Безпека та захист інформації. Способи захисту від несанкціонованого доступу
Вступ
Заходи щодо захисту інформації від НСД є складовою управлінської, наукової, виробничої (комерційної) діяльності підприємства (установи, фірми тощо), незалежно від їх відомчої належності та форми власності, та здійснюються в комплексі з іншими заходами щодо забезпечення встановленого режиму конфіденційності. Практика організації захисту інформації від НСД при її обробці та зберіганні в АС повинна враховувати такі принципи та правила забезпечення безпеки інформації:
Відповідність рівня безпеки інформації законодавчим положенням та нормативним вимогам щодо охорони відомостей, що підлягають захисту за чинним законодавством, у т.ч. вибір класу захищеності АС відповідно до особливостей обробки інформації (технологія обробки, конкретні умови експлуатації АС) та рівня її конфіденційності.
Виявлення конфіденційної інформації та документальне оформлення у вигляді переліку відомостей, що підлягають захисту, його своєчасне коригування.
Найбільш важливі рішення щодо захисту інформації повинні прийматися керівництвом підприємства (організації, фірми), власником АС.
Визначення порядку встановлення рівнів повноважень доступу суб'єктів, а також кола осіб, яким це право надано.
Встановлення та оформлення правил розмежування доступу, тобто. сукупності правил, що регламентують права доступу суб'єктів доступу до об'єктів доступу.
Встановлення особистої відповідальності користувачів за підтримку рівня захищеності АС при обробці відомостей, що підлягають захисту згідно з чинним законодавством.
Забезпечення фізичної охорони об'єкта, на якому розташована АС, що захищається (територія, будівлі, приміщення, сховища інформаційних носіїв), шляхом встановлення відповідних постів, технічних засобів охорони або будь-якими іншими способами, що запобігають або суттєво ускладнюють розкрадання засобів обчислювальної техніки, інформаційних носіїв, а також до СВТ та ліній зв'язку.
Організація служби безпеки інформації (відповідальні особи, адміністратор АС), яка здійснює облік, зберігання та видачу інформаційних носіїв, паролів, ключів, ведення службової інформації СЗІ НСД (генерацію паролів, ключів, супровід правил розмежування доступу), приймання нових програмних засобів, що включаються до АС, а також контроль за перебігом технологічного процесу обробки конфіденційної інформації та ін.
Планомірний та оперативний контроль рівня безпеки інформації, що захищається, перевірка захисних функцій засобів захисту інформації. Засоби захисту інформації повинні мати сертифікат, що засвідчує їхню відповідність вимогам щодо безпеки інформації.
Засоби захисту інформації- це сукупність інженерно-технічних, електричних, електронних, оптичних та інших пристроїв та пристроїв, приладів та технічних систем, а також інших речових елементів, що використовуються для вирішення різних завдань із захисту інформації, у тому числі попередження витоку та забезпечення безпеки інформації, що захищається.
У цілому нині засоби забезпечення захисту у частині запобігання навмисних дій залежно від способу реалізації можна розділити групи: технічні (апаратні), програмні, змішані апаратно - програмні, організаційні.
Технічні (апаратні) засоби- це різні типу пристрою (механічні, електромеханічні, електронні та інші), які апаратними засобами вирішують завдання захисту інформації. Вони перешкоджають фізичному проникненню, або, якщо проникнення все ж таки відбулося, перешкоджають доступу до інформації, у тому числі за допомогою її маскування. Першу частину завдання вирішують замки, грати на вікнах, захисна сигналізація та ін. Другу - генератори шуму, мережеві фільтри, що сканують
радіоприймачі та безліч інших пристроїв, що «перекривають» потенційні канали витоку інформації або дозволяють їх виявити. Переваги технічних засобів пов'язані з їхньою надійністю, незалежністю від суб'єктивних факторів, високою стійкістю до модифікації.
До апаратних засобів захисту належать різні електронні, електронно-механічні, електронно-оптичні пристрої. До теперішнього
часу розроблено значну кількість апаратних засобів різного призначення, проте найбільшого поширення набули такі:
спеціальні регістри для зберігання реквізитів захисту: паролі, коди, що ідентифікують, грифи або рівні секретності;
влаштування вимірювання індивідуальних характеристик людини (голосу, відбитків) з метою її ідентифікації;
схеми переривання передачі у лінії зв'язку з метою періодичної перевірки адреси видачі даних.
устрою для шифрування інформації (криптографічні методи).
Програмні засоби включають програми для ідентифікації користувачів, контролю доступу, шифрування інформації, видалення залишкової
(робочої) інформації типу тимчасових файлів, тестового контролю системи
захисту та ін. Переваги програмних засобів - універсальність, гнучкість, надійність, простота установки, здатність до модифікації та розвитку. Недоліки – обмежена функціональність мережі, використання частини ресурсів файл-сервера та робочих станцій, висока чутливість до випадкових чи навмисних змін, можлива залежність від типів комп'ютерів (їх апаратних засобів).
Змішані апаратно-програмні засоби реалізують ті ж функції, що апаратні та програмні засоби окремо, і мають проміжні властивості.
Організаційні кошти складаються з організаційно-технічних (підготовка приміщень з комп'ютерами, прокладання кабельної системи з урахуванням вимог обмеження доступу до неї та ін.) та організаційно-правових (національні законодавства та правила роботи, що встановлюються керівництвом конкретного підприємства). Переваги організаційних засобів полягають у тому, що вони дозволяють вирішувати безліч різноманітних проблем, прості у реалізації, швидко реагують на небажані дії у мережі, мають необмежені можливості модифікації та розвитку.
За рівнем поширення та доступності виділяються програмні засоби. Інші засоби застосовують у тих випадках, коли потрібно забезпечити додатковий рівень захисту інформації.
.Канали витоку інформації ВС
Можливі канали витоку інформації - канали, пов'язані з доступом до елементів системи та зміною структури її компонентів. До другої групи належать:
навмисне зчитування даних із файлів інших користувачів;
читання залишкової інформації, тобто даних, що залишаються на магнітних носіях після виконання завдань;
копіювання носіїв інформації;
навмисне використання для доступу до інформації терміналів
зареєстрованих користувачів;
маскування під зареєстрованого користувача шляхом викрадення паролів та інших реквізитів розмежування доступу до інформації, що використовується у системах обробки;
використання для доступу до інформації так званих "люків", дірок та "лазівок", тобто можливостей обходу механізму розмежування доступу, що виникають внаслідок недосконалості загальносистемних компонентів програмного забезпечення (операційних систем, систем управління базами даних та ін.) та неоднозначностями мов програмування, що застосовуються в автоматизованих системах обробки даних.
.Методи захисту інформації у ПС
За наявності простих засобів зберігання та передачі інформації існували і не втратили значення дотепер наступні методи її захисту від навмисного доступу: обмеження доступу; розмежування доступу; поділ доступу (привілеїв); криптографічне перетворення інформації; контроль та облік доступу; законодавчі заходи.
Зазначені методи здійснювалися суто організаційно чи з допомогою технічних засобів.
З появою автоматизованої обробки інформації змінився та доповнився новими видами фізичний носій інформації та ускладнилися технічні засоби її обробки.
У зв'язку з цим розвиваються старі та виникають нові методи захисту інформації в обчислювальних системах:
методи функціонального контролю, що забезпечують виявлення та діагностику відмов, збоїв апаратури та помилок людини, а також програмні помилки;
методи підвищення достовірності інформації;
методи захисту інформації від аварійних ситуацій;
методи контролю доступу до внутрішнього монтажу апаратури, ліній зв'язку та технологічних органів управління;
методи розмежування та контролю доступу до інформації;
методи ідентифікації та аутентифікації користувачів, технічних засобів, носіїв інформації та документів;
Методи захисту інформації від НСД можна поділити на 4 види
2.1 Фізичний доступ та доступ до даних
Правила здійснення контролю доступу до даних є єдиними існуючими методами для досягнення розглянутих вище вимог щодо індивідуальної ідентифікації. Найкращою політикою управління доступом є політика "мінімально необхідних привілеїв". Іншими словами, користувач має доступ тільки до інформації, яка необхідна йому в роботі. До інформації, що класифікується як конфіденційна (або еквівалентна) і вище, доступ може змінюватися і періодично підтверджуватись.
На певному рівні (принаймні реєстровано конфіденційному чи еквівалентному) має існувати система перевірок та контролю доступу, а також реєстрація змін. Необхідна наявність правил, що визначають відповідальність за всі зміни даних та програм. Має бути встановлений механізм визначення спроб неавторизованого доступу до таких ресурсів, як дані та програми. Власник ресурсу, менеджери підрозділів та співробітники служби безпеки повинні бути повідомлені про потенційні порушення, щоб запобігти можливості таємної змови.
2 Контроль доступу до апаратури
З метою контролю доступу до внутрішнього монтажу, ліній зв'язку та технологічних органів управління використовується апаратура контролю розтину апаратури. Це означає, що внутрішній монтаж апаратури та технологічні органи та пульти керування закритий кришками, дверцятами або кожухами, на які встановлено датчик. Датчики спрацьовують при розтині апаратури і видають електричні сигнали, які по ланцюгах збору надходять на централізований пристрій контролю. Установка такої системи має сенс при повнішому перекритті всіх технологічних підходів до апаратури, включаючи засоби завантаження програмного забезпечення, пульт управління ЕОМ та зовнішні кабельні з'єднувачі технічних засобів, що входять до складу обчислювальної системи. В ідеальному випадку для систем з підвищеними вимогами до ефективності захисту інформації доцільно закривати кришками під механічний замок з датчиком або ставити під контроль включення штатних засобів входу в систему - терміналів користувачів.
Контроль розтину апаратури необхідний не тільки в інтересах захисту інформації від НСД, але і для дотримання технологічної дисципліни з метою забезпечення нормального функціонування обчислювальної системи, тому що часто при експлуатації паралельно вирішенню основних завдань проводиться ремонт або профілактика апаратури, і може виявитися, що випадково забули підключити кабель чи пульта ЕОМ змінили програму обробки інформації. З позиції захисту інформації від несанкціонованого доступу контроль відкриття апаратури захищає від таких дій:
зміни та руйнування принципової схеми обчислювальної системи та апаратури;
підключення стороннього пристрою;
зміни алгоритму роботи обчислювальної системи шляхом використання технологічних пультів та органів управління;
завантаження сторонніх програм та внесення програмних "вірусів" у систему;
використання терміналів сторонніми особами тощо.
Основне завдання систем контролю розтину апаратури - перекриття на період експлуатації всіх позаштатних та технологічних підходів до апаратури. Якщо останні будуть потрібні в процесі експлуатації системи, апарат, що виводиться на ремонт або профілактику, перед початком робіт відключається від робочого контуру обміну інформацією, що підлягає захисту, і вводиться в робочий контур під наглядом та контролем осіб, відповідальних за безпеку інформації.
2.3 Криптографічне перетворення інформації
Захист даних за допомогою шифрування – одне з можливих розв'язань проблеми їхньої безпеки. Зашифровані дані стають доступними лише для того, хто знає, як їх розшифрувати, і тому викрадення зашифрованих даних є абсолютно безглуздим для несанкціонованих користувачів. Криптографія забезпечує як секретність інформації, а й її справжність. Секретність підтримується шляхом шифрування окремих повідомлень або всього файлу. Справжність інформації підтверджується шляхом шифрування спеціальним кодом, що містить всю інформацію, що перевіряється одержувачем для підтвердження особи автора. Він лише засвідчує походження інформації, а й гарантує її незмінність. Навіть просте перетворення інформації є дуже ефективним засобом, що дає можливість приховати її зміст більшості некваліфікованих порушників.
Криптографія на сьогодні є єдиним відомим способом забезпечення таємності та підтвердження справжності інформації, що передається із супутників. Природа стандарту шифрування даних DES така, що його алгоритм є загальнодоступним, секретним має бути лише ключ. Причому однакові ключі повинні використовуватися і для шифрування, дешифрування інформації, інакше її неможливо буде прочитати.
Принцип шифрування полягає у кодуванні тексту за допомогою ключа. У традиційних системах шифрування для кодування та декодування використовувався той самий ключ. У нових системах з відкритим ключем або асиметричного шифрування ключі парні: один використовується для кодування, інший - для декодування інформації. У такій системі кожен користувач має унікальну пару ключів. Один ключ, так званий відкритий, відомий всім і використовується для кодування повідомлень. Інший ключ, званий "секретним", тримається в строгому секреті і застосовується для розшифрування вхідних повідомлень. При реалізації такої системи один користувач, якому потрібно надіслати повідомлення іншому, може зашифрувати повідомлення відкритим ключем останнього. Розшифрувати його зможе лише власник особистого секретного ключа, тож небезпека перехоплення виключена. Цю систему можна також використовувати для створення захисту від підробки цифрових підписів.
Практичне використання захисного шифрування Інтернет та інтранет поєднує традиційні симетричні та нові асиметричні схеми. Шифрування відкритим ключем застосовується для узгодження секретного симетричного ключа, який використовується для шифрування реальних даних. Шифрування забезпечує найвищий рівень безпеки даних. Як у апаратному, і у програмному забезпеченні застосовуються різні алгоритми шифрування.
4 Контроль та розмежування доступу
З метою перекриття можливих каналів НСД до інформації ПЕОМ, крім згаданих, можуть бути застосовані інші методи і засоби захисту. При використанні ПЕОМ в розрахованому на багато користувачів режимі необхідно застосувати в ній програму контролю і розмежування доступу. Існує багато таких програм, які часто розробляють самі користувачі. Однак специфіка роботи програмного забезпечення ПЕОМ така, що за допомогою її клавіатури досить кваліфікований програміст-порушник може захист такого роду легко обійти. Тому цей захід ефективний тільки для захисту від некваліфікованого порушника. Для захисту від порушника-професіонала допоможе комплекс програмно-апаратних засобів. Наприклад, спеціальний електронний ключ, що вставляється у вільний слот ПК, та спеціальні програмні фрагменти, що закладаються в прикладні програми ПК, які взаємодіють з електронним ключем за відомим лише користувачем алгоритмом. За відсутності ключа ці програми не працюють. Проте такий ключ незручний у користуванні, оскільки щоразу доводиться розкривати системний блок ПК. У зв'язку з цим його змінну частину - пароль - виводять на окремий пристрій, який і стає власне ключем, а пристрій, що зчитує, встановлюється на лицьову панель системного блоку або виконується у вигляді виносного окремого пристрою. У такий спосіб можна заблокувати і завантаження ПК, і програму контролю та розмежування доступу.
Подібними можливостями, наприклад, мають найбільш популярні електронні ключі двох американських фірм: Rainbow Technologies (RT) і Software Security (SSI). Серед них більшість призначена для захисту від несанкціонованого копіювання програмного продукту, тобто для захисту авторського права на його створення, отже, для іншої мети. Однак при цьому залишаються не завжди захищеними канали відображення, документування, носії програмного забезпечення та інформації, електромагнітне випромінювання та наведення інформації. Їх перекриття забезпечується вже відомими методами та засобами: розміщенням комп'ютера у захищеному приміщенні, обліком та зберіганням носіїв інформації у металевих шафах та сейфах, шифруванням.
