Software-Tools sind objektive Formen der Darstellung einer Reihe von Daten und Befehlen, die für das Funktionieren von Computern und Computergeräten bestimmt sind, um ein bestimmtes Ergebnis zu erzielen, sowie Materialien, die im Laufe ihrer Entwicklung erstellt und auf einem physischen Medium gespeichert werden, und von ihnen erzeugte audiovisuelle Displays. Diese beinhalten:

Software (eine Reihe von Steuer- und Verarbeitungsprogrammen). Verbindung:

Systemprogramme (Betriebssysteme, Programme Wartung);

Anwendungsprogramme (Programme, die entwickelt wurden, um Probleme eines bestimmten Typs zu lösen, wie z. B. Texteditoren, Antivirenprogramme, DBMS usw.);

Werkzeugprogramme (Programmiersysteme bestehend aus Programmiersprachen: Turbo C, Microsoft Basic usw. und Übersetzern - eine Reihe von Programmen, die eine automatische Übersetzung von algorithmischen und symbolischen Sprachen in Maschinencodes ermöglichen);

Maschineninformationen des Eigentümers, Eigentümers, Benutzers.

Ich führe eine solche Detaillierung durch, um später das Wesentliche des betrachteten Problems klarer zu verstehen, um die Arten der Begehung von Computerkriminalität, Objekten und Werkzeugen krimineller Eingriffe klarer zu identifizieren und Meinungsverschiedenheiten über die Terminologie von zu beseitigen meint Computertechnologie. Nach einer detaillierten Betrachtung der Hauptkomponenten, die zusammen den Inhalt des Begriffs der Computerkriminalität darstellen, können wir mit der Betrachtung von Fragen im Zusammenhang mit den Hauptelementen der forensischen Merkmale von Computerkriminalität fortfahren.

Sicherheitssoftware beinhaltet spezielle Programme, die Schutzfunktionen erfüllen sollen und in der Software von Datenverarbeitungsanlagen enthalten sind. Softwareschutz ist die häufigste Art des Schutzes, was durch solche positiven Eigenschaften erleichtert wird. dieses Werkzeug, wie Universalität, Flexibilität, einfache Umsetzung, nahezu unbegrenzte Veränderungs- und Entwicklungsmöglichkeiten etc. Entsprechend ihrem funktionalen Zweck können sie in folgende Gruppen eingeteilt werden:

Identifizierung von technischen Mitteln (Endgeräte, Gruppen-Eingabe-Ausgabe-Steuergeräte, Computer, Speichermedien), Aufgaben und Benutzer;

Bestimmung der Rechte von technischen Mitteln (Betriebstage und -stunden, zur Nutzung zugelassene Aufgaben) und Benutzer;

Kontrolle des Betriebs technischer Mittel und Benutzer;

Registrierung der Arbeit von technischen Mitteln und Benutzern bei der Verarbeitung von Informationen mit begrenztem Nutzen;

Vernichtung von Informationen im Speicher nach Gebrauch;

Alarme für unbefugte Handlungen;

Hilfsprogramme für verschiedene Zwecke: Überwachung des Betriebs des Schutzmechanismus, Anbringen eines Geheimhaltungsstempels auf ausgestellten Dokumenten.

Virenschutz

Informationssicherheit ist einer der wichtigsten Parameter jedes Computersystems. Um dies zu gewährleisten, wurde eine Vielzahl von Software- und Hardware-Tools entwickelt. Einige von ihnen beschäftigen sich mit der Verschlüsselung von Informationen, andere mit der Begrenzung des Zugriffs auf Daten. Computerviren sind ein besonderes Problem. Dies ist eine separate Klasse von Programmen, die darauf abzielen, das System zu stören und Daten zu beschädigen. Es gibt mehrere Arten von Viren. Einige von ihnen sind ständig im Speicher des Computers, andere erzeugen zerstörerische Aktionen mit einmaligen "Schlägen". Es gibt auch eine ganze Klasse von Programmen, die ganz anständig aussehen, aber das System tatsächlich verderben. Solche Programme werden als „Trojanische Pferde“ bezeichnet. Eine der Haupteigenschaften Computer Virus ist die Fähigkeit zur "Reproduktion" - d.h. Selbstausbreitung innerhalb eines Computers und eines Computernetzwerks.

Seit verschiedene Office-Anwendungen mit speziell für sie geschriebenen Programmen arbeiten können (z. B. können Anwendungen für Microsoft Office in Visual Basic geschrieben werden), ist eine neue Art von Malware aufgetaucht - die sogenannte. Makroviren. Viren dieses Typs werden zusammen mit regulären Dokumentdateien verteilt und sind darin als reguläre Subroutinen enthalten.

Vor nicht allzu langer Zeit (in diesem Frühjahr) brach eine Epidemie des Win95.CIH-Virus und seiner zahlreichen Unterarten aus. Dieser Virus hat den Inhalt zerstört Computer-BIOS macht es ihr unmöglich zu arbeiten. Oft musste ich sogar durch diesen Virus beschädigte Motherboards wegwerfen.

Unter Berücksichtigung der starken Entwicklung von Kommunikationsmitteln und des stark gestiegenen Datenaustauschvolumens wird das Problem des Schutzes vor Viren sehr relevant. Praktischerweise mit jedem erhaltenen z. Email Ein Makrovirus kann durch ein Dokument erworben werden, und jedes ausgeführte Programm kann (theoretisch) einen Computer infizieren und das System funktionsunfähig machen.

Daher ist die wichtigste Richtung unter den Sicherheitssystemen der Kampf gegen Viren. Es gibt eine Reihe von Tools, die speziell entwickelt wurden, um dieses Problem zu lösen. Einige von ihnen starten im Scan-Modus und sehen sich den Inhalt an Festplatte und Computerspeicher für Viren. Einige müssen ständig ausgeführt werden und sich im Arbeitsspeicher des Computers befinden. Gleichzeitig versuchen sie, den Überblick über alle laufenden Aufgaben zu behalten.

Auf dem russischen Softwaremarkt hat das vom Kaspersky Anti-Virus Systems Lab entwickelte AVP-Paket die größte Popularität erlangt. Dies ist ein universelles Produkt, das Versionen für eine Vielzahl von Betriebssystemen hat.

Kaspersky Anti-Virus (AVP) verwendet alle modernen Arten des Virenschutzes: Virenscanner, Wächter, Verhaltensblocker und Änderungsprüfer. Verschiedene Versionen des Produkts unterstützen alle gängigen Betriebssysteme, Mail-Gateways, Firewalls und Webserver. Das System ermöglicht es Ihnen, alle möglichen Arten des Eindringens von Viren auf den Computer des Benutzers zu kontrollieren, einschließlich Internet, E-Mail und mobile Medien. Mit den Verwaltungstools von Kaspersky Anti-Virus können Sie die wichtigsten Vorgänge für eine zentralisierte Installation und Verwaltung automatisieren, genau wie auf lokalen Computer, und im Falle eines komplexen Schutzes des Unternehmensnetzwerks. Kaspersky Lab bietet drei vorgefertigte Virenschutzlösungen, die für die Hauptkategorien von Benutzern entwickelt wurden. Erstens Virenschutz für Heimanwender (eine Lizenz für einen Computer). Zweitens Virenschutz für kleine Unternehmen (bis zu 50 Arbeitsplätze im Netzwerk). Drittens Virenschutz für Unternehmensanwender (über 50 Arbeitsplätze im Netzwerk) Vorbei sind die Zeiten, in denen es zur absoluten Sicherheit vor „Infektionen“ genügte, keine „wahllosen“ Disketten zu verwenden und auszuführen das Dienstprogramm Aidstest auf dem Computer ein- oder zweimal pro Woche R, das die Festplatte des Computers auf verdächtige Objekte überprüft. Erstens hat sich die Bandbreite der Bereiche, in denen diese Objekte erscheinen können, erweitert. E-Mails mit angehängten „schädlichen“ Dateien, Makroviren in Office-Dokumenten (meist Microsoft Office), „Trojanische Pferde“ – all dies ist erst vor relativ kurzer Zeit aufgetaucht. Zweitens rechtfertigt sich der Ansatz der regelmäßigen Überprüfung der Festplatte und der Archive nicht mehr – solche Überprüfungen müssten zu oft durchgeführt werden und würden zu viele Systemressourcen beanspruchen.

Die veralteten Schutzsysteme wurden durch eine neue Generation ersetzt, die in der Lage ist, die „Bedrohung“ in allen kritischen Bereichen aufzuspüren und zu neutralisieren – von der E-Mail bis zum Kopieren von Dateien zwischen Datenträgern. Gleichzeitig organisieren moderne Antivirenprogramme einen Echtzeitschutz – das bedeutet, dass sie ständig im Speicher sind und die verarbeiteten Informationen analysieren.

Eines der bekanntesten und am weitesten verbreiteten Antiviren-Schutzpakete ist AVP von Kaspersky Lab. Dieses Paket existiert in einer großen Anzahl verschiedener Varianten. Jeder von ihnen wurde entwickelt, um eine bestimmte Reihe von Sicherheitsproblemen zu lösen, und hat eine Reihe spezifischer Eigenschaften.

Schutzsysteme, die von Kaspersky Lab vertrieben werden, werden in drei Hauptkategorien unterteilt, abhängig von der Art der Aufgaben, die sie lösen. Dies sind der Schutz für kleine Unternehmen, der Schutz für Heimanwender und der Schutz für Firmenkunden.

AntiViral Toolkit Pro enthält Programme, mit denen Sie Workstations schützen können, die von verschiedenen Betriebssystemen verwaltet werden - AVP-Scanner für DOS, Windows 95/98/NT, Linux, AVP-Monitore für Windows 95/98/NT, Linux, Dateiserver - AVP-Monitor und -Scanner für Novell Netware, Monitor und Scanner für NT-Server, WEB-Server - Festplatteninspektor AVP Inspector für Windows, Mailserver Microsoft Exchange- AVP für Microsoft Exchange und Gateways.

AntiViral Toolkit Pro enthält Scannerprogramme und Überwachungsprogramme. Mit Monitoren können Sie eine vollständigere Kontrolle organisieren, die für die kritischsten Abschnitte des Netzwerks erforderlich ist.

In Windows 95/98/NT-Netzwerken ermöglicht AntiViral Toolkit Pro die zentrale Verwaltung des gesamten logischen Netzwerks von der Workstation des Administrators aus mit dem Softwarepaket AVP Network Control Center.

Das AVP-Konzept ermöglicht es Ihnen, Antivirenprogramme einfach und regelmäßig zu aktualisieren, indem Antivirendatenbanken ersetzt werden - eine Reihe von Dateien mit der Erweiterung .AVC, mit denen Sie heute mehr als 50.000 Viren erkennen und entfernen können. Updates für Antiviren-Datenbanken werden täglich veröffentlicht und sind auf dem Kaspersky-Lab-Server verfügbar. Das AntiViral Toolkit Pro (AVP) verfügt derzeit über eine der größten Antiviren-Datenbanken der Welt.

Ähnliche Informationen.

Informationsschutzsoftware bezeichnet spezielle Programme, die in der CS-Software enthalten sind und ausschließlich Schutzfunktionen erfüllen.

Die wichtigste Informationssicherheitssoftware umfasst:

• * Programme zur Identifizierung und Authentifizierung von CS-Benutzern;
• * Programme zum Begrenzen des Benutzerzugriffs auf CS-Ressourcen;
• * Informationsverschlüsselungsprogramme;
• * Programme zum Schutz von Informationsressourcen (System- und Anwendungssoftware, Datenbanken, Computerschulungstools usw.) vor unbefugter Änderung, Verwendung und Vervielfältigung.

Es muss verstanden werden, dass unter Identifizierung in Bezug auf die Bestimmung Informationssicherheit CS verstehen die eindeutige Wiedererkennung des eindeutigen Namens des Subjekts der CS. Authentifizierung bedeutet die Bestätigung, dass der präsentierte Name mit dem angegebenen Subjekt übereinstimmt (Subjekt-Authentifizierung)5.

Informationssicherheitssoftware umfasst auch:

• * Programme zur Zerstörung von Restinformationen (in RAM-Blöcken, temporären Dateien usw.);
• * Prüfprogramme (Registrierungsprotokolle) von Ereignissen im Zusammenhang mit der Sicherheit des COP, um die Möglichkeit der Wiederherstellung und den Nachweis des Auftretens dieser Ereignisse sicherzustellen;
• * Programme zur Nachahmung der Arbeit mit dem Täter (um ihn abzulenken, um angeblich vertrauliche Informationen zu erhalten);
• * Programme zur Testkontrolle der CS-Sicherheit etc.

Zu den Vorteilen von Informationssicherheitssoftware gehören:

• * Einfache Replikation;
• * Flexibilität (die Fähigkeit, sich an verschiedene Nutzungsbedingungen anzupassen, unter Berücksichtigung der Besonderheiten von Bedrohungen der Informationssicherheit bestimmter CS);
• * Benutzerfreundlichkeit - einige Softwaretools, wie z. B. Verschlüsselung, arbeiten in einem "transparenten" (für den Benutzer unsichtbaren) Modus, während andere keine neuen (im Vergleich zu anderen Programmen) Fähigkeiten des Benutzers erfordern;
• * praktisch unbegrenzte Möglichkeiten ihrer Entwicklung durch Änderungen zur Berücksichtigung neuer Bedrohungen der Informationssicherheit.

Reis. vier

Reis. 5

Zu den Nachteilen von Informationssicherheitssoftware gehören:

• * Abnahme der Effizienz des CS aufgrund des Verbrauchs seiner Ressourcen, die für das Funktionieren von Schutzprogrammen erforderlich sind;
• * geringere Leistung (im Vergleich zur Ausführung ähnlicher Funktionen des Hardwareschutzes, wie z. B. Verschlüsselung);
• * das Andocken vieler Softwareschutz-Tools (und nicht deren Anordnung in Software KS, Abb. 4 und 5), was eine grundsätzliche Möglichkeit für den Eindringling schafft, sie zu umgehen;
• * Möglichkeit der böswilligen Modifikation von Softwareschutzwerkzeugen während des Betriebs des COP.

