Alat perangkat lunak adalah bentuk objektif yang mewakili sekumpulan data dan perintah yang dimaksudkan untuk berfungsinya komputer dan perangkat komputer untuk mendapatkan hasil tertentu, serta bahan yang disiapkan dan diperbaiki pada media fisik yang diperoleh selama pengembangannya, dan tampilan audiovisual yang dihasilkan oleh mereka. Ini termasuk:

Perangkat lunak (seperangkat program kontrol dan pemrosesan). Menggabungkan:

Program sistem (sistem operasi, program Pemeliharaan);

Program aplikasi (program yang dirancang untuk menyelesaikan jenis tugas tertentu, seperti editor teks, program antivirus, DBMS, dll.);

Program alat (sistem pemrograman yang terdiri dari bahasa pemrograman: Turbo C, Microsoft Basic, dll. dan penerjemah - sekumpulan program yang menyediakan terjemahan otomatis dari bahasa algoritmik dan simbolik hingga kode mesin);

Informasi mesin dari pemilik, pemilik, pengguna.

Saya melakukan perincian tersebut agar nantinya lebih jelas memahami esensi masalah yang sedang dibahas, agar lebih jelas mengidentifikasi cara-cara melakukan kejahatan komputer, objek dan alat perambahan kriminal, serta untuk menghilangkan ketidaksepakatan tentang terminologi cara teknologi komputer. Setelah mempertimbangkan secara rinci komponen utama yang bersama-sama mewakili isi konsep kejahatan komputer, kita dapat melanjutkan untuk mempertimbangkan masalah yang berkaitan dengan elemen utama karakteristik forensik kejahatan komputer.

Termasuk perangkat lunak keamanan program khusus, yang dirancang untuk melakukan fungsi perlindungan dan termasuk dalam perangkat lunak sistem pemrosesan data. Perlindungan perangkat lunak adalah jenis perlindungan yang paling umum, yang difasilitasi oleh sifat positif tersebut alat ini, seperti universalitas, fleksibilitas, kemudahan implementasi, kemungkinan perubahan dan pengembangan yang hampir tak terbatas, dll. Menurut tujuan fungsionalnya, mereka dapat dibagi menjadi kelompok-kelompok berikut:

Identifikasi sarana teknis (terminal, perangkat kontrol input-output grup, komputer, media penyimpanan), tugas dan pengguna;

Menentukan hak sarana teknis (hari dan jam operasi, tugas yang diizinkan untuk digunakan) dan pengguna;

Pengendalian pengoperasian sarana dan pengguna teknis;

Pendaftaran karya sarana teknis dan pengguna saat memproses informasi dengan penggunaan terbatas;

Penghancuran informasi dalam memori setelah digunakan;

Alarm untuk tindakan yang tidak sah;

Program bantu untuk berbagai tujuan: memantau pengoperasian mekanisme perlindungan, membubuhkan stempel rahasia pada dokumen yang diterbitkan.

Perlindungan antivirus

Keamanan informasi adalah salah satu parameter terpenting dari setiap sistem komputer. Untuk memastikannya, sejumlah besar perangkat lunak dan perangkat keras telah dibuat. Beberapa dari mereka terlibat dalam mengenkripsi informasi, beberapa - membatasi akses ke data. Virus komputer adalah masalah khusus. Ini adalah kelas program terpisah yang bertujuan mengganggu sistem dan merusak data. Ada beberapa jenis virus. Beberapa di antaranya terus-menerus ada di memori komputer, beberapa menghasilkan tindakan destruktif dengan "pukulan" satu kali. Ada juga seluruh kelas program yang terlihat lumayan, tetapi sebenarnya merusak sistem. Program semacam itu disebut "kuda Troya". Salah satu properti utama virus komputer adalah kemampuan untuk "mereproduksi" - yaitu. propagasi diri dalam komputer dan jaringan komputer.

Karena berbagai aplikasi perkantoran dapat bekerja dengan program yang ditulis khusus untuk mereka (misalnya, untuk Microsoft Office Anda dapat menulis aplikasi dalam bahasa Visual Basic), jenis malware baru telah muncul - yang disebut. Macrovirus. Virus jenis ini didistribusikan bersama dengan file dokumen biasa, dan terkandung di dalamnya sebagai subrutin biasa.

Belum lama berselang (musim semi ini) wabah virus Win95.CIH dan banyak subspesiesnya melanda. Virus ini menghancurkan konten BIOS komputer membuatnya tidak bisa bekerja. Seringkali saya bahkan harus membuang motherboard yang rusak akibat virus ini.

Mempertimbangkan perkembangan alat komunikasi yang kuat dan volume pertukaran data yang meningkat tajam, masalah perlindungan terhadap virus menjadi sangat relevan. Praktisnya, dengan masing-masing diterima, misalnya, surel dokumen dapat menerima virus makro, dan masing-masing menjalankan program dapat (secara teoritis) menginfeksi komputer dan membuat sistem tidak dapat beroperasi.

Oleh karena itu, di antara sistem keamanan, arah terpenting adalah perang melawan virus. Ada sejumlah alat yang dirancang khusus untuk mengatasi masalah ini. Beberapa di antaranya mulai dalam mode pindai dan melihat konten hard drive dan memori komputer untuk virus. Beberapa harus terus berjalan dan berada di memori komputer. Pada saat yang sama, mereka mencoba melacak semua tugas yang sedang berjalan.

Di pasar perangkat lunak Rusia, paket AVP yang dikembangkan oleh Lab Sistem Anti-Virus Kaspersky telah memenangkan popularitas terbesar. Ini adalah produk universal yang memiliki versi untuk berbagai sistem operasi.

Kaspersky Anti-Virus (AVP) menggunakan semua jenis perlindungan anti-virus modern: pemindai anti-virus, monitor, pemblokir perilaku, dan auditor perubahan. Berbagai versi produk mendukung semua sistem operasi populer, gateway email, firewall, server web. Sistem ini memungkinkan Anda untuk mengontrol semua kemungkinan cara penetrasi virus di komputer pengguna, termasuk Internet, email, dan media seluler. Alat manajemen Kaspersky Anti-Virus memungkinkan Anda mengotomatiskan operasi paling penting untuk penginstalan dan manajemen terpusat, seperti di komputer lokal, dan dalam kasus perlindungan yang kompleks dari jaringan perusahaan. Kaspersky Lab menawarkan tiga solusi perlindungan anti-virus siap pakai yang dirancang untuk kategori utama pengguna. Pertama, perlindungan anti-virus untuk pengguna rumahan (satu lisensi untuk satu komputer). Kedua, perlindungan anti-virus untuk usaha kecil (hingga 50 workstation dalam jaringan). Ketiga, perlindungan anti-virus untuk pengguna korporat (lebih dari 50 workstation dalam jaringan) Lewatlah sudah hari-hari ketika, untuk benar-benar yakin akan keamanan dari "infeksi", cukup tidak menggunakan floppy disk "acak" dan menjalankan utilitas Aidstest pada mesin sekali atau dua kali seminggu.R, memeriksa HDD komputer untuk objek yang mencurigakan. Pertama, rentang area di mana objek ini dapat muncul telah diperluas. Email dengan lampiran file "berbahaya", virus makro di kantor (terutama kita sedang berbicara tentang Microsoft Office) dokumen, "Trojan horse" - semua ini muncul relatif baru. Kedua, pendekatan audit berkala terhadap hard disk dan arsip tidak lagi dapat dibenarkan - pemeriksaan semacam itu harus dilakukan terlalu sering, dan akan memakan terlalu banyak sumber daya sistem.

Sistem perlindungan yang ketinggalan zaman telah digantikan oleh generasi baru yang mampu melacak dan menetralkan "ancaman" di semua area kritis - dari email hingga penyalinan file antar disk. Pada saat yang sama, antivirus modern mengatur perlindungan waktu nyata - ini berarti bahwa mereka selalu ada dalam memori dan menganalisis informasi yang sedang diproses.

Salah satu paket perlindungan anti-virus yang paling terkenal dan banyak digunakan adalah AVP dari Kaspersky Lab. Paket ini ada dalam banyak varian yang berbeda. Masing-masing dirancang untuk memecahkan berbagai masalah keamanan tertentu, dan memiliki sejumlah properti tertentu.

Sistem perlindungan yang didistribusikan oleh Kaspersky Lab dibagi menjadi tiga kategori utama, tergantung pada jenis tugas yang diselesaikan. Ini adalah perlindungan untuk usaha kecil, perlindungan untuk pengguna rumahan dan perlindungan untuk klien korporat.

AntiViral Toolkit Pro menyertakan program yang memungkinkan Anda melindungi stasiun kerja yang dikendalikan oleh berbagai sistem operasi - Pemindai AVP untuk DOS, Windows 95/98/NT, Linux, monitor AVP untuk Windows 95/98/NT, Linux, server file - Pemantau dan pemindai AVP untuk Novell Netware, monitor dan pemindai untuk server NT, server WEB - inspektur disk Inspektur AVP untuk Windows, server email Microsoft Exchange- AVP untuk Microsoft Exchange dan gateway.

AntiViral Toolkit Pro menyertakan program pemindai dan program monitor. Monitor memungkinkan Anda mengatur kontrol yang lebih lengkap, yang diperlukan untuk bagian jaringan yang paling kritis.

Di jaringan Windows 95/98/NT, AntiViral Toolkit Pro memungkinkan administrasi terpusat dari seluruh jaringan logis dari stasiun kerja administratornya menggunakan paket perangkat lunak AVP Network Control Center.