Система розмежування доступу (СРД) одна із головних складових комплексної системи захисту. У цій системі можна виділити такі компоненти:
засоби аутентифікації суб'єкта доступу;
засоби розмежування доступу до технічних пристроїв комп'ютерної системи;
засоби розмежування доступу до програм та даних;
засоби блокування неправомірних дій;
засоби реєстрації подій;
черговий оператор системи розмежування доступу.
Ефективність функціонування системи розмежування доступу багато в чому визначається надійністю механізмів автентифікації. p align="justify"> Особливе значення має аутентифікація при взаємодії віддалених процесів, яка завжди здійснюється із застосуванням методів криптографії. При експлуатації механізмів автентифікації основними завданнями є:
генерація або виготовлення ідентифікаторів, їх облік та зберігання, передача ідентифікаторів користувачеві та контроль за правильністю виконання процедур аутентифікації в комп'ютерній системі (КС). При компрометації атрибутів доступу (паролю, персонального коду тощо) необхідно термінове їх виключення зі списку дозволених. Ці дії повинні виконуватись черговим оператором системи розмежування доступу.
У великих розподілених КС проблема генерації та доставки атрибутів ідентифікації та ключів шифрування не є тривіальним завданням. Так, наприклад, розподіл секретних ключів шифрування повинен здійснюватися поза комп'ютерною системою, що захищається. Значення ідентифікаторів користувача не повинні зберігатися та передаватися у системі у відкритому вигляді. На час введення та порівняння ідентифікаторів необхідно застосовувати особливі заходи захисту від підгляду набору пароля та впливу шкідницьких програм типу клавіатурних шпигунів та програм-імітаторів СРД. Засоби розмежування доступу до технічних засобів перешкоджають несанкціонованим діям зловмисника, таким як включення технічного засобу, завантаження операційної системи, введення-виведення інформації, використання нештатних пристроїв тощо. Так оператор СРД може контролювати використання ключів від замків подачі живлення безпосередньо на технічний засіб або всі пристрої, що знаходяться в окремому приміщенні, дистанційно керувати блокуванням подачі живлення на пристрій або блокуванням завантаження ОС. На апаратному або програмному рівні оператор може змінювати технічну структуру засобів, які може використовувати певний користувач.
Засоби розмежування доступу до програм та даних використовуються найбільш інтенсивно та багато в чому визначають характеристики СРД. Ці засоби є апаратно-програмними. Вони налаштовуються посадовими особами підрозділу, що забезпечує безпеку інформації, та змінюються при зміні повноважень користувача або зміні програмної та інформаційної структури. Доступ до файлів регулюється диспетчером доступу. Доступ до записів та окремих полів записів у файлах баз даних також регулюється за допомогою систем управління базами даних.
Ефективність СРД можна підвищити за рахунок шифрування файлів, що зберігаються на зовнішніх пристроях, а також за рахунок повного стирання файлів при їх знищенні і стирання тимчасових файлів. Навіть якщо зловмисник отримає доступ до машинного носія шляхом, наприклад, несанкціонованого копіювання, отримати доступ до інформації він не зможе без ключа шифрування.
У розподілених КС доступ між підсистемами, наприклад, віддаленими ЛОМ, регулюється за допомогою міжмережевих екранів. Міжмережевий екран необхідно використовувати для керування обміном між захищеною та незахищеною комп'ютерними системами. При цьому регулюється доступ як із незахищеної КС у захищену, так і доступ із захищеної системи до незахищеної. Комп'ютер, що реалізує функції міжмережевого екрану, доцільно розміщувати робочому місці оператора КСЗИ.
Кошти блокування неправомірних дій суб'єктів доступу є невід'ємною компонентою СРД. Якщо атрибути суб'єкта доступу чи алгоритм його дій є дозволеними даного суб'єкта, то подальша робота у КС такого порушника припиняється до втручання оператора КСЗИ. Засоби блокування виключають або значною мірою ускладнюють автоматичний вибір атрибутів доступу.
Засоби реєстрації подій є обов'язковою компонентою СРД. Журнали реєстрації подій розміщуються на ВЗП. У таких журналах записуються дані про вхід користувачів до системи та про вихід з неї, про всі спроби виконання несанкціонованих дій, про доступ до певних ресурсів тощо. Налаштування журналу на фіксацію певних подій та періодичний аналіз його вмісту здійснюється черговим оператором та посадовцями. особами із підрозділу ОБІ. Процес налаштування та аналізу журналу доцільно автоматизувати програмним шляхом.
Безпосереднє управління СРД здійснює черговий оператор КСЗІ, який, як правило, виконує функції чергового адміністратора КС. Він завантажує ОС, забезпечує необхідну конфігурацію та режими роботи КС, вводить у СРД повноваження та атрибути користувачів, здійснює контроль та керує доступом користувачів до ресурсів КС.
.Засоби забезпечення інформаційної безпеки у комп'ютерних системах
1Види АПС СЗІ
З усього перерахованого вище, програмно-апаратні засоби захисту інформації можна розділити на кілька видів:
Програмно-технічні засоби захисту від несанкціонованого копіювання.
Програмно-технічні засоби криптографічного та стенографічного захисту інформації (включаючи засоби маскування інформації) при її зберіганні на носіях даних та при передачі каналами зв'язку.
Програмно-технічні засоби переривання роботи програми користувача за порушення ним правил доступу.
Програмно-технічні засоби стирання даних, у тому числі:
Програмно-технічні засоби видачі сигналу тривоги за спроби несанкціонованого доступу до інформації.
Програмно-технічні засоби виявлення та локалізації дії програмних та програмно-технічних закладок.
2 Пристрій швидкого знищення інформації на жорстких магнітних дисках «Стек-Н»
Призначено для швидкого (екстренного) стирання інформації, записаної на жорстких магнітних дисках як експлуатованих, так і не експлуатованих в момент стирання.
Основні особливості виробів серії «Стек»:
гранично можлива швидкість знищення інформації;
здатність перебувати у зведеному стані як завгодно довго без погіршення характеристик;
можливість застосування у дистанційно керованих системах з автономним електроживленням;
відсутність рухомих частин;
стирання інформації, записаної на магнітному носії, відбувається без його фізичного руйнування, але подальше використання диска проблематично.
Пристрій випускається у вигляді трьох базових моделей: "Стек-HCl", "Стек-НС2", "Стек-НА1".
Модель «Стек-HCl» орієнтована створення робочого місця для швидкого стирання інформації з великої кількості вінчестерів перед їх утилізацією. Має лише мережне електроживлення, характеризується малим часом переходу в режим «Готовність» після чергового стирання. Модель має невисоку вартість та гранично проста в управлінні (рис. 1).
Модель «Стек-НС2» орієнтована створення стаціонарних інформаційних сейфів для комп'ютерних даних, має лише електроживлення. Обладнана системами підтримки температурного режиму НЖМД, самотестування, а також може бути дообладнана модулем дистанційної ініціалізації (рис. 2).
Модель «Стек-HAl» орієнтована створення портативних інформаційних сейфів для комп'ютерних даних, має мережне і автономне електроживлення. Обладнана системою самотестування та модулем дистанційної ініціалізації.
Пристрій може бути використаний для стирання інформації з інших типів носіїв, що поміщаються в робочу камеру 145х105x41мм і мають аналогічні властивості.
Виріб забезпечує стирання корисної та службової інформації, записаної на магнітному носії. Тому носій може бути використаний лише за наявності спецобладнання. Крім того, у ряді випадків можливе роз'юстування блоку головок.
Перерахуємо основні характеристики Стек-НС1(2):
Максимальна тривалість переходу пристрою в режим «Готовність» – 7-10 с.
Електроживлення виробу – 220 В, 50 Гц.
Максимальна теплова потужність, що відводиться - 8 Вт.
у циклі "Заряд"/"Стирання" - не менше 0,5 год.
Габарити – 235x215x105 мм.
Перерахуємо основні характеристики Стек-HA1:
Максимальна тривалість переходу пристрою в режим "Готовність" - не більше 15...30 с.
Тривалість стирання інформації на одному диску – 300 мс.
Електроживлення виробу – 220 В, 50 Гц або зовнішній акумулятор 12 В.
Допустима тривалість безперервної роботи виробу:
у режимі «Готовність» – не обмежена;
у циклі "Заряд"/"Стирання" - не менше 30 разів по 0,5 год.
Габарити – 235x215x105 мм.
3 Виявлення підключення до локальної мережі (LAN) FLUKE
Заходи протидії на комп'ютерних мережах - дуже специфічне завдання, що потребує навичок спостереження та роботи у фоновому режимі. У цьому виді сервісу використовується кілька приладів:
ручний осцилограф;
рефлектометр часових інтервалів із аналізом перехідних зв'язків для роботи на «вільній лінії»;
аналізатор мережного трафіку/протокольний аналізатор;
комп'ютер зі спеціальним пакетом програмного забезпечення, що виявляє;
Портативний спектральний аналізатор.
Ці прилади використовуються на додаток до осцилографів, спектральних аналізаторів, мультиметрів, пошукових приймачів, рентгенівських установок та інших приладів протидії. є приладом для команд протидії спостереженню (рис. 2). "Базовий інструмент" надає всі функції кабельного сканера, включаючи функції високоякісного рефлектометра часових інтервалів. Можливості аналізу трафіку важливі при ідентифікації та відстеження порушень у функціонуванні мережі, вторгнення хакерів та реєстрації наявності замаскованих пристроїв спостереження в локальній мережі. Ланметр також використовується при проведенні мережевих аудитів та перевірок.
Кабельний аналізатор FLUKE DSP-2000\DSP-4000 та вимірювач параметрів FLUKE 105B також необхідні прилади для проведення інспекцій з протидії та доповнюють ЛАНметр.
Під час проведення інспекцій осцилограф, що підключається для загальної оцінки до мережі, дозволяє спостерігати за формою сигналів та їх наявністю. У разі наявності в мережі пристроїв несанкціонованого спостереження з розподіленим спектром осцилограф забезпечить швидке визначення цього факту, а також індикацію напруги, радіочастотного шуму та обмежену інформацію про перехідні зв'язки.
Портативний спектральний аналізатор використовують для оперативного перегляду радіочастотного спектру мережі. Спостереження повинно здійснюватися за будь-якими сигналами, що не відповідають типовому виду в мережі, що тестується. Коли всі комбінації проводів мережі ретельно перевірені на наявність сторонніх сигналів (використовуючи осцилограф і спектральний аналізатор), для моніторингу будь-якої активності, що відбувається, на кожному специфічному сегменті (або кабельному введенні) використовується мережевий аналізатор трафіку. Це є метою ідентифікації будь-якої аномалії мережного трафіку, яка може бути індикатором використання спеціального програмного забезпечення, несанкціонованого спостереження або пролому в системі безпеки.
Аналізатор мережного трафіку зазвичай оцінює лише заголовки пакетів і може надати користувачеві кілька базових мережевих функцій, таких як передача даних з однієї програми до іншої (PING), відстеження шляху (Trace Route), перегляд DNS та забезпечення списків знайдених або активних мережевих адрес. З цього погляду фахівець протидії отримає список всіх мережевих об'єктів, який потім може бути звірений із фізичним списком.
Фахівець із протидії може зробити відключення сегмента мережі (зазвичай шляхом вимкнення маршрутизатора або комутатора) та від'єднати всю проводку. Це ізолює групу комп'ютерів і частину кабелів від іншої мережі і забезпечить відповідне «прикриття» для частини інспекції. Фізичне проведення може бути перевірено на наявність пристроїв спостереження або аномалій.
4 Система захисту інформації Secret Net 6.0
Net є сертифікованим засобом захисту інформації від несанкціонованого доступу і дозволяє привести автоматизовані системи у відповідність до вимог регулюючих документів:
№98-ФЗ ("Про комерційну таємницю")
№152-ФЗ ("Про персональні дані")
№5485-1-ФЗ ("Про державну таємницю")
СТО БР (Стандарт Банку Росії)
Сертифікати ФСТЕК Росії дозволяють використовувати СЗІ від НСД Secret Net для захисту:
конфіденційної інформації та державної таємниці в автоматизованих системах до класу 1Б включно;
інформаційних систем персональних даних класу К1 включно.
Для безпеки робочих станцій та серверів мережі використовуються всілякі механізми захисту:
посилена ідентифікація та аутентифікація;
повноважне та виборче розмежування доступу;
замкнене програмне середовище;
криптографічний захист даних;
інші механізми захисту.
Адміністратору безпеки надається єдиний засіб управління всіма захисними механізмами, що дозволяє централізовано керувати та контролювати виконання вимог політики безпеки.
Вся інформація про події в інформаційній системі, що стосуються безпеки, реєструється в єдиному журналі реєстрації. Про спроби вчинення користувачами неправомірних дій адміністратор безпеки дізнається негайно.
Існують засоби генерації звітів, попередньої обробки журналів реєстрації, оперативного керування віддаленими робочими станціями.
Система Secret Net складається із трьох компонентів: клієнтської частини, сервера безпеки та підсистеми управління (Рис 3).
Особливістю системи Secret Net є клієнт-серверна архітектура, при якій серверна частина забезпечує централізоване зберігання та обробку даних системи захисту, а клієнтська частина - захист ресурсів робочої станції або сервера та зберігання інформації, що управляє, у власній базі даних.
Клієнтська частина системи захисту (як автономний варіант, так і мережевий) встановлюється на комп'ютер, що містить важливу інформацію, будь то робоча станція в мережі або сервер (у тому числі і сервер безпеки).
Основне призначення клієнтської частини:
захист ресурсів комп'ютера від несанкціонованого доступу та розмежування прав зареєстрованих користувачів;
реєстрація подій, що відбуваються на робочій станції або сервері мережі, та передача інформації на сервер безпеки;
виконання централізованих та децентралізованих керуючих впливів адміністратора безпеки.
Клієнти Secret Net оснащуються засобами апаратної підтримки (для ідентифікації користувачів за електронними ідентифікаторами та управління завантаженням із зовнішніх носіїв).
Сервер безпеки встановлюється на виділений комп'ютер або контролер домену та забезпечує вирішення наступних завдань:
ведення центральної бази даних (ЦБД) системи захисту, що функціонує під управлінням СУБД Oracle 8.0 Personal Edition та містить інформацію, необхідну для роботи системи захисту;
збір інформації про події з усіх клієнтів Secret Net в єдиний журнал реєстрації та передача обробленої інформації підсистемі управління;
взаємодія з підсистемою управління та передача управляючих команд адміністратора на клієнтську частину системи захисту.
Підсистема управління Secret Net встановлюється на робочому місці адміністратора безпеки та надає йому такі можливості:
автентифікація користувачів.
забезпечення розмежування доступу до інформації та пристроїв, що захищаються.
довірене інформаційне середовище.
контроль каналів поширення конфіденційної інформації
контроль пристроїв комп'ютера та відчужуваних носіїв інформації на основі централізованих політик, що виключають витікання конфіденційної інформації.
централізоване управління політиками безпеки дозволяє оперативно реагувати на події НДД.
оперативний моніторинг та аудит безпеки.
система захисту, що масштабується, можливість застосування Secret Net (мережевий варіант) в організації з великою кількістю філій.
Варіанти розгортання Secret Net 6
Автономний режим – призначений для захисту невеликої кількості (до 20-25) робочих станцій та серверів. У цьому кожна машина адмініструється локально.