Sicherheit auf Betriebssystemebene

Das Betriebssystem ist die wichtigste Softwarekomponente jedes Computers, daher hängt die Gesamtsicherheit des Informationssystems weitgehend von der Implementierungsebene der Sicherheitsrichtlinie in jedem spezifischen Betriebssystem ab.

Die Familie der Betriebssysteme Windows 2000, Millenium sind Klone, die ursprünglich darauf ausgerichtet waren, in Heimcomputern zu arbeiten. Diese Betriebssysteme verwenden Berechtigungsstufen für den geschützten Modus, führen jedoch keine zusätzlichen Überprüfungen durch und unterstützen keine Sicherheitsbeschreibungssysteme. Dadurch kann jede Anwendung sowohl lesend als auch schreibend auf den gesamten verfügbaren Arbeitsspeicher zugreifen. Mittel Netzwerksicherheit sind vorhanden, ihre Umsetzung entspricht jedoch nicht den Anforderungen. Außerdem im Windows-Versionen XP wurde ein grundlegender Fehler unterlaufen, der erlaubte, dass ein paar Pakete aus der Ferne buchstäblich zu einem „Einfrieren“ des Computers führten, was auch den Ruf des Betriebssystems erheblich untergrub. In nachfolgenden Versionen wurden viele Schritte unternommen, um die Netzwerksicherheit dieses Klons zu verbessern6 .

Generierung von Betriebssystemen Windows Vista, 7 ist bereits eine deutlich zuverlässigere Entwicklung von Microsoft. Sie sind echte Mehrbenutzersysteme, die Dateien verschiedener Benutzer auf der Festplatte zuverlässig schützen (die Datenverschlüsselung wird jedoch immer noch nicht durchgeführt und Dateien können problemlos gelesen werden, indem von einer Platte eines anderen Betriebssystems gebootet wird - beispielsweise MS-DOS ). Diese Betriebssysteme nutzen aktiv die Protected Mode-Fähigkeiten von Intel-Prozessoren und können Daten und Prozesscode zuverlässig vor anderen Programmen schützen, es sei denn, sie möchten zusätzlichen Zugriff darauf von außerhalb des Prozesses gewähren.

Pro lange Zeit Entwicklung wurden viele verschiedene Netzwerkangriffe und Sicherheitslücken berücksichtigt. Korrekturen daran wurden in Form von Update-Blöcken (englisches Service Pack) veröffentlicht.

Ein weiterer Zweig von Klonen wächst aus dem UNIX-Betriebssystem. Dieses Betriebssystem wurde ursprünglich als Netzwerk- und Mehrbenutzersystem entwickelt und enthielt daher sofort Informationssicherheitstools. Fast alle verbreiteten UNIX-Clones haben einen langen Entwicklungsweg hinter sich und haben bei ihrer Modifikation alle in dieser Zeit entdeckten Angriffsmethoden berücksichtigt. Genug bewährt: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. All dies gilt natürlich für die neuesten Versionen dieser Betriebssysteme. Die Hauptfehler in diesen Systemen hängen nicht mehr mit dem Kernel zusammen, der einwandfrei funktioniert, sondern mit System- und Anwendungsdienstprogrammen. Das Vorhandensein von Fehlern in ihnen führt oft zum Verlust des gesamten Sicherheitsspielraums des Systems.

Hauptbestandteile:

Lokaler Sicherheitsadministrator – ist verantwortlich für unbefugten Zugriff, überprüft die Anmeldedaten des Benutzers, unterstützt:

Audit - Überprüfung der Korrektheit der Aktionen des Benutzers

Account Manager - Unterstützung für die Datenbank der Benutzer ihrer Aktionen und Interaktion mit dem System.

Sicherheitsmonitor - überprüft, ob der Benutzer ausreichende Zugriffsrechte auf das Objekt hat

Überwachungsprotokoll - enthält Informationen über Benutzeranmeldungen, behebt die Arbeit mit Dateien und Ordnern.

Authentifizierungspaket - analysiert Systemdateien um sicherzustellen, dass sie nicht ersetzt wurden. MSV10 ist das Standardpaket.

Windows XP hinzugefügt:

Sie können Passwörter für archivierte Kopien vergeben

Dateiersetzungsschutz

Differenzierungssystem ... durch Eingabe eines Passwortes und Anlegen eines Benutzerkontos. Die Archivierung kann von einem Benutzer durchgeführt werden, der über solche Rechte verfügt.

NTFS: Datei- und Ordnerzugriffssteuerung

In XP und 2000 - eine vollständigere und tiefere Differenzierung der Benutzerzugriffsrechte.

EFS – bietet Verschlüsselung und Entschlüsselung von Informationen (Dateien und Ordnern), um den Zugriff auf Daten einzuschränken.

Kryptografische Schutzverfahren

Kryptografie ist die Wissenschaft der Datensicherung. Sie sucht nach Lösungen für vier wichtige Sicherheitsprobleme – Vertraulichkeit, Authentifizierung, Integrität und Kontrolle der Teilnehmer an der Interaktion. Verschlüsselung ist die Umwandlung von Daten in eine unlesbare Form unter Verwendung von Verschlüsselungs-Entschlüsselungsschlüsseln. Durch die Verschlüsselung können Sie die Vertraulichkeit wahren, indem Sie Informationen vor Personen geheim halten, für die sie nicht bestimmt sind.

Die Kryptografie beschäftigt sich mit der Suche und dem Studium mathematischer Methoden zur Transformation von Informationen (7).

Die moderne Kryptographie umfasst vier Hauptabschnitte:

symmetrische Kryptosysteme;

Kryptosysteme mit öffentlichem Schlüssel;

elektronische Signatursysteme;

Schlüsselverwaltung.

Die Hauptrichtungen des Einsatzes kryptografischer Verfahren sind die Übertragung vertraulicher Informationen über Kommunikationskanäle (z. B. E-Mail), die Authentifizierung übermittelter Nachrichten, die Speicherung von Informationen (Dokumente, Datenbanken) auf verschlüsselten Medien.

Laufwerkverschlüsselung

Ein verschlüsselter Datenträger ist eine Containerdatei, die beliebige andere Dateien oder Programme enthalten kann (sie können direkt von dieser verschlüsselten Datei installiert und ausgeführt werden). Dieser Datenträger ist erst nach Eingabe des Kennworts für die Containerdatei verfügbar - dann erscheint ein anderer Datenträger auf dem Computer, der vom System als logisch erkannt wird und dessen Arbeit sich nicht von der Arbeit mit jedem anderen Datenträger unterscheidet. Nach dem Trennen der Festplatte logisches Laufwerk verschwindet, wird es nur "unsichtbar".

Die derzeit gängigsten Programme zum Erstellen verschlüsselter Datenträger sind DriveCrypt, BestCrypt und PGPdisk. Jeder von ihnen ist zuverlässig vor Remote-Hacking geschützt.

Allgemeine Merkmale der Programme: (8)

• - Alle Änderungen der Informationen in der Containerdatei erfolgen zunächst im RAM, d.h. die Festplatte bleibt immer verschlüsselt. Selbst wenn der Computer einfriert, bleiben geheime Daten verschlüsselt;
• - Programme können ein verstecktes logisches Laufwerk nach einer bestimmten Zeit blockieren;
• - Sie sind alle misstrauisch gegenüber temporären Dateien (Swap-Dateien). Es ist möglich, alle vertraulichen Informationen zu verschlüsseln, die in die Auslagerungsdatei gelangen könnten. Höchst effektive Methode Informationen, die in einer Auslagerungsdatei gespeichert sind, zu verstecken, bedeutet, sie vollständig zu deaktivieren, ohne zu vergessen, den Arbeitsspeicher des Computers zu erhöhen;
• - Die Physik der Festplatte ist so, dass selbst wenn Sie einige Daten mit anderen überschreiben, der vorherige Datensatz nicht vollständig gelöscht wird. Mit Hilfe der modernen Magnetmikroskopie (Magnetic Force Microscopy – MFM) lassen sie sich dennoch restaurieren. Mit diesen Programmen können Sie Dateien sicher von Ihrer Festplatte löschen, ohne Spuren ihrer Existenz zu hinterlassen;
• - Alle drei Programme speichern vertrauliche Daten in sicher verschlüsselter Form auf der Festplatte und bieten transparenten Zugriff auf diese Daten aus jedem Anwendungsprogramm;
• - sie schützen verschlüsselte Containerdateien vor versehentlichem Löschen;
• - hervorragende Arbeit mit Trojanern und Viren leisten.

Methoden zur Benutzeridentifikation

Vor dem Zugriff auf das VS muss sich der Benutzer identifizieren, und die Sicherheitsmechanismen des Netzwerks authentifizieren dann den Benutzer, dh prüfen, ob der Benutzer wirklich derjenige ist, für den er sich ausgibt. Gemäß dem logischen Modell des Schutzmechanismus befinden sich die Flugzeuge auf einem funktionierenden Computer, mit dem der Benutzer über sein Terminal oder auf andere Weise verbunden ist. Daher werden die Identifizierungs-, Authentifizierungs- und Ermächtigungsprozeduren zu Beginn einer Sitzung auf der lokalen Arbeitsstation durchgeführt.

Später, wenn verschiedene Netzwerkprotokolle und bevor Zugriff auf Netzwerkressourcen erlangt wird, können Identifizierungs-, Authentifizierungs- und Ermächtigungsprozeduren auf einigen entfernten Arbeitsstationen reaktiviert werden, um die erforderlichen Ressourcen oder Netzwerkdienste zu hosten.

Wenn sich ein Benutzer über ein Endgerät an einem Computersystem anmeldet, fragt das System nach seinem Namen und seiner Identifikationsnummer. Entsprechend den Antworten des Benutzers identifiziert das Computersystem den Benutzer. In einem Netzwerk ist es natürlicher, dass Objekte, die eine gegenseitige Verbindung herstellen, sich gegenseitig identifizieren.

Passwörter sind nur eine Möglichkeit, sich zu authentifizieren. Es gibt andere Möglichkeiten:

• 1. Vordefinierte Informationen, die dem Benutzer zur Verfügung stehen: Passwort, persönliche Identifikationsnummer, Vereinbarung über die Verwendung spezieller verschlüsselter Phrasen.
• 2. Dem Benutzer zur Verfügung stehende Hardware-Elemente: Schlüssel, Magnetkarten, Mikroschaltkreise usw.
• 3. Charakteristische persönliche Merkmale des Benutzers: Fingerabdrücke, Netzhautmuster, Körpergröße, Stimmfarbe und andere komplexere medizinische und biochemische Eigenschaften.
• 4. Charakteristische Techniken und Merkmale des Benutzerverhaltens in Echtzeit: Merkmale der Dynamik, Arbeitsstil auf der Tastatur, Lesegeschwindigkeit, Fähigkeit zur Verwendung von Manipulatoren usw.
• 5. Gewohnheiten: die Verwendung bestimmter Computer-Rohlinge.
• 6. Fähigkeiten und Kenntnisse des Benutzers aufgrund von Bildung, Kultur, Ausbildung, Hintergrund, Erziehung, Gewohnheiten usw.

Wenn sich jemand über ein Terminal in das Computersystem einloggen oder einen Batch-Job ausführen möchte, muss das Computersystem den Benutzer authentifizieren. Der Benutzer selbst überprüft in der Regel nicht die Authentizität des Rechensystems. Wenn das Authentifizierungsverfahren unidirektional ist, wird ein solches Verfahren als unidirektionale Objektauthentifizierung (9) bezeichnet.

Spezialisierte Software für den Informationsschutz.

Spezialisierte Software-Tools zum Schutz von Informationen vor unbefugtem Zugriff haben im Allgemeinen bessere Fähigkeiten und Eigenschaften als die integrierten Netzwerk-Betriebssystem-Tools. Neben Verschlüsselungsprogrammen gibt es viele weitere externe Informationssicherheitstools. Von den am häufigsten genannten sind die folgenden zwei Systeme zu erwähnen, die eine Begrenzung des Informationsflusses ermöglichen.

Firewalls - Firewalls (wörtlich Firewall - eine feurige Wand). Zwischen den lokalen und globalen Netzwerken werden spezielle Zwischenserver erstellt, die den gesamten Netzwerk- / Netzwerkverkehr untersuchen und filtern, der sie durchläuft. Transportschichten. Dadurch können Sie die Gefahr eines unbefugten Zugriffs von außen auf Unternehmensnetzwerke drastisch reduzieren, diese Gefahr jedoch nicht vollständig beseitigen. Eine sicherere Version der Methode ist die Masquerading-Methode, bei der der gesamte vom lokalen Netzwerk ausgehende Datenverkehr im Namen des Firewall-Servers gesendet wird, wodurch das lokale Netzwerk fast unsichtbar wird.

Proxy-Server (Proxy - Vollmacht, autorisierte Person). Der gesamte Netzwerk-/Transportschichtverkehr zwischen dem lokalen und dem globalen Netzwerk ist vollständig verboten – es gibt einfach kein Routing als solches, und Anrufe vom lokalen Netzwerk zum globalen Netzwerk erfolgen über spezielle zwischengeschaltete Server. Offensichtlich wird mit diesem Verfahren der Zugriff vom globalen Netzwerk auf das lokale Netzwerk im Prinzip unmöglich. Es ist auch offensichtlich, dass diese Methode keinen ausreichenden Schutz gegen Angriffe auf höheren Ebenen – beispielsweise auf Anwendungsebene (Viren, Java- und JavaScript-Code) – bietet.

