unui PC (PC), mijloace de înregistrare a acțiunilor utilizatorului, precum și mijloace de administrare (setare firmware) și audit (lucrare cu un jurnal) se află în memoria nevolatilă (ENP) a controlerului în timpul fabricării complexului. Accesul la instrumentele de administrare și audit ale complexului este oferit doar administratorului BI.

Identificarea și autentificarea utilizatorilor, controlul integrității hardware-ului și software-ului PC (PC) sunt efectuate de controlerul complex înainte de încărcarea sistemului de operare instalat în PC (PC). La modificarea software-ului sistemului, controlerul nu trebuie înlocuit. Acest lucru oferă suport pentru un mod special de programare a controlerului fără a reduce nivelul de protecție.

Complexul asigură implementarea principalelor funcții de protecție UA atât ca parte a unui PC local, cât și la stațiile de lucru LAN, ca parte a unui sistem integrat de protecție LAN UA, inclusiv configurarea, controlul funcționării și managementul complexului.

Principalele caracteristici:

Protejarea resurselor PC-ului de persoanele care nu au voie să lucreze la el prin identificarea utilizatorilor PC-ului prin identificatorii personale DS 199x - înainte de încărcarea sistemului de operare (OS).

Autentificarea utilizatorilor de PC printr-o parolă de până la 12 caractere introdusă de la tastatură (lungimea parolei este setată de administratorul BI la înregistrarea unui utilizator), cu protecție împotriva dezvăluirii parolei - înainte de încărcarea sistemului de operare (OS).

Blocarea pornirii de pe mediile înstrăinate.

Controlul integrității hardware-ului, software-ului, informațiilor semi-permanente ale PC-ului (PC) înainte de încărcarea sistemului de operare cu implementarea unui algoritm de control pas cu pas. Aceasta oferă protecție împotriva introducerii impacturilor distructive ale programelor (RPI).

Suport pentru sistemele de fișiere FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS. Acestea sunt, în special, sisteme de operare ale familiilor MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD, vSphere etc.

Înregistrare pe computer personal (PC) până la 16 utilizatori.

Înregistrarea evenimentelor monitorizate în jurnalul de sistem situat în memoria nevolatilă a controlerului.

Posibilitatea comutării fizice a semnalelor de control perifericeîn funcție de nivelul de autoritate al utilizatorului, care permite gestionarea intrării/ieșirii informațiilor pe mediile fizice înstrăinate și dispozitivele de procesare a datelor.

Administrarea software-ului încorporat al complexului (înregistrarea utilizatorilor și a identificatorilor personali, alocarea fișierelor pentru controlul integrității, controlul hardware-ului PC-ului, vizualizarea jurnalului de sistem).

Controlul integrității programelor și datelor, protecția acestora împotriva modificărilor neautorizate.

Înregistrarea, colectarea, stocarea și emiterea de date privind evenimentele care au loc într-un PC (PC) ca parte a unui sistem de protecție împotriva accesului neautorizat la o rețea LAN.

Diferențierea accesului utilizatorilor și programelor PC la dispozitivele hardware în funcție de nivelul de autoritate al acestora.

Accord-AMDZ poate fi implementat pe diverse controlere. Poate fi: sau PCI-X - controlere Accord-5MX sau Accord-5.5 (Fig. 6B) express - controlere Accord-5.5.e sau Accord-GX (Fig. 6A)

Mini PCI-express - Accord-GXM (Fig. 6B) Semicard PCI-express - controler Accord-GXMH

9 Complex hardware și software IP Safe-PRO

Proiectat pentru a construi rețele IP private virtuale securizate create pe baza rețelelor uz comun(inclusiv internetul).

Realizat pe baza unui computer compatibil IBM PC cu două interfețe Ethernet (configurație de bază) cu sistemul de operare FreeBSD (Fig. 7).

Caracteristici suplimentare:

funcții de rutare statică și firewall (protecție împotriva falsificării, prelucrarea datelor prin adrese, porturi, protocoale etc.);

capacitatea de a suporta standardele de interfață G.703, G.704, V.35, RS-232 etc.;

sistem de rezervă „fierbinte”;

lucrează în moduri sincrone și asincrone.

Specificații:

Protocolul familiei IPsec utilizat este ESP (Encapsulating Security Payload, RFC 2406) în modul tunel (oferind următoarele servicii de securitate: confidențialitate și integritate a datelor, autentificarea originii datelor, ascunderea topologiei rețelelor corporative locale, protecție împotriva analizei traficului).

Sistemul de chei este simetric (cu posibilitate de administrare centralizata si descentralizata).

Algoritmi criptografici - GOST 28147, RC5, 3DES, DES, SHA-1, MD5.

10 Complex de criptare hardware-software CONTINENT 3.6 (Fig. 8)

Complexul oferă protecție criptografică a informațiilor transmise (în conformitate cu GOST 28147-89). canale deschise conexiuni între componentele VPN, care pot fi rețele locale, segmentele acestora și computere individuale.

Schema modernă de chei, implementând criptarea fiecărui pachet pe o cheie unică, oferă protecție garantată împotriva posibilității de decriptare a datelor interceptate.

Pentru a proteja împotriva pătrunderii din rețelele publice, complexul Continent 3.6 asigură filtrarea pachetelor primite și transmise în funcție de diverse criterii (adrese de expeditor și destinatar, protocoale, numere de port, câmpuri suplimentare de pachete etc.). Oferă suport pentru VoIP, conferințe video, ADSL, Dial-Up și canale de comunicație prin satelit, tehnologie NAT / PAT pentru a ascunde structura rețelei.