Konsep AVP memungkinkan Anda memperbarui program anti-virus dengan mudah dan teratur dengan mengganti basis data anti-virus - kumpulan file dengan ekstensi .AVC, yang saat ini memungkinkan Anda untuk mendeteksi dan menghapus lebih dari 50.000 virus. Pembaruan database anti-virus dirilis dan tersedia dari server Kaspersky Lab setiap hari. Pada saat ini AntiViral Toolkit Pro (AVP) memiliki salah satu database antivirus terbesar di dunia.

Informasi serupa.

Perangkat lunak perlindungan informasi berarti program khusus yang disertakan dalam perangkat lunak CS semata-mata untuk melakukan fungsi perlindungan.

Perangkat lunak keamanan informasi utama meliputi:

• * program untuk identifikasi dan autentikasi pengguna CS;
• * program untuk membatasi akses pengguna ke sumber daya CS;
• * program enkripsi informasi;
• * program perlindungan sumber daya informasi(perangkat lunak sistem dan aplikasi, basis data, alat pelatihan komputer, dll.) dari modifikasi, penggunaan, dan penyalinan yang tidak sah.

Harus dipahami bahwa di bawah identifikasi, sehubungan dengan ketentuan tersebut informasi keamanan CS memahami pengakuan yang tidak ambigu atas nama unik subjek CS. Otentikasi berarti mengonfirmasi bahwa nama yang disajikan cocok dengan subjek yang diberikan (otentikasi subjek)5.

Perangkat lunak keamanan informasi juga mencakup:

• * program untuk penghancuran informasi sisa (dalam blok RAM, file sementara, dll.);
• * program audit (log pendaftaran) peristiwa yang berkaitan dengan keamanan COP, untuk memastikan kemungkinan pemulihan dan bukti terjadinya peristiwa ini;
• * program untuk meniru pekerjaan dengan pelaku (mengalihkannya untuk menerima informasi yang diduga rahasia);
• * program untuk menguji kontrol keamanan CS, dll.

Manfaat perangkat lunak keamanan informasi meliputi:

• * kemudahan replikasi;
• * fleksibilitas (kemampuan untuk menyesuaikan diri dengan berbagai kondisi penggunaan, dengan mempertimbangkan secara spesifik ancaman terhadap keamanan informasi dari CS tertentu);
• * kemudahan penggunaan - beberapa alat perangkat lunak, seperti enkripsi, bekerja dalam mode "transparan" (tidak terlihat oleh pengguna), sementara yang lain tidak mengharuskan pengguna untuk memiliki keterampilan baru (dibandingkan dengan program lain);
• * Kemungkinan pengembangan mereka yang praktis tidak terbatas dengan membuat perubahan untuk memperhitungkan ancaman baru terhadap keamanan informasi.

Beras. 4

Beras. 5

Kerugian dari perangkat lunak keamanan informasi meliputi:

• * penurunan efisiensi CS karena konsumsi sumber dayanya yang diperlukan untuk memfungsikan program perlindungan;
• * kinerja lebih rendah (dibandingkan dengan melakukan fungsi perlindungan perangkat keras yang serupa, seperti enkripsi);
• * docking banyak alat perlindungan perangkat lunak (dan bukan pengaturannya di perangkat lunak KS, gbr. 4 dan 5), yang menciptakan kemungkinan mendasar bagi penyusup untuk melewatinya;
• * Kemungkinan modifikasi berbahaya alat perlindungan perangkat lunak selama pengoperasian COP.

Keamanan di tingkat sistem operasi

Sistem operasi adalah komponen perangkat lunak terpenting dari komputer mana pun, oleh karena itu, keamanan keseluruhan sistem informasi sangat bergantung pada tingkat penerapan kebijakan keamanan di setiap OS tertentu.

Keluarga sistem operasi Windows 2000, Millenium adalah klon, awalnya berorientasi untuk bekerja di komputer rumah. Sistem operasi ini menggunakan tingkat hak istimewa mode terlindungi, tetapi tidak melakukan pemeriksaan tambahan apa pun dan tidak mendukung sistem deskriptor keamanan. Akibatnya, aplikasi apa pun dapat mengakses seluruh jumlah RAM yang tersedia dengan akses baca dan tulis. Pengukuran keamanan jaringan ada, namun implementasinya belum maksimal. Apalagi di Versi Windows XP membuat kesalahan mendasar yang memungkinkan dari jarak jauh beberapa paket mengarah ke "pembekuan" komputer, yang juga secara signifikan merusak reputasi OS, dalam versi berikutnya banyak langkah diambil untuk meningkatkan keamanan jaringan klon ini6 .

Generasi sistem operasi Windows Vista, 7 sudah merupakan pengembangan yang jauh lebih andal oleh MicroSoft. Mereka benar-benar sistem multi-pengguna yang secara andal melindungi file dari berbagai pengguna di hard disk (namun, enkripsi data masih belum dilakukan dan file dapat dibaca tanpa masalah dengan mem-boot dari disk sistem operasi lain - misalnya, MS-DOS ). Sistem operasi ini secara aktif menggunakan fitur mode terproteksi Prosesor Intel, dan dapat dengan andal melindungi data dan kode proses dari program lain, kecuali dia sendiri ingin memberikan akses tambahan kepada mereka dari luar proses.

Di belakang untuk waktu yang lama pengembangan, banyak serangan jaringan yang berbeda dan bug keamanan diperhitungkan. Koreksi untuk mereka keluar dalam bentuk blok pembaruan (paket layanan bahasa Inggris).

Cabang klon lain tumbuh dari sistem operasi UNIX. OS ini awalnya dikembangkan sebagai jaringan dan multi-pengguna, dan karenanya segera berisi alat keamanan informasi. Hampir semua klon UNIX yang tersebar luas telah berkembang pesat dan, karena telah dimodifikasi, mereka telah memperhitungkan semua metode serangan yang ditemukan selama ini. Cukup membuktikan sendiri: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Secara alami, semua hal di atas berlaku untuk versi terbaru dari sistem operasi ini. Kesalahan utama dalam sistem ini tidak lagi terkait dengan kernel, yang berfungsi dengan sempurna, tetapi dengan utilitas sistem dan aplikasi. Adanya kesalahan di dalamnya seringkali menyebabkan hilangnya seluruh margin keamanan sistem.

Komponen utama:

Administrator keamanan lokal - bertanggung jawab atas akses tidak sah, memeriksa kredensial masuk pengguna, mendukung:

Audit - memeriksa kebenaran tindakan pengguna

Manajer Akun - dukungan untuk basis data pengguna tentang tindakan dan interaksi mereka dengan sistem.

Monitor keamanan - memeriksa apakah pengguna memiliki hak akses yang memadai ke objek

Log audit - berisi informasi tentang login pengguna, perbaikan berfungsi dengan file, folder.

Paket otentikasi - mem-parsing file sistem untuk memastikan mereka belum diganti. MSV10 adalah paket default.

Windows XP menambahkan:

Anda dapat menetapkan kata sandi untuk salinan yang diarsipkan

perlindungan penggantian file

sistem diferensiasi ... dengan memasukkan kata sandi dan membuat akun pengguna. Pengarsipan dapat dilakukan oleh pengguna yang memiliki hak tersebut.

NTFS: Kontrol Akses File dan Folder

Di XP dan 2000 - diferensiasi hak akses pengguna yang lebih lengkap dan mendalam.

EFS - menyediakan enkripsi dan dekripsi informasi (file dan folder) untuk membatasi akses ke data.

Metode perlindungan kriptografi

Kriptografi adalah ilmu pengamanan data. Dia mencari solusi untuk empat masalah keamanan penting - kerahasiaan, otentikasi, integritas, dan kontrol peserta dalam interaksi. Enkripsi adalah transformasi data menjadi bentuk yang tidak dapat dibaca dengan menggunakan kunci enkripsi-dekripsi. Enkripsi memungkinkan Anda untuk menjaga kerahasiaan dengan merahasiakan informasi dari mereka yang tidak dimaksudkan.

Kriptografi terlibat dalam pencarian dan studi metode matematika untuk mengubah informasi (7).

Kriptografi modern mencakup empat bagian utama:

kriptosistem simetris;

kriptosistem kunci publik;

sistem tanda tangan elektronik;

manajemen kunci.

Arahan utama penggunaan metode kriptografi adalah transmisi informasi rahasia melalui saluran komunikasi (misalnya, email), otentikasi pesan yang dikirimkan, penyimpanan informasi (dokumen, basis data) pada media terenkripsi.

Drive enkripsi

Disk terenkripsi adalah file wadah yang dapat berisi file atau program lain (dapat diinstal dan dijalankan langsung dari file terenkripsi ini). Disk ini hanya tersedia setelah memasukkan kata sandi untuk file penampung - kemudian disk lain muncul di komputer, dikenali oleh sistem sebagai yang logis dan bekerja dengannya tidak berbeda dengan bekerja dengan disk lain. Setelah melepaskan disk penggerak logis menghilang, itu hanya menjadi "tidak terlihat".

Saat ini, program paling umum untuk membuat disk terenkripsi adalah DriveCrypt, BestCrypt, dan PGPdisk. Masing-masing dilindungi dengan andal dari peretasan jarak jauh.