Schauen wir uns genauer an, wie die Firewall funktioniert. Es ist eine Methode zum Schutz eines Netzwerks vor Sicherheitsbedrohungen durch andere Systeme und Netzwerke, indem der Zugriff auf das Netzwerk durch Hardware und Software zentralisiert und kontrolliert wird. Eine Firewall ist eine Sicherheitsbarriere, die aus mehreren Komponenten besteht (z. B. einem Router oder einem Gateway, auf dem die Firewall-Software ausgeführt wird). Die Firewall wird gemäß der internen Netzder Organisation konfiguriert. Alle eingehenden und ausgehenden Pakete müssen eine Firewall passieren, die nur autorisierte Pakete passieren lässt.

Eine Paketfilter-Firewall ist ein Router oder Computer, auf dem Software ausgeführt wird, die so konfiguriert ist, dass sie bestimmte Arten von eingehenden und ausgehenden Paketen zurückweist. Die Paketfilterung basiert auf den Informationen, die in den TCP- und IP-Paket-Headern enthalten sind (Absender- und Zieladressen, deren Portnummern usw.).

Firewall auf Expertenniveau – überprüft den Inhalt der empfangenen Pakete auf drei Ebenen des OSI-Modells – Netzwerk, Sitzung und Anwendung. Um diese Aufgabe zu erfüllen, werden spezielle Paketfilteralgorithmen verwendet, um jedes Paket mit einem bekannten Muster autorisierter Pakete zu vergleichen.

Das Erstellen einer Firewall bezieht sich auf die Lösung des Problems der Abschirmung. Die formale Aussage des Screening-Problems lautet wie folgt. Lassen Sie es zwei Sätze von Informationssystemen geben. Ein Bildschirm ist ein Mittel, um den Zugriff von Clients von einem Set auf Server von einem anderen Set zu begrenzen. Der Bildschirm erfüllt seine Funktionen, indem er alle Informationsflüsse zwischen zwei Systemgruppen steuert (Abb. 6). Die Flusskontrolle besteht darin, sie zu filtern, möglicherweise mit einigen Transformationen.

Auf der nächsten Detailebene kann das Sieb (halbdurchlässige Membran) bequem als eine Reihe von Filtern dargestellt werden. Jeder der Filter kann sie nach der Analyse der Daten verzögern (nicht verfehlen) oder sie sofort vom Bildschirm "werfen". Darüber hinaus ist es möglich, Daten zu transformieren, einen Teil der Daten zur weiteren Analyse an den nächsten Filter zu übergeben oder Daten im Auftrag des Adressaten zu verarbeiten und das Ergebnis an den Absender zurückzusenden (Abb. 7).

Reis. 7

Neben den Zutrittskontrollfunktionen protokollieren die Bildschirme den Informationsaustausch.

Normalerweise ist der Bildschirm nicht symmetrisch, die Begriffe "innen" und "außen" werden dafür definiert. Die Abschirmaufgabe wird in diesem Fall als Schutz des Innenbereichs vor einem möglicherweise feindlichen Außenbereich formuliert. Daher werden Firewalls (ME) am häufigsten installiert, um das Unternehmensnetzwerk einer Organisation zu schützen, die Zugriff auf das Internet hat.

Die Abschirmung trägt dazu bei, die Verfügbarkeit von Diensten im inneren Bereich aufrechtzuerhalten, indem der durch externe Aktivitäten verursachte Overhead reduziert oder eliminiert wird. Die Verwundbarkeit interner Sicherheitsdienste wird reduziert, da der Angreifer zunächst durch die Schleuse gehen muss, wo die Schutzmechanismen besonders sorgfältig konfiguriert sind. Außerdem kann das Abschirmsystem im Gegensatz zum universellen einfacher und damit sicherer angeordnet werden.

Die Abschirmung ermöglicht auch die Kontrolle von Informationsflüssen, die in den externen Bereich gerichtet sind, was dazu beiträgt, das Vertraulichkeitsregime im IS der Organisation aufrechtzuerhalten.

Die Abschirmung kann partiell sein und sicher schützen Informationsdienste(z. B. E-Mail-Escape).

Eine Bounding-Schnittstelle kann man sich auch als eine Art Escaping vorstellen. Ein unsichtbares Objekt ist schwer anzugreifen, insbesondere mit einem festen Werkzeugsatz. In diesem Sinne ist die Webschnittstelle natürlich sicher, insbesondere wenn Hypertext-Dokumente dynamisch generiert werden. Jeder Benutzer sieht nur das, was er sehen soll. Es ist möglich, eine Analogie zwischen dynamisch generierten Hypertext-Dokumenten und Darstellungen in relationalen Datenbanken zu ziehen, mit der bedeutenden Einschränkung, dass im Fall des Webs die Möglichkeiten viel größer sind.

Die Screening-Rolle eines Web-Services wird auch deutlich, wenn dieser Service intermediäre (genauer: integrierende) Funktionen beim Zugriff auf andere Ressourcen, wie zB Datenbanktabellen, übernimmt. Es steuert nicht nur den Anfragefluss, sondern verbirgt auch die eigentliche Organisation der Daten.

Architektonische Aspekte der Sicherheit

Es ist nicht möglich, die der Netzwerkumgebung innewohnenden Bedrohungen mit universellen Betriebssystemen zu bekämpfen. Das Universal OS ist ein riesiges Stück Software, das neben offensichtlichen Fehlern wahrscheinlich einige Funktionen enthält, die verwendet werden können, um illegal Privilegien zu erlangen. Die moderne Programmiertechnik erlaubt es nicht, solche großen Programme sicher zu machen. Darüber hinaus ist ein Administrator, der sich mit einem komplexen System befasst, nicht immer in der Lage, alle Konsequenzen der vorgenommenen Änderungen zu berücksichtigen. Schließlich werden in einem universellen Mehrbenutzersystem ständig Sicherheitslücken durch die Benutzer selbst geschaffen (schwache und/oder selten geänderte Passwörter, schlecht eingestellte Zugriffsrechte, ein unbeaufsichtigtes Terminal usw.). Der einzig erfolgversprechende Weg ist mit der Entwicklung spezialisierter Sicherheitsdienste verbunden, die aufgrund ihrer Einfachheit eine formelle oder informelle Überprüfung ermöglichen. Die Firewall ist ein solches Werkzeug, das eine weitere Zerlegung ermöglicht, die mit der Wartung verschiedener Netzwerkprotokolle verbunden ist.

Die Firewall befindet sich zwischen dem geschützten (internen) Netzwerk und der externen Umgebung (externe Netzwerke oder andere Segmente des Unternehmensnetzwerks). Im ersten Fall spricht man von einem externen ME, im zweiten von einem internen. Je nach Sichtweise kann eine externe Firewall als erste oder letzte (aber keineswegs die einzige) Verteidigungslinie betrachtet werden. Die erste - wenn Sie die Welt mit den Augen eines externen Eindringlings betrachten. Der letzte - wenn Sie sich bemühen, alle Komponenten des Unternehmensnetzwerks zu schützen und illegale Aktionen interner Benutzer zu verhindern.

Die Firewall ist ein idealer Ort, um aktive Auditing-Tools einzubetten. Einerseits ist sowohl in der ersten als auch in der letzten Verteidigungslinie die Erkennung verdächtiger Aktivitäten auf ihre Weise wichtig. Andererseits ist der ME in der Lage, eine beliebig starke Reaktion auf verdächtige Aktivitäten zu implementieren, bis hin zum Abbruch der Verbindung mit der äußeren Umgebung. Allerdings muss man sich darüber im Klaren sein, dass die Verbindung zweier Sicherheitsdienste grundsätzlich eine Lücke schaffen kann, die Accessibility-Angriffe erleichtert.

Es ist ratsam, der Firewall die Identifizierung / Authentifizierung externer Benutzer zuzuweisen, die Zugriff auf Unternehmensressourcen benötigen (mit Unterstützung des Konzepts der einmaligen Anmeldung am Netzwerk).

Kraft der Prinzipien der Verteidigungstrennung, um zu schützen externe Verbindungenüblicherweise wird eine Zweikomponenten-Abschirmung verwendet (siehe Abb. 8). Die primäre Filterung (z. B. das Blockieren von SNMP-Management-Protokoll-Paketen, die für Erreichbarkeitsangriffe gefährlich sind, oder von Paketen mit bestimmten IP-Adressen, die in der „schwarzen Liste“ enthalten sind), wird vom Border-Router durchgeführt (siehe auch den nächsten Abschnitt), der dahintersteckt die sogenannte demilitarisierte Zone (ein Netzwerk mit moderatem Sicherheitsvertrauen, in dem die externen Informationsdienste der Organisation (Web, E-Mail usw.) platziert sind) und die Hauptfirewall, die den internen Teil des Unternehmensnetzwerks schützt.

Theoretisch sollte eine Firewall (insbesondere eine interne) Multiprotokoll sein, aber in der Praxis ist die TCP/IP-Protokollfamilie so dominant, dass die Unterstützung anderer Protokolle ein Overkill zu sein scheint, der der Sicherheit abträglich ist (je komplexer der Dienst, desto anfälliger ist es).

Reis. acht

Im Allgemeinen können sowohl die externe als auch die interne Firewall zu einem Engpass werden, da der Netzwerkverkehr tendenziell schnell zunimmt. Einer der Ansätze zur Lösung dieses Problems besteht darin, die ME in mehrere Hardwareteile zu unterteilen und spezialisierte zwischengeschaltete Server zu organisieren. Die Hauptfirewall kann den eingehenden Datenverkehr grob nach Typ klassifizieren und die Filterung an die entsprechenden Vermittler delegieren (z. B. einen Vermittler, der den HTTP-Verkehr analysiert). Ausgehender Datenverkehr wird zunächst von einem zwischengeschalteten Server verarbeitet, der auch funktional sinnvolle Aktionen ausführen kann, wie z. B. das Zwischenspeichern von Seiten externer Webserver, wodurch das Netzwerk im Allgemeinen und die Hauptfirewall im Besonderen entlastet werden.

Situationen, in denen das Unternehmensnetzwerk nur einen externen Kanal enthält, sind eher die Ausnahme als die Regel. Im Gegensatz dazu besteht eine typische Situation darin, dass ein Unternehmensnetzwerk aus mehreren geografisch verteilten Segmenten besteht, von denen jedes mit dem Internet verbunden ist. In diesem Fall muss jeder Anschluss durch einen eigenen Schirm geschützt werden. Genauer gesagt können wir davon ausgehen, dass die externe Unternehmens-Firewall eine zusammengesetzte Firewall ist, die erforderlich ist, um das Problem der koordinierten Verwaltung (Verwaltung und Prüfung) aller Komponenten zu lösen.

Das Gegenteil von zusammengesetzten Unternehmens-Firewalls (oder ihren Komponenten) sind persönliche Firewalls und persönliche Schutzvorrichtungen. Erstere sind Softwareprodukte, die auf PCs installiert werden und nur diese schützen. Letztere werden auf einzelnen Geräten implementiert und schützen ein kleines lokales Netzwerk, beispielsweise ein Heimnetzwerk.

Beim Einsatz Firewalls Es ist notwendig, die zuvor besprochenen Prinzipien der architektonischen Sicherheit zu beachten, vor allem auf Einfachheit und Kontrollierbarkeit, Verteidigung in der Tiefe und auch auf die Unmöglichkeit des Übergangs in einen unsicheren Zustand. Darüber hinaus müssen nicht nur externe, sondern auch interne Bedrohungen berücksichtigt werden.

Systeme zur Archivierung und Vervielfältigung von Informationen

Die Organisation einer zuverlässigen und effizienten Datenarchivierung ist eine der wichtigsten Aufgaben, um die Sicherheit von Informationen im Netz zu gewährleisten. In kleinen Netzwerken, in denen ein oder zwei Server installiert sind, wird am häufigsten die Installation des Archivsystems direkt in die freien Slots der Server verwendet. In großen Unternehmensnetzwerken ist es am besten, einen dedizierten, spezialisierten Archivierungsserver zu organisieren.

Ein solcher Server archiviert automatisch Informationen von den Festplatten von Servern und Workstations zu dem vom Administrator des lokalen Netzwerks festgelegten Zeitpunkt und gibt einen Bericht über die Sicherung aus.

Die Aufbewahrung von Archivalien von besonderem Wert sollte in einem besonderen Sicherheitsraum organisiert werden. Experten empfehlen, doppelte Archive der wertvollsten Daten im Falle eines Feuers oder einer Naturkatastrophe in einem anderen Gebäude aufzubewahren. Um die Datenwiederherstellung im Falle eines Ausfalls von Magnetplatten sicherzustellen, werden in letzter Zeit am häufigsten Disk-Array-Systeme verwendet - Gruppen von Platten, die als ein einziges Gerät arbeiten und dem RAID-Standard (Redundant Arrays of Inexpensive Disks) entsprechen. Diese Arrays bieten die höchste Schreib-/Lesegeschwindigkeit von Daten vollständige Genesung Daten und Austausch ausgefallener Festplatten im "Hot"-Modus (ohne die verbleibenden Festplatten des Arrays zu trennen).

Die Organisation von Disk-Arrays sieht verschiedene Möglichkeiten vor technische Lösungen auf mehreren Ebenen umgesetzt:

RAID-Level 0 teilt den Datenstrom einfach auf zwei oder mehr Laufwerke auf. Der Vorteil dieser Lösung besteht darin, dass die E/A-Geschwindigkeit proportional zur Anzahl der im Array verwendeten Festplatten zunimmt.

RAID-Level 1 besteht in der Organisation der sogenannten „Spiegel“-Platten. Während der Datenaufzeichnung werden die Informationen der Hauptplatte des Systems auf die Spiegelplatte dupliziert, und wenn die Hauptplatte ausfällt, schaltet sich die "Spiegelplatte" sofort ein.

Die RAID-Stufen 2 und 3 ermöglichen die Erstellung paralleler Plattenarrays, auf die Daten auf Bitebene über die Platten verteilt werden, wenn sie geschrieben werden.