Caracteristici și caracteristici cheie ale APKSh „Continent” 3.6:

.Protecția criptografică a datelor transmise în conformitate cu GOST 28147-89

APKSh „Continent” 3.6 folosește o schemă modernă de chei care criptează fiecare pachet cu o cheie unică. Aceasta oferă un grad înalt protecția datelor împotriva decriptării în caz de interceptare.

Criptarea datelor este realizată în conformitate cu GOST 28147-89 în modul gamma cu feedback. Protecția datelor împotriva distorsiunii se realizează în conformitate cu GOST 28147-89 în modul de inserare a imitației. Cheile criptografice sunt gestionate central de la NCC.

.Firewall - protecția segmentelor interne de rețea împotriva accesului neautorizat

Gateway criptografic „Continent” 3.6 oferă filtrarea pachetelor primite și transmise în funcție de diverse criterii (adrese de expeditor și destinatar, protocoale, numere de porturi, câmpuri suplimentare de pachete etc.). Acest lucru vă permite să protejați segmentele de rețea interne împotriva pătrunderii din rețelele publice.

.Acces securizat pentru utilizatori la distanță la resursele rețelei VPN

Software-ul special „Continent AP”, care face parte din APKSh „Continent” 3.6, vă permite să organizați accesul securizat de la computere la distanță la o rețea VPN corporativă.

.Crearea subsistemelor informaționale cu partajare a accesului la nivel fizic

În APKSH „Continent” 3.6 puteți conecta 1 extern și 3-9 interfețe interne pe fiecare gateway cripto. Acest lucru îmbunătățește considerabil opțiunile utilizatorului atunci când configurează rețeaua în conformitate cu politica de securitate corporativă. În special, prezența mai multor interfețe interne vă permite să separați subrețelele departamentelor organizației la nivelul plăcilor de rețea și să stabiliți gradul necesar de interacțiune între ele.

.Suport pentru canale de comunicare comune

Lucrați prin conexiuni Dial-Up, echipamente ADSL conectate direct la cripto-gateway, precum și prin canale de comunicații prin satelit.

.„Transparență” pentru orice aplicație și servicii de rețea

Gateway-urile criptografice „Continent” 3.6 sunt „transparente” pentru orice aplicații și servicii de rețea care operează prin protocolul TCP/IP, inclusiv servicii multimedia precum telefonia IP și videoconferința.

.Lucrul cu trafic cu prioritate ridicată

Mecanismul de prioritizare a traficului implementat în APKSh „Continent” 3.6 vă permite să protejați traficul de voce (VoIP) și conferințele video fără pierderea calității comunicației.

.Rezervare lățime de bandă garantată pentru anumite servicii

Rezervarea lățimii de bandă garantată pentru anumite servicii asigură trecerea traficului de e-mail, sisteme de management al documentelor etc. chiar și când utilizare activă Telefonie IP pe canale de comunicații de viteză redusă.

Suport VLAN

Suportul VLAN garantează integrarea ușoară a APKS într-o infrastructură de rețea împărțită în segmente virtuale.

.Ascunzându-se rețeaua internă. Suport pentru tehnologiile NAT/PAT

Suportul pentru tehnologia NAT / PAT vă permite să ascundeți structura internă a segmentelor de rețea protejate atunci când transmiteți trafic deschis, precum și să organizați zone demilitarizate și segmente de rețele protejate.

Ascunderea structurii interne a segmentelor protejate ale rețelei corporative se realizează:

metoda de încapsulare a pachetelor transmise (la criptarea traficului);

folosind tehnologia de traducere a adresei de rețea (NAT) atunci când lucrați cu resurse publice.

11. Capacitate de integrare cu sisteme de detectare a intruziunilor

Pe fiecare cripto-gateway, este posibilă alocarea specifică a uneia dintre interfețe pentru a verifica traficul care trece prin KSh pentru încercări de acces neautorizat (atacuri de rețea). Pentru a face acest lucru, trebuie să definiți o astfel de interfață ca un „port SPAN” și să conectați un computer cu un sistem de detectare a intruziunilor instalat (de exemplu, RealSecure). După aceea, toate pachetele care ajung la intrarea filtrului de pachete al cripto-gateway-ului încep să fie transmise către această interfață.

3.11 Carcasă pentru transport „SHADOW K1”

„SHADOW K1” este destinat transportului laptopurilor sau hard disk-urilor separate (HDD) (cartușe streamer, discuri ZIP) cu posibilitatea distrugerii de urgență a informațiilor în cazul accesului neautorizat (Fig. 11).

Din punct de vedere structural, complexul este montat într-o carcasă rezistentă la praf, umezeală, explozie, în care va fi transportat laptopul. Informațiile protejate sunt plasate pe un hard disk suplimentar, care se află într-o carcasă separată de laptop într-un compartiment special și este conectat la acesta cu un cablu de interfață externă.

Distrugerea de urgență a informațiilor se efectuează:

automat când se încearcă deschiderea neautorizată a carcasei;

automat in cazul incercarilor de deschidere neautorizata a compartimentului in care se afla hard disk-ul protejat;

automat după 24 de ore durata de viata a bateriei;

de la distanță la comanda utilizatorului. Procesul de distrugere nu afectează performanța laptopului și nu depinde de faptul dacă a avut loc lucrări;

cu informații în acel moment sau nu. Este posibil să se fabrice un complex pentru transportul hard disk-urilor, dischetelor, audio, video, casete streamer.

Complexul poate fi în două moduri: modul standby (RO) și modul de securitate (P1).

În modul RO, toate nodurile principale, blocurile și senzorii sunt testate. Există acces gratuit la un laptop sau medii magnetice.