Мережевий режим (з централізованим керуванням) - призначений для розгортання доменної мережі з Active Directory. Даний варіант має засоби централізованого управління та дозволяє застосувати політики безпеки у масштабах організації. Мережний варіант Secret Net може бути успішно розгорнутий у складній доменній мережі
Схема управління, реалізована в Secret Net, дозволяє керувати інформаційною безпекою в термінах реальної предметної області та в повній мірі забезпечити жорсткий поділ повноважень адміністратора мережі та адміністратора безпеки.
3.5 Електронний замок «Соболь»
Призначений для захисту комп'ютерних ресурсів від несанкціонованого доступу.
Електронний замок (ЕЗ) "Соболь" сертифікований ФСТЕК Росії. Сертифікат №1574 від 14.03.2008 р. підтверджує відповідність виробу вимогам Керівного документа Держтехкомісії Росії «Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення засобів захисту. Класифікація за рівнем контролю відсутності недекларованих можливостей» і дозволяє використовувати його для розробки систем захисту для автоматизованих систем із класом захищеності до 1Б включно.
Електронний замок "Соболь" може застосовуватися як пристрій, що забезпечує захист автономного комп'ютера, а також робочої станції або сервера, що входять до складу локальної обчислювальної мережі.
При цьому використовуються такі механізми захисту:
ідентифікація та аутентифікація користувачів; реєстрація спроб доступу до ПЕОМ;
заборона завантаження ОС зі знімних носіїв; контроль цілісності програмного середовища
контроль цілісності програмного середовища
контроль цілісності системного реєстру Windows
сторожовий таймер
реєстрація спроб доступу до ПЕОМ
контроль конфігурації
Можливості з ідентифікації та аутентифікації користувачів, а також реєстрація спроб доступу до ПЕОМ не залежать від типу ОС.
Дія електронного замку «Соболь» полягає у перевірці персонального ідентифікатора та пароля користувача під час спроби входу до системи. У разі спроби входу в систему незареєстрованого користувача електронний замок реєструє спробу та здійснюється апаратне блокування до 4 пристроїв (наприклад: FDD, CD-ROM, ZIP, LPT, SCSI-порти). В електронному замку використовується ідентифікація та посилена (двофакторна) автентифікація користувачів з використанням персональних ідентифікаторів. Як персональні ідентифікатори користувачів можуть застосовуватися:
eToken PRO (Java).
смарт-карта eToken PRO через USB-зчитувач Athena ASEDrive IIIe USB V2.
Завантаження операційної системи з жорсткого диска здійснюється лише після пред'явлення зареєстрованого ідентифікатора. Службова інформація про реєстрацію користувача (ім'я, номер присвоєного персонального ідентифікатора тощо) зберігається в незалежній пам'яті електронного замку. Електронний замок здійснює ведення системного журналу, записи якого зберігаються у спеціальній енергонезалежній пам'яті. У системному журналі фіксується вхід користувачів, спроби входу, спроби НСД та інші події, пов'язані з безпекою системи. У ньому зберігається наступна інформація: дата та час події, ім'я користувача та інформація про тип події (наприклад, факт входу користувача, введення неправильного пароля, пред'явлення незареєстрованого ідентифікатора користувача, перевищення числа спроб входу до системи, інші події).
Таким чином, електронний замок «Соболь» надає інформацію адміністратору про всі спроби доступу до ПЕОМ.
Механізм контролю цілісності, що використовується в комплексі «Соболь», дозволяє контролювати незмінність файлів і фізичних секторів жорсткого диска до завантаження операційної системи. Для цього обчислюються деякі контрольні значення об'єктів, що перевіряються, і порівнюються з раніше розрахованими для кожного з цих об'єктів еталонними значеннями. Формування списку об'єктів, що підлягають контролю, із зазначенням шляху до кожного контрольованого файлу та координат кожного контрольованого сектора здійснюється за допомогою програми управління шаблонами контролю цілісності. Контроль цілісності функціонує під управлінням операційних систем, які використовують такі файлові системи: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS, EXT2 та EXT3. Адміністратор має можливість задати режим роботи електронного замка, при якому буде блоковано вхід користувачів до системи за порушення цілісності контрольованих файлів. Підсистема заборони завантаження з гнучкого диска та CD-диска забезпечує заборону завантаження операційної системи з цих знімних носіїв для всіх користувачів, крім адміністратора. Адміністратор може дозволити окремим користувачам комп'ютера виконувати завантаження операційної системи зі знімних носіїв.
Для налаштування електронного замку «Соболь» адміністратор має можливість визначати мінімальну довжину пароля користувача, граничну кількість невдалих входів користувача, додавати та видаляти користувачів, блокувати роботу користувача на комп'ютері, створювати резервні копії персональних ідентифікаторів.
Електронний замок «Соболь» може застосовуватись у складі системи захисту інформації Secret Net для генерації ключів шифрування та електронно-цифрового підпису. Крім того, при використанні ЕС "Соболь" у складі Secret Net забезпечується єдине централізоване управління його можливостями. За допомогою підсистеми управління Secret Net адміністратор безпеки може керувати статусом персональних ідентифікаторів співробітників: надавати електронні ідентифікатори, тимчасово блокувати, робити їх недійсними, що дозволяє керувати доступом співробітників до комп'ютерів автоматизованої системи організації.
До базового комплекту електронного замку «Соболь-PCI» входить (рис. 4):
контролер "Соболь-PCI";
зчитувач Touch Memory;
два ідентифікатори DS-1992;
інтерфейс для блокування завантаження із FDD;
інтерфейс для блокування завантаження із CD-ROM;
програмне забезпечення формування списків контрольованих програм;
Документація.
6 Система захисту корпоративної інформації Secret Disk Server NG
Призначена для захисту конфіденційної інформації, корпоративних баз даних (Мал. 5).
Система призначена для роботи в Windows NT 4.0 Server/Workstation/2000 Professional SP2/XP Professional/Server 2000 SP2/Server 2003. Використання методу прозорого шифрування інформації за допомогою стійких алгоритмів шифрування дозволяє не припиняти роботу під час початкового шифрування даних.
Підтримка широкого спектру накопичувачів дозволяє захищати окремі жорсткі диски сервера, будь-які дискові масиви (SAN, програмні та апаратні RAID-масиви), а також знімні диски.
Система не тільки надійно захищає конфіденційні дані, а й приховує їхню наявність.
Під час встановлення Secret Disk Server NG вибрані логічні диски зашифровуються. Права доступу до них користувачів мережі встановлюються засобами Windows NT.
Шифрування здійснюється програмно-системним драйвером ядра (kernel-mode driver).
Крім вбудованого алгоритму перетворення даних із довжиною ключа 128 біт, Secret Disk Server NG дозволяє підключати зовнішні модулі криптографічного захисту, наприклад сертифікованих російських СКЗІ КриптоПро CSP версії 2.0/3.0 і Signal-COM CSP реалізують найпотужніший російський алгоритм 8 шифрування біт. Швидкість шифрування дуже висока, тому мало хто зможе помітити невелике уповільнення роботи.
Перед початком роботи із захищеними розділами (або під час завантаження сервера) ключі шифрування вводяться в драйвер Secret Disk Server NG. Для цього використовуються мікропроцесорні картки (смарт-картки), захищені PIN-кодом. Не знаючи коду, скористатися карткою не можна. Три спроби введення неправильного коду заблокують картку. При роботі сервера смарт-картка не потрібна, і її можна заховати у надійне місце.
Під час роботи системи ключі шифрування зберігаються в оперативній пам'яті сервера і ніколи не потрапляють на диск у файл підкачки (swap file). Генерація PIN-коду та ключів шифрування здійснюється самим користувачем. При генерації використовується послідовність випадкових чисел, що формується по траєкторії руху миші і тимчасовим характеристикам натискання довільних клавіш. , зміни обсягу, електронні та кодові замки).
При підключенні захищених дисків можливий автоматичний запуск необхідних програм та сервісів, перелічених у конфігураційному файлі. Після перезавантаження сервера без пред'явлення смарт-картки або спроби читання дисків на іншому комп'ютері, захищені розділи будуть «видні» як неформатовані області, прочитати які не можна. У разі виникнення небезпеки можна миттєво «знищити» інформацію, зробивши захищені розділи «невидимими». В поставку входить інсталяційний CD-диск, універсальний пристрій для роботи зі смарт-картами (зовнішнє), комплект кабелів, спеціальна плата Hardlock, документація російською мовою, 3 смарт-картки.
7 Система захисту конфіденційної інформації Secret Disk
Disk - система захисту конфіденційної інформації широкого кола користувачів комп'ютерів: керівників, менеджерів, бухгалтерів, аудиторів, адвокатів та інших.
Під час встановлення системи Secret Disk на комп'ютері з'являється новий віртуальний логічний диск (один або кілька). Все, що записується, автоматично шифрується, а при читанні розшифровується. Вміст цього логічного диска знаходиться у спеціальному контейнері – зашифрованому файлі. Файл секретного диска може бути на жорсткому диску комп'ютера, на сервері, на знімних носіях типу Zip, Jaz, CD-ROM чи магнитооптике.Disk забезпечує захист даних навіть у разі вилучення такого диска чи самого комп'ютера. Використання секретного диска рівносильне вбудовуванню функцій шифрування у всі програми, що запускаються.
Підключення секретного диска та робота із зашифрованими даними можливі лише після апаратної автентифікації користувача введення та правильного пароля. Для аутентифікації використовується електронний ідентифікатор – смарт-картка, електронний ключ або брелок. Після підключення секретного диска він стає "видимий" операційній системі Windows як ще один жорсткий диск, а записані на ньому файли доступні будь-яким програмам. Не маючи електронного ідентифікатора і не знаючи пароля, підключити секретний диск не можна – для сторонніх він залишиться просто зашифрованим файлом із довільним ім'ям (наприклад, game.exe або girl.tif).
Як будь-який фізичний диск, захищений диск може бути наданий для спільного використання у локальній мережі. Після вимкнення диска всі записані на ньому файли та програми стануть недоступними.
Перелік основних характеристик:
Захист конфіденційних даних за допомогою професійних алгоритмів шифрування (можливість підключення зовнішніх бібліотек криптографії).
Генерація ключів шифрування самим користувачем.
Апаратна автентифікація користувача за допомогою електронних брелоків, смарт-карток, PCMCIA-карток або електронних ключів.
Подвійний захист. Кожен секретний диск захищений особистим електронним ідентифікатором користувача та паролем доступу до цього диска.
Робота із зашифрованими архівами. Інформацію можна стиснути та зашифрувати як для себе (з використанням електронного ідентифікатора),
так для захищеного обміну з колегами (з паролем).
Блокування комп'ютера Secret Disk дозволяє гасити екран і блокувати клавіатуру при вимкненні електронного ідентифікатора, при натисканні заданої комбінації клавіш або тривалої неактивності користувача. При блокуванні системи секретні диски не відключаються, запущені програми, що використовують захищені дані, продовжують нормально працювати, робота інших користувачів, яким надано спільний доступ до секретного диска в мережі, не порушується.
Режим роботи під примусом. У критичній ситуації можна запровадити спеціальний аварійний пароль. При цьому система на деякий час підключить диск, знищивши особистий ключ шифрування в електронному ідентифікаторі (що унеможливить доступ до диска в майбутньому), а потім зімітує одну з відомих помилок Windows.
Можливість відновлення даних при втраті (або навмисному псуванні) електронного ідентифікатора або втрати пароля.
Простий і зручний інтерфейс користувача.
Відмінності за алгоритмами шифрування (залежно від потреб, може використовуватися один із вбудованих алгоритмів):
вбудований алгоритм кодування із довжиною ключа 128 біт;
криптографічний алгоритм RC4 з довжиною ключа 40 біт, вбудований у Windows 95, 98 (для неамериканської версії);
криптографічний алгоритм ГОСТ 28147-89 з довжиною ключа 256 біт (програмний емулятор плати "Кріптон" або плата "Кріптон").
Плата «Криптон» сертифікована для захисту державної таємниці, що поставляється за окремим запитом фірмою АНКАД.
Версія DeLuxe – з апаратним захистом від початкового завантаження комп'ютера.
8 Програмно-апаратний комплекс засобів захисту «Акорд-АМДЗ»
СЗІ НСД Акорд-АМДЗ - це апаратний модуль довіреного завантаження (АМДЗ) для IBM-сумісних ПК - серверів та робочих станцій локальної мережі, що забезпечує захист пристроїв та інформаційних ресурсів від несанкціонованого доступу.
Комплекс застосовується для побудови систем захисту інформації від несанкціонованого доступу відповідно до керівних документів ФСТЕК (Держкомісії) Росії «Захист від несанкціонованого доступу до інформації. Частина 1. Програмне забезпечення засобів захисту. Класифікація за рівнем контролю відсутності недекларованих можливостей» - за 3 рівнем контролю, «Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації» за класом захищеності 1Д, та для використання в якості засобу ідентифікації/аутентифікації користувачів, контролю цілісності програмного та апаратного середовища ПЕОМ (РС) при створенні автоматизованих систем, що задовольняють вимогам керівного документа ФСТЕК (Гостехкомісії) Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації» до класу 1Б включно.
Комплекс є сукупністю технічних і програмних засобів, що забезпечують виконання основних функцій захисту від НСД ПЕОМ (PC) на основі:
застосування персональних ідентифікаторів користувачів;
парольного механізму;
блокування завантаження операційної системи зі знімних носіїв інформації;
контролю цілісності технічних засобів та програмних засобів (файлів загального, прикладного ПЗ та даних) ПЕОМ (PC);
забезпечення режиму довіреного завантаження встановлених ПЕОМ (PC) операційних систем.
Програмна частина комплексу, включаючи засоби ідентифікації та аутентифікації, засоби контролю цілісності технічних та програмних засобів ПЕОМ (PC), засоби реєстрації дій користувачів, а також засоби адміністрування (налаштування вбудованого ПЗ) та аудиту (роботи з реєстраційним журналом) розміщується в енергонезалежній пам'яті (ЕНП ) контролера під час виготовлення комплексу. Доступ до засобів адміністрування та аудиту комплексу надається лише адміністратору БІ.
Ідентифікація та аутентифікація користувачів, контроль цілісності технічних та програмних засобів ПЕОМ (PC) виконуються контролером комплексу до завантаження операційної системи, встановленої ПЕОМ (PC). При модифікації системного ПЗ заміна контролера не потрібна. При цьому забезпечується підтримка спеціального режиму програмування контролера без зниження рівня захисту.
Комплекс забезпечує виконання основних функцій захисту від НСД як у складі локальної ПЕОМ, так і на робочих станціях ЛОМ у складі комплексної системи захисту від НСД ЛОМ, у тому числі налаштування, контроль функціонування та управління комплексом.
Основні характеристики:
Захист ресурсів ПЕОМ (PC) від осіб, не допущених до роботи на ній, ідентифікацією користувачів ПЕОМ (PC) персональними ідентифікаторами DS 199х - до завантаження операційної системи (ОС).
Аутентифікація користувачів ПЕОМ (PC) за паролем довжиною до 12 символів, що вводиться з клавіатури (довжину пароля встановлює адміністратор БІ під час реєстрації користувача), із захистом від розкриття пароля - до завантаження операційної системи (ОС).
Блокування завантаження з відчужуваних носіїв.
Контролює цілісність технічних, програмних засобів, умовно-постійної інформації ПЕОМ (PC) до завантаження ОС з реалізацією покрокового алгоритму контролю. Цим забезпечується захист від запровадження руйнівних програмних впливів (РПВ).