RAID-Level 4 und 5 sind eine Modifikation des Zero-Levels, bei dem der Datenstrom auf die Platten des Arrays verteilt wird. Der Unterschied besteht darin, dass auf Ebene 4 eine spezielle Festplatte zum Speichern redundanter Informationen zugewiesen wird und auf Ebene 5 redundante Informationen auf alle Festplatten des Arrays verteilt werden.

Die Erhöhung der Zuverlässigkeit und des Datenschutzes im Netzwerk, basierend auf der Nutzung redundanter Informationen, erfolgt nicht nur auf der Ebene einzelner Netzwerkelemente, wie zB Disk Arrays, sondern auch auf der Ebene der Netzwerkbetriebssysteme. Beispielsweise implementiert Novell fehlertolerante Versionen des Netware-Betriebssystems - SFT (System Fault Tolerance):

• - SFT Level I. Das erste Level sieht die Erstellung zusätzlicher Kopien von FAT- und Verzeichniseintragstabellen, die sofortige Überprüfung jedes neu geschriebenen Datenblocks auf dem Dateiserver und die Reservierung von etwa 2 % des Plattenvolumens auf jeder Festplatte vor Scheibe.
• - SFT Level II enthielt zusätzlich die Möglichkeit, "Spiegel"-Festplatten zu erstellen, sowie die Duplizierung von Festplattencontrollern, Netzteilen und Schnittstellenkabeln.
• - Die Version SFT Level III ermöglicht die Verwendung von duplizierten Servern im lokalen Netzwerk, von denen einer der "Master" ist und der zweite, der eine Kopie aller Informationen enthält, beim Ausfall des "Masters" in Betrieb geht "Server.

Sicherheitsanalyse

Der Sicherheitsanalysedienst dient dazu, Schwachstellen zu identifizieren, um diese schnell zu beseitigen. An sich schützt dieser Dienst nicht vor irgendetwas, aber er hilft, Sicherheitslücken zu erkennen (und zu beheben), bevor ein Angreifer sie ausnutzen kann. Zunächst einmal meine ich nicht architektonische (es ist schwierig, sie zu beseitigen), sondern "operative" Lücken, die aufgrund von Verwaltungsfehlern oder aufgrund von Unaufmerksamkeit bei der Aktualisierung von Softwareversionen aufgetreten sind.

Sicherheitsanalysesysteme (auch Sicherheitsscanner genannt) basieren wie die oben diskutierten aktiven Audit-Tools auf der Akkumulation und Nutzung von Wissen. In diesem Fall meinen wir Wissen über Sicherheitslücken: wie man sie sucht, wie schwerwiegend sie sind und wie man sie behebt.

Entsprechend ist der Kern solcher Systeme die Schwachstellenbasis, die das verfügbare Leistungsspektrum bestimmt und nahezu ständig aktualisiert werden muss.

Grundsätzlich können Lücken ganz unterschiedlicher Natur erkannt werden: das Vorhandensein von Malware (insbesondere Viren), schwache Benutzerkennwörter, schlecht konfigurierte Betriebssysteme, unsichere Netzwerkdienste, nicht installierte Patches, Schwachstellen in Anwendungen usw. Am effektivsten sind jedoch Netzwerkscanner (anscheinend aufgrund der Dominanz der TCP/IP-Protokollfamilie) sowie Antiviren-Tools (10). Wir stufen den Virenschutz als Sicherheitsanalysetool ein und betrachten ihn nicht als separaten Sicherheitsdienst.

Scanner können Schwachstellen sowohl durch passive Analyse, d. h. Untersuchung von Konfigurationsdateien, beteiligten Ports usw., als auch durch Simulation der Aktionen eines Angreifers identifizieren. Einige gefundene Schwachstellen können automatisch repariert werden (z. B. Desinfektion infizierter Dateien), andere werden dem Administrator gemeldet.

Die von Sicherheitsanalysesystemen bereitgestellte Kontrolle ist von reaktiver, verzögerter Natur, sie schützt nicht vor neuen Angriffen, es sollte jedoch daran erinnert werden, dass die Verteidigung mehrschichtig sein muss und die Sicherheitskontrolle als eine der Grenzen durchaus angemessen ist. Es ist bekannt, dass die überwiegende Mehrheit der Angriffe Routine ist; sie sind nur möglich, weil bekannte Sicherheitslücken jahrelang ungepatcht bleiben.

Der Datenschutz in Computernetzwerken entwickelt sich zu einem der akutesten Probleme der modernen Informatik. Bisher wurden drei Grundprinzipien der Informationssicherheit formuliert, die Folgendes vorsehen sollten:

Datenintegrität – Schutz vor Fehlern, die zu Informationsverlust führen, sowie vor unbefugter Erstellung oder Zerstörung von Daten;

Vertraulichkeit von Informationen und gleichzeitig

Zu beachten ist auch, dass bestimmte Tätigkeitsbereiche (Bank- und Finanzinstitute, Informationsnetze, Systeme der öffentlichen Verwaltung, Verteidigungs- und Sonderstrukturen) besondere Datensicherheitsmaßnahmen erfordern und erhöhte Anforderungen an die Zuverlässigkeit von Informationssystemen stellen.

Bei der Betrachtung der Datenschutzproblematik im Netz stellt sich zunächst die Frage nach der Klassifizierung von Ausfällen und Zugriffsrechtsverletzungen, die zur Zerstörung oder ungewollten Veränderung von Daten führen können. Zu den potenziellen Bedrohungen gehören:

1. Hardwarefehler:

stürzt ab Kabelsystem;

Stromausfälle;

Ausfälle des Festplattensystems;

Ausfälle von Datenarchivierungssystemen;

Ausfälle von Servern, Workstations, Netzwerkkarten etc.;

2. Informationsverlust durch Fehlbedienung der Software:

Verlust oder Veränderung von Daten aufgrund von Softwarefehlern;

Verluste, wenn das System mit Computerviren infiziert ist;

3. Verluste im Zusammenhang mit unbefugtem Zugriff:

Unbefugtes Kopieren, Vernichten oder Verfälschen von Informationen;

Bekanntmachung mit vertraulichen Informationen, die eine geheime, unbefugte Person darstellen;

4. Informationsverlust im Zusammenhang mit unsachgemäßer Aufbewahrung archivierter Daten.

5. Fehler des Servicepersonals und der Benutzer.

versehentliche Zerstörung oder Veränderung von Daten;

Falsche Verwendung von Software und Hardware, die zur Zerstörung oder Veränderung von Daten führt.

Abhängig von den möglichen Arten von Netzwerkstörungen werden zahlreiche Arten des Informationsschutzes in drei Hauptklassen zusammengefasst:

Physische Schutzmittel, einschließlich Kabelsystemschutz, Stromversorgungssysteme, Archivierungstools, Plattenarrays usw.

Sicherheitssoftware, einschließlich: Antivirenprogramme, Systeme zur Differenzierung von Befugnissen, Software für die Zugangskontrolle.

Administrative Schutzmaßnahmen, einschließlich Zugangskontrolle zu Räumlichkeiten, Entwicklung einer Sicherheitsstrategie eines Unternehmens, Notfallpläne usw.

Es sei darauf hingewiesen, dass eine solche Aufteilung eher willkürlich ist, da sich moderne Technologien in Richtung einer Kombination von Software- und Hardwareschutz entwickeln.

Systeme zur Archivierung und Vervielfältigung von Informationen

Die Organisation einer zuverlässigen und effizienten Datenarchivierung ist eine der wichtigsten Aufgaben, um die Sicherheit von Informationen im Netz zu gewährleisten. In kleinen Netzwerken, in denen ein oder zwei Server installiert sind, wird am häufigsten die Installation des Archivsystems direkt in die freien Slots der Server verwendet. In großen Unternehmensnetzwerken ist es am besten, einen dedizierten, spezialisierten Archivierungsserver zu organisieren.

Ein solcher Server archiviert automatisch Informationen von den Festplatten von Servern und Workstations zu dem vom Administrator des lokalen Netzwerks festgelegten Zeitpunkt und erstellt einen Bericht über die Sicherung. Dies bietet Kontrolle über den gesamten Backup-Prozess von der Administratorkonsole aus, Sie können beispielsweise bestimmte Volumes, Verzeichnisse oder einzelne Dateien angeben, die Sie sichern möchten.

Es ist auch möglich, eine automatische Archivierung beim Auftreten des einen oder anderen Ereignisses zu organisieren ("ereignisgesteuertes Backup"), beispielsweise wenn Informationen erhalten werden, dass auf der Festplatte eines Servers oder einer Workstation nur noch wenig freier Speicherplatz vorhanden ist, oder wenn ein der "Spiegel"-Festplatten schlägt fehl. Festplatten auf dem Dateiserver.

Um die Datenwiederherstellung im Falle eines Ausfalls von Magnetplatten sicherzustellen, werden in letzter Zeit am häufigsten Disk-Array-Systeme verwendet - Gruppen von Platten, die als ein einziges Gerät arbeiten und dem RAID-Standard (Redundant Arrays of Inexpensive Disks) entsprechen.

Schutz vor Computerviren

Bis heute erscheinen neben Tausenden bereits bekannter Viren jeden Monat 100-150 neue Stämme. Bis heute sind verschiedene Antivirenprogramme die gängigsten Methoden zum Schutz vor Viren.

In den letzten Jahren wurde jedoch zunehmend eine Kombination aus Software- und Hardware-Schutzverfahren als vielversprechender Ansatz zum Schutz vor Computerviren eingesetzt. Unter den Hardwaregeräten dieser Art kann man spezielle Antivirenkarten feststellen, die in Standard-Erweiterungssteckplätze von Computern eingesetzt werden.

Schutz vor unbefugtem Zugriff

Das Problem des Schutzes von Informationen vor unbefugtem Zugriff ist mit der weitverbreiteten Verwendung lokaler und insbesondere globaler Computernetzwerke besonders akut geworden. Es sollte auch beachtet werden, dass der Schaden oft nicht aufgrund von "böswilliger Absicht" entsteht, sondern aufgrund elementarer Fehler von Benutzern, die versehentlich wichtige Daten beschädigen oder löschen. Ein notwendiges Element des Informationsschutzes in Computernetzwerken ist dabei neben der Zugriffskontrolle die Abgrenzung von Nutzerbefugnissen.

In Computernetzwerken werden bei der Organisation der Zugriffskontrolle und der Unterscheidung von Benutzerrechten am häufigsten die integrierten Tools von Netzwerkbetriebssystemen verwendet.

Es gibt viele mögliche Richtungen des Informationslecks und Wege des unbefugten Zugriffs auf Systeme und Netzwerke. Unter ihnen:

Lesen von Restinformationen im Systemspeicher nach der Ausführung autorisierter Anforderungen;

Kopieren von Medien und Informationsdateien mit Überwindung von Schutzmaßnahmen;

sich als registrierter Benutzer ausgeben;

auf Verlangen des Systems verkleiden;

Verwendung von Softwarefallen;

Ausnutzen der Mängel des Betriebssystems;

Illegale Verbindung zu Geräten und Kommunikationsleitungen;

Böswillige Außerkraftsetzung von Schutzmechanismen;

Einführung und Verwendung von Computerviren.

Die Gewährleistung der Informationssicherheit wird durch eine Reihe von organisatorischen, organisatorischen, technischen, technischen und programmatischen Maßnahmen erreicht.

Zu organisatorischen Maßnahmen Informationssicherheit umfassen:

Beschränkung des Zugangs zu den Räumlichkeiten, in denen die Aufbereitung und Verarbeitung von Informationen stattfindet;

Zulassung zur Verarbeitung und Übermittlung vertraulicher Informationen nur an verifizierte Beamte;

· Aufbewahrung von Magnetmedien und Registrierungsprotokollen in Tresoren, die für Unbefugte verschlossen sind;

Ausschluss der inhaltlichen Einsichtnahme verarbeiteter Materialien durch unbefugte Personen über ein Display, einen Drucker etc.;

Die Verwendung kryptografischer Codes bei der Übertragung wertvoller Informationen über Kommunikationskanäle;

· Zerstörung von Farbbändern, Papier und anderen Materialien, die Fragmente wertvoller Informationen enthalten.

Organisatorische und technische Maßnahmen Informationssicherheit umfassen:

· Stromversorgung von Geräten, die wertvolle Informationen aus einer unabhängigen Stromquelle oder durch spezielle Netzfilter verarbeiten;

Installation von Codeschlössern an den Türen der Räumlichkeiten;

Verwendung von Flüssigkristall- oder Plasmabildschirmen zum Anzeigen von Informationen während der Eingabe/Ausgabe und zum Erhalten von Ausdrucken - Tintenstrahldrucker und Thermodrucker, da der Bildschirm eine so hochfrequente elektromagnetische Strahlung abgibt, dass das Bild von seinem Bildschirm aus einer Entfernung von aufgenommen werden kann mehrere hundert Kilometer;

Zerstörung von Informationen bei der Außerbetriebnahme oder Einsendung von Computern zur Reparatur;

· Installation von Tastaturen und Druckern auf weichen Unterlagen, um die Möglichkeit zu verringern, Informationen durch akustische Mittel zu entfernen;

Begrenzung der elektromagnetischen Strahlung durch Abschirmung der Räume, in denen Informationen verarbeitet werden, mit Blechen oder Spezialkunststoff.

Technische Mittel Informationssicherheit - Dies sind Systeme zum Schutz von Gebieten und Räumlichkeiten durch Abschirmung von Maschinenräumen und Organisation von Zugangskontrollsystemen. Der Schutz von Informationen in Netzwerken und Rechenanlagen mit Hilfe technischer Mittel wird auf der Grundlage der Organisation des Zugriffs auf den Speicher unter Verwendung von:

Kontrolle des Zugriffs auf verschiedene Ebenen des Computerspeichers;

Sperren von Daten und Eingeben von Schlüsseln;

Vergabe von Steuerbits für Datensätze zwecks Identifikation etc.