În modul P1, informațiile sunt distruse automat atunci când încearcă să manipuleze sau de către utilizator în orice moment pe canalul radio (rază de până la 100 de metri). Demontare - armarea se realizează cu ajutorul unui card electronic de proximitate fără contact.

Complexul SHADOW dispune de o sursă de alimentare autonomă care asigură funcționarea neîntreruptă până la 24 de ore.

Caracteristici suplimentare:

distrugerea informațiilor la comanda utilizatorului de pe orice telefon mobil printr-un canal GSM;

protecția completă a carcasei, excluzând deschiderea și găurirea incorecte;

înregistrarea completă a lucrărilor în timp real, reparând ultimele 96 de evenimente din memoria nevolatilă, cu o descriere detaliată.

12 Sistem hardware-software pentru protecția criptografică a mesajelor SX-1

Sistemul hardware-software SX-1 este proiectat pentru protecția criptografică a mesajelor transmise prin canale de comunicație între PC-uri sau stocate în memoria PC-ului (Fig. 9).

În sistemul SX-1, pentru prima dată în practica criptografică națională și străină, cifrul flux haotic.

Sistemul SX-1 oferă:

transformarea criptografică a mesajelor text și (sau) grafice transmise (primite) sau generate, concepute ca fișiere, și înregistrarea acestora pe hard sau dischete;

rezistență ridicată a datelor cheie la compromiterea lor în cazul oricăror acțiuni ale intrușilor și personalului care deservește hardware-ul și software-ul;

îndeplinirea garantată a funcțiilor specificate timp de cel puțin 2 ani fără modificare cheia de sistem.

Sistemul SX-1 include:

O placă cu un computer cu un singur cip (OEVM) instalată în slotul ISA al unui PC IBM / AT PC (sau plasată într-un container separat de dimensiunea 140x110x35 mm) și conectată la PC folosind un conector COM;

Software special (SW) instalat pe un PC cu sistem de operare Windows.

Principalele caracteristici ale sistemului:

Probabilitatea de a ghici cheia de sistem din a-a încercare - nu mai mult de k2-240 .

Probabilitatea de a ghici cheia de sesiune de la a-a încercare - nu mai mult de k10-10 .

Viteza de conversie criptografică - nu mai puțin de 190.000 bps.

Utilizarea algoritmilor de criptare puternici din punct de vedere criptografic pentru criptarea datelor cu o lungime a cheii de 128 de biți sau mai mult;

Posibilitatea de a conecta modulul criptografic certificat FAPSI „Krypton” fabricat de „Ankad”, sau placa „Krypton”, care implementează algoritmul de criptare GOST 28147-89 cu o lungime a cheii de 256 de biți;

Generarea de chei de criptare unice bazate pe o secvență de numere aleatorii.

Pentru a instala sistemul aveți nevoie de:

Instalați sistemul SX-1 de pe discheta furnizată, urmând cu strictețe instrucțiunile afișate pe ecranul computerului în secvență.

Conectați la conectorii containerului cu un computer cu un singur cip cablul de alimentare de la adaptorul inclus în setul de livrare și cablul inclus în setul de livrare, conceput pentru a conecta containerul la PC.

Conectați containerul cu un cablu la conectorul COM.

Conectați adaptorul la rețea curent alternativ tensiune 220 V 50 Hz.

13 Firewall și codificator de fluxuri IP PAK „FPSU-IP”

Proiectat pentru firewall și protecția datelor criptografice atunci când se creează rețele private virtuale (Virtual Private Network) în rețele publice (Fig. 10).

Firewall-ul personal „FPSU-IP/Client” are un certificat FSTEC Nr. 1281 pentru clasa de securitate 5 în conformitate cu RD pentru firewall-uri, și atunci când comunică cu firewall-ul de bază „FPSU-IP” (certificat FSTEC Nr. 1091 din 31 octombrie). , 2011 .) - conform clasei a 3-a de securitate. Facilitatea de protecție a informațiilor criptografice Tunnel 2.0 certificată FSB (certificat nr. SF/124-1906 din 13 august 2012, conform nivelului KS1) este utilizată ca criptocore.

Acest sistem software și hardware asigură un schimb de informații securizat între o stație de abonat la distanță (stație de lucru) și o rețea protejată de complexul „FPSU-IP” prin rețele deschise transmiterea datelor. Complexul FPSU-IP/Client este instalat pe stația de lucru a unui utilizator de la distanță și îndeplinește funcțiile unui firewall și un constructor VPN pentru interacțiuni informaționale stațiile de lucru sunt servere securizate. Aceasta oferă acces autentificat și securizat la serverele protejate de complexul FPSU-IP prin crearea unei conexiuni VPN între stația de lucru și complexul central FPSU-IP. Managementul administrativ, controlul și auditul tuturor conexiunilor VPN se realizează central cu ajutorul stației de lucru „Remote Management”, în timp ce până la 4 stații de lucru cu puteri corespunzătoare pot fi utilizate simultan, ceea ce predetermină o stabilitate ridicată și fiabilitate a managementului cu posibilitatea de audit încrucișat. management.

ME „FPSU-IP/Client” constă din software furnizarea utilizatorului și de asemenea, de pe dispozitivul USB activ „VPN-key” (Fig. 11), care stochează identificator unic informații despre client, cheie și servicii și fiind, în esență, un micro-computer virtual cu arhitectura adecvată.