Fitur umum dari program: (8)

• - semua perubahan informasi dalam file penampung pertama kali terjadi di RAM, mis. hard drive selalu terenkripsi. Sekalipun komputer macet, data rahasia tetap terenkripsi;
• - program dapat memblokir drive logis tersembunyi setelah jangka waktu tertentu;
• - mereka semua tidak percaya pada file sementara (file swap). Dimungkinkan untuk mengenkripsi semua informasi rahasia yang dapat masuk ke file swap. Sangat metode efektif menyembunyikan informasi yang disimpan dalam file swap berarti menonaktifkannya sama sekali, sambil tidak lupa menambah RAM komputer;
• - fisika hard disk sedemikian rupa sehingga meskipun Anda menimpa beberapa data dengan yang lain, catatan sebelumnya tidak akan terhapus sepenuhnya. Dengan bantuan mikroskop magnetik modern (Magnetic Force Microscopy - MFM), mereka masih dapat dipulihkan. Dengan program ini, Anda dapat dengan aman menghapus file dari hard drive Anda tanpa meninggalkan jejak keberadaannya;
• - ketiga program menyimpan data rahasia dalam bentuk terenkripsi yang aman di hard drive dan memberikan akses transparan ke data ini dari program aplikasi apa pun;
• - mereka melindungi file wadah terenkripsi dari penghapusan yang tidak disengaja;
• - melakukan pekerjaan yang sangat baik dengan Trojan dan virus.

Metode identifikasi pengguna

Sebelum mendapatkan akses ke VS, pengguna harus mengidentifikasi dirinya sendiri, dan mekanisme keamanan jaringan kemudian mengautentikasi pengguna, yaitu memeriksa apakah pengguna benar-benar seperti yang diklaimnya. Sesuai dengan model logis dari mekanisme perlindungan, pesawat terletak di komputer yang berfungsi, yang terhubung dengan pengguna melalui terminalnya atau dengan cara lain. Oleh karena itu, prosedur identifikasi, otentikasi, dan pemberdayaan dilakukan pada awal sesi di stasiun kerja lokal.

Nanti kalau macam-macam protokol jaringan dan sebelum mendapatkan akses ke sumber daya jaringan, prosedur identifikasi, otentikasi, dan pemberdayaan dapat diaktifkan kembali pada beberapa workstation jarak jauh untuk menampung sumber daya atau layanan jaringan yang diperlukan.

Ketika pengguna masuk ke sistem komputer menggunakan terminal, sistem menanyakan nama dan nomor identifikasinya. Sesuai dengan tanggapan pengguna, sistem komputer mengidentifikasi pengguna. Dalam sebuah jaringan, lebih wajar jika objek yang membuat koneksi timbal balik untuk mengidentifikasi satu sama lain.

Kata sandi hanyalah salah satu cara untuk mengotentikasi. Ada cara lain:

• 1. Informasi yang telah ditentukan sebelumnya yang tersedia bagi pengguna: kata sandi, nomor identifikasi pribadi, persetujuan tentang penggunaan frasa yang disandikan khusus.
• 2. Elemen perangkat keras yang dapat digunakan pengguna: kunci, kartu magnetik, sirkuit mikro, dll.
• 3. Ciri-ciri pribadi pengguna: sidik jari, pola retina, ukuran tubuh, timbre suara, dan sifat medis dan biokimia lainnya yang lebih kompleks.
• 4. Karakteristik teknik dan fitur perilaku pengguna secara real time: fitur dinamika, gaya bekerja pada keyboard, kecepatan membaca, kemampuan menggunakan manipulator, dll.
• 5. Kebiasaan: penggunaan komputer kosong tertentu.
• 6. Keterampilan dan pengetahuan pengguna karena pendidikan, budaya, pelatihan, latar belakang, asuhan, kebiasaan, dll.

Jika seseorang ingin masuk ke sistem komputasi melalui terminal atau menjalankan tugas batch, sistem komputasi harus mengautentikasi pengguna. Pengguna itu sendiri, sebagai suatu peraturan, tidak memverifikasi keaslian sistem komputasi. Jika prosedur otentikasi satu arah, prosedur seperti itu disebut otentikasi objek satu arah (9).

Perangkat lunak khusus untuk perlindungan informasi.

Alat perangkat lunak khusus untuk melindungi informasi dari akses yang tidak sah umumnya memiliki kemampuan dan karakteristik yang lebih baik daripada alat sistem operasi jaringan bawaan. Selain program enkripsi, ada banyak alat keamanan informasi eksternal lain yang tersedia. Yang paling sering disebutkan, dua sistem berikut harus diperhatikan yang memungkinkan membatasi arus informasi.

Firewall - firewall (secara harfiah firewall - tembok api). Antara jaringan lokal dan global, server perantara khusus dibuat yang memeriksa dan memfilter semua lalu lintas jaringan / jaringan yang melewatinya. lapisan transportasi. Ini memungkinkan Anda untuk secara drastis mengurangi ancaman akses tidak sah dari luar ke jaringan perusahaan, tetapi tidak sepenuhnya menghilangkan bahaya ini. Versi metode yang lebih aman adalah metode penyamaran, ketika semua lalu lintas yang keluar dari jaringan lokal dikirim atas nama server firewall, membuat jaringan lokal hampir tidak terlihat.

Proxy-server (proxy - kuasa, orang yang berwenang). Semua lalu lintas jaringan/lapisan transportasi antara jaringan lokal dan global benar-benar dilarang - tidak ada perutean seperti itu, dan panggilan dari jaringan lokal ke jaringan global terjadi melalui server perantara khusus. Jelas, dengan metode inversi dari jaringan global ke lokal menjadi tidak mungkin pada prinsipnya. Jelas juga bahwa metode ini tidak memberikan perlindungan yang memadai terhadap serangan di level yang lebih tinggi - misalnya, di level aplikasi (virus, kode Java dan JavaScript).

Mari kita lihat lebih dekat cara kerja firewall. Ini adalah metode untuk melindungi jaringan dari ancaman keamanan dari sistem dan jaringan lain dengan memusatkan dan mengendalikan akses ke jaringan melalui perangkat keras dan perangkat lunak. Firewall adalah penghalang keamanan yang terdiri dari beberapa komponen (misalnya, router atau gateway yang menjalankan perangkat lunak firewall). Firewall dikonfigurasi sesuai dengan kebijakan kontrol akses jaringan internal organisasi. Semua paket masuk dan keluar harus melewati firewall yang hanya mengizinkan paket resmi untuk melewatinya.

Firewall pemfilteran paket adalah router atau komputer yang menjalankan perangkat lunak yang dikonfigurasi untuk menolak jenis paket masuk dan keluar tertentu. Pemfilteran paket didasarkan pada informasi yang terkandung dalam header paket TCP dan IP (alamat pengirim dan tujuan, nomor portnya, dll.).

Firewall tingkat ahli - memeriksa konten paket yang diterima pada tiga tingkat model OSI - jaringan, sesi, dan aplikasi. Untuk menyelesaikan tugas ini, algoritma pemfilteran paket khusus digunakan untuk membandingkan setiap paket dengan pola paket resmi yang diketahui.

Membuat firewall mengacu pada pemecahan masalah perisai. Pernyataan formal dari masalah penyaringan adalah sebagai berikut. Biarkan ada dua set sistem Informasi. Layar adalah sarana untuk membatasi akses klien dari satu set ke server dari set lainnya. Layar menjalankan fungsinya dengan mengontrol semua aliran informasi antara dua set sistem (Gbr. 6). Kontrol aliran terdiri dari memfilternya, mungkin dengan beberapa transformasi.

Pada tingkat detail selanjutnya, layar (membran semi-permeabel) dapat dengan mudah direpresentasikan sebagai serangkaian filter. Setiap filter, setelah menganalisis data, dapat menunda (tidak melewatkannya), atau dapat langsung "membuangnya" dari layar. Selain itu, dimungkinkan untuk mengubah data, mentransfer sebagian data ke filter berikutnya untuk analisis lebih lanjut, atau memproses data atas nama penerima dan mengembalikan hasilnya ke pengirim (Gbr. 7).

Beras. 7

Selain fungsi kontrol akses, layar mencatat pertukaran informasi.

Biasanya layar tidak simetris, konsep "di dalam" dan "di luar" ditentukan untuknya. Dalam hal ini, tugas perisai dirumuskan sebagai melindungi area internal dari area eksternal yang berpotensi bermusuhan. Dengan demikian, firewall (ME) paling sering dipasang untuk melindungi jaringan perusahaan dari suatu organisasi yang memiliki akses ke Internet.

Perisai membantu menjaga ketersediaan layanan di area dalam dengan mengurangi atau menghilangkan biaya overhead yang disebabkan oleh aktivitas luar. Kerentanan layanan keamanan internal berkurang, karena penyerang pertama-tama harus melewati layar, di mana mekanisme perlindungan dikonfigurasi dengan sangat hati-hati. Selain itu, sistem pelindung, berbeda dengan yang universal, dapat diatur dengan cara yang lebih sederhana dan, karenanya, lebih aman.

Perisai juga memungkinkan untuk mengontrol aliran informasi yang diarahkan ke area eksternal, yang membantu menjaga rezim kerahasiaan dalam IS organisasi.

Perisai dapat sebagian, melindungi layanan informasi tertentu (mis. Perisai email).