Softwarearchitektur Der Informationsschutz umfasst:

Sicherheitskontrolle, einschließlich Kontrolle der Registrierung des Eintritts in das System, Fixierung im Systemprotokoll, Kontrolle der Benutzeraktionen;

Reaktion (einschließlich Ton) auf eine Verletzung des Schutzsystems zur Kontrolle des Zugriffs auf Netzwerkressourcen;

Kontrolle der Zugangsdaten;

Formale Sicherheitskontrolle von Betriebssystemen (grundlegend systemweit und netzwerkweit);

Kontrolle von Schutzalgorithmen;

Überprüfung und Bestätigung der korrekten Funktion von Hard- und Software.

Für einen zuverlässigen Schutz von Informationen und die Erkennung von Fällen nicht autorisierter Aktionen wird eine Registrierung des Systembetriebs durchgeführt: Es werden spezielle Tagebücher und Protokolle erstellt, in denen alle Aktionen im Zusammenhang mit dem Schutz von Informationen im System aufgezeichnet werden. Spezielle Programme werden auch verwendet, um das Schutzsystem zu testen. Sie überprüfen periodisch oder zu zufällig ausgewählten Zeitpunkten die Leistungsfähigkeit des Hard- und Softwareschutzes.

Eine separate Gruppe von Maßnahmen zur Gewährleistung der Sicherheit von Informationen und zur Identifizierung nicht autorisierter Anfragen umfasst Programme zur Erkennung von Verstößen in Echtzeit. Programme dieser Gruppe erzeugen ein besonderes Signal, wenn sie Aktionen registrieren, die zu illegalen Aktionen in Bezug auf geschützte Informationen führen können. Das Signal kann Informationen über die Art der Verletzung, den Ort ihres Auftretens und andere Merkmale enthalten. Darüber hinaus können Programme den Zugriff auf geschützte Informationen verbieten oder eine solche Funktionsweise simulieren (z. B. sofortiges Laden von E / A-Geräten), wodurch der Eindringling vom entsprechenden Dienst identifiziert und festgenommen werden kann.

Eine der gängigen Schutzmethoden ist ein ausdrücklicher Hinweis auf die Geheimhaltung der ausgegebenen Informationen. Diese Anforderung wird mit entsprechenden Softwaretools umgesetzt.

Durch die Ausstattung der Server- oder Netzwerkarbeitsplätze beispielsweise mit einem Chipkartenleser und spezieller Software können Sie den Schutzgrad vor unbefugtem Zugriff deutlich erhöhen. In diesem Fall muss der Benutzer für den Zugriff auf den Computer eine Smartcard in das Lesegerät einführen und seinen persönlichen Code eingeben.

Intelligente Zugangskontrollkarten ermöglichen Ihnen insbesondere die Implementierung von Funktionen wie Zugangskontrolle, Zugang zu Personalcomputergeräten, Zugang zu Programmen, Dateien und Befehlen.

Remote-Access-Bridges und -Router verwenden Paketsegmentierung – ihre Trennung und parallele Übertragung über zwei Leitungen – was es unmöglich macht, Daten „abzufangen“, wenn sich ein „Hacker“ illegal mit einer der Leitungen verbindet. Darüber hinaus garantiert das bei der Datenübertragung verwendete Verfahren zur Komprimierung der übertragenen Pakete die Unmöglichkeit, "abgefangene" Daten zu entschlüsseln. Darüber hinaus können Remote-Access-Bridges und -Router so programmiert werden, dass Remote-Benutzer daran gehindert werden, auf bestimmte Ressourcen im Netzwerk der Hauptniederlassung zuzugreifen.

Sicherheitsmechanismen

1. Kryptographie.

Um die Geheimhaltung zu gewährleisten, wird Verschlüsselung oder Kryptografie verwendet, mit der Sie Daten in eine verschlüsselte Form umwandeln können, aus der Sie die ursprünglichen Informationen nur extrahieren können, wenn Sie einen Schlüssel haben.

Die Verschlüsselung basiert auf zwei grundlegenden Konzepten: einem Algorithmus und einem Schlüssel. Ein Algorithmus ist eine Möglichkeit, den ursprünglichen Text zu codieren, was zu einer verschlüsselten Nachricht führt. Eine verschlüsselte Nachricht kann nur mit dem Schlüssel interpretiert werden.

Alle Elemente von Schutzsystemen sind in zwei Kategorien unterteilt - langfristig und leicht austauschbar. Zu den langfristigen Elementen gehören Elemente, die mit der Entwicklung von Schutzsystemen zusammenhängen und für deren Änderung das Eingreifen von Spezialisten oder Entwicklern erforderlich ist. Leicht austauschbare Elemente umfassen Systemelemente, die für eine willkürliche Modifikation oder Modifikation gemäß einer vorbestimmten Regel basierend auf zufällig ausgewählten Anfangsparametern vorgesehen sind. Leicht änderbare Elemente umfassen beispielsweise einen Schlüssel, ein Passwort, eine Identifikation und dergleichen.

Die Geheimhaltung von Informationen wird durch die Einführung spezieller Schlüssel (Codes) in die Algorithmen gewährleistet. Die Verwendung eines Schlüssels bei der Verschlüsselung bietet zwei signifikante Vorteile. Erstens können Sie einen Algorithmus mit verschiedenen Schlüsseln verwenden, um Nachrichten an verschiedene Empfänger zu senden. Zweitens, wenn der Schlüssel kompromittiert wird, kann er leicht ersetzt werden, ohne den Verschlüsselungsalgorithmus zu ändern. Somit hängt die Sicherheit von Verschlüsselungssystemen von der Geheimhaltung des verwendeten Schlüssels ab und nicht von der Geheimhaltung des Verschlüsselungsalgorithmus.

Es ist wichtig zu beachten, dass die zunehmende Produktivität der Technologie zu einer Verringerung der zum Öffnen der Schlüssel erforderlichen Zeit führt und Sicherheitssysteme immer längere Schlüssel verwenden müssen, was wiederum zu einem Anstieg der Verschlüsselungskosten führt.

Da der Geheimhaltung des Schlüssels ein so wichtiger Platz in Verschlüsselungssystemen eingeräumt wird, ist das Hauptproblem solcher Systeme die Generierung und Übertragung des Schlüssels.

Es gibt zwei Hauptverschlüsselungsschemata: symmetrische Verschlüsselung (manchmal auch als traditionelle oder Verschlüsselung mit privatem Schlüssel bezeichnet) und Verschlüsselung mit öffentlichem Schlüssel (manchmal auch als asymmetrische Verschlüsselung bezeichnet).

Bei der symmetrischen Verschlüsselung teilen sich Sender und Empfänger denselben Schlüssel (Secret), mit dem sie Daten ver- und entschlüsseln können.

Elektronische Unterschrift

Mit Hilfe einer elektronischen Signatur kann der Empfänger sicherstellen, dass die empfangene Nachricht nicht von einem Dritten, sondern von einem Absender mit bestimmten Rechten stammt. Elektronische Signaturen werden durch Verschlüsselung erstellt Prüfsumme und zusätzliche Information unter Verwendung des privaten Schlüssels des Absenders. Somit kann jeder die Signatur mit dem öffentlichen Schlüssel entschlüsseln, aber nur der Besitzer des privaten Schlüssels kann die Signatur korrekt erstellen. Zum Schutz vor Abhören und Wiederverwendung enthält die Signatur eine eindeutige Nummer – eine Sequenznummer.

Authentifizierung

Die Authentifizierung ist eine der wichtigsten Komponenten bei der Organisation der Informationssicherheit in einem Netzwerk. Bevor einem Benutzer das Recht eingeräumt wird, eine bestimmte Ressource zu erhalten, muss sichergestellt werden, dass er wirklich der ist, für den er sich ausgibt.

Wenn eine Anforderung zur Nutzung einer Ressource im Namen eines Benutzers eingeht, übergibt der Server, der die Ressource bereitstellt, die Kontrolle an den Authentifizierungsserver. Nach Erhalt einer positiven Antwort vom Authentifizierungsserver wird die angeforderte Ressource dem Benutzer bereitgestellt.

Die Authentifizierung verwendet in der Regel das Prinzip „Was er weiß“ – der Benutzer kennt ein geheimes Wort, das er als Antwort auf seine Anfrage an den Authentifizierungsserver sendet. Ein Authentifizierungsschema ist zu verwenden Standardpasswörter. Passwort - er gibt zu Beginn der Interaktionssitzung mit dem Netzwerk und manchmal am Ende der Sitzung ein (in besonders verantwortungsvollen Fällen kann sich das Passwort für einen normalen Austritt aus dem Netzwerk von dem eingegebenen unterscheiden). Dieses Schema ist in Bezug auf die Sicherheit am anfälligsten - das Passwort kann abgefangen und von einer anderen Person verwendet werden.

Die am häufigsten verwendeten Schemata verwenden Einmalpasswörter. Selbst wenn es abgefangen wird, ist dieses Passwort bei der nächsten Registrierung nutzlos, und das Abrufen des nächsten Passworts aus dem vorherigen ist eine äußerst schwierige Aufgabe. Zur Generierung von Einmalpasswörtern werden sowohl Software- als auch Hardwaregeneratoren verwendet, bei denen es sich um Geräte handelt, die in einen Computersteckplatz eingesetzt werden. Die Kenntnis des geheimen Wortes ist für den Benutzer erforderlich, um dieses Gerät zu aktivieren.

Netzwerkschutz

In letzter Zeit werden Unternehmensnetzwerke zunehmend mit dem Internet verbunden oder nutzen es sogar als Backbone. Firewalls werden verwendet, um Uzu schützen. Firewalls sind ein System oder eine Kombination von Systemen, die es Ihnen ermöglichen, ein Netzwerk in zwei oder mehr Teile zu unterteilen und eine Reihe von Regeln zu implementieren, die die Bedingungen für die Weitergabe von Paketen von einem Teil zum anderen festlegen. Diese Grenze wird in der Regel zwischen dem lokalen Netzwerk des Unternehmens und INTERNETOM gezogen, kann aber auch intern gezogen werden. Allerdings ist es nicht rentabel, einzelne Computer zu schützen, daher wird meist das gesamte Netzwerk geschützt. Die Firewall leitet den gesamten Datenverkehr durch sich selbst und trifft für jedes passierende Paket eine Entscheidung, ob es durchgelassen oder verworfen wird. Damit die Firewall diese Entscheidungen treffen kann, wird für sie ein Regelwerk definiert.

Eine Firewall kann entweder in Hardware (d. h. als separates physisches Gerät) oder als spezielles Programm implementiert werden, das auf einem Computer ausgeführt wird.

In der Regel im Betriebssystem, unter der die Firewall läuft, werden Änderungen vorgenommen, deren Zweck es ist, den Schutz der Firewall selbst zu erhöhen. Diese Änderungen betreffen sowohl den OS-Kernel als auch die entsprechenden Konfigurationsdateien. Auf der Firewall selbst dürfen keine Benutzerbereiche und damit potenzielle Lücken vorhanden sein - nur der Administratorbereich.

Einige Firewalls arbeiten nur im Einzelbenutzermodus, und viele verfügen über ein System zur Überprüfung der Integrität von Programmcodes.

Eine Firewall besteht normalerweise aus mehreren verschiedenen Komponenten, einschließlich Filtern oder Bildschirmen, die einen Teil des Datenverkehrs blockieren.

Alle Firewalls können in zwei Typen unterteilt werden:

Paketfilter, die IP-Pakete mithilfe von Filterroutern filtern;

Anwendungsschichtserver, die den Zugriff auf bestimmte Dienste im Netzwerk blockieren.

Somit kann eine Firewall als ein Satz von Komponenten oder ein System definiert werden, das sich zwischen zwei Netzwerken befindet und die folgenden Eigenschaften hat:

Der gesamte Datenverkehr vom internen zum externen und vom externen zum internen Netzwerk muss dieses System durchlaufen;

· nur Verkehr, der durch die lokale Sicherheitsrichtlinie definiert ist, kann dieses System passieren;

Im ersten Teil der „Grundlagen der Informationssicherheit“ haben wir uns mit den Hauptarten von Bedrohungen für die Informationssicherheit befasst. Um mit der Wahl der Mittel zum Schutz von Informationen beginnen zu können, ist es notwendig, genauer zu betrachten, was dem Informationsbegriff zugeschrieben werden kann.

Informationen und ihre Klassifizierung

Es gibt viele Definitionen und Klassifikationen von "Informationen". Die prägnanteste und gleichzeitig umfangreichste Definition findet sich im Bundesgesetz vom 27. Juli 2006 Nr. 149-FZ(in der Fassung vom 29. Juli 2017), Artikel 2: Informationen sind Informationen (Nachrichten, Daten) unabhängig von der Form ihrer Darstellung.

Informationen können in mehrere Typen eingeteilt und je nach Zugriffskategorie unterteilt werden Öffentliche Information, sowie Informationen, auf die der Zugriff beschränkt ist - vertrauliche Daten und Staatsgeheimnisse.

Informationen werden je nach Reihenfolge ihrer Bereitstellung oder Verbreitung unterteilt in Informationen:

1. frei weiterverteilbar
2. Wird nach Vereinbarung von Personen bereitgestellt in die jeweilige Beziehung eingebunden
3. Welche, in Übereinstimmung mit Bundesgesetzen bereitzustellen oder zu verteilen
4. Distribution, die in der Russischen Föderation eingeschränkt oder verboten

Zweckinformationen sind von den folgenden Arten:

1. Schüttgut- enthält triviale Informationen und arbeitet mit einer Reihe von Konzepten, die für den größten Teil der Gesellschaft verständlich sind.
2. Speziell- enthält eine bestimmte Reihe von Konzepten, die von der Mehrheit der Gesellschaft möglicherweise nicht verstanden werden, aber innerhalb einer engen sozialen Gruppe, in der diese Informationen verwendet werden, notwendig und verständlich sind.
3. Geheimnis- der Zugang zu einem engen Personenkreis und über geschlossene (sichere) Kanäle erfolgt.
4. Persönlich (privat)- eine Reihe von Informationen über eine Person, die die soziale Position und die Arten sozialer Interaktionen bestimmen.