Prin comprimarea informațiilor, complexul oferă o creștere vizibilă a ratei de transfer de date, are capacitatea de a suporta simultan până la 1024 de conexiuni securizate criptografic cu o rată de criptare a fluxului IP total „la trecere” de până la 90 Mbps. Complexul folosește doar propriile implementări ale tuturor stivelor de protocoale TCP / IP, algoritmi pentru controlul automat al complexelor și mijloacele de criptoprotecție încorporate în acestea.

„FPSU-IP/Client” operează sub controlul sistemelor de operare Familiile de ferestre XP/Vista/7/Server 2003/Server 2008, Linux, MacOS. Pentru a implementa interacțiunea securizată pe o stație de lucru (PC), trebuie mai întâi să instalați software-ul utilizator „FPSU-IP/Client”, să introduceți „cheia VPN” în portul USB al computerului și la promptul „pop-up” (după conectarea „cheii VPN”) introducând codul PIN corespunzător.

După aceea, complexele „FPSU-IP/Client” și „FPSU-IP” (conținând subsistemul corespunzător pentru deservirea complexelor FPSU-IP/Client) stabilesc o conexiune sigură și efectuează autentificarea și autorizarea utilizatorului. Autentificarea are loc atunci când este creat un tunel VPN între FPSU-IP/Client și complexul FPSU-IP. După autentificarea de către complexul FPSU-IP, clientul este autorizat. În plus, este furnizată traducerea adresei IP reale a clientului în adresa IP a rețelei protejate.

În a doua etapă, complexele FPSU-IP/Client și FPSU-IP efectuează filtrarea și transmisia de date criptate prin canalul VPN de la client la complexul FPSU-IP. În plus, este posibil să se efectueze compresia directă a datelor transmise, ceea ce reduce semnificativ cantitatea de informații transmise și crește viteza de interacțiune.

Conexiunea este deconectată fie la cererea utilizatorului, fie atunci când „cheia VPN” este scoasă din portul USB.

O caracteristică a tehnologiei FPSU-IP/Client este capacitatea utilizatorului de a lucra dintr-o locație arbitrară a PC-ului în rețea, de ex. legarea la o anumită adresă IP nu este necesară și, în același timp, este furnizată autentificarea strictă în două sensuri a tuturor interacțiunilor dintre RS și FPSU-IP. Identificarea utilizatorului se realizează printr-un PIN de utilizator numeric din patru cifre, numărul de încercări de introducere fiind limitat (cu o tranziție ulterioară la necesitatea utilizării unui cod PUK de 10 cifre). Autorizarea și autentificarea utilizatorilor este asigurată prin intermediul complexului FPSU-IP.

Sistem administrare la distanțăși monitorizarea complexelor FPSU-IP și FPSU-IP/Client oferă control complet și monitorizare a rețelei protejate. Capacitățile sistemului de audit fac posibilă efectuarea unui calcul separat al volumului de date transmise între anumite complexe RS și FPSU-IP, ceea ce permite organizarea unui control clar asupra activității abonaților.

Complexul FPSU-IP/Client este absolut transparent pentru toată lumea Internet standard protocoale și poate fi utilizat împreună cu orice software care oferă acces la resursele IP.

Pentru a asigura o mai mare securitate, este posibil să restricționați administrativ (de la distanță sau local) accesul pentru utilizatorii FPSU-IP/Client pentru a deschide segmente de rețea atunci când lucrează cu resurse protejate, până la o interdicție completă.

Enumerăm principalele caracteristici:

Performanță - furnizează rata de transfer a fluxurilor IP de la 65

Mbps și mai mare atunci când toate modurile de protecție sunt activate (filtrare+compresie+criptare).

Algoritm de criptare - GOST 28147-89

Sistem de chei/distribuție centralizată a cheilor - simetrică/centralizată.

Stivă OS/protocoale - 32 biți DOS/nativ.

Niveluri procesate ale EMWOS - rețea + transport, sesiune și aplicație (selectiv).

Tipul și numărul de interfețe - 2; 10/100 Ethernet, FDDI.

Protocol VPN / redundanță / compresie de date - propriu / nu mai mult de 22 de octeți per pachet / datorită comprimării datelor end-to-end, se realizează efectul de accelerare a interacțiunilor informaționale.

Suport pentru servicii QoS - organizarea a până la 8 tuneluri VPN independente în cadrul conexiunilor asociate cu stabilirea priorităților pentru fluxurile de informații.

Managementul și monitorizarea complexelor - locale și la distanță, mecanisme de „retroducere” a defecțiunilor. Până la 1024 de complexe per stație de lucru. Sunt oferite o afișare vizuală (grafică) a stării de funcționare a rețelelor protejate, semnalizarea evenimentelor anormale, un audit total al informațiilor și interacțiunile de management.

Protocolul de control de la distanță pentru complexe este un protocol proprietar de tunel cu autentificare puternică în două sensuri conform X.509.

Securitate proprie - audit complet al evenimentelor și acțiunilor personalului, control acces folosind iButton și USB-Key. Utilizarea procedurilor speciale de rutare și suport pentru tunelurile VPN folosind controlul adaptiv al fluxului de date pentru a crește stabilitatea (supraviețuibilitatea) sistemelor.

Opoziție efectivă la influențele informaționale active și pasive de natură recunoaștere - ascunderea topologiei reale a VPN, NAT, ascunderea faptelor de utilizare a complexelor, proxy a protocoalelor de control SMNP / SMNP-Trap, Telnet, TFTP, HTTP de frontieră routere, emulare corectă a absenței adreselor și serviciilor folosite, dar ascunse.

Posibilitatea de conectare în cascadă a complexelor - oferă alocarea de segmente separate de rețele în zonele izolate de securitate sporită.