Antarmuka pembatas juga dapat dianggap sebagai semacam pelarian. Objek yang tidak terlihat sulit untuk diserang, terutama dengan seperangkat alat yang tetap. Dalam pengertian ini, antarmuka Web secara alami aman, terutama ketika dokumen hypertext dihasilkan secara dinamis. Setiap pengguna hanya melihat apa yang seharusnya dia lihat. Dimungkinkan untuk menggambar analogi antara dokumen hypertext yang dihasilkan secara dinamis dan representasi dalam database relasional, dengan peringatan signifikan bahwa dalam kasus Web, kemungkinannya jauh lebih luas.

Peran penyaringan layanan Web juga dimanifestasikan dengan jelas ketika layanan ini melakukan fungsi perantara (lebih tepatnya, mengintegrasikan) saat mengakses sumber daya lain, seperti tabel database. Itu tidak hanya mengontrol aliran permintaan, tetapi juga menyembunyikan organisasi data yang sebenarnya.

Aspek Keamanan Arsitektur

Tidak mungkin melawan ancaman yang melekat pada lingkungan jaringan menggunakan sistem operasi universal. Universal OS adalah perangkat lunak yang sangat besar, selain bug yang jelas, mungkin berisi beberapa fitur yang dapat digunakan untuk mendapatkan hak istimewa secara ilegal. Teknologi pemrograman modern tidak memungkinkan program sebesar itu dibuat aman. Selain itu, seorang administrator yang berurusan dengan sistem yang kompleks tidak selalu dapat memperhitungkan semua konsekuensi dari perubahan yang dilakukan. Terakhir, dalam sistem multi-pengguna universal, lubang keamanan terus-menerus dibuat oleh pengguna itu sendiri (kata sandi yang lemah dan/atau jarang diubah, hak akses yang tidak diatur dengan baik, terminal yang tidak dijaga, dll.). Satu-satunya jalan yang menjanjikan terkait dengan pengembangan layanan keamanan khusus, yang, karena kesederhanaannya, memungkinkan verifikasi formal atau informal. Firewall hanyalah alat yang memungkinkan dekomposisi lebih lanjut terkait dengan pemeliharaan berbagai protokol jaringan.

Firewall terletak di antara jaringan (internal) yang dilindungi dan lingkungan eksternal (jaringan eksternal atau segmen lain dari jaringan perusahaan). Dalam kasus pertama, seseorang berbicara tentang ME eksternal, yang kedua, internal. Bergantung pada sudut pandang seseorang, firewall eksternal dapat dianggap sebagai garis pertahanan pertama atau terakhir (tetapi bukan satu-satunya). Yang pertama - jika Anda melihat dunia melalui mata penyusup eksternal. Yang terakhir - jika Anda berusaha keras untuk melindungi semua komponen jaringan perusahaan dan mencegah tindakan ilegal pengguna internal.

Firewall adalah tempat yang ideal untuk menyematkan alat audit aktif. Di satu sisi, baik di garis pertahanan pertama maupun terakhir, deteksi aktivitas mencurigakan itu penting dengan caranya sendiri. Di sisi lain, ME mampu mewujudkan reaksi kuat yang sewenang-wenang terhadap kegiatan mencurigakan, hingga memutuskan koneksi dengan lingkungan eksternal. Benar, harus disadari bahwa koneksi dua layanan keamanan pada prinsipnya dapat menciptakan celah yang memfasilitasi serangan aksesibilitas.

Dianjurkan untuk menetapkan firewall identifikasi / otentikasi pengguna eksternal yang membutuhkan akses ke sumber daya perusahaan (dengan dukungan untuk konsep sistem masuk tunggal ke jaringan).

Berdasarkan prinsip pemisahan pertahanan, untuk melindungi koneksi eksternal biasanya pelindung dua komponen digunakan (lihat gbr. 8). Pemfilteran primer (misalnya, memblokir paket protokol manajemen SNMP yang berbahaya untuk serangan aksesibilitas, atau paket dengan alamat IP tertentu yang termasuk dalam "daftar hitam") dilakukan oleh router perbatasan (lihat juga bagian selanjutnya), di belakangnya adalah yang disebut zona demiliterisasi ( jaringan dengan kepercayaan keamanan sedang, tempat layanan informasi eksternal organisasi (Web, email, dll.) ditempatkan) dan firewall utama yang melindungi bagian internal jaringan perusahaan.

Secara teoritis, firewall (terutama yang internal) harus multiprotocol, tetapi dalam praktiknya keluarga protokol TCP/IP sangat dominan sehingga dukungan untuk protokol lain tampaknya berlebihan, merugikan keamanan (daripada layanan lebih keras yang lebih rentan).

Beras. 8

Secara umum, firewall eksternal dan internal dapat menjadi hambatan karena jumlah lalu lintas jaringan cenderung tumbuh dengan cepat. Salah satu pendekatan untuk memecahkan masalah ini melibatkan pembagian ME menjadi beberapa bagian perangkat keras dan pengorganisasian server perantara khusus. Firewall utama secara kasar dapat mengklasifikasikan lalu lintas masuk berdasarkan jenis dan mendelegasikan pemfilteran ke perantara yang sesuai (misalnya, perantara yang menganalisis lalu lintas HTTP). Lalu lintas keluar pertama-tama diproses oleh server perantara, yang juga dapat melakukan tindakan yang berguna secara fungsional, seperti halaman cache server Web eksternal, yang mengurangi beban pada jaringan pada umumnya dan firewall utama pada khususnya.

Situasi di mana jaringan perusahaan hanya berisi satu saluran eksternal merupakan pengecualian daripada aturannya. Sebaliknya, situasi tipikal adalah ketika jaringan perusahaan terdiri dari beberapa segmen yang tersebar secara geografis, yang masing-masing terhubung ke Internet. Dalam hal ini, setiap koneksi harus dilindungi oleh pelindungnya sendiri. Lebih tepatnya, kita dapat menganggap bahwa firewall eksternal perusahaan adalah gabungan, dan diperlukan untuk menyelesaikan masalah administrasi terkoordinasi (manajemen dan audit) dari semua komponen.

Kebalikan dari firewall korporat gabungan (atau komponennya) adalah firewall pribadi dan perangkat pelindung pribadi. Yang pertama adalah produk perangkat lunak, yang diinstal di komputer pribadi dan hanya melindunginya. Yang terakhir diimplementasikan pada perangkat individual dan melindungi jaringan area lokal kecil, seperti jaringan kantor pusat.

Saat dikerahkan firewall Penting untuk mengikuti prinsip-prinsip keamanan arsitektur yang telah kita bahas sebelumnya, pertama-tama, menjaga kesederhanaan dan kemampuan kontrol, pertahanan secara mendalam, dan juga ketidakmungkinan transisi ke keadaan tidak aman. Selain itu, perlu untuk memperhitungkan tidak hanya eksternal, tetapi juga ancaman internal.

Sistem pengarsipan dan duplikasi informasi

Pengorganisasian sistem pengarsipan data yang andal dan efisien adalah salah satu tugas terpenting untuk memastikan keamanan informasi di jaringan. Dalam jaringan kecil di mana satu atau dua server diinstal, penginstalan sistem pengarsipan langsung ke slot gratis server paling sering digunakan. Dalam jaringan perusahaan besar, paling disukai untuk mengatur server pengarsipan khusus khusus.

Server semacam itu secara otomatis mengarsipkan informasi dari hard disk server dan workstation pada waktu yang ditentukan oleh administrator jaringan area lokal, mengeluarkan laporan tentang cadangan.

Penyimpanan informasi arsip dengan nilai tertentu harus diatur dalam ruang khusus yang aman. Para ahli merekomendasikan untuk menyimpan arsip duplikat dari data paling berharga di gedung lain jika terjadi kebakaran atau bencana alam. Untuk memastikan pemulihan data jika terjadi kegagalan disk magnetik, sistem larik disk paling sering digunakan baru-baru ini - grup disk yang beroperasi sebagai perangkat tunggal yang mematuhi standar RAID (Redundant Arrays of Inexpensive Disks). Array ini memberikan kecepatan tulis / baca data tertinggi, kemampuan untuk pemulihan penuh data dan penggantian disk yang gagal dalam mode "panas" (tanpa melepaskan disk array yang tersisa).

Organisasi array disk menyediakan berbagai solusi teknis dilaksanakan pada beberapa tingkatan:

RAID level 0 hanya membagi aliran data menjadi dua drive atau lebih. Keuntungan dari solusi ini adalah kecepatan I/O meningkat sebanding dengan jumlah disk yang digunakan dalam larik.

RAID level 1 terdiri dari pengorganisasian yang disebut disk "mirror". Selama perekaman data, informasi dari disk utama sistem digandakan pada disk cermin, dan jika disk utama gagal, "mirror" segera menyala.

RAID level 2 dan 3 menyediakan pembuatan array disk paralel, saat ditulis yang datanya didistribusikan ke seluruh disk pada level bit.

RAID level 4 dan 5 adalah modifikasi dari level nol, di mana aliran data didistribusikan ke seluruh disk array. Perbedaannya adalah pada level 4, disk khusus dialokasikan untuk menyimpan informasi yang berlebihan, dan pada level 5, informasi yang berlebihan didistribusikan ke semua disk dalam array.