Підтримує файлові системи FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX, VMFS. Це, зокрема, ОС сімейств MS DOS, Windows, QNX, OS/2, UNIX, LINUX, BSD, vSphere та ін.
Реєстрація на ПЕОМ (PC) до 16 користувачів.
Реєстрація контрольованих подій у системному журналі, розміщеному в незалежній пам'яті контролера.
Можливість фізичної комутації керуючих сигналів периферійних пристроїв залежно від рівня повноважень користувача, що дозволяє керувати введенням/виводом інформації на фізичні носії, що відчужуються, і пристрої обробки даних.
Адміністрація вбудованого ПЗ комплексу (реєстрація користувачів та персональних ідентифікаторів, призначення файлів контролю цілісності, контроль апаратної частини ПЕОМ (PC), перегляд системного журналу).
Контролює цілісність програм та даних, їх захист від несанкціонованої модифікації.
Реєстрація, збирання, зберігання та видача даних про події, що відбуваються в ПЕОМ (PC) у частині системи захисту від несанкціонованого доступу до ЛОМ.
Розмежування доступу користувачів та програм ПЕОМ (PC) до апаратних пристроїв відповідно до рівня їх повноважень.
Акорд-АМДЗ може бути реалізований на різних контролерах. Це може бути:або PCI-X - контролери Акорд-5МХ або Акорд-5.5 (Рис. 6Б)express - контролери Акорд-5.5.е або Акорд-GX (Рис.6А)
Mini PCI-express - Акорд-GXM (Рис. 6В)PCI-express half card - контролер Акорд-GXMH
9 Апаратно-програмний комплекс IP Safe-PRO
Призначений для побудови захищених віртуальних приватних IP-мереж, які створюються на базі мереж загального користування (в тому числі Інтернет).
Виконаний на базі IBM PC-сумісного комп'ютера з двома Ethernet-інтерфейсами (базова конфігурація) з операційною системою FreeBSD (рис. 7).
Додаткові можливості:
статична маршрутизація та функції міжмережевого екрану (захист від спуфінгу, обробка даних за адресами, портами, протоколами та ін.);
можливість підтримки інтерфейсних стандартів G.703, G.704, V.35, RS-232 та ін;
система "гарячого" резервування;
робота в синхронному та асинхронному режимах.
Технічні характеристики:
Протокол сімейства IPsec - ESP (Encapsulating Security Payload, RFC 2406), що використовується, в тунельному режимі (з наданням наступних послуг безпеки: конфіденційності та цілісності даних, автентифікації джерела даних, приховування топології локальних корпоративних мереж, захисту від аналізу трафіку).
Ключова система - симетрична (з можливістю централізованого та децентралізованого адміністрування).
Криптоалгоритми – ГОСТ 28147, RC5, 3DES, DES, SHA-1, MD5.
10 Апаратно-програмний комплекс шифрування КОНТИНЕНТ 3.6 (Рис.8)
Комплекс забезпечує криптографічний захист інформації (відповідно до ГОСТ 28147-89), що передається відкритими каналами зв'язку, між складовими частинами VPN, якими можуть бути локальні обчислювальні мережі, їх сегменти та окремі комп'ютери.
Сучасна ключова схема, реалізуючи шифрування кожного пакета унікальному ключі, забезпечує гарантований захист від можливості дешифрації перехоплених даних.
Для захисту від проникнення з боку мереж загального користування комплекс «Континент» 3.6 забезпечує фільтрацію пакетів, що приймаються та передаються за різними критеріями (адресами відправника та одержувача, протоколами, номерами портів, додатковими полями пакетів тощо). Здійснює підтримку VoIP, відеоконференцій, ADSL, Dial-Up та супутникових каналів зв'язку, технології NAT/PAT для приховування структури мережі.
Ключові можливості та характеристики АПКШ «Континент» 3.6:
.Криптографічний захист даних, що передаються відповідно до ГОСТ 28147-89
В АПКШ "Континент" 3.6 застосовується сучасна ключова схема, що реалізує шифрування кожного пакета на унікальному ключі. Це забезпечує високий рівень захисту даних від розшифровки у разі їхнього перехоплення.
Шифрування даних здійснюється відповідно до ГОСТ 28147-89 у режимі гамування зі зворотним зв'язком. Захист даних від спотворення здійснюється за ГОСТ 28147-89 як імітовставки. Управління криптографічними ключами ведеться централізовано із ЦУС.
.Міжмережеве екранування – захист внутрішніх сегментів мережі від несанкціонованого доступу
Криптошлюз «Континент» 3.6 забезпечує фільтрацію пакетів, що приймаються та передаються за різними критеріями (адресами відправника та одержувача, протоколами, номерами портів, додатковими полями пакетів тощо). Це дозволяє захистити внутрішні сегменти мережі від проникнення мереж загального користування.
.Безпечний доступ віддалених користувачів до ресурсів VPN-мережі
Спеціальне програмне забезпечення «Континент АП», що входить до складу АПКШ «Континент» 3.6, дозволяє організувати захищений доступ віддалених комп'ютерів до корпоративної VPN-мережі.
.Створення інформаційних підсистем з поділом доступу фізично
В АПКШ «Континент» 3.6 можна підключати 1 зовнішній та 3-9 внутрішніх інтерфейсів на кожному криптошлюзі. Це значно розширює можливості користувача під час налаштування мережі відповідно до корпоративної політики безпеки. Зокрема, наявність декількох внутрішніх інтерфейсів дозволяє розділяти на рівні мережевих карток підмережі відділів організації та встановлювати необхідний ступінь взаємодії між ними.
.Підтримка найпоширеніших каналів зв'язку
Робота через Dial-Up з'єднання, ADSL обладнання, підключене безпосередньо до криптошлюзу, а також через супутникові канали зв'язку.
.«Прозорість» для будь-яких додатків та мережевих сервісів
Криптошлюзи "Континент" 3.6 "прозорі" для будь-яких додатків та мережевих сервісів, що працюють за протоколом TCP/IP, включаючи такі мультимедіа-сервіси, як IP-телефонія та відеоконференції.
.Робота з високопріоритетним трафіком
Реалізований в АПКШ «Континент» 3.6 механізм пріоритезації трафіку дозволяє захищати голосовий (VoIP) трафік та відеоконференції без втрати якості зв'язку.
.Резервування гарантованої лінії пропускання за певними сервісами
Резервування гарантованої лінії пропускання за певними сервісами забезпечує проходження трафіку електронної пошти, систем документообігу тощо. навіть за активного використання IP-телефонії на низкоскоростных каналах зв'язку.
Підтримка VLAN
Підтримка VLAN гарантує просте вбудовування АПКШ у мережну інфраструктуру, розбиту на віртуальні сегменти.
.Приховування внутрішньої мережі. Підтримка технологій NAT/PAT
Підтримка технології NAT/PAT дозволяє приховувати внутрішню структуру сегментів мережі, що захищаються при передачі відкритого трафіку, а також організовувати демілітаризовані зони і сегментувати мережі, що захищаються.
Приховування внутрішньої структури сегментів корпоративної мережі, що захищаються, здійснюється:
методом інкапсуляції пакетів, що передаються (при шифруванні трафіку);
за допомогою технології трансляції мережевих адрес (NAT) під час роботи із загальнодоступними ресурсами.
11. Можливість інтеграції із системами виявлення атак
На кожному криптошлюзі існує можливість спеціально виділити один із інтерфейсів для перевірки трафіку, що проходить через КШ, на наявність спроб неавторизованого доступу (мережевих атак). Для цього необхідно визначити такий інтерфейс як SPAN-порт і підключити до нього комп'ютер із встановленою системою виявлення атак (наприклад, RealSecure). Після цього на інтерфейс починають ретранслюватися всі пакети, що надходять на вхід пакетного фільтра криптошлюза.
3.11 Кейс для транспортування «ТІНЬ К1»
"Тінь К1" призначений для транспортування ноутбуків або окремих накопичувачів на жорстких та магнітних дисках (НЖМД) (стримерних картриджів, ZIP дисків) з можливістю екстреного знищення інформації при спробі НСП (рис. 11).
Конструктивно комплекс монтується в пило-, волого-, вибухозахищений кейс, в якому проводитиметься транспортування ноутбука. Інформація, що захищена, розміщується на додатковому жорсткому диску, який знаходиться в кейсі окремо від ноутбука в спеціальному відсіку і з'єднаний з ним зовнішнім інтерфейсним кабелем.
Екстрене знищення інформації провадиться:
автоматично при спробах несанкціонованого розтину кейсу;
автоматично при спробах несанкціонованого розтину відсіку, де знаходиться жорсткий диск, що охороняється;
автоматично, після закінчення 24 годин автономної роботи;
дистанційно за командою користувача. Процес знищення не впливає на працездатність ноутбука і не залежить від того, чи відбувалася робота;
з інформацією у цей момент чи ні. Можливий варіант виготовлення комплексу для транспортування жорстких дисків, дискет, аудіо-, відео-, стримерних касет.
Комплекс може знаходитись у двох режимах: режим очікування (РО) та режим охорони (Р1).
У режимі РВ відбувається тестування всіх основних вузлів, блоків та датчиків. Здійснюється вільний доступ до ноутбука або магнітних носіїв.
У режимі Р1 автоматично відбувається знищення інформації під час спроби НСД чи користувачем у час по радіоканалу (дальність до 100 метрів). Зняття – постановка в режим охорони здійснюється за допомогою безконтактної електронної Proximity картки.
Комплекс ТІНЬ має автономне джерело живлення, яке забезпечує безперебійну роботу до 24 годин.
Додаткові можливості:
знищення інформації по команді користувача з будь-якого мобільного телефону по GSM каналу;
повний захист корпусу, що виключає некоректне розтин та висвердлювання;
повне протоколювання роботи в реальному часі, що фіксує в незалежній пам'яті останні 96 подій, з докладним описом.
12 Апаратно-програмна система криптографічного захисту повідомлень SX-1
Апаратно-програмна система SX-1 призначена для криптографічного захисту повідомлень, що передаються по каналах зв'язку між ПЕОМ або зберігаються в пам'яті ПЕОМ (рис. 9).
У системі SX-1 вперше у вітчизняній та зарубіжній криптографічній практиці реалізовано хаотичний потоковий шифр.
Система SX-1 забезпечує:
криптографічне перетворення переданих (прийманих) або сформованих текстових та (або) графічних повідомлень, оформлених у вигляді файлів, та запис їх на жорсткий або гнучкий диски;
високу стійкість ключових даних до їх компрометації за будь-яких дій зловмисників та обслуговуючого апаратно-програмний засіб персоналу;
гарантоване виконання заданих функцій щонайменше 2 років без зміни системного ключа.
Система SX-1 включає:
Плату з однокристальної ЕОМ (ОЕОМ), що встановлюється в слот ISA ПЕОМ IBM PC/AT (або розміщена в окремому контейнері розміром 140х110х35 мм) і підключається до ПЕОМ за допомогою роз'єму СОМ;
Спеціальне програмне забезпечення (СПО), що встановлюється в ПЕОМ з Windows.
Основні характеристики системи:
Імовірність вгадування системного ключа з k-ої спроби - не більше, ніж k2-240 .
Імовірність вгадування сеансового ключа з k-ої спроби - не більше ніж k10-10 .
Швидкість криптографічного перетворення - щонайменше 190000 біт/с.
використання для шифрування даних криптостійких алгоритмів шифрування з довжиною ключа від 128 біт;
Можливість підключення сертифікованого ФАПСІ криптографічного модуля "Кріптон" виробництва фірми "Анкад", або плати "Кріптон", що реалізують алгоритм шифрування ГОСТ 28147-89 із довжиною ключа 256 біт;
Формування унікальних ключів шифрування з урахуванням послідовності випадкових чисел.
Для встановлення системи необхідно:
Інсталювати систему SX-1 з гнучкого диска, що входить в комплект, суворо дотримуючись пунктів інструкції, що послідовно відображаються на екрані дисплея ПЕОМ.
Підключити до роз'ємів контейнера з однокристальної ЕОМ провід живлення від адаптера, що входить до комплекту, і кабель, що входить у комплект поставки, призначений для підключення контейнера до ПЕОМ.
Підключити контейнер за допомогою кабелю до гнізда COM.
Підключити адаптер до мережі змінного струму напругою 220 В 50 Гц.
13 Міжмережевий екран та шифратор IP-потоків ПАК "ФПСУ-IP"
Призначений для міжмережевого екранування та криптографічного захисту даних під час створення віртуальних приватних мереж (Virtual Private Network) у мережах загального доступу (рис. 10).
Персональний міжмережевий екран "ФПСУ-IP/Клієнт" має сертифікат ФСТЕК № 1281 по 5 класу захищеності відповідно до РД на міжмережевих екранах, а при здійсненні сеансу зв'язку з базовим міжмережевим екраном "ФПСУ-IP" (сертифікат ФСТЕК № 1010121. .) - по 3 класу захищеності. Як криптоядро використовується сертифікований ФСБ (сертифікат № СФ/124-1906 від "13" серпня 2012 р., за рівнем КС1) засіб криптографічного захисту інформації «Тунель 2.0».
Ця програмно-апаратна система забезпечує безпечний інформаційний обмін між віддаленим абонентським пунктом (робочою станцією) та захищеною комплексом "ФПСУ-IP" мережею через відкриті мережі передачі даних. Комплекс ФПСУ-IP/Клієнт встановлюється на робочій станції віддаленого користувача та виконує функції міжмережевого екрану та VPN-будівельника для інформаційних взаємодій «робочі станції - захищені сервери». Тим самим забезпечується автентифікований та безпечний доступ до серверів, що захищаються комплексом «ФПСУ-IP», за рахунок створення VPN-з'єднання між робочою станцією та центральним комплексом «ФПСУ-IP». Адміністративне управління, контроль та аудит усіх VPN-з'єднань здійснюється централізовано з використанням АРМ «Віддаленого управління», при цьому може одночасно використовуватися до 4-х АРМ, наділених відповідними повноваженнями, що зумовлює високу стійкість та надійність управління з можливістю здійснення перехресного аудиту управління.
МЕ «ФПСУ-IP/Клієнт» складається з програмного забезпечення користувача, а також з активного USB-пристрою «VPN-key» (Рис. 11), що зберігає унікальний ідентифікатор клієнта, ключову та службову інформацію і є, по суті, віртуальною мікро- ЕОМ із відповідною архітектурою.
За рахунок стиснення інформації комплекс забезпечує помітне підвищення швидкості передачі даних, що має можливість одночасної підтримки до 1024 криптографічно захищених з'єднань при швидкості шифрування сумарного IP-потоку "на проході" до 90 Мбіт/с. У комплексі використовуються лише власні реалізації всіх протокольних стеків TCP/IP, алгоритмів автоматизованого управління комплексами та закладеними в них засобами криптозахисту.
"ФПСУ-IP/Клієнт" функціонує під керуванням операційних систем сімейства Windows XP/Vista/7/Server 2003/Server 2008, Linux, MacOS. Для здійснення захищеної взаємодії на робочій станції (РС) необхідно попередньо інсталювати ПЗ користувача «ФПСУ-IP/Клієнт», вставити «VPN-key» в USB-порт РС та за «запитом» (після підключення «VPN-key») здійснити введення відповідного PIN-коду.