Client la distanță (software pentru lucrul cu „FPSU-IP” + USB-Key) - pentru Windows 98, NT, 2000.

software tehnic de criptare a informațiilor

3.14 instrument de protecție a informațiilor criptografice CryptoPro CSP

CryptoPro CSP este destinat pentru:

autorizarea și asigurarea semnificației legale a documentelor electronice atunci când acestea sunt schimbate între utilizatori, prin utilizarea procedurilor de generare și verificare a semnăturii digitale electronice (EDS) în conformitate cu standardele interne GOST R 34.10-94, GOST R 34.11-94, GOST R 34,10-2001;

asigurarea confidențialității și controlului integrității informațiilor prin protecția lor de criptare și imitație, în conformitate cu GOST 28147-89; asigurarea autenticității, confidențialității și falsificarea conexiunilor TLS;

controlul integrității, sistemul și aplicația software pentru a-l proteja de modificări neautorizate sau de încălcarea funcționării corecte;

managementul elementelor cheie ale sistemului în conformitate cu reglementarea echipamentelor de protecție.

Particularitati:

Suport încorporat pentru Winlogon

CryptoPro CSP 3.6 include un furnizor de revocare care funcționează prin răspunsurile OCSP

Implementarea suportului pentru platforma x64 Implementarea protocolului EAP/TLS Extinderea interfeței externe a CIPF pentru a asigura funcționarea cu un purtător de chei funcțional (FKN), negocierea cheii pentru utilizarea în implementările protocolului IPSec și lucrul cu alte aplicații

Este exclusă posibilitatea utilizării standardului GOST R 34.10-94

Algoritmi implementati:

Algoritmul de generare a funcției hash este implementat în conformitate cu cerințele GOST R 34.11 94 „Tehnologia informației. Protecția informațiilor criptografice. Funcția hashing”.

Algoritmii de generare și verificare EDS sunt implementați în conformitate cu cerințele:

GOST R 34,10 94 "Tehnologia informației. Protecția criptografică a informațiilor. Sistem electronic de semnătură digitală bazat pe un algoritm criptografic asimetric";

GOST R 34.10 94 și GOST R 34.10-2001 „Tehnologia informației. Protecția criptografică a informațiilor. Procese de formare și verificare a semnăturii digitale electronice”.

Algoritmul de criptare/decriptare a datelor și calculul inserției de imitație sunt implementate în conformitate cu cerințele GOST 28147 89 „Sisteme de procesare a informațiilor. Protecție criptografică”. Când se generează chei private și publice, este posibil să le genereze cu parametri diferiți în conformitate cu GOST R 34.10-94 și GOST R 34.10-2001. Când se generează o valoare a funcției hash și o criptare, este posibil să se utilizeze diferite noduri de înlocuire în conformitate cu GOST R 34.11-94 și GOST 28147-89.

Concluzie

Am analizat și analizat potențialele amenințări, canale posibile NSD, metode și mijloace de securitate a informațiilor și soluțiile lor hardware și software pe exemplul sistemelor automate de prelucrare a datelor. Desigur, aceste mijloace de protecție și APC nu sunt întotdeauna de încredere, deoarece. Astăzi, nu doar tehnologia (în cazul nostru, tehnologia informatică) se dezvoltă rapid, nu doar informația în sine este în permanență îmbunătățită, ci și metodele care permit obținerea acestor informații. Epoca noastră este adesea numită era informațională și aduce cu ea oportunități uriașe asociate cu creșterea economică, inovațiile tehnologice. Pe acest moment deținerea de date electronice, care devine cea mai mare valoare a erei informației, impune proprietarilor săi drepturi și obligații de a controla utilizarea acestora. Fișierele și mesajele stocate pe discuri și trimise prin canale de comunicare sunt uneori mai valoroase decât computerele în sine, discuri. Prin urmare, promisiunea erei informației poate fi realizată numai dacă indivizi, companii și alte entități care dețin informații care sunt din ce în ce mai caracter confidențial sau este deosebit de important, vor putea să-și protejeze în mod adecvat proprietatea de tot felul de amenințări, să aleagă un nivel de protecție care să le îndeplinească cerințele de securitate, pe baza unei analize a gradului de amenințare și a valorii proprietății depozitate.

Bibliografie

1. Zaitsev A.P., Golubyatnikov I.V., Meshcheryakov R.V., Shelupanov A.A. Hardware și software pentru securitatea informațiilor: manual. Ediția a 2-a rev. si suplimentare - M.: Mashinostroenie-1, 2006. - 260 p.

2. Vainshtein Yu.V., Demin S.L., Kirko I.N. și altele. Manual la disciplinele „Fundamentele securității informațiilor”, „ Securitatea informațiilorși protecția informațiilor”. - Krasnoyarsk, 2007. - 303 p.

Varlataya S.K., Shakhanova M.V. Instrumente hardware și software și metode de protecție a informațiilor: Ghid de studiu. - Vladivostok: Editura Universității Tehnice de Stat din Orientul Îndepărtat, 2007. - 318 p.

http://www.accord.ru/amdz.html

http://signal-com.ru/ru/prod/tele/ipsafe/

http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip

http://www.cryptopro.ru/products/csp/overview

http://www.securitycode.ru/products/pak_sobol/abilities/

http://www.securitycode.ru/products/secret_net/

http://www.aladdin-rd.ru/catalog/secret_disk/server/

11. Anexa 1 la Regulamentul privind sistemul de certificare a instrumentelor de securitate a informațiilor pentru cerințele de securitate pentru informațiile care constituie secret de stat (sistemul de certificare SZI-GT), aprobat prin ordin al Serviciului Federal de Securitate al Federației Ruse din 13 noiembrie 1999 Nr. 564 „Cu privire la aprobarea prevederilor privind sistemul de certificare a informațiilor echipamentelor de protecție privind cerințele de securitate pentru informațiile care constituie secret de stat și cu privire la mărcile de conformitate ale acestuia”

Îndrumare

Ai nevoie de ajutor pentru a învăța un subiect?