Peningkatan keandalan dan perlindungan data dalam jaringan, berdasarkan penggunaan informasi yang berlebihan, diimplementasikan tidak hanya pada tingkat elemen jaringan individual, seperti larik disk, tetapi juga pada tingkat sistem operasi jaringan. Misalnya, Novell mengimplementasikan versi toleransi kesalahan dari sistem operasi Netware - SFT (System Fault Tolerance):

• - SFT Level I. Level pertama menyediakan pembuatan salinan tambahan dari FAT dan Tabel Entri Direktori, verifikasi langsung dari setiap yang baru direkam pada server file blok data, serta redundansi pada setiap hard disk sekitar 2% dari volume disk.
• - SFT Level II juga berisi kemampuan untuk membuat disk "mirror", serta duplikasi pengontrol disk, catu daya, dan kabel antarmuka.
• - Versi SFT Level III memungkinkan Anda untuk menggunakan server duplikat di jaringan lokal, salah satunya adalah yang "utama", dan yang kedua, berisi salinan semua informasi, mulai beroperasi jika terjadi kegagalan " "server utama".

Analisis Keamanan

Layanan analisis keamanan dirancang untuk mengidentifikasi kerentanan agar dapat menghilangkannya dengan cepat. Dengan sendirinya, layanan ini tidak melindungi dari apa pun, tetapi membantu mendeteksi (dan memperbaiki) celah keamanan sebelum penyerang dapat mengeksploitasinya. Pertama-tama, ini bukan arsitektural (sulit untuk menghilangkannya), tetapi celah "operasional" yang muncul sebagai akibat dari kesalahan administratif atau karena kurangnya perhatian untuk memperbarui versi perangkat lunak.

Sistem analisis keamanan (juga disebut pemindai keamanan), seperti alat audit aktif yang dibahas di atas, didasarkan pada akumulasi dan penggunaan pengetahuan. Dalam hal ini, yang kami maksud adalah pengetahuan tentang celah keamanan: cara mencarinya, seberapa seriusnya, dan cara memperbaikinya.

Oleh karena itu, inti dari sistem tersebut adalah basis kerentanan, yang menentukan jangkauan kemampuan yang tersedia dan membutuhkan pembaruan yang hampir konstan.

Pada prinsipnya, celah dengan sifat yang sangat berbeda dapat dideteksi: keberadaan malware (khususnya, virus), kata sandi pengguna yang lemah, sistem operasi yang dikonfigurasi dengan buruk, layanan jaringan tidak aman, tambalan yang dihapus, kerentanan dalam aplikasi, dll. Namun, pemindai jaringan adalah yang paling efektif (tampaknya karena dominasi keluarga protokol TCP/IP), serta alat anti-virus (10). Perlindungan antivirus kami mengklasifikasikannya sebagai alat analisis keamanan, tidak menganggapnya sebagai layanan keamanan terpisah.

Pemindai dapat mengidentifikasi kerentanan baik melalui analisis pasif, yaitu mempelajari file konfigurasi, port yang terlibat, dll., dan dengan mensimulasikan tindakan penyerang. Beberapa kerentanan yang ditemukan dapat diperbaiki secara otomatis (misalnya, desinfeksi file yang terinfeksi), yang lain dilaporkan ke administrator.

Kontrol yang diberikan oleh sistem analisis keamanan bersifat reaktif, tertunda, tidak melindungi dari serangan baru, tetapi perlu diingat bahwa pertahanan harus berlapis, dan kontrol keamanan cukup memadai sebagai salah satu frontier. Diketahui bahwa sebagian besar serangan bersifat rutin; mereka hanya mungkin karena lubang keamanan yang diketahui tetap tidak ditambal selama bertahun-tahun.

Perlindungan data dalam jaringan komputer menjadi salah satu masalah paling akut dalam ilmu komputer modern. Sampai saat ini, tiga prinsip dasar keamanan informasi telah dirumuskan, yang harus menyediakan:

Integritas data - perlindungan terhadap kegagalan yang menyebabkan hilangnya informasi, serta pembuatan atau penghancuran data yang tidak sah;

Kerahasiaan informasi dan, pada saat yang sama,

Juga harus dicatat bahwa bidang kegiatan tertentu (perbankan dan lembaga keuangan, jaringan informasi, sistem administrasi publik, pertahanan dan struktur khusus) memerlukan langkah-langkah keamanan data khusus dan memaksakan peningkatan persyaratan pada keandalan sistem informasi.

Saat mempertimbangkan masalah perlindungan data dalam jaringan, pertanyaan pertama yang muncul adalah klasifikasi kegagalan dan pelanggaran hak akses yang dapat menyebabkan kerusakan atau modifikasi data yang tidak diinginkan. Ancaman potensial meliputi:

1. Kegagalan perangkat keras:

crash sistem kabel;

Listrik padam;

Kegagalan sistem disk;

Kegagalan sistem pengarsipan data;

Kegagalan server, workstation, kartu jaringan dll.;

2. Kehilangan informasi karena pengoperasian perangkat lunak yang salah:

Kehilangan atau perubahan data karena kesalahan perangkat lunak;

Kerugian bila sistem terinfeksi virus komputer;

3. Kerugian yang terkait dengan akses tidak sah:

Penyalinan, penghancuran, atau pemalsuan informasi yang tidak sah;

Pengenalan dengan informasi rahasia yang merupakan rahasia, orang yang tidak berwenang;

4. Kehilangan informasi yang terkait dengan penyimpanan data arsip yang tidak tepat.

5. Kesalahan petugas dan pengguna layanan.

Penghancuran atau perubahan data yang tidak disengaja;

Penggunaan perangkat lunak dan perangkat keras yang salah, yang menyebabkan penghancuran atau pengubahan data.

Bergantung pada kemungkinan jenis gangguan jaringan, banyak jenis perlindungan informasi digabungkan menjadi tiga kelas utama:

Sarana perlindungan fisik, termasuk perlindungan sistem kabel, sistem catu daya, alat pengarsipan, larik disk, dll.

Perangkat lunak keamanan, termasuk: program anti-virus, sistem diferensiasi kekuatan, perangkat lunak kontrol akses.

Perlindungan administratif, termasuk kontrol akses ke tempat, pengembangan strategi keamanan perusahaan, rencana darurat, dll.

Perlu dicatat bahwa pembagian seperti itu agak sewenang-wenang teknologi modern sedang berkembang ke arah kombinasi perlindungan perangkat lunak dan perangkat keras.

Sistem pengarsipan dan duplikasi informasi

Pengorganisasian sistem pengarsipan data yang andal dan efisien adalah salah satu tugas terpenting untuk memastikan keamanan informasi di jaringan. Dalam jaringan kecil di mana satu atau dua server diinstal, penginstalan sistem pengarsipan langsung ke slot gratis server paling sering digunakan. Dalam jaringan perusahaan besar, paling disukai untuk mengatur server pengarsipan khusus khusus.

Server semacam itu secara otomatis mengarsipkan informasi dari hard disk server dan workstation pada waktu yang ditentukan oleh administrator jaringan area lokal, mengeluarkan laporan cadangan. Ini memberikan kontrol atas seluruh proses pencadangan dari konsol administrator, misalnya, Anda dapat menentukan volume, direktori, atau file individual tertentu yang ingin Anda cadangkan.

Dimungkinkan juga untuk mengatur pengarsipan otomatis saat terjadinya satu atau peristiwa lain ("pencadangan yang didorong oleh peristiwa"), misalnya, ketika menerima informasi bahwa ada sedikit ruang kosong yang tersisa di hard disk server atau workstation, atau ketika salah satu disk "mirror" gagal disk di server file.

Untuk memastikan pemulihan data jika terjadi kegagalan disk magnetik, sistem larik disk paling sering digunakan baru-baru ini - grup disk yang beroperasi sebagai perangkat tunggal yang mematuhi standar RAID (Redundant Arrays of Inexpensive Disks).

Perlindungan virus komputer

Hingga saat ini, selain ribuan virus yang sudah dikenal, 100-150 jenis baru muncul setiap bulan. Hingga hari ini, berbagai program anti-virus tetap menjadi metode perlindungan paling umum terhadap virus.

Namun, dalam beberapa tahun terakhir, kombinasi metode perlindungan perangkat lunak dan perangkat keras semakin banyak digunakan sebagai pendekatan yang menjanjikan untuk melindungi dari virus komputer. Di antara perangkat keras semacam ini, dapat dicatat papan anti-virus khusus yang dimasukkan ke dalam slot ekspansi komputer standar.

Perlindungan terhadap akses yang tidak sah

Masalah melindungi informasi dari akses yang tidak sah menjadi sangat akut dengan meluasnya penggunaan jaringan komputer lokal dan, terutama, global. Perlu juga dicatat bahwa seringkali kerusakan dilakukan bukan karena "niat jahat", tetapi karena kesalahan dasar pengguna yang secara tidak sengaja merusak atau menghapus data penting. Dalam hal ini, selain kontrol akses, elemen perlindungan informasi yang diperlukan dalam jaringan komputer adalah pembatasan kekuatan pengguna.

Dalam jaringan komputer, saat mengatur kontrol akses dan diferensiasi kekuatan pengguna, alat bawaan sistem operasi jaringan paling sering digunakan.

Ada banyak kemungkinan arah kebocoran informasi dan cara akses tidak sah dalam sistem dan jaringan. Diantara mereka:

membaca informasi sisa dalam memori sistem setelah eksekusi permintaan resmi;

menyalin file media dan informasi dengan mengatasi tindakan perlindungan;

menyamar sebagai pengguna terdaftar;

menyamar di bawah permintaan sistem;

penggunaan jebakan perangkat lunak;

mengeksploitasi kekurangan sistem operasi;

Koneksi ilegal ke peralatan dan jalur komunikasi;

Ketidakmampuan berbahaya dari mekanisme perlindungan;

pengenalan dan penggunaan virus komputer.