Після цього комплекси «ФПСУ-IP/Клієнт» та «ФПСУ-IP» (що містить відповідну підсистему обслуговування комплексів ФПСУ-IP/Клієнт) встановлюють захищене з'єднання та виконують автентифікацію та авторизацію користувача. Аутентифікація відбувається при створенні VPN-тунелю між ФПСУ-IP/Клієнт і комплексом ФПСУ-IP. Після аутентифікації комплексом ФПСУ-IP виконується авторизація клієнта. Крім того, забезпечується трансляція реальної IP-адреси клієнта в IP-адресу мережі, що захищається.
На другому етапі комплексами «ФПСУ-IP/Клієнт» та «ФПСУ-IP» виконується фільтрація та передача даних у зашифрованому вигляді за VPN-каналом від клієнта до комплексу ФПСУ-IP. Додатково можна здійснювати прохідний стиск даних, що суттєво зменшує обсяг інформації, що передається, і підвищує швидкість взаємодії.
Розрив з'єднання відбувається або на запит користувача, або при видаленні «VPN-key» з USB-порту.
Особливістю технології ФПСУ-IP/Клієнт є можливість роботи користувача з довільного розташування РС в мережі, тобто. не потрібна прив'язка до певної IP-адреси і при цьому забезпечується строга двостороння автентифікація всіх взаємодій РС і ФПСУ-ІР. Ідентифікація користувача здійснюється за чотиризначним цифровим PIN-кодом користувача, кількість спроб введення якого обмежена (з подальшим переходом на необхідність використання 10-ти значного PUK-коду). Авторизація та аутентифікація користувачів забезпечується засобами комплексу ФПСУ-IP.
Система віддаленого адміністрування та моніторингу комплексів ФПСУ-IP та ФПСУ-IP/Клієнт забезпечує повне управління та спостереження за мережею, що захищається. Можливості системи аудиту дозволяють виконувати роздільний підрахунок обсягів даних, що передаються між конкретними РС і комплексами ФПСУ-IP, що дозволяє організувати чіткий контроль за роботою абонентів.
Комплекс ФПСУ-IP/Клієнт є абсолютно прозорим для всіх стандартних Інтернет протоколів і може використовуватися спільно з будь-яким програмним забезпеченням, що забезпечує доступ до ресурсів ІС.
Для забезпечення більшої захищеності є можливість адміністративно (віддалено чи локально) обмежувати доступ користувачам ФПСУ-IP/Клієнт до відкритих сегментів мережі при роботі з ресурсами, що захищаються, аж до повної заборони.
Перерахуємо основні характеристики:
Продуктивність - забезпечується швидкість передачі IP-потоків від 65
Мбіт/с та вище при включенні всіх режимів захисту (фільтрація+стиснення+шифрування).
Алгоритм шифрування - ГОСТ 28147-89
Ключова система/централізоване розподілення ключів - симетрична/централізоване.
ОС/стек протоколів - 32 розрядна DOS-подібна/власний.
Оброблювані рівні ЕМВОС - мережевий + транспортний, сеансовий та прикладний (вибірково).
Тип та кількість інтерфейсів - 2; 10/100Ethernet, FDDI.
VPN-протокол/надмірність/стиснення даних - власний/не більше 22 байт на пакет/за рахунок прохідного стиснення даних досягається ефект прискорення інформаційних взаємодій.
Підтримка служб QoS – організація до 8 незалежних VPN-тунелів у рамках попарних з'єднань із встановленням пріоритетів потоків інформації.
Управління та моніторинг комплексів - локальне та віддалене, механізмами "відкату" збоїв. До 1024 комплексів однією АРМ. Забезпечується наочне (графічне) відображення стану роботи мереж, сигналізація позаштатних подій, тотальний аудит інформаційних та управлінських взаємодій.
Протокол віддаленого управління комплексами - власний тунельний протокол із суворою двосторонньою автентифікацією згідно з Х.509.
Власна безпека – повний аудит подій та дій персоналу, розмежування доступу за допомогою iButton та USB-Key. Використання спеціальних процедур маршрутизації та підтримки VPN-тунелів із застосуванням адаптивного керування потоками даних з метою підвищення стійкості (живучості) систем.
Ефективне протистояння активним та пасивним інформаційним впливам розвідувального характеру - приховування реальної топології VPN, NAT, приховування фактів застосування комплексів, проксування протоколів SMNP/SMNP-Trap, Telnet, TFTP, HTTP управління прикордонними маршрутизаторами, коректна емуляція відсутності використовуваних.
Можливість каскадного включення комплексів – забезпечує виділення окремих сегментів мереж до ізольованих зон підвищеної захищеності.
Віддалений клієнт (програмне забезпечення для зустрічної роботи з ФПСУ-IP + USB-Key) - для Windows 98, NT, 2000.
інформація шифрування технічний програмний
3.14 засіб криптографічного захисту інформації КриптоПро CSP
Криптопровайдер КриптоПро CSP призначений для:
авторизації та забезпечення юридичної значущості електронних документів при обміні ними між користувачами, за допомогою використання процедур формування та перевірки електронного цифрового підпису (ЕЦП) відповідно до вітчизняних стандартів ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001;
забезпечення конфіденційності та контролю цілісності інформації за допомогою її шифрування та імітозахисту, відповідно до ГОСТ 28147-89; забезпечення автентичності, конфіденційності та імітозахисту TLS;
контролю цілісності, системного та прикладного програмного забезпечення для його захисту від несанкціонованої зміни або від порушення правильності функціонування;
управління ключовими елементами системи відповідно до регламенту засобів захисту.
особливості:
Вбудована підтримка Winlogon
До складу КриптоПро CSP 3.6 входить Revocation Provider, що працює через OCSP-відповіді
Реалізована підтримка для платформи x64 Забезпечено реалізацію протоколу EAP/TLS Розширено зовнішній інтерфейс СКЗІ для забезпечення роботи з функціональним ключовим носієм (ФКН), узгодження ключів для використання в реалізаціях протоколу IPSec, роботи з іншими додатками
Виключено можливість використання стандарту ГОСТ Р 34.10-94
Реалізовані алгоритми:
Алгоритм вироблення значення хеш-функції реалізовано відповідно до вимог ГОСТ Р 34.11 94 "Інформаційна технологія. Криптографічний захист інформації. Функція хешування".
Алгоритми формування та перевірки ЕЦП реалізовані відповідно до вимог:
ГОСТ Р 34.10 94 "Інформаційна технологія. Криптографічний захист інформації. Система електронного цифрового підпису на базі асиметричного криптографічного алгоритму";
ГОСТ Р 34.10 94 та ГОСТ Р 34.10-2001 "Інформаційна технологія. Криптографічний захист інформації. Процеси формування та перевірки електронного цифрового підпису".
Алгоритм зашифрування/розшифрування даних та обчислення імітівставки реалізовані відповідно до вимог ГОСТ 28147 89 "Системи обробки інформації. Захист криптографічний". При генерації закритих та відкритих ключів забезпечена можливість генерації з різними параметрами відповідно до ГОСТ Р 34.10-94 та ГОСТ Р 34.10-2001. При виробленні значення хеш-функції та шифруванні забезпечено можливість використання різних вузлів заміни відповідно до ГОСТ Р 34.11-94 та ГОСТ 28147-89.
Висновок
Ми розглянули та проаналізували потенційні загрози, можливі канали НСД, методи та засоби захисту інформації та їх апаратно-програмні рішення на прикладі автоматизованих систем обробки даних. Природно, зазначені засоби захисту та АПК який завжди надійні, т.к. нині швидкими темпами розвивається як техніка (у разі комп'ютерна), постійно вдосконалюється як сама інформація, а й методи, дозволяють цю інформацію добувати. Наше століття часто називають інформаційною епохою і він несе із собою величезні можливості, пов'язані з економічним зростанням, технологічними нововведеннями. На даний момент володіння електронними даними, які стають найбільшою цінністю інформаційної ери, покладає на своїх власників права та обов'язки щодо контролю за їх використанням. Файли та повідомлення, що зберігаються на дисках і пересилаються каналами зв'язку, мають іноді більшу цінність, ніж самі комп'ютери, диски. Тому перспективи інформаційного століття можуть бути реалізовані тільки в тому випадку, якщо окремі особи, підприємства та інші підрозділи, які володіють інформацією, яка все частіше має конфіденційний характер або є особливо важливою, зможуть відповідним чином захистити свою власність від усіляких загроз, вибрати такий рівень захисту, який буде відповідати їх вимогам безпеки, заснованим на аналізі ступеня загрози та цінності власності, що зберігається.
Список літератури
1.Зайцев А.П., Голуб'ятников І.В., Мещеряков Р.В., Шелупанов А.А. Програмно-апаратні засоби забезпечення інформаційної безпеки: Навчальний посібник. Видання 2-е испр. та дод. – К.: Машинобудування-1, 2006. – 260 с.
2.Вайнштейн Ю.В., Дьомін С.Л., Кірко І.М. та ін. Навчальний посібник з дисциплін "Основи інформаційної безпеки", "Інформаційна безпека та захист інформації". – Красноярськ, 2007. – 303 с.
Варлата С.К., Шаханова М.В. Апаратно-програмні засоби та методи захисту інформації: Навчальний посібник. – Владивосток: Вид-во ДВДТУ, 2007. – 318 с.
http://www.accord.ru/amdz.html
http://signal-com.ru/ru/prod/tele/ipsafe/
http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip
http://www.cryptopro.ru/products/csp/overview
http://www.securitycode.ru/products/pak_sobol/abilities/
http://www.securitycode.ru/products/secret_net/
http://www.aladdin-rd.ru/catalog/secret_disk/server/
11. Додаток 1 до Положення про систему сертифікації засобів захисту інформації з вимог безпеки для відомостей, що становлять державну таємницю (система сертифікації СЗІ-ГТ), затвердженого наказом ФСБ РФ від 13 листопада 1999 р. № 564 «Про затвердження положень про систему сертифікації засобів захисту інформації щодо вимог безпеки для відомостей, що становлять державну таємницю, та про її знаки відповідності»
Репетиторство
Потрібна допомога з вивчення якоїсь теми?
Наші фахівці проконсультують або нададуть репетиторські послуги з цікавої для вас тематики.
Надішліть заявкуіз зазначенням теми прямо зараз, щоб дізнатися про можливість отримання консультації.
Несанкціонований доступ (НД) - це навмисне протиправне оволодіння конфіденційною інформацією особою, яка не має права доступу до відомостей, що охороняються. Найбільш поширеними шляхами НД до інформації є:
- застосування підслуховуючих пристроїв;
- дистанційне фотографування;
- розкрадання носіїв інформації та документальних відходів;
- читання залишкової інформації у пам'яті системи після виконання санкціонованих запитів;
- незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ до інформації;
- зловмисне виведення з ладу механізмів захисту;
- копіювання носіїв інформації з подолання заходів захисту;
- маскування під зареєстрованого користувача;
- розшифрування зашифрованої інформації;
- інформаційні інфекції та ін.
Деякі з перерахованих способів НД вимагають досить великих технічних знань та відповідних апаратних чи програмних розробок, інші – досить примітивні. Незалежно від шляхів витоку інформації може призвести до значних збитків для організації та користувачів.
Більшість з перерахованих технічних шляхів НД піддаються надійному блокуванню за правильно розробленої та реалізованої на практиці системи забезпечення безпеки. Однак найчастіше шкода завдається не через «злий намір», а через елементарні помилки користувачів, які випадково псують або видаляють життєво важливі дані.
Незважаючи на суттєву відмінність розмірів завданих матеріальних збитків, не можна не відзначити, що проблема захисту інформації актуальна не тільки для юридичних осіб. З нею може зіткнутися будь-який користувач як на роботі, так і вдома. У зв'язку з цим усім користувачам необхідно усвідомлювати міру відповідальності та дотримуватися елементарних правил обробки, передачі та використання інформації.
До захисних механізмів, спрямованих на вирішення проблеми НД до інформації, належать:
- управління доступом – методи захисту інформації регулюванням використання всіх ресурсів інформаційної системи;
- реєстрація та облік - ведення журналів та статистики звернень до захищених ресурсів;
- використання різних механізмів шифрування (криптографічне закриття інформації) – ці методи захисту широко застосовуються при обробці та зберіганні інформації на магнітних носіях, а також її передачі каналами зв'язку великої протяжності;
- законодавчі заходи - визначаються законодавчими актами країни, якими регламентуються правила користування, обробки та передачі інформації обмеженого доступу та встановлюються заходи відповідальності за порушення цих правил;
- фізичні заходи - включають різні інженерні пристрої та споруди, що перешкоджають фізичному
проникненню зловмисників на об'єкти захисту та здійснюють захист персоналу, матеріальних засобів, інформації від протиправних дій.
Управління доступом
Можна виділити три узагальнені механізми керування доступом до даних: ідентифікація користувача, безпосередній (фізичний) захист даних та підтримка прав доступу користувача до даних із можливістю їх передачі.
Ідентифікація користувачів визначає шкалу доступу до різних баз даних або частин баз даних (відносин або атрибутів). Це по суті інформаційний табель про ранги. Фізичний захист даних більше відноситься до організаційних заходів, хоча окремі питання можуть стосуватися безпосередньо даних, наприклад, їх кодування. І, нарешті, засоби підтримки та передачі прав доступу повинні суворо задавати характер диференційованого спілкування з даними.
Метод захисту за допомогою паролів. Відповідно до цього методу, що реалізується програмними засобами, процедура спілкування користувача з ПК побудована так, що забороняється доступ до операційної системи або певних файлів доти, доки не буде введено пароль. Пароль тримається користувачем у таємниці і періодично змінюється, щоб запобігти несанкціонованому його використанню.
Метод паролів є найпростішим і найдешевшим, проте не забезпечує надійного захисту. Не секрет, що пароль можна підглянути або підібрати, використовуючи метод спроб і помилок або спеціальні програми, і отримати доступ до даних. Більш того, основна вразливість методу паролів полягає в тому, що користувачі часто вибирають дуже прості та легкі для запам'ятовування (і тим самим для розгадування) паролі, які не змінюються тривалий час, а нерідко залишаються незмінними і при зміні користувача. Незважаючи на зазначені недоліки, застосування методу паролів у багатьох випадках слід вважати раціональним навіть за наявності інших апаратних та програмних методів захисту. Зазвичай метод програмних паролів поєднується з іншими програмними методами, що визначають обмеження щодо видів та об'єктів доступу.
Проблема захисту інформації від несанкціонованого доступу особливо загострилася з поширенням локальних і, особливо, глобальних комп'ютерних мереж. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту в комп'ютерних мережах є розмежування повноважень користувачів.
У комп'ютерних мережах при організації контролю доступу та розмежування повноважень користувачів найчастіше використовуються вбудовані засоби мережевих операційних систем (ОС). Використання захищених операційних систем одна із найважливіших умов побудови сучасних інформаційних систем. Наприклад, ОС UNIX дозволяє власнику файлів надавати права іншим користувачам - лише читати чи записувати, кожного зі своїх файлів. Найбільшого поширення нашій країні отримує ОС Windows NT, де з'являється дедалі більше можливостей для побудови мережі, дійсно захищеної від НД до інформації. ОС NetWare крім стандартних засобів обмеження доступу, таких як система паролів та розмежування повноважень, має ряд нових можливостей, що забезпечують перший клас захисту даних, передбачає можливість кодування даних за принципом «відкритого ключа» (алгоритм RSA) з формуванням електронного підпису для пакетів, що передаються по мережі. .