Experții noștri vă vor sfătui sau vă vor oferi servicii de îndrumare pe subiecte care vă interesează.
Trimiteți o cerere indicând subiectul chiar acum pentru a afla despre posibilitatea de a obține o consultație.

Acces neautorizat - citirea, actualizarea sau distrugerea informațiilor în absența unei autorități corespunzătoare.

Accesul neautorizat se efectuează, de regulă, folosind numele altcuiva, schimbarea adreselor fizice ale dispozitivelor, utilizarea informațiilor rămase după rezolvarea problemelor, modificarea software-ului și a suportului de informații, sustragerea mediilor de informare, instalarea echipamentelor de înregistrare.

Pentru a-și proteja cu succes informațiile, utilizatorul trebuie să aibă o înțelegere absolut clară a posibilului modalități de acces neautorizat. Enumerăm principalele modalități tipice de obținere neautorizată a informațiilor:

· furtul de medii de depozitare și deșeuri industriale;

copierea purtătoarelor de informații cu măsuri de protecție depășitoare;

deghizați în utilizator înregistrat;

farsă (mascare sub solicitări de sistem);

utilizarea deficiențelor sistemelor de operare și limbajelor de programare;

· utilizarea marcajelor software și a blocurilor software precum „Calul de Troie”;

interceptarea radiațiilor electronice;

interceptarea radiațiilor acustice;

fotografie la distanță;

utilizarea dispozitivelor de ascultare;

Dezactivarea intenționată a mecanismelor de protecție etc.

Pentru a proteja informațiile împotriva accesului neautorizat, aplicați:

1) măsuri organizatorice;

2) mijloace tehnice;

3) software;

4) criptare.

Evenimente organizatorice include:

· mod de acces;

stocarea media și a dispozitivelor într-un seif (dischete, monitor, tastatură etc.);

Restricționarea accesului persoanelor la sălile de calculatoare etc.

Mijloace tehnice include:

filtre, ecrane pentru echipamente;

cheie pentru blocarea tastaturii;

Dispozitive de autentificare - pentru citirea amprentelor, forma mâinii, irisul, viteza și tehnicile de imprimare etc.;

· chei electronice pe microcircuite etc.

Software include:

acces prin parolă – setarea autorității utilizatorului;

Blocarea ecranului și a tastaturii folosind o combinație de taste în utilitarul Diskreet din pachetul Norton Utilites;

Utilizarea instrumentelor de protecție cu parolă BIOS - pe BIOS-ul însuși și pe computer în ansamblu etc.

Criptare– aceasta este transformarea (codificarea) informațiilor deschise în criptate, care nu sunt accesibile pentru înțelegerea celor din afară. Criptarea este folosită în primul rând pentru a transfera informații secrete pe canale de comunicare nesigure. Puteți cripta orice informație - texte, imagini, sunet, baze de date etc. Omenirea folosește criptarea din momentul în care existau informații secrete care trebuiau ascunse de inamici. Primul mesaj criptat cunoscut de știință este un text egiptean, în care au fost folosite alte caractere în locul hieroglifelor acceptate atunci. Metodele de criptare și decriptare a unui mesaj sunt studiate de știință criptologie care are o istorie de aproximativ patru mii de ani. Este format din două ramuri: criptografie și criptoanaliza.

Criptografie este știința modului în care informațiile sunt criptate. Criptanaliză - Aceasta este știința metodelor și modalităților de deschidere a cifrurilor.

De obicei, se presupune că algoritmul de criptare în sine este cunoscut de toată lumea, dar cheia sa este necunoscută, fără de care mesajul nu poate fi decriptat. Aceasta este diferența dintre criptare și codare simplă, în care este suficient să cunoști doar algoritmul de codare pentru a recupera mesajul.

Cheie este un parametru al algoritmului de criptare (cifrare) care vă permite să selectați o anumită transformare din toate opțiunile oferite de algoritm. Cunoașterea cheii vă permite să criptați și să decriptați liber mesajele.

Toate cifrurile (sistemele de criptare) sunt împărțite în două grupuri - simetrice și asimetrice (cu cheie publică). Cifru simetricînseamnă că aceeași cheie este folosită pentru a cripta și decripta mesajele. În sistemele cu cheie publică sunt folosite două chei - publică și privată, care sunt legate între ele folosind unele dependențe matematice. Informațiile sunt criptate folosind o cheie publică, care este disponibilă pentru toată lumea, și decriptate folosind o cheie privată, cunoscută doar de destinatarul mesajului.

Puterea criptografică a cifrului este rezistența cifrului la decriptare fără cunoașterea cheii. Un algoritm persistent este unul care, pentru o dezvăluire cu succes, necesită resurse de calcul de neatins din partea adversarului, un volum de mesaje interceptate de neatins sau un timp în care, după expirarea acestuia, informațiile protejate nu vor mai fi relevante.

Unul dintre cele mai faimoase și mai vechi cifruri - cifru caesar. În acest cifr, fiecare literă este înlocuită cu alta, situată în alfabet la un număr dat de poziții k la dreapta acesteia. Alfabetul este închis într-un inel, astfel încât ultimele caractere sunt înlocuite cu primele. Cifrul Caesar se referă la cifru de substituție simplu, deoarece fiecare caracter al mesajului original este înlocuit cu un alt caracter din același alfabet. Astfel de cifruri sunt ușor de spart folosind analiza frecvenței, deoarece în fiecare limbă frecvențele literelor sunt aproximativ constante pentru orice text suficient de mare.