Memastikan keamanan informasi dicapai dengan serangkaian tindakan organisasi, organisasi, teknis, teknis dan program.

Untuk langkah-langkah organisasi keamanan informasi meliputi:

pembatasan akses ke tempat di mana informasi disiapkan dan diproses;

masuk ke pemrosesan dan transfer informasi rahasia hanya untuk pejabat terverifikasi;

· penyimpanan media magnetik dan log registrasi di brankas tertutup untuk akses oleh orang yang tidak berwenang;

pengecualian untuk melihat konten materi yang diproses oleh orang yang tidak berwenang melalui tampilan, printer, dll.;

Penggunaan kode kriptografi dalam transmisi informasi berharga melalui saluran komunikasi;

· penghancuran pita tinta, kertas dan bahan lain yang mengandung fragmen informasi berharga.

Langkah-langkah organisasi dan teknis keamanan informasi meliputi:

· memasok daya ke peralatan yang memproses informasi berharga dari sumber daya independen atau melalui filter jaringan khusus;

pemasangan kunci kode di pintu tempat;

penggunaan layar kristal cair atau plasma untuk menampilkan informasi selama input-output, dan untuk mendapatkan salinan cetak - printer inkjet dan printer termal, karena layar memberikan radiasi elektromagnetik frekuensi tinggi sehingga gambar dari layarnya dapat diambil pada jarak beberapa ratus kilometer;

penghancuran informasi saat menonaktifkan atau mengirim komputer untuk diperbaiki;

· Memasang keyboard dan printer pada bantalan lunak untuk mengurangi kemungkinan menghapus informasi dengan cara akustik;

pembatasan radiasi elektromagnetik dengan melindungi tempat di mana informasi diproses dengan lembaran logam atau plastik khusus.

Sarana teknis keamanan informasi - ini adalah sistem untuk melindungi wilayah dan tempat dengan melindungi ruang mesin dan mengatur sistem kontrol akses. Perlindungan informasi dalam jaringan dan fasilitas komputasi dengan bantuan sarana teknis dilaksanakan berdasarkan pengorganisasian akses ke memori menggunakan:

kontrol akses ke berbagai tingkat memori komputer;

mengunci data dan memasukkan kunci;

alokasi bit kontrol untuk catatan untuk tujuan identifikasi, dll.

Arsitektur perangkat lunak perlindungan informasi meliputi:

kontrol keamanan, termasuk kontrol pendaftaran masuk ke sistem, fiksasi dalam log sistem, kontrol tindakan pengguna;

reaksi (termasuk suara) terhadap pelanggaran sistem perlindungan untuk mengontrol akses ke sumber daya jaringan;

kontrol kredensial akses;

Kontrol keamanan formal dari sistem operasi (sistem dasar dan jaringan);

kontrol algoritma perlindungan;

Memeriksa dan mengkonfirmasi fungsi perangkat keras dan perangkat lunak yang benar.

Untuk perlindungan informasi yang andal dan deteksi kasus tindakan tidak sah, pendaftaran operasi sistem dilakukan: buku harian dan protokol khusus dibuat di mana semua tindakan yang terkait dengan perlindungan informasi dalam sistem dicatat. Program khusus juga digunakan untuk menguji sistem proteksi. Secara berkala atau pada titik waktu yang dipilih secara acak, mereka memeriksa kinerja perlindungan perangkat keras dan perangkat lunak.

Sekelompok tindakan terpisah untuk memastikan keamanan informasi dan mengidentifikasi permintaan yang tidak sah mencakup program untuk mendeteksi pelanggaran secara waktu nyata. Program grup ini menghasilkan sinyal khusus saat mendaftarkan tindakan yang dapat mengarah pada tindakan ilegal terkait dengan informasi yang dilindungi. Sinyal dapat berisi informasi tentang sifat pelanggaran, lokasi terjadinya, dan karakteristik lainnya. Selain itu, program dapat melarang akses ke informasi yang dilindungi atau mensimulasikan mode operasi seperti itu (misalnya, memuat perangkat I / O secara instan), yang memungkinkan penyusup diidentifikasi dan ditahan oleh layanan yang sesuai.

Salah satu metode perlindungan yang umum adalah indikasi eksplisit kerahasiaan informasi keluaran. Persyaratan ini diimplementasikan dengan menggunakan perangkat lunak yang sesuai.

Dengan melengkapi server atau workstation jaringan, misalnya, dengan pembaca kartu pintar dan perangkat lunak khusus, Anda dapat meningkatkan tingkat perlindungan terhadap akses tidak sah secara signifikan. Dalam hal ini, untuk mengakses komputer, pengguna harus memasukkan kartu pintar ke pembaca dan memasukkan kode pribadinya.

Kartu kontrol akses pintar memungkinkan Anda menerapkan, khususnya, fungsi seperti kontrol akses, akses ke perangkat komputer pribadi, akses ke program, file, dan perintah.

Jembatan dan router akses jarak jauh menggunakan segmentasi paket - pemisahan dan transmisinya secara paralel melalui dua jalur - yang membuatnya tidak mungkin untuk "mencegat" data saat "peretas" terhubung secara ilegal ke salah satu jalur. Selain itu, prosedur untuk mengompresi paket yang dikirimkan yang digunakan dalam transmisi data menjamin ketidakmungkinan mendekripsi data yang "dicegat". Selain itu, jembatan dan router akses jarak jauh dapat diprogram untuk membatasi pengguna jarak jauh dari mengakses sumber daya tertentu di jaringan kantor utama.

Mekanisme keamanan

1. Kriptografi.

Untuk memastikan kerahasiaan, enkripsi, atau kriptografi, digunakan, yang memungkinkan Anda mengubah data menjadi bentuk terenkripsi, dari mana Anda dapat mengekstrak informasi asli hanya jika Anda memiliki kunci.

Enkripsi didasarkan pada dua konsep dasar: algoritme dan kunci. Algoritme adalah cara untuk menyandikan teks asli, menghasilkan pesan terenkripsi. Pesan terenkripsi hanya dapat ditafsirkan menggunakan kunci.

Semua elemen sistem perlindungan dibagi menjadi dua kategori - jangka panjang dan mudah diganti. Elemen jangka panjang mencakup elemen-elemen yang terkait dengan pengembangan sistem perlindungan dan memerlukan intervensi spesialis atau pengembang untuk mengubahnya. Elemen yang mudah diganti termasuk elemen sistem yang dimaksudkan untuk modifikasi atau modifikasi sewenang-wenang sesuai dengan aturan yang telah ditentukan, berdasarkan parameter awal yang dipilih secara acak. Elemen yang mudah diubah termasuk, misalnya, kunci, kata sandi, identifikasi, dan sejenisnya.

Kerahasiaan informasi dipastikan dengan memasukkan kunci (kode) khusus ke dalam algoritme. Penggunaan kunci dalam enkripsi memberikan dua keuntungan yang signifikan. Pertama, Anda dapat menggunakan satu algoritme dengan kunci berbeda untuk mengirim pesan ke penerima yang berbeda. Kedua, jika kunci dikompromikan, dapat dengan mudah diganti tanpa mengubah algoritme enkripsi. Dengan demikian, keamanan sistem enkripsi bergantung pada kerahasiaan kunci yang digunakan, dan bukan pada kerahasiaan algoritma enkripsi.

Penting untuk dicatat bahwa peningkatan produktivitas teknologi mengarah pada penurunan waktu yang diperlukan untuk membuka kunci, dan sistem keamanan harus menggunakan kunci yang lebih lama, yang pada gilirannya menyebabkan peningkatan biaya enkripsi.

Karena tempat penting dalam sistem enkripsi diberikan pada kerahasiaan kunci, masalah utama dari sistem tersebut adalah pembuatan dan transmisi kunci.

Ada dua skema enkripsi utama: enkripsi simetris (terkadang juga disebut enkripsi kunci tradisional atau privat) dan enkripsi kunci publik (terkadang disebut enkripsi asimetris).

Dengan enkripsi simetris, pengirim dan penerima berbagi kunci (rahasia) yang sama yang dapat digunakan untuk mengenkripsi dan mendekripsi data.

Tanda tangan elektronik

Dengan bantuan tanda tangan elektronik, penerima dapat memastikan bahwa pesan yang diterimanya dikirim bukan oleh pihak ketiga, melainkan oleh pengirim dengan hak tertentu. Tanda tangan elektronik dibuat dengan enkripsi checksum Dan informasi tambahan menggunakan kunci pribadi pengirim. Dengan demikian, siapa pun dapat mendekripsi tanda tangan menggunakan kunci publik, tetapi hanya pemilik kunci privat yang dapat membuat tanda tangan dengan benar. Untuk melindungi dari intersepsi dan penggunaan kembali, tanda tangan menyertakan nomor unik - nomor urut.

Autentikasi

Otentikasi adalah salah satu komponen terpenting dalam mengatur keamanan informasi dalam jaringan. Sebelum pengguna diberikan hak untuk mendapatkan sumber daya tertentu, perlu dipastikan bahwa dia benar-benar seperti yang dia klaim.

Saat permintaan diterima untuk menggunakan sumber daya atas nama pengguna, server yang menyediakan sumber daya meneruskan kontrol ke server autentikasi. Setelah menerima respon positif dari server autentikasi, sumber daya yang diminta diberikan kepada pengguna.