Водночас у такій системі організації захисту все одно залишається слабке місце: рівень доступу та можливість входу до системи визначаються паролем. Для унеможливлення неавторизованого входу в комп'ютерну мережу останнім часом використовується комбінований підхід - пароль + ідентифікація користувача по персональному «ключу». Як «ключ» може використовуватися пластикова карта (магнітна або з вбудованою мікросхемою - smart-card) або різні пристрої для ідентифікації особи за біометричною інформацією - за райдужною оболонкою ока або відбитками пальців, розмірами кисті руки і т.д.
Пластикові картки з магнітною смугою можна легко підробити. Вищий ступінь надійності забезпечують смарт-картки - звані мікропроцесорні картки (МП-кар-точки). Їх надійність обумовлена насамперед неможливістю копіювання чи підробки кустарним способом. Крім того, при виробництві карток до кожної мікросхеми заноситься унікальний код, який неможливо продублювати. При видачі картки користувачеві на неї наноситься один або кілька паролів, відомих лише її власнику. Для деяких видів МП-карток спроба несанкціонованого використання закінчується автоматичним «закриттям». Щоб відновити працездатність такої картки, її необхідно пред'явити до відповідної інстанції. Крім того, технологія МП-карто-чек забезпечує шифрування записаних на ній даних відповідно до стандарту DES. Установка спеціального пристрою зчитування МП - карток можлива не тільки на вході в приміщення, де розташовані комп'ютери, але і безпосередньо на робочих станціях і серверах мережі.
Цей підхід значно надійніший за застосування паролів, оскільки, якщо пароль підглянули, користувач про це може не знати, якщо ж зникла картка, можна вжити заходів негайно.
Смарт-картки керування доступом дозволяють реалізувати, зокрема, такі функції, як контроль входу, доступ до пристроїв персонального комп'ютера, доступ до програм, файлів та команд. Крім того, можливе також здійснення контрольних функцій, зокрема реєстрація спроб порушення доступу до ресурсів, використання заборонених утиліт, програм, команд DOS.
У міру розширення діяльності підприємств, зростання чисельності персоналу та появи нових філій виникає необхідність доступу віддалених користувачів (або груп користувачів) до обчислювальних та інформаційних ресурсів головного офісу компанії. Найчастіше для організації віддаленого доступу використовуються кабельні лінії (звичайні телефонні або виділені) та радіоканали. У зв'язку з цим захист інформації, що передається каналами віддаленого доступу, потребує особливого підходу.
Зокрема, у мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів - їх поділ та передача паралельно двома лініями, - що унеможливлює «перехоплення» даних при незаконному підключенні «хакера» до однієї з ліній. До того ж процедура стиснення переданих пакетів, що використовується при передачі даних, гарантує неможливість розшифровки «перехоплених» даних. Крім того, мости та маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддалені користувачі будуть обмежені доступом до окремих ресурсів мережі головного терміналу.
Метод автоматичного зворотного виклику може забезпечувати надійніший захист системи від несанкціонованого доступу, ніж прості паролі. У даному випадку користувачеві немає необхідності запам'ятовувати паролі та стежити за дотриманням їхньої секретності. Ідея системи із зворотним викликом досить проста. Віддалені від центральної бази користувачі не можуть безпосередньо з нею поводитися. Спочатку вони отримують доступ до спеціальної програми, яку повідомляють відповідні ідентифікаційні коди. Після цього розривається зв'язок та проводиться перевірка ідентифікаційних кодів. Якщо код, надісланий каналом зв'язку, правильний, то здійснюється зворотний виклик користувача з одночасною фіксацією дати, часу та номера телефону. До недоліку методу слід віднести низьку швидкість обміну - середній час затримки може обчислюватися десятками секунд.
Метод шифрування даних
У перекладі з грецької мови слово криптографія означає тайнопис. Це один із найефективніших методів захисту. Він може бути особливо корисним для ускладнення процедури несанкціонованого доступу, навіть якщо звичайні засоби захисту вдалося уникнути. На відміну від розглянутих вище методів криптографія не ховає повідомлення, що передаються, а перетворює їх у форму, недоступну для розуміння особами, які не мають прав доступу до них, забезпечує цілісність і справжність інформації в процесі інформаційної взаємодії.
Готова до передачі інформація зашифровується за допомогою деякого алгоритму шифрування та ключа шифрування. У цих дій вона перетворюється на шифрограму, т. е. закритий текст чи графічне зображення, й у вигляді передається каналом зв'язку. Отримані зашифровані вихідні дані не може зрозуміти ніхто, крім власника ключа.
Під шифром зазвичай розуміється сімейство оборотних перетворень, кожне з яких визначається деяким параметром, що називається ключем, а також порядком застосування цього перетворення, що називається режимом шифрування. Зазвичай ключ являє собою деяку буквену чи числову послідовність.
Кожне перетворення однозначно визначається ключем та описується деяким алгоритмом шифрування. Наприклад, алгоритм шифрування може передбачити заміну кожної літери алфавіту числом, а ключем у своїй може бути порядок номерів літер цього алфавіту. Щоб обмін зашифрованими даними проходив успішно, відправнику та одержувачу необхідно знати правильний ключ та зберігати його в таємниці.
Один і той же алгоритм може застосовуватись для шифрування в різних режимах. Кожен режим шифрування має свої переваги, і недоліки. Тому вибір режиму залежить від конкретної ситуації. При розшифровуванні використовується криптографічний алгоритм, який може відрізнятися від алгоритму, застосовуваного для шифрування, отже, можуть відрізнятися і відповідні ключі. Пару алгоритмів шифрування і розшифрування називають криптосистемою (шифросистемою), а пристрої, що реалізують, - шифротехнікою.
Розрізняють симетричні та асиметричні криптосистеми. У симетричних криптосистемах для шифрування та розшифрування використовується однаковий закритий ключ. В асиметричних криптосистемах ключі для шифрування та розшифрування різні, причому один із них закритий, а інший відкритий (загальнодоступний).
Існує досить багато різних алгоритмів криптографічного захисту інформації, наприклад DES, RSA, ГОСТ 28147-89 та ін. т. д.).
Шифрування даних традиційно використовувалося урядовими та оборонними департаментами, але у зв'язку зі зміною потреб і деякі найбільш солідні компанії починають використовувати можливості шифрування для забезпечення конфіденційності інформації. Фінансові служби компаній (насамперед у США) представляють важливу і велику користувальницьку базу, і часто специфічні вимоги пред'являються до алгоритму, що використовується в процесі шиф-
вання. Стандарт шифрування даних DES (Data Encryption Standart) розробили фірмою IBM на початку 1970-х гг. і зараз є урядовим стандартом для шифрування цифрової інформації. Він рекомендований Асоціацією американських банкірів. Складний алгоритм DES використовує ключ довжиною 56 бітів та 8 бітів перевірки на парність і вимагає від зловмисника перебору 72 квадрильйонів можливих ключових комбінацій, забезпечуючи високий рівень захисту при невеликих витратах. При частій зміні ключів алгоритм задовільно вирішує проблему перетворення конфіденційної інформації на недоступну. У той же час ринок комерційних систем не завжди вимагає такого суворого захисту, як урядові чи оборонні відомства, тому можливе застосування продуктів та іншого типу, наприклад PGP (Pretty Good Privacy). Шифрування даних може здійснюватись у режимах On-line (у темпі надходження інформації) та Off-line (автономному).
Алгоритм RSA був винайдений Р.Л. Райвестом, А. Шамиром і Л. Альдеманом в 1978 р. і є значним кроком у криптографії. Цей алгоритм також був прийнятий як стандарт Національного бюро стандартів.
DES технічно є симетричним алгоритмом, а RSA – асиметричним – це система колективного користування, в якій кожен користувач має два ключі, причому лише один секретний. Відкритий ключ використовується для шифрування повідомлення користувачем, але певний одержувач може розшифрувати його своїм секретним ключем; відкритий ключ для цього марний. Це робить непотрібними секретні угоди щодо передачі ключів між кореспондентами. DES визначає довжину даних та ключа в бітах, a RSA може бути реалізований за будь-якої довжини ключа. Чим довший ключ, тим вищий рівень безпеки (але стає тривалішим і процес шифрування та дешифрування). Якщо ключі DES можна згенерувати за мікросекунди, то зразковий час генерації ключа RSA - десятки секунд. Тому відкриті ключі RSA віддають перевагу розробникам програмних засобів, а секретні ключі DES - розробники апаратури.
У разі обміну електронною документацією може виникнути ситуація відмови однієї зі сторін від своїх зобов'язань (відмова від авторства), а також фальсифікація повідомлень, отриманих від відправника (приписування авторства). Основним механізмом вирішення цієї проблеми стає створення аналога рукописного підпису – електронний цифровий підпис (ЦП). До ЦП пред'являють дві основні вимоги: висока складність фальсифікації та легкість перевірки.
Для створення ЦП можна використовувати як симетричні, і асиметричні шифросистеми. У першому випадку підписом може бути саме зашифроване на секретному ключі повідомлення. Але після кожної перевірки секретний ключ стає відомим. Для виходу з цієї ситуації необхідне запровадження третьої сторони - посередника, якому довіряють будь-які сторони, що здійснює перешифрування повідомлень із ключа одного з абонентів на ключ іншого.
Асиметричні шифросистеми мають всі властивості, необхідні ЦП. Вони можливі два підходи до побудови ЦП.
- 1. Перетворення повідомлення у форму, за якою можна відновити саме повідомлення і тим самим перевірити правильність самого підпису.
- 2. Підпис обчислюється та передається разом із вихідним повідомленням.
Таким чином, для різних шифрів завдання дешифрування – розшифровування повідомлення, якщо ключ невідомий, має різну складність. Рівень складності цього завдання і визначає головну властивість шифру - здатність протистояти спробам противника заволодіти інформацією, що захищається. У зв'язку з цим говорять про криптографічну стійкість шифру, розрізняючи стійкіші і менш стійкі шифри. Характеристики найпопулярніших методів шифрування наведені в табл. 10.1.
Таблиця 10.1.Характеристики найпоширеніших методів шифрування
Інструкція
Найбільш надійне вирішення цієї проблеми - використання апаратних засобів захисту, роботу до завантаження операційної системи. Такі засоби захисту називаються "електронними замками". На підготовчому етапі використання виконайте встановлення та налаштування замка. Зазвичай налаштування виконується з безпеки.
По-перше, створіть список користувачів, яким дозволено доступ до комп'ютера. Для кожного користувача сформуйте ключовий носій. Це можуть бути дискета, картка або таблетка. Список зберігається в пам'яті електронного замка. Далі сформуйте список файлів, які підлягають захисту: модулі програм, що виконуються, системний бібліотеки операційної системи, шаблони документів Microsoft Word тощо.
Після встановлення в штатному режимі замок запитає у користувача носій із ключем. Якщо користувач входить до списку, проходить успішно і відбувається запуск операційної системи. При роботі замок отримує керування від BIOS ПК, проте BIOS деяких сучасних комп'ютерах може бути налаштований так, що керування замком не передається. Якщо у вас виникла така проблема, перевірте, щоб ваш замок міг блокувати завантаження комп'ютера (замикання контактів Reset, наприклад).
Також існує можливість того, що хакер може просто витягнути замок. Щоб захиститися, використовуйте такі заходи протидії:
Пломбування корпусу, забезпечення відсутності доступудо системного блоку
Існує комплексний засіб захисту, коли замок конструктивно поєднаний із апаратним шифратором.
також існують здатні блокувати корпус ПК зсередини.
Джерела:
- захист комп'ютера від несанкціонованого доступу
Інструкція
При виборі антивіруса слід керуватися власним досвідом. Якщо його немає, то це чудовий випадок для його набору. Різні думки та форуми та блоги можуть тільки заплутати вас. Пам'ятайте скільки людей, стільки думок. Кожен має свою окрему ситуацію, в якій один антивірус може впоратися, а інший ні. Найбільш поширеними антивірусними програмами є NOD 32, Антивірус Касперського, AVAST, Dr. Web. При покупці та встановленні програми не забувайте її активувати.
Якщо у вас є локальна мережа, то без фаєрвола не обійтися. Ця програма призначена для блокування вторгнення на ваш комп'ютер за допомогою віддаленого доступу. Сучасні шахраї використовують і програми для віддаленого доступу, з метою отримання конфіденційних даних вашого комп'ютераабо навіть контролю над ним, тому необхідно мати захисний фаєрвол. На сьогоднішній день на ринку послуг надано величезну кількість програмного забезпечення, яке виконує ці функції. Найбільш популярною маркою є Outpost Firewall.
Також бажано мати додатковий набір інструментів боротьби з вірусами та троянами. Встановіть два або три віруси та хробаки. Вони можуть помічати ті програми зі шкідливим , які бачать антивіруси. Використовуйте елементарні правила безпеки. Не завантажуйте файли з підозрілих сайтів, не переходьте за запропонованими посиланнями.
Відео на тему
Якщо ви до сьогоднішнього дня вважали, що робота за комп'ютером, оснащеним усіма системами безпеки може врятувати вас від магнітного випромінювання, ви глибоко помиляєтеся. Ця проблема виникла вже давно, і вона не може вирішитися сама собою, тому варто задуматися про своє здоров'я, адже кактуси перед монітором не є панацеєю.
Вам знадобиться
- Методи захисту від електромагнітного випромінювання.
Інструкція
Уявіть себе, який повністю забитий працюючими. Може ви коли-небудь чули, що магнітне випромінювання, яке походить від комп'ютерів, повністю розчиняється у повітрі лише через 26 годин його використання. Коли помічали, що при вході в робітник вам може не сподобатися запах повітря? Це свідчить про вплив електромагнітних випромінювань.
Відстань між комп'ютерамимає бути близько 2 метрів. Очі можуть пересихати, і я погано освітлена поєднання поганого освітлення з яскравим монітором негативно на зір. Тому необхідно боротися із ворогом №1 офісного робітника – монітором.
Кожні 1,5 – 2 години робіть невеликі перерви. Якщо дозволяє положення, ідеальним варіантом будуть перерви через кожні півгодини. У цю перерву вам необхідно відволіктися, подивитися в найдальшу точку. Щоб розслабити очі. За комп'ютером, ми спостерігаємо майже в одну точку. Це напружує м'язи ока.
Зменшення контрастності монітора позбавить вас зайвої напруги очей. А правильне положення спини під час роботи позбавить, пов'язаних з хребтом. Щоденна розминка для хребта дозволяє позбавитися десятирічного лікування в старості.
Джерела:
- Як правильно захистити свій комп'ютер від вірусів та шпигунських
Якщо за одним комп'ютером працює декілька користувачів, часто виникає проблема захисту файліввід випадкового чи навмисного видалення. Існує кілька способів вирішення цього завдання.
Вам знадобиться
- FolderGuardPro
Інструкція
Найбільш простий спосіб це регулярно зберігати архівну копію на якомусь зовнішньому носії, але, на жаль, не завжди існує така можливість. Для того, щоб захистити файли від випадкового видалення, достатньо встановити атрибут “Тільки читання”. Для цього натисніть на папку з файлами лівою кнопкою і в контекстному меню, що відкрилося, поставте галочку навпроти напису ”Тільки читання”. Тиснемо ОК і у вікні відзначаємо пункт “Застосувати до всіх вкладених файлів та ”. Після цього, якщо ви випадково спробуєте, система виводитиме вікно запиту підтвердження видаленнякожного файлу з цієї папки.