Semnificativ mai greu de spart Cifrul Vigenère, care a devenit o dezvoltare naturală a cifrului Caesar. Pentru a utiliza cifrul Vigenère, utilizați cuvânt cheie, care specifică o sumă variabilă de schimbare. Cifrul Vigenère este mult mai sigur decât cifrul Caesar. Aceasta înseamnă că este mai dificil să îl deschideți - să găsiți cuvântul cheie potrivit. Teoretic, dacă lungimea cheii este egală cu lungimea mesajului și fiecare cheie este folosită o singură dată, cifrul Vigenère nu poate fi spart.

Protecția împotriva accesului neautorizat (protecția împotriva accesului neautorizat) reprezintă prevenirea sau împiedicarea semnificativă a accesului neautorizat.

Mijloacele de protecție a informațiilor împotriva accesului neautorizat (ISZ de la NSD) este un software, hardware sau software și instrument hardware conceput pentru a preveni sau împiedica semnificativ accesul neautorizat.

Scopul și clasificarea generală a instalațiilor de securitate a informațiilor.

IMS de la NSD poate fi împărțit în soluții universale și specializate (în funcție de domeniul de aplicare), private și complexe (în funcție de setul de sarcini de rezolvat), instrumente de sistem încorporate și altele suplimentare (în funcție de metoda de implementare).

Clasificarea este extrem de importantă, deoarece atunci când construiesc informații de securitate a informațiilor de fiecare tip, dezvoltatorii formulează și rezolvă sarcini complet diferite (uneori contrazicându-se reciproc). Astfel, conceptul de protecție a universalului instrumente de sistem sunt stabilite principiile „încrederii depline în utilizator”, protecția lor este în mare măsură inutilă în sistemele corporative, de exemplu, atunci când se rezolvă problemele de contracarare a amenințărilor IT interne. În marea majoritate a zilelor noastre, instrumentele de securitate a informațiilor sunt create pentru a îmbunătăți mecanismele de protecție încorporate în sistemele de operare universale, în raport cu utilizarea într-un mediu corporativ. Dacă vorbim de totalitatea sarcinilor de rezolvat, atunci aici ar trebui să vorbim despre integrarea mecanismelor atât în ​​ceea ce privește rezolvarea eficientă a unei probleme specifice de protecție, cât și în ceea ce privește rezolvarea unui complex de sarcini.

Proprietățile consumatorilor (numirea) sistemului suplimentar de securitate a informațiilor de la NSD sunt determinate de măsura în care instrumentul suplimentar elimină deficiențele arhitecturale ale mecanismelor de protecție încorporate în sistemul de operare, în legătură cu rezolvarea sarcinilor necesare în aplicațiile corporative și cât de cuprinzător (în mod eficient) rezolvă acest set de sarcini de protecție a informațiilor.

Probleme de evaluare a eficacității sistemului de securitate a informațiilor din NSD

Eficacitatea sistemului de securitate a informațiilor împotriva UA poate fi evaluată prin examinarea aspectelor legate de corectitudinea implementării mecanismelor de protecție și de suficiența unui set de mecanisme de protecție în raport cu condițiile practice de utilizare.

Evaluarea corectitudinii implementarii mecanismelor de protectie

La prima vedere, o astfel de evaluare este ușor de făcut, dar în practică nu este întotdeauna cazul. Un exemplu: în NTFS, un obiect fișier poate fi identificat într-o varietate de moduri: obiectele fișier cu nume lungi pot fi menționate printr-un nume scurt (de exemplu, directorul „Fișiere de program” poate fi menționat prin numele scurt „ Progra~1"), iar unele programe accesează obiectele fișierului nu după nume, ci prin ID. Dacă sistemul de securitate a informațiilor instalat în sistemul informațional nu interceptează și analizează doar o astfel de metodă de accesare a unui obiect fișier, atunci, în mare, devine complet inutil (mai devreme sau mai târziu, un atacator va identifica acest defect în instrumentul de protecție și folosește-l). De asemenea, menționăm că obiectele fișier care nu sunt partajate între utilizatorii sistemului și aplicațiilor pot servi drept „canal” pentru downgrade-ul unui document, ceea ce anulează protecția informațiilor confidențiale. Există multe astfel de exemple.

Cerințele pentru corectitudinea implementării mecanismelor de protecție sunt definite în documentul de reglementare „Comisia tehnică de stat a Rusiei. Document de orientare. Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate de la NSD la informații”; este utilizat în certificarea facilităţilor de securitate a informaţiilor de la NSD.

Aceste cerințe sunt prezente în document în măsura în care este necesar, sunt corecte, dar formulate în vedere generala(și cum altfel, altfel ar fi necesar să se creeze propriul document de reglementare pentru fiecare familie de sisteme de operare și, eventual, pentru fiecare implementare de sistem de operare a aceleiași familii), iar pentru a îndeplini o cerință, poate fi necesară implementarea mai multor mecanisme de protecție. Consecința acestui fapt este ambiguitatea în interpretarea acestor cerințe (în ceea ce privește abordările implementării lor) și posibilitatea unor abordări fundamental diferite ale implementării mecanismelor de protecție în sistemul de securitate a informațiilor de accesul neautorizat al dezvoltatorilor. Rezultatul este o eficiență diferită a sistemului de securitate a informațiilor față de NSD pentru producătorii care implementează aceleași cerințe formalizate. Dar nerespectarea oricăreia dintre aceste cerințe poate anula toate eforturile de a asigura securitatea informațiilor.