Informationssicherheitswerkzeuge müssen direkt auf Informationen angewendet werden, auf die der Zugriff beschränkt ist - dies Staatsgeheimnisse und vertrauliche Daten.

Gemäß dem Gesetz der Russischen Föderation vom 21.07.1993 N 5485-1 (in der Fassung vom 03.08.2015) „Über Staatsgeheimnisse“ Artikel 5. "Liste der Informationen, die ein Staatsgeheimnis darstellen" gilt für:

1. Informationen im militärischen Bereich.
2. Informationen im Bereich Wirtschaft, Wissenschaft und Technik.
3. Informationen im Bereich Außenpolitik und Wirtschaft.
4. Informationen im Bereich Nachrichtendienst, Spionageabwehr und operative Suchtätigkeiten sowie im Bereich der Terrorismusbekämpfung und im Bereich der Gewährleistung der Sicherheit von Personen, für die die Anwendung staatlicher Schutzmaßnahmen beschlossen wurde.

Eine Liste von Informationen, die vertrauliche Informationen darstellen können, ist in enthalten Präsidialerlass 6. März 1997 №188 (in der Fassung vom 13. Juli 2015) „Nach Genehmigung der Liste vertraulicher Informationen“.

Vertrauliche Daten- Dies sind Informationen, zu denen der Zugang gemäß den Gesetzen des Staates und den von Unternehmen unabhängig festgelegten Normen beschränkt ist. Folgende Arten vertraulicher Daten können unterschieden werden:

• Persönliche sensible Daten: Informationen über Tatsachen, Ereignisse und Umstände des Privatlebens eines Bürgers, die es ermöglichen, seine Persönlichkeit zu identifizieren (personenbezogene Daten), mit Ausnahme von Informationen, die in den durch Bundesgesetze festgelegten Fällen in den Medien verbreitet werden sollen. Einzige Ausnahme sind Informationen, die in den Medien verbreitet werden.
• Dienstsensible Daten: Offizielle Informationen, deren Zugang von Behörden gemäß dem Zivilgesetzbuch der Russischen Föderation und föderalen Gesetzen eingeschränkt ist (Amtsgeheimnis).
• Forensische vertrauliche Daten: Zum staatlichen Schutz von Richtern, Beamten der Strafverfolgungsbehörden und Aufsichtsbehörden. Zum staatlichen Schutz von Opfern, Zeugen und anderen Beteiligten an Strafverfahren. Informationen, die in den Personalakten von Verurteilten enthalten sind, sowie Informationen zur Vollstreckung von Gerichtsakten, Handlungen anderer Stellen und Beamten, mit Ausnahme von Informationen, die gemäß dem Bundesgesetz vom 2. Oktober 2007 N 229-FZ öffentlich zugänglich sind. zum Vollstreckungsverfahren".
• Kommerzielle sensible Daten: alle Arten von Informationen, die sich auf den Handel (Gewinn) beziehen und zu denen der Zugang gesetzlich beschränkt ist, oder Informationen über das Wesen einer Erfindung, eines Gebrauchsmusters oder eines Geschmacksmusters vor der offiziellen Veröffentlichung von Informationen darüber durch das Unternehmen (geheime Entwicklungen, Produktion Technologien usw.).
• Beruflich vertrauliche Daten: Informationen im Zusammenhang mit beruflichen Tätigkeiten, zu denen der Zugang gemäß der Verfassung der Russischen Föderation und föderalen Gesetzen beschränkt ist (medizinische, notarielle, Anwaltsgeheimnisse, Korrespondenz, Telefongespräche, Post, Telegrafen- oder andere Nachrichten usw.)

Abbildung 1. Klassifizierung von Informationstypen.

persönliche Daten

Unabhängig davon lohnt es sich, personenbezogene Daten zu beachten und zu berücksichtigen. Gemäss Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ(in der Fassung vom 29.07.2017) „Über personenbezogene Daten“, Artikel 4: persönliche Daten- dies sind alle Informationen, die sich auf eine direkt oder indirekt identifizierte oder identifizierbare natürliche Person beziehen (Gegenstand personenbezogener Daten).

Der Betreiber personenbezogener Daten ist- staatliche Körperschaft, kommunale Körperschaft, Rechts- oder Individuell, unabhängig oder gemeinsam mit anderen Personen, die die Verarbeitung personenbezogener Daten organisieren und (oder) durchführen, sowie die Zwecke der Verarbeitung personenbezogener Daten, die Zusammensetzung der zu verarbeitenden personenbezogenen Daten, mit personenbezogenen Daten durchgeführte Aktionen (Operationen) bestimmen.

Verarbeitung personenbezogener Daten- jede Aktion (Operation) oder eine Reihe von Aktionen (Operationen), die unter Verwendung von Automatisierungstools oder ohne Verwendung solcher Tools mit personenbezogenen Daten durchgeführt werden, einschließlich Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Verwendung, Übertragung (Verteilung, Bereitstellung, Zugriff), Anonymisierung, Sperrung, Löschung, Vernichtung personenbezogener Daten.

Das Recht zur Verarbeitung personenbezogener Daten ist in Vorschriften über staatliche Stellen, Bundesgesetze, Lizenzen für die Arbeit mit personenbezogenen Daten, die von Roskomnadzor oder FSTEC ausgestellt wurden, verankert.

Unternehmen, die beruflich mit personenbezogenen Daten einer Vielzahl von Personen arbeiten, beispielsweise Hosting-Unternehmen für virtuelle Server oder Telekommunikationsbetreiber, müssen sich in das von Roskomnadzor geführte Register eintragen.

Beispielsweise arbeitet unser Hosting virtueller Server VPS.HOUSE im Rahmen der Gesetzgebung der Russischen Föderation und in Übereinstimmung mit den Lizenzen des Föderalen Dienstes für die Überwachung von Kommunikation, Informationstechnologie und Massenkommunikation Nr. 139322 vom 25. Dezember 2015 (Telematische Kommunikationsdienste) und Nr. 139323 vom 25. Dezember 2015 (Kommunikationsdienste zur Datenübertragung, ausgenommen Kommunikationsdienste zur Datenübertragung zum Zweck der Übertragung von Sprachinformationen) .

Auf dieser Grundlage ist jede Website, die über ein Benutzerregistrierungsformular verfügt, das Informationen in Bezug auf personenbezogene Daten angibt und anschließend verarbeitet, ein Betreiber personenbezogener Daten.

In Anbetracht von Artikel 7 des Gesetzes Nr. 152-FZ„Über personenbezogene Daten“ Betreiber und andere Personen, die Zugang zu personenbezogenen Daten erhalten haben, sind verpflichtet, personenbezogene Daten nicht ohne Zustimmung des Subjekts personenbezogener Daten an Dritte weiterzugeben und nicht zu verbreiten, sofern das Bundesgesetz nichts anderes vorsieht. Dementsprechend ist jeder Betreiber personenbezogener Daten verpflichtet, die erforderliche Sicherheit und Vertraulichkeit dieser Informationen zu gewährleisten.

Um die Sicherheit und Vertraulichkeit von Informationen zu gewährleisten, muss festgelegt werden, zu welchen Medien der Zugang offen und zu welchen geschlossen ist. Dementsprechend werden Methoden und Mittel zum Schutz auch in Abhängigkeit von der Art der Medien ausgewählt.

Hauptinformationsträger:

• Gedruckte und elektronische Medien, soziale Netzwerke, andere Ressourcen im Internet;
• Mitarbeiter der Organisation, die aufgrund ihrer Freundschaften, Familie, beruflichen Beziehungen Zugang zu Informationen haben;
• Kommunikationsmittel, die Informationen übertragen oder speichern: Telefone, automatische Telefonzentralen, andere Telekommunikationsgeräte;
• Dokumente aller Art: persönliche, offizielle, staatliche;
• Software als eigenständiges Informationsobjekt, insbesondere wenn deren Version speziell für ein bestimmtes Unternehmen entwickelt wurde;
• Elektronische Speichermedien, die Daten automatisch verarbeiten.

Nachdem Sie festgestellt haben, welche Informationen zu schützen sind, welche Informationsträger und welche möglichen Schäden bei ihrer Weitergabe entstehen, können Sie die erforderlichen Schutzmittel auswählen.

Klassifizierung von Informationssicherheitstools

In Übereinstimmung mit dem Bundesgesetz vom 27. Juli 2006 Nr. 149-FZ(in der Fassung vom 29. Juli 2017) „Über Informationen, Informationstechnologien und Informationsschutz“, Artikel 7, Absatz 1. und Absatz 4:

1. Informationssicherheit repräsentiert Verabschiedung rechtlicher, organisatorischer und technischer Maßnahmen, gezielt auf:

• Sicherheit Schutz von Informationen vor unbefugtem Zugriff, Zerstörung, Änderung, Sperrung, Vervielfältigung, Bereitstellung, Verbreitung sowie vor anderen rechtswidrigen Handlungen in Bezug auf diese Informationen;
• Beachtung Vertraulichkeit eingeschränkter Informationen;
• Implementierung das Recht auf Zugang zu Informationen.

4. Eigentümer von Informationen, Betreiber von Informationssystemen in den durch die Gesetzgebung der Russischen Föderation festgelegten Fällen, zur Bereitstellung verpflichtet sind:

• Verhütung unbefugter Zugriff auf Informationen und (oder) deren Weitergabe an Personen, die nicht berechtigt sind, auf Informationen zuzugreifen;
• rechtzeitig Erkennung Tatsachen des unbefugten Zugriffs auf Informationen;
• Warnung die Möglichkeit nachteiliger Folgen eines Verstoßes gegen die Anordnung des Zugangs zu Informationen;
• Verhütung Einwirkung auf die technischen Mittel der Informationsverarbeitung, wodurch deren Funktion gestört wird;
• Möglichkeit der sofortigen Wiederherstellung Informationen, die aufgrund eines unbefugten Zugriffs darauf geändert oder zerstört wurden;
• Konstante Kontrolle zur Gewährleistung des Niveaus der Informationssicherheit;
• Finden auf dem Territorium der Russischen Föderation von Informationsdatenbanken, die verwendet werden, um personenbezogene Daten von Bürgern der Russischen Föderation zu sammeln, aufzuzeichnen, zu systematisieren, zu akkumulieren, zu speichern, zu klären (aktualisieren, ändern), zu extrahieren (Klausel 7 wurde durch das Bundesgesetz vom 21.07.2014 Nr. 242-FZ).

Basierend auf dem Gesetz Nr. 149-FZ Informationssicherheit kann auch in mehrere Ebenen unterteilt werden:

1. Rechtsebene sorgt für die Einhaltung staatlicher Standards im Bereich der Informationssicherheit und umfasst Urheberrechte, Verordnungen, Patente und Stellenbeschreibungen.
   Ein gut aufgebautes Schutzsystem verletzt nicht die Rechte der Benutzer und die Normen der Datenverarbeitung.
2. Organisationsebene ermöglicht es Ihnen, Regeln für die Arbeit von Benutzern mit vertraulichen Informationen zu erstellen, Personal auszuwählen, die Arbeit mit Dokumentationen und Datenträgern zu organisieren.
   Die Regeln für die Arbeit von Benutzern mit vertraulichen Informationen werden als Zugriffskontrollregeln bezeichnet. Die Regeln werden von der Unternehmensleitung zusammen mit dem Sicherheitsdienst und dem Lieferanten festgelegt, der das Sicherheitssystem implementiert. Ziel ist es, Bedingungen für den Zugriff auf Informationsressourcen für jeden Benutzer zu schaffen, z. B. das Recht, ein vertrauliches Dokument zu lesen, zu bearbeiten und zu übertragen.
   Zugriffskontrollregeln werden auf organisatorischer Ebene entwickelt und in der Phase der Arbeit mit der technischen Komponente des Systems implementiert.
3. Technisches Niveau bedingt unterteilt in physisch, Hardware, Software und mathematisch (kryptographisch).

Informationssicherheits-Tools

Informationssicherheits-Tools genommen, um unterteilt zu werden normativ (informell) und technisch (formal).

Informelle Mittel der Informationssicherheit

Informelle Informationssicherheitstools– sind normativ (legislativ), administrativ (organisatorisch) und moralisch und ethisch Mittel, zu denen gehören: Dokumente, Regeln, Ereignisse.

Rechtliche Rahmenbedingungen ( gesetzgeberische Mittel) Informationssicherheit wird vom Staat gewährleistet. Der Informationsschutz wird durch internationale Übereinkommen, die Verfassung, Bundesgesetze „Über Informationen, Informationstechnologien und Informationsschutz“, die Gesetze der Russischen Föderation „Über Sicherheit“, „Über Kommunikation“, „Über Staatsgeheimnisse“ und verschiedene Verordnungen geregelt .

Auch einige der aufgeführten Gesetze wurden von uns oben zitiert und diskutiert, wie z Rechtliche Rahmenbedingungen Informationssicherheit. Die Nichteinhaltung dieser Gesetze birgt Gefahren für die Informationssicherheit, die erhebliche Konsequenzen nach sich ziehen können, die wiederum nach diesen Gesetzen strafbar sind, bis hin zur strafrechtlichen Verantwortlichkeit.