У випадку, коли ви побоюєтеся, що ваші файли будь-хто може навмисно видалити, можна скористатися програмою FolderGuardPro. Після встановлення програми запуститься майстер швидкого налаштування, в якому вас попросять ввести назву файлу для зберігання інформації про захист, після того як ви введете назву в наступному вікні, вкажіть розташування папки, вміст якої потрібно захистити. У наступному вікні вкажіть доступ до цієї папки. Далі підтвердьте захист, позначивши відповідний пункт у діалоговому вікні. Якщо ви хочете, щоб папки активувались щоразу під час запуску операційної системи, виділіть у новому вікні пункт із написом ”Включати автоматично під час завантаження Windows”. Після цього тиснемо кнопку "Готово" і бачимо у вікні програми захищену папку, яка тепер позначена червоним кружком.
Аналогічно ми можемо задавати права доступу для всіх папок, що знаходяться, при цьому можна зробити їх для інших користувачів, доступними тільки для читання, без можливості зміни або видаленняїх вмісту, а також встановити пароль для кожної з них. Для цього лівою кнопкою натискаємо на папку і в контекстному меню вибираємо потрібну дію.
Напевно кожен із користувачів комп'ютерахотів би захистити особисту інформацію та не допустити до неї інших небажаних гостей. Адже серед його особистих даних можуть бути паролі, різні ключі до різних сервісів та будь-яка інша важлива інформація, якою можуть скористатися інші люди для своїх цілей. Тому так важливо захистити особисті файли надійним. паролем. Краще приділити трохи часу і тоді ви будете впевнені в безпеці особистих файлів.
Інструкція
Натисніть лівою клавішею мишки за кнопкою «Пуск», виберіть «Панель управління», а в ній – компонент «Облікові записи та користувачі». Якщо у вас більше одного облікового запису, виберіть саме ваш. Виберіть «Створення пароля» зі списку можливих дій.
З'являться три вікна. У першому потрібно ввести бажаний пароль. Дуже важливо створити щонайменше десятьма символами. Бажано, щоб він включав символи кирилиці і , великі і . Такі набагато надійніші, їх дуже складно і тим більше випадково вгадати.
Після того як ви ввели бажаний пароль у , повторіть його введення у другому рядку. Паролі мають повністю збігатися. У третьому, нижньому рядку, потрібно ввести підказку . Вона може знадобитися, якщо ви забудете особистий пароль. Наприклад, в якості пароля виберіть назву улюбленої . У рядку "Підказка" потрібно ввести те, що нагадає вам про тему пароля. Коли всі рядки будуть заповнені, знизу вікна натисніть "Створити пароль". Тепер ваш обліковий запис захищений паролем.
Якщо ви встановили пароль на свій робочий комп'ютер і вам часто потрібно залишати своє робоче місце, не обов'язково щоразу вимикати комп'ютер. Можна його заблокувати. Для цього натисніть клавіші Win + L. Тепер можете залишати комп'ютер, знаючи, що ваші дані захищені. Для розблокування просто введіть створений пароль.
Також ви можете встановити пароль заставки. Клацніть правою кнопкою мишки по порожньому просторі робочого столу. У меню, що відкрилося, клацніть «Властивості», потім - «Заставка». Виберіть заставку та інтервал часу, через який вона спрацьовуватиме. Для додаткової безпеки у рядку "Інтервал часу" рекомендується ввести не більше 3 хвилин. Навпроти рядка "Заставка" позначте "Захист паролем". Тепер якщо ви забудете заблокувати комп'ютер після вашого відходу, автоматично з'явиться заставка, і зайти в систему можна буде лише через введення пароля для вашого облікового запису.
Відео на тему
Джерела:
- як захистити свій комп'ютер у 2018
У світі необхідність захисту особистих і конфіденційних даних усвідомлює, мабуть, кожен користувач персонального комп'ютера. Не всі захищають свої дані, а ті, хто робить це, застосовують найрізноманітніші засоби - від простого архівування фалів з паролем до надійного зберігання їх на віртуальних шифрованих дисках TrueCrypt. Тим часом у Windows захистити папкуз файламиможна за допомогою вбудованих засобів операційної системи.
Вам знадобиться
- - активний обліковий запис у Windows;
- - Доступний для запису розділ жорсткого диска, відформатований у файловій системі NTFS.
Інструкція
Відкрийте вікно запуску Windows. Клацніть на кнопці «Пуск», розташованій на панелі завдань. У меню, що з'явилося, клацніть на пункті «Виконати».
Запустіть провідник Windows. У вікні "Запуск програми" у полі "Відкрити" введіть рядок "explorer.exe". Натисніть "OK".
У провіднику перейдіть до папки, яку потрібно захистити. Для цього розгорніть розділ "Мій комп'ютер" у дереві, розташованому в лівій панелі провідника. Далі розгорніть розділ, який відповідає пристрою, на якому знаходиться каталог, який ви шукаєте. Потім, розгортаючи гілки, які відповідають підкаталогам, знайдіть потрібну директорію. Виділіть елемент директорії в ієрархії каталогів, клацнувши по ньому один раз лівою кнопкою миші. У правій панелі провідника з'явиться вміст каталогу.
Відкрийте діалог властивостей папки. Для цього клацніть правою кнопкою миші виділений елемент дерева каталогів. У контекстному меню, що з'явилося, клацніть на пункті «Властивості».
Відкрийте діалог керування додатковими атрибутами папки. У діалозі властивостей директорії перейдіть на вкладку «Загальні». Клацніть по кнопці «Інші».
Почніть процес захисту папки з файлами шляхом шифрування вмісту. Встановіть атрибут шифрування вмісту папки. У діалоговому вікні «Додаткові атрибути» активуйте прапорець «Шифрувати вміст для захисту даних». Натисніть "OK". Натисніть кнопку «Застосувати» у діалозі властивостей директорії.
Встановіть параметри захисту вмісту папки. У діалоговому вікні «Підтвердження зміни атрибутів» активуйте перемикач «До цієї папки та всіх вкладених папок і файлів». Це дозволить захистити весь вміст вибраної директорії. Натисніть "OK".
Дочекайтеся закінчення шифрування вмісту директорії. Хід процесу буде відображено у вікні «Застосування атрибутів...». Після закінчення шифрування натисніть кнопку "OK" у діалозі властивостей папки та закрийте провідник.
Відео на тему
Зверніть увагу
Якщо видалити обліковий запис користувача, під яким було зашифровано папку, його вміст не можна буде прочитати. Будьте уважні і перед видаленням облікового запису зніміть атрибут шифрування.
У будь-якого користувача комп'ютера чи ноутбука рано чи пізно виникає потреба захистити свої файли та папки від видалення. Операційна система Windows надає всі можливості для налаштування прав для різних користувачів, і ви можете встановлювати рівень доступу до папок. Однак, є невеликий мінус – обмеження прав ефективно у тому випадку, якщо у вас налаштований вхід під різними користувачами.
Вам знадобиться
- - комп'ютер;
- - права адміністратора.
Інструкція
Перш за все потрібно визначитися з файлами, які потрібно буде захистити. Знайдіть вашу папкучерез "Мій комп'ютер" або "Провідник". Клацніть правою кнопкою миші на піктограмі папки та виберіть пункт «Властивості».
У вікні «Властивості» перейдіть на вкладку «Безпека», а потім натисніть кнопку «Змінити». У вікні виберіть ім'я користувача, чиї права доступу до папки потрібно налаштувати. Ви можете вибрати різні облікові записи, які є . Також варто враховувати той факт, що будь-якої миті часу ви зможете змінити або видалити права на папку.
Перегляньте права та виберіть ті, які потрібно заборонити. Якщо позначте в стовпці «Заборонити» пташку поруч із «Повним доступом», то обраний користувач зможе не лише , а й щось змінити у ній чи записати туди файл. Для заборони видалення необхідно позначити пункт "Зміна".
Збережіть установки, натиснувши кнопку «Застосувати». Якщо необхідно, повторіть процедуру для інших користувачів, щоб ніхто, крім вас, не міг видалити ваші дані. Цей спосіб захисту є найбільш оптимальним і простим для користувачів, оскільки не потребує додаткового програмного забезпечення. А також не потрібно спеціальних знань комп'ютера.
Усі необхідні налаштування прав доступу зроблено. Вони повністю визначають, що може чи не може конкретний користувач. Все це можна настроїти самостійно, використовуючи стандартні засоби операційної системи Windows. Однак врахуйте, що ці обмеження діятимуть лише в межах вашої операційної системи. А взагалі намагайтеся не допускати сторонніх осіб до комп'ютера або зберігати важливі дані на переносних носіях невеликого об'єму.
В даний час зі зростанням індустрії програмного забезпечення для комп'ютерів часто виникає проблема захисту наявних додатків та системи загалом. Її можна вирішити двома аспектами: налаштуванням захисного пароля та встановленням антивіруса. Варто розібратися у цьому докладніше.
Вам знадобиться
- - комп'ютер;
- - вихід в Інтернет;
- - Ліцензійна антивірусна програма.
Інструкція
Встановіть пароль для доступу до найважливіших програм в операційній системі. Для цього перейдіть до папки, що містить програму, яку хочете захистити паролем Клацніть по ній правою кнопкою миші та оберіть «Властивості». Перейдіть на вкладку «Обмін». Поставте прапорець із написом «До цієї папки».
Натисніть кнопку "Застосувати", а потім "ОК". Це потрібно для захисту папки паролем. Вона буде використовувати той самий набір знаків, який ви вводите для входу в особистий профіль Windows.
Виконайте покрокову установку антивірусу. Зверніться до свого постачальника послуг. Зареєструйтесь на сайті того чи іншого провайдера, і вам обов'язково запропонують безкоштовний пробний період користування програмою. Він може становити кілька місяців чи цілий рік. Деякі компанії пропонують безкоштовний захист від вірусів щоразу, коли ви продовжуєте з ними договір.
Виберіть відповідну систему захисту. Вона має бути сумісна з операційною системою комп'ютера. Це необхідно для збалансованої роботи всього механізму. Відвідайте ресурс http://www.download.com/для пошуку додаткового безкоштовного програмного забезпечення захисту від вірусів. Наберіть у пошуковому полі браузера "Безкоштовна антивірусна програма". Вам буде запропоновано доступний на даний момент список програм.
Зверніть увагу на опис кожної програми. Дуже важливо не завантажити шпигунський додаток із «трояном» або іншим вірусом. Врахуйте також користувачів для кожного антивірусника. Прочитайте уважно їх. Зверніть особливу увагу на будь-які попередження.
Натисніть кнопку «Завантажити» у нижній частині меню «Опис програми», щоб розпочати її негайне завантаження. Встановіть її на комп'ютер і зробіть пробне сканування системи на предмет шкідливих програм.
Відео на тему
Для багатьох вже давно став і улюбленим місцем відпочинку, і головним робочим інструментом. Відповідно, необхідність захистити конфіденційну інформацію стає дедалі гострішою. Один із способів – захист входу до системи паролем.
Інструкція
В OS Windows створювати парольможе користувач із правами адміністратора. З меню "Пуск" зайдіть до "Панель управління". Розкрийте значок «Облікові записи користувачів» подвійним кліком. У вікні «Облікові записи користувачів» переходьте за посиланням «Зміна облікового запису». Клацніть по запису, для якого ставитимете пароль, і перейдіть на посилання «Створення пароля».
У новому вікні введіть поєднання букв та цифр, які стануть паролем. Повторіть його ще раз. Якщо ви побоюєтеся, що можете забути чарівне слово, повідомите систему слово або фразу-нагадування. Однак майте на увазі, що ця фраза буде видно всім користувачам під час завантаження вікна привітання, коли потрібно ввести пароль. Підтвердьте дані, натиснувши OK. Працювати під вашим обліковим записом зможете тільки ви і ті, кому ви повідомите кодове слово.
Деякі версії BIOS (Basic In-Out System) дозволяють ставити парольна вхід у систему. Увімкніть комп'ютер. Після короткого звукового сигналу POST у нижній частині екрана з'являється повідомлення “Press Delete to enter Setup” – система пропонує натиснути клавішу, щоб увійти в налаштування BIOS. Замість Delete може бути якась інша клавіша, швидше за все, F2 або F10, залежно від виробника. У меню Setup знайдіть опцію, в якій присутні слова Password («Пароль»).
Спочатку встановіть Supervisor Password – пароль, який захищає від втручання BIOS. Якщо потрібно, змініть стан цієї опції з Disable («Вимкнено») на Enable («Увімкнено»). Введіть парольпотім підтвердження.
Перейдіть до опції Password on boot (Пароль на завантаження). Встановіть стан в Enable і введіть необхідні символи. Щоб зберегти зміни, натисніть F10 та Y для підтвердження.
Тепер, щоб увійти в систему, вам потрібно буде запровадити цей пароль.
Якщо ви забудете його, доведеться скидати налаштування BIOS. Вимкніть комп'ютервід електроживлення, зніміть бічну панель. На материнській платі знайдіть круглу батарейку-таблетку - вона живить мікросхему ПЗУ («Постійне запам'ятовуючий пристрій»), в якій зберігаються необхідні налаштування. Вийміть акумулятор і перемкніть контакти гнізда викруткою на кілька секунд – таким чином ви знеструмите ПЗУ та зітріть інформацію про налаштування BIOS.
Втрата даних із жорсткого диска – одне з найпоширеніших явищ серед користувачів ПК. Краще запобігти такій неприємності заздалегідь, ніж намагатися повернути втрачену інформацію вже після її зникнення. Підстрахувати себе та захистити дані на дискуЗовсім не важко, а користь від цього дуже значна.
Інструкція
Встановіть додаткове охолодження, так як сучасні жорсткі диски мають дуже велику швидкість обертання пластин, а це, у свою чергу, призводить до перегрівів. Цей захід безпеки збільшить термін служби вінчестера.
Зберігайте інформацію на CD, DVD дисках, флеш-картах. Це буде резервним копіюванням. Також регулярно перевіряйте інформацію на цих носіях, щоб вона не зникла (диски, якщо їх періодично не активізувати можуть перестати функціонувати).
Купуйте безперебійне джерело живлення. Він захистить комп'ютер від перебоїв напруги, які можуть стати причиною втрати вашої інформації. Також при відключенні електроенергії достатньо часу для збереження вашої інформації.
Зробіть дефрагментацію диска. Особливо це необхідно, якщо ви часто навантажуєте жорсткий диск. Внаслідок дефрагментації вся інформація на дискурозбивається на велику кількість секторів.
Встановіть ліцензійну антивірусну програму. Це дозволить запобігти атакі на комп'ютер шкідливих програм, які можуть пошкодити вашу інформацію.
Захистіть паролем та даних. Це одні з найпростіших методів, за допомогою яких користувачі ПК можуть захистити інформацію на жорсткому диску. Для цього змініть пароль до системи Windows, відкрийте меню "Пуск" -> "Панель управління" -> "Облікові записи користувачів", потім виберіть рядок "Змінити мій пароль".