Evaluarea suficienței (completitudinii) unui set de mecanisme de protecție

Cerințele pentru suficiența (completitudinea, în raport cu condițiile de utilizare) a setului de mecanisme de protecție sunt definite de documentul „Comisia tehnică de stat a Rusiei. Document de orientare. Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate de la NSD la informații”, care este utilizat în certificarea obiectelor de informatizare, inclusiv la utilizarea în AS IPS de la NSD. Cu toate acestea, aici situația este în mare măsură similară cu cea descrisă mai sus.

Astfel, ar fi indicat să se extindă formularea cerinței de suficiență a mecanismelor în facilitatea de securitate a informațiilor de la NSD pentru protejarea datelor confidențiale din documentele de reglementare, în care există o ambiguitate în stabilirea a ceea ce se atribuie resurselor protejate, ar fi este recomandabil să se extindă, de exemplu, după cum urmează: „Conexiunea resurselor ar trebui să fie controlată, în special dispozitivele, în conformitate cu condițiile de utilizare practică a instalației de calcul protejate și controlul accesului subiecților la resursele protejate; în special, la dispozitivele permise pentru conectare.

Rețineți că mecanismele de control al accesului la resursele care sunt întotdeauna prezente în sistem - obiecte fișier, obiecte registry OS etc. - protejate a priori, și trebuie să fie prezenți în facilitatea de securitate a informațiilor împotriva accesului neautorizat în orice caz, și în ceea ce privește resursele externe, ținând cont apoi de scopul instalației de securitate a informațiilor. Dacă scopul sistemului de securitate a informațiilor este de a proteja computerele din rețea, atunci acesta trebuie să aibă mecanisme de control al accesului la resursele rețelei; dacă servește la protejarea computerelor de sine stătătoare, atunci ar trebui să ofere control (interzicerea) conectării resurselor de rețea la computer. Această regulă, în opinia noastră, este potrivită fără excepție pentru toate resursele și poate fi folosită ca o cerință de bază pentru un set de mecanisme de protecție la atestarea obiectelor de informatizare.

Problemele de suficiență a mecanismelor de protecție ar trebui luate în considerare nu numai în raport cu setul de resurse, ci și în raport cu sarcinile de protecție a informațiilor care se rezolvă. Există doar două sarcini similare în asigurarea securității computerelor - contracararea amenințărilor IT interne și externe.

Sarcina generală de contracarare a amenințărilor IT interne este de a asigura diferențierea accesului la resurse în conformitate cu cerințele de prelucrare a datelor de diferite categorii de confidențialitate. Sunt posibile abordări diferite pentru stabilirea distincțiilor: pe conturi, pe procese, în funcție de categoria documentului citit. Fiecare dintre ele își stabilește propriile cerințe de suficiență. Deci, în primul caz, trebuie să izolați clipboard-ul între utilizatori; în al doilea - între procese; pentru cel de-al treilea caz, în general este necesară revizuirea radicală a întregii politici de delimitare a accesului la toate resursele, întrucât același utilizator cu aceeași aplicație poate prelucra date de diferite categorii de confidențialitate.

Există zeci de modalități de schimb între procese (conducte numite, sectoare de memorie etc.), așa că este necesar să se asigure închiderea mediului software - pentru a preveni posibilitatea lansării unui program care implementează un astfel de canal de schimb. Există, de asemenea, probleme de resurse care nu sunt partajate de sistem și aplicații, controlul asupra corectitudinii identificării subiectului accesului, protecția IPS-ului însuși împotriva accesului neautorizat (lista mecanismelor de protecție necesare pentru rezolvarea eficientă a acestei probleme este foarte impresionant). Cele mai multe dintre ele nu sunt specificate în mod explicit în documentele de reglementare.

Sarcina de a contracara eficient amenințările IT externe, în opinia noastră, poate fi rezolvată numai dacă este stabilită o politică de delimitare pentru subiectul „proces” (adică „procesul” ar trebui considerat ca subiect independent al accesului la resurse). Acest lucru se datorează faptului că el este cel care poartă amenințarea unui atac extern. Nu există o astfel de cerință în mod explicit în documentele de reglementare, dar în acest caz, soluționarea problemei protecției informațiilor necesită o revizuire fundamentală a principiilor de bază pentru implementarea politicii restrictive de acces la resurse.

Dacă problemele suficienței mecanismelor de protecție în raport cu ansamblul resurselor protejate sunt încă susceptibile de formalizare, atunci în raport cu sarcinile de protecție a informațiilor nu este posibilă formalizarea unor astfel de cerințe.

În acest caz, instrumentele de securitate a informațiilor de la NSD de la diferiți producători care îndeplinesc cerințele formalizate ale documentelor de reglementare pot avea și ele diferențe fundamentale atât în ​​abordările și soluțiile tehnice implementate, cât și în eficacitatea acestor instrumente în general.

În concluzie, observăm că nu trebuie subestimată importanța sarcinii de a alege o facilitate de securitate a informațiilor din UA, deoarece aceasta este o clasă specială de mijloace tehnice, a căror eficiență nu poate fi ridicată sau scăzută. Ținând cont de complexitatea evaluării eficacității reale a sistemului de securitate a informațiilor de la NSD, recomandăm ca consumatorului să implice specialiști (de preferință din rândul dezvoltatorilor care se confruntă practic cu aceste probleme) la etapa de alegere a unui sistem de protecție a informațiilor de la NSD.