Der Staat bestimmt auch das Maß der Verantwortung für die Verletzung der Bestimmungen der Gesetzgebung im Bereich der Informationssicherheit. Zum Beispiel enthält Kapitel 28 „Verbrechen im Bereich Computerinformationen“ im Strafgesetzbuch der Russischen Föderation drei Artikel:

• Artikel 272 „Illegaler Zugang zu Computerinformationen“;
• Artikel 273 „Schaffung, Verwendung und Verbreitung schädlicher Computerprogramme“;
• Artikel 274 "Verstoß gegen die Vorschriften für den Betrieb von Mitteln zur Speicherung, Verarbeitung oder Übertragung von Computerinformationen und Informations- und Telekommunikationsnetzen."

administrativ (organisatorisch) Maßnahmen spielen eine wesentliche Rolle bei der Schaffung eines zuverlässigen Informationsschutzmechanismus. Denn die Möglichkeit der unbefugten Nutzung vertraulicher Informationen wird maßgeblich nicht von technischen Aspekten, sondern von böswilligen Handlungen bestimmt. Zum Beispiel Fahrlässigkeit, Fahrlässigkeit und Fahrlässigkeit von Benutzern oder Schutzpersonal.

Um die Auswirkungen dieser Aspekte zu reduzieren, ist eine Reihe von organisatorischen, rechtlichen und organisatorischen und technischen Maßnahmen erforderlich, die die Möglichkeit einer Bedrohung vertraulicher Informationen ausschließen oder minimieren.

Bei dieser administrativen und organisatorischen Tätigkeit zum Schutz von Informationen für das Sicherheitspersonal ist Raum für Kreativität.

Dies sind Architektur- und Planungslösungen, mit denen Sie Besprechungsräume und Chefbüros vor Abhören schützen und verschiedene Zugriffsebenen auf Informationen einrichten können.

Im Hinblick auf die Regulierung der Aktivitäten des Personals wird es wichtig sein, ein System für Anträge auf Zugang zum Internet, zu externen E-Mails und anderen Ressourcen zu entwerfen. Ein separates Element wird der elektronische Empfang sein Digitale Unterschrift um die Sicherheit von Finanz- und anderen Informationen zu verbessern, die über E-Mail-Kanäle an Regierungsbehörden übermittelt werden.

zu moralisch und ethisch Die Mittel können den moralischen Normen oder ethischen Regeln zugeschrieben werden, die sich in einer Gesellschaft oder einem bestimmten Team entwickelt haben, deren Einhaltung zum Schutz von Informationen beiträgt, und deren Verletzung der Nichteinhaltung der Verhaltensregeln in einem gleichgesetzt wird Gesellschaft oder Team. Diese Normen sind als gesetzlich anerkannte Normen nicht verbindlich, ihre Nichteinhaltung führt jedoch zu einem Autoritäts- und Prestigeverlust einer Person oder Organisation.

Formale Mittel des Informationsschutzes

Formelle Abhilfe- Dies sind spezielle technische Mittel und Software, die in physisch, Hardware, Software und Kryptografie unterteilt werden können.

Physische Mittel zum Schutz von Informationen- Dies sind alle mechanischen, elektrischen und elektronischen Mechanismen, die unabhängig von Informationssystemen funktionieren und Zugangsbarrieren zu ihnen schaffen.

Schlösser, einschließlich elektronischer, Bildschirme und Jalousien, sollen Hindernisse für den Kontakt destabilisierender Faktoren mit Systemen schaffen. Ergänzt wird die Gruppe durch Sicherheitssysteme, beispielsweise Videokameras, Videorecorder, Sensoren, die Bewegungen oder eine Überschreitung der elektromagnetischen Strahlung in dem Bereich erkennen, in dem sich technische Mittel zur Aufzeichnung von Informationen befinden.

Hardware-Informationssicherheit- Dies sind alle elektrischen, elektronischen, optischen, Laser- und anderen Geräte, die in Informations- und Telekommunikationssysteme eingebaut sind: spezielle Computer, Mitarbeiterkontrollsysteme, Schutz von Servern und Unternehmensnetzwerken. Sie verhindern den Zugriff auf Informationen, auch durch Maskierung.

Zur Hardware gehören: Rauschgeneratoren, Netzwerkfilter, Scanning-Radios und viele andere Geräte, die potenzielle Informationsleckkanäle „blockieren“ oder deren Erkennung ermöglichen.

Informationssicherheitssoftware- Dies sind einfache und komplexe Programme, die entwickelt wurden, um Probleme im Zusammenhang mit der Gewährleistung der Informationssicherheit zu lösen.

Ein Beispiel für komplexe Lösungen sind DLP-Systeme und SIEM-Systeme.

DLP-Systeme("Data Leak Prevention" wörtlich "Verhinderung von Datenlecks") dienen dazu, Datenlecks zu verhindern, Informationen neu zu formatieren und umzuleiten Informationsflüsse.

SIEM-Systeme("Sicherheitsinformations- und Ereignisverwaltung", was "Ereignisverwaltung und Informationssicherheit" bedeutet) bieten eine Echtzeitanalyse von Sicherheitsereignissen (Alarmen) von Netzwerkgeräten und -anwendungen. SIEM wird durch Anwendungen, Geräte oder Dienste dargestellt und wird auch für die Datenprotokollierung und Berichterstellung für die Kompatibilität mit anderen Geschäftsdaten verwendet.

Softwaretools beanspruchen die Leistung von Hardwaregeräten, und bei der Installation müssen zusätzliche Reserven bereitgestellt werden.

Mathematisch (kryptographisch)– Implementierung von kryptografischen und abgekürzten Datenschutzverfahren für die sichere Übertragung über ein Unternehmens- oder globales Netzwerk.

Kryptographie gilt als eine der zuverlässigsten Methoden zum Schutz von Daten, da sie die Informationen selbst schützt und nicht den Zugriff darauf. Kryptografisch umgewandelte Informationen haben einen hohen Schutzgrad.

Die Einführung des kryptografischen Informationsschutzes bedeutet die Schaffung eines Software- und Hardwarekomplexes, dessen Architektur und Zusammensetzung auf der Grundlage der Bedürfnisse eines bestimmten Kunden, gesetzlicher Anforderungen, Aufgaben und erforderlicher Methoden sowie Verschlüsselungsalgorithmen bestimmt werden.

Dies kann Softwarekomponenten der Verschlüsselung (Kryptoanbieter), VPN-Organisationstools, Identitätstools, Tools zum Generieren und Verifizieren von Schlüsseln und digitalen Signaturen umfassen.

Verschlüsselungstools können GOST-Verschlüsselungsalgorithmen unterstützen und die erforderlichen kryptografischen Schutzklassen bereitstellen, je nach erforderlichem Schutzgrad, regulatorischen Rahmenbedingungen und Kompatibilitätsanforderungen mit anderen, einschließlich externen Systemen. Gleichzeitig schützen Verschlüsselungstools den gesamten Satz von Informationsbestandteilen, einschließlich Dateien, Verzeichnisse mit Dateien, physische und virtuelle Speichermedien, ganze Server und Datenspeichersysteme.

Zum Abschluss des zweiten Teils, nachdem wir kurz die wichtigsten Methoden und Mittel zum Schutz von Informationen sowie die Klassifizierung von Informationen betrachtet haben, können wir Folgendes sagen: Die Tatsache, dass die bekannte These erneut bestätigt wird, dass die Gewährleistung der Informationssicherheit ist eine ganze Reihe von Maßnahmen, die alle Aspekte von Schutzinformationen umfassen, deren Erstellung und Bereitstellung äußerst sorgfältig und ernsthaft angegangen werden muss.

Die Goldene Regel ist unbedingt einzuhalten und darf auf keinen Fall verletzt werden – dies ist ein ganzheitlicher Ansatz.

Für eine visuellere Darstellung von Informationssicherheits-Tools, genau als unteilbarer Satz von Maßnahmen, sind unten in Abbildung 2 dargestellt, wobei jeder der Bausteine ​​den Schutz von Informationen in einem bestimmten Segment darstellt, entfernen Sie einen der Bausteine ​​und eine Sicherheitsbedrohung wird entstehen.

Abbildung 2. Klassifizierung von Informationssicherheitstools.

Unter Informationssicherheitssoftware verstehen, dass spezielle Programme, die in der CS-Software enthalten sind, ausschließlich Schutzfunktionen ausführen.

Die wichtigste Informationssicherheitssoftware umfasst:

Programme zur Identifizierung und Authentifizierung von CS-Benutzern;

Programme zum Begrenzen des Benutzerzugriffs auf CS-Ressourcen;

Programme zur Verschlüsselung von Informationen;

Programme zum Schutz von Informationsressourcen (System- und Anwendungssoftware, Datenbanken, Computerschulungstools usw.) vor unbefugter Änderung, Verwendung und Vervielfältigung.

Beachten Sie das unter Identifikation, In Bezug auf die Gewährleistung der Informationssicherheit der CS verstehen sie die eindeutige Erkennung des eindeutigen Namens des Subjekts der CS. Authentifizierung bedeutet Bestätigung, dass der präsentierte Name mit dem Betreff übereinstimmt (Betreff-Authentifizierung).

Beispiele für zusätzliche Informationssicherheitssoftware:

Programme zur Zerstörung von Restinformationen (in RAM-Blöcken, temporären Dateien usw.);

Prüfprogramme (Führung von Protokollen) von Ereignissen im Zusammenhang mit der Sicherheit des COP, um die Möglichkeit der Wiederherstellung und den Nachweis des Eintretens dieser Ereignisse sicherzustellen;

Programme zur Nachahmung der Arbeit mit dem Täter (um ihn abzulenken, um angeblich vertrauliche Informationen zu erhalten);

Programme zur Testkontrolle der CS-Sicherheit etc.

Zu den Vorteilen von Informationssicherheitssoftware gehören:

Einfache Replikation;

Flexibilität (die Fähigkeit, sich an verschiedene Nutzungsbedingungen anzupassen, unter Berücksichtigung der Besonderheiten von Bedrohungen der Informationssicherheit bestimmter CS);

Benutzerfreundlichkeit - einige Softwaretools, wie z. B. Verschlüsselung, arbeiten in einem "transparenten" (für den Benutzer unsichtbaren) Modus, während andere vom Benutzer keine neuen (im Vergleich zu anderen Programmen) Kenntnisse erfordern;

Nahezu unbegrenzte Möglichkeiten für ihre Entwicklung, indem sie Änderungen vornehmen, um neue Bedrohungen für die Informationssicherheit zu berücksichtigen.

Reis. 1.1 Beispiel für angedockte Sicherheitssoftware

Reis. 1.2. Ein Beispiel für ein integriertes Informationssicherheitstool

Zu den Nachteilen von Informationssicherheitssoftware gehören:

Verringerung der Wirksamkeit des CS aufgrund des Verbrauchs seiner Ressourcen, die für das Funktionieren von Schutzprogrammen erforderlich sind;

Geringere Leistung (im Vergleich zu ähnlichen Hardwareschutzmaßnahmen wie Verschlüsselung);

Das Andocken vieler Software-Schutzwerkzeuge (und nicht deren Einbau in die CS-Software, Abb. 1.1 und 1.2), die dem Eindringling eine grundlegende Möglichkeit bietet, sie zu umgehen;

Möglichkeit der böswilligen Modifikation von Softwareschutzwerkzeugen während des CS-Betriebs.

2.2.4 „Benutzerauthentifizierung“

Benutzerauthentifizierung basierend auf Passwörtern und einem Handshake-Modell

Bei der Auswahl von Passwörtern sollten sich CS-Benutzer von zwei Regeln leiten lassen, die sich eigentlich gegenseitig ausschließen - Passwörter sollten schwer zu wählen und leicht zu merken sein (da das Passwort auf keinen Fall irgendwo geschrieben werden sollte, da es in diesem Fall erforderlich sein wird um zusätzlich das Problem des Schutzes des Passwortträgers zu lösen).

Die Komplexität der Passwortauswahl wird zuallererst durch die Kraft des Zeichensatzes bestimmt, der bei der Auswahl eines Passworts verwendet wird (N) und die minimal mögliche Passwortlänge (zu). In diesem Fall kann die Anzahl der unterschiedlichen Passwörter wie folgt geschätzt werden Cp \u003d Nk. Wenn zum Beispiel der Satz von Passwortzeichen lateinische Kleinbuchstaben bildet und die minimale Passwortlänge 3 ist, dann C p = 26 3 \u003d 17576 (was für die Softwareauswahl ziemlich viel ist). Wenn der Satz von Kennwortzeichen aus lateinischen Klein- und Großbuchstaben sowie Zahlen besteht und die Mindestlänge des Kennworts 6 beträgt, dann C p = 62 6 = 56800235584.

Die Komplexität der von CS-Benutzern gewählten Passwörter muss vom Administrator festgelegt werden, wenn die für dieses System festgelegte Sicherheitsrichtlinie implementiert wird. Andere Kontorichtlinieneinstellungen bei Verwendung der Kennwortauthentifizierung sollten sein:

Maximales Kennwortalter (ein Geheimnis kann nicht für immer geheim gehalten werden);

Das Passwort stimmt nicht mit dem logischen Benutzernamen überein, unter dem er im CS registriert ist;

Die Eindeutigkeit von Passwörtern für einen Benutzer.

Die Anforderung der Nichtwiederholbarkeit von Passwörtern kann auf zwei Arten umgesetzt werden. Erstens können Sie ein Mindestablaufdatum für das Kennwort festlegen (andernfalls kann ein Benutzer, der sein Kennwort nach Ablauf seines Kennworts ändern muss, sofort das alte Kennwort ändern). Zweitens können Sie eine Liste der von diesem Benutzer bereits verwendeten Passwörter führen (die maximale Länge der Liste kann vom Administrator festgelegt werden).

Leider ist es mit den oben genannten Maßnahmen praktisch unmöglich, die wirkliche Eindeutigkeit jedes neu gewählten Passworts durch den Benutzer sicherzustellen. Der Benutzer darf, ohne zu verletzen festgelegten Beschränkungen, wählen Sie die Passwörter "Al", "A2", ... aus, wobei A1 das erste Benutzerpasswort ist, das die Komplexitätsanforderungen erfüllt.