Otentikasi menggunakan, sebagai aturan, prinsip yang disebut "apa yang dia ketahui" - pengguna mengetahui beberapa kata rahasia yang dia kirim ke server otentikasi sebagai tanggapan atas permintaannya. Salah satu skema otentikasi adalah dengan menggunakan kata sandi standar. Kata sandi - dia masuk di awal sesi interaksi dengan jaringan, dan terkadang di akhir sesi (dalam kasus yang sangat bertanggung jawab, kata sandi untuk keluar normal dari jaringan mungkin berbeda dari kata sandi input). Skema ini paling rentan dalam hal keamanan - kata sandi dapat dicegat dan digunakan oleh orang lain.

Skema yang paling umum digunakan menggunakan kata sandi satu kali. Sekalipun dicegat, kata sandi ini tidak akan berguna pada pendaftaran berikutnya, dan mendapatkan kata sandi berikutnya dari yang sebelumnya adalah tugas yang sangat sulit. Untuk menghasilkan kata sandi satu kali, generator perangkat lunak dan perangkat keras digunakan, yaitu perangkat yang dimasukkan ke dalam slot komputer. Pengetahuan tentang kata rahasia diperlukan bagi pengguna untuk mengaktifkan perangkat ini.

Perlindungan jaringan

Baru-baru ini, jaringan perusahaan semakin terhubung ke Internet atau bahkan menggunakannya sebagai tulang punggung mereka. Untuk melindungi perusahaan jaringan informasi firewall digunakan. Firewall adalah sistem atau kombinasi sistem yang memungkinkan Anda untuk membagi jaringan menjadi dua bagian atau lebih dan menerapkan seperangkat aturan yang menentukan kondisi paket untuk berpindah dari satu bagian ke bagian lainnya. Biasanya, batas ini ditarik antara jaringan lokal perusahaan dan INTERNETOM, meskipun bisa juga ditarik secara internal. Namun, tidak menguntungkan untuk melindungi masing-masing komputer, sehingga seluruh jaringan biasanya terlindungi. Firewall melewati semua lalu lintas melalui dirinya sendiri dan untuk setiap paket yang lewat membuat keputusan apakah akan membiarkannya lewat atau menjatuhkannya. Agar firewall membuat keputusan ini, seperangkat aturan ditentukan untuknya.

Firewall dapat diimplementasikan baik dalam perangkat keras (yaitu, sebagai perangkat fisik terpisah) atau sebagai program khusus yang berjalan di komputer.

Sebagai aturan, di sistem operasi, di mana firewall berjalan, perubahan dilakukan, yang tujuannya adalah untuk meningkatkan perlindungan firewall itu sendiri. Perubahan ini memengaruhi kernel OS dan file konfigurasi terkait. Di firewall itu sendiri, tidak diperbolehkan memiliki bagian pengguna, dan oleh karena itu potensi lubang - hanya bagian administrator.

Beberapa firewall hanya berfungsi dalam mode pengguna tunggal, dan banyak yang memiliki sistem untuk memeriksa integritas kode program.

Firewall biasanya terdiri dari beberapa komponen berbeda, termasuk filter atau layar yang memblokir beberapa lalu lintas.

Semua firewall dapat dibagi menjadi dua jenis:

Filter paket yang memfilter paket IP menggunakan filtering router;

Server lapisan aplikasi yang memblokir akses ke layanan tertentu di jaringan.

Dengan demikian, firewall dapat didefinisikan sebagai sekumpulan komponen atau sistem yang berada di antara dua jaringan dan memiliki sifat-sifat berikut:

Semua lalu lintas dari jaringan internal ke eksternal dan dari jaringan eksternal ke internal harus melalui sistem ini;

· hanya lalu lintas yang ditentukan oleh kebijakan keamanan lokal yang dapat melewati sistem ini;

Pada bagian pertama "Dasar-Dasar Keamanan Informasi", kami mempertimbangkan jenis utama ancaman terhadap keamanan informasi. Agar kami dapat mulai memilih cara untuk melindungi informasi, perlu untuk mempertimbangkan secara lebih rinci apa yang dapat dikaitkan dengan konsep informasi.

Informasi dan klasifikasinya

Ada banyak definisi dan klasifikasi “Informasi”. Definisi paling ringkas dan sekaligus luas diberikan dalam undang-undang federal 27 Juli 2006 Nomor 149-FZ(sebagaimana diubah pada tanggal 29 Juli 2017), pasal 2: Informasi adalah informasi (pesan, data) apapun bentuk penyajiannya.

Informasi dapat diklasifikasikan menjadi beberapa jenis dan, tergantung pada kategori aksesnya, dibagi menjadi informasi Publik, serta informasi yang aksesnya dibatasi - data rahasia dan rahasia negara.

Informasi, tergantung pada urutan penyediaan atau distribusinya, dibagi menjadi informasi:

1. dapat didistribusikan kembali secara bebas
2. Disediakan oleh kesepakatan orang terlibat dalam hubungan yang bersangkutan
3. Yang, sesuai dengan hukum federal untuk diberikan atau didistribusikan
4. Distribusi, yang di Federasi Rusia dibatasi atau dilarang

Informasi tujuan adalah dari jenis berikut:

1. Dalam jumlah besar- berisi informasi sepele dan beroperasi dengan seperangkat konsep yang dapat dimengerti oleh sebagian besar masyarakat.
2. Spesial- berisi sekumpulan konsep tertentu yang mungkin tidak dipahami oleh sebagian besar masyarakat, tetapi diperlukan dan dapat dipahami dalam lingkup sempit grup sosial dimana informasi ini digunakan.
3. rahasia- akses yang disediakan untuk kalangan sempit orang dan melalui saluran tertutup (aman).
4. Pribadi (pribadi)- sekumpulan informasi tentang seseorang yang menentukan posisi sosial dan jenis interaksi sosial.

Alat keamanan informasi harus diterapkan langsung ke informasi yang aksesnya terbatas - ini rahasia negara dan data rahasia.

Menurut hukum Federasi Rusia 21.07.1993 N 5485-1 (sebagaimana telah diubah pada 03/08/2015) “Tentang Rahasia Negara” Pasal 5. "Daftar informasi yang merupakan rahasia negara" berlaku untuk:

1. Informasi di wilayah militer.
2. Informasi di bidang ekonomi, sains dan teknologi.
3. Informasi di bidang politik luar negeri dan ekonomi.
4. Informasi di bidang intelijen, kontra intelijen dan kegiatan pencarian operasional, serta di bidang pemberantasan terorisme dan di bidang jaminan keamanan orang-orang yang keputusannya diambil untuk menerapkan langkah-langkah perlindungan negara.

Daftar informasi yang mungkin merupakan informasi rahasia terkandung di dalamnya keputusan presiden 6 Maret 1997 №188 (sebagaimana diubah pada 13 Juli 2015) "Atas persetujuan daftar informasi rahasia".

Data Rahasia- ini adalah informasi, yang aksesnya dibatasi sesuai dengan hukum negara dan norma yang ditetapkan perusahaan secara mandiri. Jenis data rahasia berikut dapat dibedakan:

• Data sensitif pribadi: Informasi tentang fakta, peristiwa, dan keadaan kehidupan pribadi warga negara, yang memungkinkan untuk mengidentifikasi kepribadiannya (data pribadi), dengan pengecualian informasi yang akan disebarluaskan di media dalam kasus yang ditetapkan oleh undang-undang federal. Satu-satunya pengecualian adalah informasi yang didistribusikan di media.
• Data sensitif layanan: Informasi resmi, yang aksesnya dibatasi oleh otoritas publik sesuai dengan Kode Sipil Federasi Rusia dan undang-undang federal (rahasia resmi).
• Data rahasia forensik: Tentang perlindungan negara terhadap hakim, pejabat penegak hukum dan badan pengatur. Tentang perlindungan negara terhadap korban, saksi dan peserta lain dalam proses pidana. Informasi yang terkandung dalam arsip pribadi terpidana, serta informasi tentang penegakan tindakan peradilan, tindakan badan dan pejabat lain, kecuali untuk informasi yang tersedia untuk umum sesuai dengan Undang-Undang Federal 2 Oktober 2007 N 229-FZ " Tentang Proses Penegakan".
• Data sensitif komersial: semua jenis informasi yang terkait dengan perdagangan (keuntungan) dan akses yang dibatasi oleh undang-undang atau informasi tentang esensi penemuan, model utilitas atau desain industri sebelum publikasi resmi informasi tentangnya oleh perusahaan (perkembangan rahasia, produksi teknologi, dll).
• Data rahasia profesional: Informasi yang berkaitan dengan kegiatan profesional, yang aksesnya dibatasi sesuai dengan Konstitusi Federasi Rusia dan undang-undang federal (medis, notaris, pengacara-klien, korespondensi, percakapan telepon, barang pos, telegrap atau pesan lainnya, dll.)

Gambar 1. Klasifikasi jenis informasi.

Informasi pribadi

Secara terpisah, ada baiknya memperhatikan dan mempertimbangkan data pribadi. Menurut hukum federal 27 Juli 2006 Nomor 152-FZ(sebagaimana diubah pada 29/07/2017) "Tentang Data Pribadi", pasal 4: Informasi pribadi- ini adalah informasi apa pun yang berkaitan dengan orang alami yang diidentifikasi atau dapat diidentifikasi secara langsung atau tidak langsung (subjek data pribadi).