Відео на тему
Зверніть увагу
Зверніть увагу на ваш жорсткий диск, він повинен бути достатньо міцно укріплений в системному блоці. Тому що вібрації можуть призвести до його поломки. Намагайтеся якнайрідше діставати його із системного блоку, щоб не завдати механічних пошкоджень.
Корисна порада
Не користуйтеся програмами, у яких ви сумніваєтеся, особливо незнайомими вам програмами відновлення даних, а також програмами з розділами жорсткого диска. Це може призвести до втрати інформації.
Користувача мобільного телефону чатує на низку небезпек: крадіжка апарату, шахрайські дії, зараження вірусами тощо. Кожен власник такого апарату повинен мати знання та навички, що дозволяють захиститися від цих небезпек.
Інструкція
Пам'ятайте, що морально застарілий, але багатофункціональний мобільний часом як зручніше, так і апарата останньої моделі, що має меншу кількість функцій. При цьому ризик його крадіжки значно менший, оскільки практично всі зловмисники чудово обізнані про модельний ряд і про роки різних моделей. Але купуючи такий апарат, будьте уважні, щоб не нарватися, який сам є краденим.
Носіть телефон у чохлі. Через нього погано видно, який він моделі, та й виглядає він менш привабливо.
Ніколи нікому не давайте телефон на вулиці. Навіть якщо його потім вам не факт, що з його рахунку не пропаде велика сума, або ви не будете підписані на послугу, що передбачає періодичне зняття такої суми. Якщо комусь необхідно терміново зателефонувати, скажіть, що ви самі наберете і передасте абоненту потрібну інформацію.
Остерігайтеся дзвінків від шахраїв. Вони можуть прикинутися родичами, які потрапили в біду - у цьому випадку задайте їм питання, на яке вони повинні гарантовано знати відповідь. Якщо той, хто телефонує, стверджує, що поповнив ваш рахунок помилково, перевірте, чи так це насправді, чи фальшиве повідомлення про його поповнення він сам вам і надіслав. Не набирайте під диктовку ніяких USSD - вони призначені для переказу коштів на рахунок зловмисника.
Якщо ви користуєтесь смартфоном, завантажуйте на нього програми лише з перевірених джерел. Навіть безкоштовну програму необхідно качати безпосередньо з сайту розробника, а не сторонніх ресурсів. Телефони з операційною системою Symbian версії 9 дозволяють встановити програму лише за наявності цифрового підпису. Але встановити антивірус не завадить на будь-який, у тому числі, такий, що володіє таким захистом. У жодному разі не встановлюйте програми, отримані з невідомих джерел через Bluetooth або MMS.
Якщо ваш апарат підтримує лише J2ME, завжди відповідайте негативно на запит віртуальної машини Java про дозвіл додатку надіслати SMS-повідомлення на той чи інший номер.
Пов'язана стаття
Чому "дзвінок завершено" без гудків
Порада 12: Захист від зчитування інформації: як її поставити
Для зчитування інформації існують як стандартні засоби операційних систем, і додаткове програмне забезпечення. Зверніть увагу, що в деяких випадках зчитування даних може бути недоступне через встановлений захист модуля пам'яті.
Вам знадобиться
- - сполучний кабель або карт-рідер.
Інструкція
Для того щоб отримати дані щодо інформації на жорсткому диску вашого комп'ютера, зайдіть в його головне меню і виберіть накопичувач, який вас цікавить. Натисніть правою кнопкою миші його іконку, і в контекстному меню виберіть пункт «Властивості».
Після цього дочекайтеся закінчення зчитування системою інформації. Перегляньте дані щодо файлів, папок та обсягу інформації, що містяться на цьому носії інформації. Те саме стосується зовнішніх жорстких дисків, карт пам'яті і так далі.
Для того щоб прочитати інформацію щодо статистики пам'яті вашого мобільного телефону, зайдіть в його головному меню в диспетчер файлів і виберіть вид пам'яті, що вас цікавить, - зовнішню (знімний накопичувач) або внутрішню (пам'ять телефону).
Несанкціонований доступ -читання, оновлення або руйнування інформації за відсутності відповідних повноважень.
Несанкціонований доступ здійснюється, як правило, з використанням чужого імені, зміною фізичних адрес пристроїв, використанням інформації, що залишилася після вирішення завдань, модифікацією програмного та інформаційного забезпечення, розкраданням носія інформації, встановленням апаратури запису.
Для успішного захисту своєї інформації користувач повинен мати абсолютно ясне уявлення про можливі шляхах несанкціонованого доступу. Перерахуємо основні типові шляхи несанкціонованого одержання інформації:
· Розкрадання носіїв інформації та виробничих відходів;
· Копіювання носіїв інформації з подоланням заходів захисту;
· маскування під зареєстрованого користувача;
· Містифікація (маскування під запити системи);
· Використання недоліків операційних систем та мов програмування;
· Використання програмних закладок та програмних блоків типу "троянський кінь";
· Перехоплення електронних випромінювань;
· Перехоплення акустичних випромінювань;
· Дистанційне фотографування;
· Застосування підслуховуючих пристроїв;
· Зловмисний висновок з ладу механізмів захисту і т.д.
Для захисту інформації від несанкціонованого доступу застосовуються:
1) організаційні заходи;
2) технічні засоби;
3) програмні засоби;
4) щифрування.
Організаційні заходивключають:
· пропускний режим;
· Зберігання носіїв та пристроїв в сейфі (дискети, монітор, клавіатура і т.д.);
· Обмеження доступу осіб у комп'ютерні приміщення і т.д.
Технічні засобивключають:
· Фільтри, екрани на апаратуру;
· Ключ для блокування клавіатури;
· Пристрої аутентифікації - для читання відбитків пальців, форми руки, райдужної оболонки ока, швидкості та прийомів друку тощо;
· Електронні ключі на мікросхемах і т.д.
Програмні засобивключають:
· парольний доступ - завдання повноважень користувача;
· блокування екрану та клавіатури за допомогою комбінації клавіш в утиліті Diskreet з пакету Norton Utilites;
· Використання засобів парольного захисту BIOS - на сам BIOS і на ПК в цілому і т.д.
Шифрування– це перетворення (кодування) відкритої інформації на зашифровану, не доступну розуміння сторонніх. Шифрування застосовується в першу чергу для передачі секретної інформації незахищеними каналами зв'язку. Шифрувати можна будь-яку інформацію – тексти, малюнки, звук, бази даних тощо. Людство застосовує шифрування з того моменту, коли з'явилася секретна інформація, яку треба було приховати від ворогів. Перше відоме науці шифроване повідомлення – єгипетський текст, у якому замість прийнятих тоді ієрогліфів були використані інші знаки. Методи шифрування та розшифровування повідомлення вивчає наука криптологія , історія якої налічує близько чотирьох тисяч років Вона складається з двох гілок: криптографії та криптоаналізу.
Криптографія- це наука про засоби шифрування інформації. Криптоаналіз - це наука про методи та способи розкриття шифрів.
Зазвичай передбачається, що алгоритм шифрування відомий всім, але невідомий його ключ, якого повідомлення неможливо розшифрувати. У цьому полягає відмінність шифрування від простого кодування, у якому відновлення повідомлення досить знати лише алгоритм кодування.
Ключ- це параметр алгоритму шифрування (шифру), що дозволяє вибрати одне конкретне перетворення з усіх варіантів, передбачених алгоритмом. Знання ключа дозволяє вільно зашифровувати та розшифровувати повідомлення.
Усі шифри (системи шифрування) поділяються на дві групи - симетричні та несиметричні (з відкритим ключем). Симетричний шифрозначає, що і для шифрування, і для розшифровування повідомлень використовується той самий ключ. У системах з відкритим ключемвикористовуються два ключі - відкритий та закритий, які пов'язані один з одним за допомогою деяких математичних залежностей. Інформація шифрується за допомогою відкритого ключа, доступного всім бажаючим, а розшифровується за допомогою закритого ключа, відомого лише одержувачу повідомлення.
Криптостійкість шифру- це стійкість шифру до розшифрування без знання ключа. Стійким вважається алгоритм, який для успішного розкриття вимагає від супротивника недосяжних обчислювальних ресурсів, недосяжного обсягу перехоплених повідомлень або такого часу, що після закінчення захищена інформація буде вже неактуальна.
Один з найвідоміших і найдавніших шифрів – шифр Цезаря. У цьому шифрі кожна літера замінюється іншою, розташовану в алфавіті на задане число позицій k праворуч від неї. Алфавіт замикається в кільце, тому останні символи замінюються на перші. Шифр Цезаря відноситься до шифрам простої підстановки, тому що кожен символ вихідного повідомлення замінюється на інший символ із того ж алфавіту. Такі шифри легко розкриваються за допомогою частотного аналізу, тому що в кожній мові частоти літер приблизно постійні для будь-якого досить великого тексту.
Значно складніше зламати шифр Віженера, який став природним розвитком шифру Цезаря Для використання шифру Віженера використовується ключове слово, яке визначає змінну величину зсуву. Шифр Віженера має значно більш високу криптостійкість, ніж шифр Цезаря. Це означає, що його найважче розкрити - підібрати потрібне ключове слово. Теоретично, якщо довжина ключа дорівнює довжині повідомлення, і кожен ключ використовується лише один раз, шифр Віженера зламати неможливо.
Доступ до інформації - ознайомлення з інформацією, її обробка, зокрема копіювання, модифікація або знищення інформації. Несанкціонований доступ до інформації (НСД) – доступ до інформації, що порушує правила розмежування доступу з використанням штатних засобів, що надаються засобами обчислювальної техніки або автоматизованими системами.
У захисті інформації ПК від НСД можна назвати три основних напрями: перше орієнтується недопущення порушника до обчислювальної середовищі і полягає в спеціальних технічних засобах розпізнавання користувача; друге пов'язане із захистом обчислювального середовища та використовуються різні програмні методи захисту інформації; третій напрямок пов'язані з використанням спеціальних засобів захисту інформації ПК від несанкціонованого доступу.
До біометричних систем належать системи ідентифікації: (стор. підручника Н.Д. Угриновича, 11 клас): за відбитками пальців; за відбитками пальців; за характеристиками мови; за характеристиками мови; по райдужній оболонці ока; по райдужній оболонці ока; за зображенням обличчя; за зображенням обличчя; по геометрії долоні руки. по геометрії долоні руки.
Стандартні програмні засоби захисту: а) засоби захисту обчислювальних ресурсів, які використовують парольну ідентифікацію; б) застосування різноманітних методів шифрування інформації; в) засоби захисту від копіювання комерційних програмних продуктів; г) захист від комп'ютерних вірусів.
А) паролі можна встановити: у програмі BIOS (комп'ютер не починає завантаження ОС, якщо не введено правильний пароль (стор.44, рис.1.15), але виникнуть проблеми, якщо користувач забуде пароль); у програмі BIOS (комп'ютер не починає завантаження ОС, якщо не введено правильний пароль (стор.44, рис.1.15), але виникнуть проблеми, якщо користувач забуде пароль); при завантаженні операційної системи (кожен користувач під час завантаження ОС повинен ввести свій пароль (стор.44, рис.1.16)); при завантаженні операційної системи (кожен користувач під час завантаження ОС повинен ввести свій пароль (стор.44, рис.1.16)); пароль можна встановити на кожен диск, папку або файл (для них можуть бути встановлені певні права доступу, причому права можуть бути різними для різних користувачів – команда «Загальний доступ та безпека» у контекстному меню)) пароль можна встановити на кожен диск, папку або файл (для них можуть бути встановлені певні права доступу, причому права можуть бути різними для різних користувачів – команда «Загальний доступ та безпека» у контекстному меню))
Б) застосування різних методів шифрування Найнадійнішим захистом від несанкціонованого доступу до інформації, що передається через локальні мережі і до програмних продуктів ПК є застосування різних методів шифрування (криптографічних методів захисту інформації). Цей метод захисту реалізується у вигляді програм або пакетів програм, що розширюють можливості стандартної операційної системи.
Чотири основні групи шифрування символів: підстановка - символи тексту, що шифрується, замінюються символами того ж або іншого алфавіту відповідно до заздалегідь визначеного правила; підстановка - символи тексту, що шифрується, замінюються символами того ж чи іншого алфавіту відповідно до заздалегідь визначеного правила; перестановка - символи тексту, що шифрується, переставляються за деяким правилом в межах заданого блоку тексту, що передається; перестановка - символи тексту, що шифрується, переставляються за деяким правилом в межах заданого блоку тексту, що передається; аналітичне перетворення - текст, що шифрується, перетворюється за деяким аналітичним правилом; аналітичне перетворення - текст, що шифрується, перетворюється за деяким аналітичним правилом; комбіноване перетворення - вихідний текст шифрується двома чи більшою кількістю способів шифрування. комбіноване перетворення - вихідний текст шифрується двома чи більшою кількістю способів шифрування.
В) засоби захисту від копіювання комерційних програмних продуктів встановлення умовної мітки або характеристики, яка була притаманна цьому носію, не відтворюватись будь-якими засобами копіювання; встановлення умовної мітки або характеристики, яка була притаманна цьому носію, не відтворюватись будь-якими засобами копіювання; диск має ряд унікальних характеристик, властивих тільки одному диску, і ці характеристики губляться при копіюванні на інший диск (тобто коли диск спокійно можна копіювати, і поширювати його вміст, але старт буде здійснюватись лише за наявності оригінального диска); диск має ряд унікальних характеристик, властивих тільки одному диску, і ці характеристики губляться при копіюванні на інший диск (тобто коли диск спокійно можна копіювати, і поширювати його вміст, але старт буде здійснюватись лише за наявності оригінального диска); унікальний код (ключ) для встановлення ліцензійного програмного забезпечення. унікальний код (ключ) для встановлення ліцензійного програмного забезпечення.
Електронні ключі (HASP або Sentinel) підключаються практично до всіх портів комп'ютера: від LPT до USB, а також слотів ISA і PCI, якщо така потреба. Основою ключів HASP є спеціалізована рекомендована мікросхема, що має унікальний для кожного ключа алгоритм роботи.
ГК РФ ст.150: відносить конфіденційну інформацію до нематеріальних благ; ст.11 ч.1: передбачає судовий захист цивільних прав. Захист порушених чи оскаржених цивільних прав відповідно до цієї статті здійснює відповідно до підвідомчості справ, встановленої процесуальним законодавством, суд, арбітражний суд або третейський суд; ст.12: визначено засоби захисту цивільних прав, більшість яких можуть застосовуватися у зв'язку із захистом конфіденційної інформації.
КК РФ ст.137: передбачає відповідальність за правопорушення, пов'язані з порушенням права на захист конфіденційної інформації. У ній визначено відповідальність (карається штрафом чи виправними роботами) за порушення таємниці листування, телефонних переговорів, поштових, телеграфних чи інших повідомлень; Ст.138: передбачає, що це діяння, вчинене особою з допомогою свого службового становища чи спеціальних технічних засобів, призначених для негласного отримання інформації, карається штрафом, чи позбавленням права обіймати певні посади чи займатися певною діяльністю.
Кодекс АП статтею передбачено відповідальність за порушення правил захисту інформації. Так, порушення умов, передбачених ліцензією на провадження діяльності в галузі захисту інформації (за винятком інформації, що становить державну таємницю), тягне за собою накладення адміністративного штрафу; Стаття встановлює, що за розголошення інформації, доступ до якої обмежений федеральним законом, особою, яка отримала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків, тягне за собою накладення адміністративного штрафу.