Eine akzeptable Komplexität von Passwörtern und deren echte Eindeutigkeit kann dadurch sichergestellt werden, dass der CS-Administrator allen Benutzern Passwörter zuweist und gleichzeitig dem Benutzer verbietet, das Passwort zu ändern. Zur Generierung von Passwörtern kann der Administrator einen Softwaregenerator verwenden, mit dem Sie Passwörter unterschiedlicher Komplexität erstellen können.

Bei dieser Methode der Passwortvergabe treten jedoch Probleme auf, die mit der Notwendigkeit verbunden sind, einen sicheren Kanal für die Übertragung des Passworts vom Administrator zum Benutzer zu schaffen, die Schwierigkeit zu überprüfen, ob der Benutzer das ausgewählte Passwort nicht nur in seinem Gedächtnis speichert, und das Potenzial für einen Administrator, der die Passwörter aller Benutzer kennt, seine Befugnisse zu missbrauchen. Daher ist es am zweckmäßigsten, ein Passwort durch den Benutzer basierend auf den vom Administrator festgelegten Regeln zu wählen, mit der Möglichkeit für den Administrator, ein neues Passwort für den Benutzer festzulegen, falls er sein Passwort vergessen hat.

Ein weiterer Aspekt der Richtlinie für CS-Benutzerkonten sollte die Bestimmung der Gegenmaßnahmen des Systems gegenüber Versuchen sein, Passwörter zu erraten.

Es können folgende Regeln gelten:

Begrenzung der Anzahl der Anmeldeversuche;

Verstecken des logischen Namens des zuletzt angemeldeten Benutzers (die Kenntnis des logischen Namens kann dem Eindringling helfen, sein Passwort zu erraten oder zu erraten);

Konto für alle Anmeldeversuche (erfolgreich und nicht erfolgreich) im Überwachungsprotokoll.

Die Reaktion des Systems auf misslungener Versuch Benutzeranmeldungen können sein:

Sperrung des Accounts, unter dem ein Login-Versuch unternommen wird, wenn die maximal mögliche Anzahl an Versuchen überschritten wird (durch gegebene Zeit oder bis das Schloss vom Administrator manuell entsperrt wird);

Eine schrittweise Erhöhung der Zeitverzögerung, bevor dem Benutzer der nächste Anmeldeversuch gewährt wird.

Bei der erstmaligen Eingabe oder Änderung des Passworts eines Benutzers gelten in der Regel zwei klassische Regeln:

Die Zeichen des eingegebenen Passworts werden nicht auf dem Bildschirm angezeigt (die gleiche Regel gilt für den Benutzer, der ein Passwort eingibt, wenn er sich in das System einloggt);

Zur Bestätigung der Richtigkeit der Passworteingabe (unter Berücksichtigung der ersten Regel) wird diese Eingabe zweimal wiederholt.

Um Passwörter zu speichern, ist es möglich, sie vorzuverschlüsseln oder zu hashen.

Die Passwortverschlüsselung hat zwei Nachteile:

Da für die Verschlüsselung ein Schlüssel verwendet werden muss, ist dessen sichere Speicherung im CS sicherzustellen (die Kenntnis des Passwort-Verschlüsselungsschlüssels ermöglicht dessen Entschlüsselung und unbefugten Zugriff auf Informationen);

Es besteht die Gefahr, dass jedes Passwort entschlüsselt und ans Licht gebracht wird.

Hashing ist eine irreversible Transformation, und die Kenntnis des Hash-Werts des Passworts gibt dem Angreifer nicht die Möglichkeit, ihn im Klartext zu erhalten (er kann nur versuchen, das Passwort mit einer bekannten Hash-Funktion zu erraten). Daher ist es viel sicherer, Passwörter in gehashter Form zu speichern. Der Nachteil ist, dass es nicht einmal eine theoretische Möglichkeit gibt, ein vom Benutzer vergessenes Passwort wiederherzustellen.

Das zweite Beispiel ist die Authentifizierung basierend auf Handshake-Muster. Bei der Registrierung im CS wird dem Nutzer ein Satz kleiner Bilder (zB Piktogramme) angeboten, aus denen er eine vorgegebene Anzahl von Bildern auswählen muss. Wenn er sich das nächste Mal anmeldet, wird ihm ein anderer Satz von Bildern präsentiert, von denen er einige während der Registrierung gesehen hat. Zur korrekten Authentifizierung muss der Nutzer die Bilder markieren, die er bei der Registrierung ausgewählt hat.

Vorteile der handshakebasierten Authentifizierung gegenüber der Passwortauthentifizierung:

Zwischen dem Benutzer und dem System werden keine vertraulichen Informationen übertragen, die geheim gehalten werden müssen, I

Jede nachfolgende Benutzeranmeldesitzung unterscheidet sich von der vorherigen, sodass selbst eine langfristige Überwachung dieser Sitzungen dem Eindringling nichts bringt.

Zu den Nachteilen der Authentifizierung nach dem „Handshake“-Modell gehört die lange Dauer dieses Verfahrens im Vergleich zur Passwort-Authentifizierung.

Authentifizierung von Benutzern anhand ihrer biometrischen Merkmale

Zu den wichtigsten biometrischen Merkmalen von CS-Benutzern, die für ihre Authentifizierung verwendet werden können, gehören:

Fingerabdrücke;

Die geometrische Form der Hand;

Das Muster der Iris des Auges;

Zeichnung der Netzhaut;

Geometrische Form und Abmessungen des Gesichts;

Die geometrische Form und Größe des Ohrs usw.

Am gebräuchlichsten sind Hard- und Software zur Benutzerauthentifizierung anhand ihrer Fingerabdrücke. Zum Einlesen dieser Fingerabdrücke werden meist Tastaturen und Mäuse verwendet, die mit speziellen Scannern ausgestattet sind. Das Vorhandensein ausreichend großer Datenbanken mit Fingerabdrücken von Bürgern ist der Hauptgrund für die ziemlich weit verbreitete Verwendung solcher Authentifizierungsinstrumente in Regierungsbehörden sowie in großen kommerziellen Organisationen. Der Nachteil solcher Tools ist die potenzielle Verwendung der Fingerabdrücke der Benutzer zur Kontrolle ihrer Privatsphäre.

Wenn es aus objektiven Gründen (z. B. aufgrund der Verschmutzung der Räumlichkeiten, in denen die Authentifizierung durchgeführt wird) nicht möglich ist, einen eindeutigen Fingerabdruck zu erhalten, kann die Authentifizierung anhand der geometrischen Form der Hand des Benutzers verwendet werden. In diesem Fall können die Scanner an der Wand des Raums installiert werden.

Am zuverlässigsten (aber auch am teuersten) sind Tools zur Benutzerauthentifizierung, die auf den Merkmalen des Auges (Irismuster oder Netzhautmuster) basieren. Die Wahrscheinlichkeit des Wiederauftretens dieser Merkmale wird auf 10 -78 geschätzt.

Am billigsten (aber auch am wenigsten zuverlässig) sind Authentifizierungstools, die auf der geometrischen Form und Größe des Gesichts des Benutzers oder auf der Klangfarbe seiner Stimme basieren. Dadurch können Sie diese Tools zur Authentifizierung verwenden, wenn Benutzer remote auf den CS zugreifen.

Die Hauptvorteile der Benutzerauthentifizierung basierend auf ihren biometrischen Merkmalen;

Schwierigkeiten, diese Zeichen zu verfälschen;

Hohe Authentifizierungszuverlässigkeit aufgrund der Einzigartigkeit solcher Merkmale;

Die Untrennbarkeit biometrischer Merkmale von der Identität des Nutzers.

Um die Benutzerauthentifizierung anhand bestimmter biometrischer Merkmale zu vergleichen, werden Schätzungen der Wahrscheinlichkeiten von Fehlern erster und zweiter Art verwendet. Die Wahrscheinlichkeit eines Fehlers der ersten Art (Verweigerung des Zugangs zum CS für einen legalen Benutzer) beträgt 10 –6 ... 10 –3 . Die Wahrscheinlichkeit eines Fehlers der zweiten Art (der es einem nicht registrierten Benutzer ermöglicht, im CS zu arbeiten) in modernen Systemen zur biometrischen Authentifizierung beträgt 10 -5 ... 10 -2 .

Ein häufiger Nachteil von CS-Benutzerauthentifizierungstools, die auf ihren biometrischen Merkmalen basieren, sind ihre höheren Kosten im Vergleich zu anderen Authentifizierungstools, was hauptsächlich auf die Notwendigkeit zurückzuführen ist, zusätzliche Hardware zu kaufen. Funktionsbasierte Authentifizierungsmethoden Tastatur-Handschrift und Malen mit der Maus des Benutzers erfordern keine spezielle Ausrüstung.

Authentifizierung von Benutzern durch ihre Tastaturhandschrift und Mausmalerei

S. P. Rastorguev war einer der ersten, der die Idee der Benutzerauthentifizierung entsprechend den Besonderheiten ihrer Arbeit mit Tastatur und Maus vorschlug. Bei der Entwicklung eines mathematischen Authentifizierungsmodells basierend auf der Tastaturhandschrift von Benutzern wurde angenommen, dass die Zeitintervalle zwischen dem Drücken benachbarter Zeichen Schlüsselsatz und zwischen dem Drücken bestimmter Tastenkombinationen darin gehorchen dem normalen Verteilungsgesetz. Wesen diese Methode Die Authentifizierung soll die Hypothese über die Gleichheit der Verteilungszentren zweier normaler allgemeiner Populationen testen (erhalten beim Einrichten des Systems für Benutzermerkmale und während der Authentifizierung).

Betrachten wir eine Variante der Benutzerauthentifizierung durch eine Reihe von Schlüsselphrasen (die gleichen in den Konfigurations- und Authentifizierungsmodi).

Das Verfahren zur Anpassung an die Merkmale eines im CS registrierten Benutzers:

1) Benutzerauswahl eines Schlüsselsatzes (seine Symbole müssen gleichmäßig über die Tastatur verteilt sein);

2) ein Schlüsselwort mehrmals eingeben;

3) Ausschluss grober Fehler (nach einem speziellen Algorithmus);

4) Berechnung und Speicherung von Schätzungen mathematischer Erwartungen, Varianzen und Anzahl, Beobachtungen für Zeitintervalle zwischen Sätzen jedes Paares benachbarter Symbole des Schlüsselsatzes.

Die Authentifizierungszuverlässigkeit anhand der Tastaturhandschrift des Benutzers ist geringer als bei Verwendung seiner biometrischen Merkmale.

Allerdings hat diese Authentifizierungsmethode auch ihre Vorteile:

Die Möglichkeit, die Tatsache der Verwendung einer zusätzlichen Benutzerauthentifizierung zu verbergen, wenn die vom Benutzer eingegebene Passphrase als Schlüsselsatz verwendet wird;

Die Möglichkeit, dieses Verfahren nur mit Hilfe von Software zu implementieren (Reduzierung der Kosten für Authentifizierungstools).

Betrachten Sie nun eine Authentifizierungsmethode basierend auf Maus malen(Mit Hilfe dieses Manipulators ist es natürlich unmöglich, ein echtes Gemälde durch den Benutzer auszuführen, daher wird dieses Gemälde ein ziemlich einfacher Strich sein). Nennen wir eine Mallinie eine unterbrochene Linie, die durch Verbinden von Punkten vom Anfang des Gemäldes bis zu seiner Fertigstellung erhalten wird (benachbarte Punkte sollten nicht dieselben Koordinaten haben). Wir berechnen die Länge der Mallinie als Summe der Längen der Segmente, die die Malpunkte verbinden.

Die Authentizität eines Benutzers durch Gekritzel mit der Maus wird ähnlich wie die Authentifizierung anhand der Tastaturhandschrift in erster Linie durch das Tempo seiner Arbeit mit diesem Eingabegerät bestätigt.

Zu den Vorteilen der Authentifizierung von Benutzern durch Kritzeln mit der Maus, wie die Verwendung der Tastaturhandschrift, gehört die Möglichkeit, dieses Verfahren nur mit Hilfe von Software zu implementieren; Nachteile sind die geringere Authentifizierungssicherheit im Vergleich zur Verwendung der biometrischen Merkmale des Benutzers sowie die Notwendigkeit, dass der Benutzer genügend Vertrauen in die Fähigkeiten der Arbeit mit der Maus hat.

Ein gemeinsames Merkmal von Authentifizierungsmethoden, die auf Tastaturhandschrift und Mausmalerei basieren, ist die Instabilität ihrer Eigenschaften für denselben Benutzer, die verursacht werden kann durch:

1) natürliche Veränderungen im Zusammenhang mit der Verbesserung der Fähigkeiten des Benutzers bei der Arbeit mit Tastatur und Maus oder umgekehrt mit ihrer Verschlechterung aufgrund der Alterung des Körpers;

2) Veränderungen, die mit einem anormalen körperlichen oder emotionalen Zustand des Benutzers verbunden sind.

Durch Ursachen der ersten Art verursachte Änderungen von Benutzermerkmalen sind nicht abrupt und können daher neutralisiert werden, indem die Referenzmerkmale nach jeder erfolgreichen Benutzerauthentifizierung geändert werden.

Durch Gründe der zweiten Art verursachte Änderungen der Benutzereigenschaften können abrupt sein und dazu führen, dass sein Versuch, das CS zu betreten, abgelehnt wird. Dieses Merkmal der Authentifizierung basierend auf Tastaturhandschrift und Mausbemalung kann jedoch auch zu einem Vorteil werden, wenn wir über Benutzer von CSs für militärische, Energie- und Finanzzwecke sprechen.

Eine vielversprechende Richtung in der Entwicklung von Methoden zur Authentifizierung von CS-Benutzern auf der Grundlage ihrer persönlichen Merkmale kann die Bestätigung der Authentizität des Benutzers auf der Grundlage seiner Kenntnisse und Fähigkeiten sein, die das Bildungs- und Kulturniveau charakterisieren.