Operator data pribadi adalah- badan negara, badan kota, hukum atau individu, secara mandiri atau bersama-sama dengan orang lain yang mengatur dan (atau) melakukan pemrosesan data pribadi, serta menentukan tujuan pemrosesan data pribadi, komposisi data pribadi yang akan diproses, tindakan (operasi) yang dilakukan dengan data pribadi.

Pemrosesan data pribadi- setiap tindakan (operasi) atau serangkaian tindakan (operasi) yang dilakukan dengan menggunakan alat otomasi atau tanpa menggunakan alat tersebut dengan data pribadi, termasuk pengumpulan, perekaman, sistematisasi, akumulasi, penyimpanan, klarifikasi (pembaruan, perubahan), ekstraksi, penggunaan, transfer (distribusi, penyediaan, akses), depersonalisasi, pemblokiran, penghapusan, penghancuran data pribadi.

Hak untuk memproses data pribadi diabadikan dalam peraturan tentang badan negara bagian, undang-undang federal, lisensi untuk bekerja dengan data pribadi yang dikeluarkan oleh Roskomnadzor atau FSTEC.

Perusahaan yang bekerja secara profesional dengan data pribadi banyak orang, misalnya, perusahaan hosting server maya atau operator telekomunikasi, harus masuk ke register yang dikelola oleh Roskomnadzor.

Misalnya, hosting server virtual kami VPS.HOUSE beroperasi dalam kerangka undang-undang Federasi Rusia dan sesuai dengan lisensi Layanan Federal untuk Pengawasan Komunikasi, Teknologi Informasi, dan Komunikasi Massa No. 139322 tanggal 25 Desember 2015 (Layanan komunikasi telematika) dan No. 139323 tanggal 25 Desember 2015 (Layanan komunikasi untuk transmisi data, kecuali layanan komunikasi untuk transmisi data dalam rangka transmisi informasi suara).

Berdasarkan hal tersebut, setiap situs yang memiliki formulir pendaftaran pengguna, yang mengindikasikan dan selanjutnya memproses informasi terkait data pribadi, adalah operator data pribadi.

Menimbang Pasal 7 UU Nomor 152-FZ"Tentang Data Pribadi", operator dan orang lain yang telah memperoleh akses ke data pribadi berkewajiban untuk tidak mengungkapkan kepada pihak ketiga dan tidak mendistribusikan data pribadi tanpa persetujuan subjek data pribadi, kecuali ditentukan lain oleh undang-undang federal. Oleh karena itu, setiap operator data pribadi wajib memastikan keamanan dan kerahasiaan yang diperlukan dari informasi ini.

Untuk menjamin keamanan dan kerahasiaan informasi, perlu ditentukan media apa saja yang aksesnya terbuka dan tertutup. Oleh karena itu, metode dan cara perlindungan juga dipilih tergantung pada jenis medianya.

Pembawa informasi utama:

• media cetak dan elektronik, media sosial, sumber daya lain di Internet;
• Karyawan organisasi yang memiliki akses ke informasi berdasarkan persahabatan, keluarga, ikatan profesional mereka;
• Komunikasi berarti mengirimkan atau menyimpan informasi: telepon, pertukaran telepon otomatis, peralatan telekomunikasi lainnya;
• Semua jenis dokumen: pribadi, resmi, negara bagian;
• Perangkat lunak sebagai objek informasi independen, terutama jika versinya dikembangkan khusus untuk perusahaan tertentu;
• Media penyimpanan elektronik yang mengolah data secara otomatis.

Setelah menentukan informasi apa yang dilindungi, pembawa informasi, dan kemungkinan kerusakan selama pengungkapannya, Anda dapat memilih alat perlindungan yang diperlukan.

Klasifikasi alat keamanan informasi

Sesuai dengan hukum federal 27 Juli 2006 Nomor 149-FZ(sebagaimana diubah pada tanggal 29 Juli 2017) "Tentang Informasi, Teknologi Informasi dan Perlindungan Informasi", Pasal 7, ayat 1. dan ayat 4:

1. Keamanan informasi mewakili adopsi langkah-langkah hukum, organisasi dan teknis, bertujuan:

• Keamanan perlindungan informasi dari akses yang tidak sah, perusakan, modifikasi, pemblokiran, penyalinan, penyediaan, distribusi, serta dari tindakan ilegal lainnya sehubungan dengan informasi tersebut;
• Kepatuhan kerahasiaan informasi yang dibatasi;
• Penerapan hak untuk mengakses informasi.

4. Pemilik informasi, operator sistem informasi dalam kasus yang ditetapkan oleh undang-undang Federasi Rusia, wajib menyediakan:

• Pencegahan akses tidak sah ke informasi dan (atau) transfernya ke orang yang tidak memiliki hak untuk mengakses informasi;
• tepat waktu deteksi fakta akses tidak sah ke informasi;
• Peringatan kemungkinan akibat buruk dari pelanggaran urutan akses informasi;
• Pencegahan berdampak pada sarana teknis pemrosesan informasi, akibatnya fungsinya terganggu;
• Kemungkinan segera pemulihan informasi diubah atau dihancurkan karena akses tidak sah ke sana;
• Konstan kontrol untuk memastikan tingkat keamanan informasi;
• Temuan di wilayah Federasi Rusia basis data informasi yang digunakan untuk mengumpulkan, mencatat, mensistematisasikan, mengakumulasi, menyimpan, mengklarifikasi (memperbarui, mengubah), mengekstrak data pribadi warga Federasi Rusia (pasal 7 diperkenalkan oleh Hukum Federal Federasi Rusia). 21.07.2014 Nomor 242-FZ).

Berdasarkan hukum Nomor 149-FZ Keamanan informasi juga dapat dibagi menjadi beberapa tingkatan:

1. Tingkat hukum memastikan kepatuhan dengan standar negara di bidang keamanan informasi dan mencakup hak cipta, keputusan, paten, dan deskripsi pekerjaan.
   Sistem perlindungan yang dibangun dengan baik tidak melanggar hak pengguna dan norma pemrosesan data.
2. Tingkat organisasi memungkinkan Anda membuat aturan untuk pekerjaan pengguna dengan informasi rahasia, memilih personel, mengatur pekerjaan dengan dokumentasi dan pembawa data.
   Aturan untuk pekerjaan pengguna dengan informasi rahasia disebut aturan kontrol akses. Aturan tersebut ditetapkan oleh manajemen perusahaan bersama dengan pihak security service dan supplier yang menerapkan sistem security tersebut. Tujuannya adalah untuk menciptakan kondisi akses ke sumber daya informasi untuk setiap pengguna, misalnya hak untuk membaca, mengedit, mentransfer dokumen rahasia.
   Aturan kontrol akses dikembangkan di tingkat organisasi dan diimplementasikan pada tahap kerja dengan komponen teknis sistem.
3. Tingkat teknis kondisional dibagi menjadi fisik, perangkat keras, perangkat lunak dan matematika (kriptografi).

Alat keamanan informasi

Alat keamanan informasi diambil untuk dibagi menjadi normatif (informal) Dan teknis (formal).

Cara informal keamanan informasi

Alat keamanan informasi informal– bersifat normatif (legislatif), administratif (organisasi) dan moral dan etis sarana, yang meliputi: dokumen, peraturan, peristiwa.

kerangka hukum ( sarana legislatif) keamanan informasi disediakan oleh negara. Perlindungan informasi diatur oleh konvensi internasional, Konstitusi, undang-undang federal "Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi", undang-undang Federasi Rusia "Tentang Keamanan", "Tentang Komunikasi", "Tentang Rahasia Negara", dan berbagai anggaran rumah tangga.

Juga, beberapa undang-undang yang terdaftar dikutip dan dibahas oleh kami di atas, seperti kerangka hukum informasi keamanan. Kegagalan untuk mematuhi undang-undang ini memerlukan ancaman terhadap keamanan informasi, yang dapat menyebabkan konsekuensi yang signifikan, yang pada gilirannya dapat dihukum sesuai dengan undang-undang ini, hingga tanggung jawab pidana.

Negara juga akan menentukan besaran tanggung jawab atas pelanggaran ketentuan peraturan perundang-undangan di bidang keamanan informasi. Misalnya, Bab 28 "Kejahatan di Bidang Informasi Komputer" dalam KUHP Federasi Rusia mencakup tiga pasal:

• Pasal 272 "Akses ilegal ke informasi komputer";
• Pasal 273 "Pembuatan, penggunaan dan penyebaran program komputer berbahaya";
• Pasal 274 "Pelanggaran terhadap aturan pengoperasian sarana penyimpanan, pengolahan atau transmisi informasi komputer dan informasi dan jaringan telekomunikasi."

Administratif (organisasi) langkah-langkah memainkan peran penting dalam menciptakan mekanisme perlindungan informasi yang andal. Karena kemungkinan penggunaan informasi rahasia yang tidak sah sangat ditentukan bukan oleh aspek teknis, tetapi oleh tindakan jahat. Misalnya kecerobohan, kelalaian dan kelalaian pengguna atau petugas perlindungan.

Untuk mengurangi dampak dari aspek-aspek ini, diperlukan serangkaian tindakan organisasi, hukum dan organisasi dan teknis yang akan mengecualikan atau meminimalkan kemungkinan ancaman terhadap informasi rahasia.

Dalam kegiatan administrasi dan organisasi untuk melindungi informasi bagi aparat keamanan, ada ruang untuk kreativitas.

Ini adalah solusi arsitektur dan perencanaan yang memungkinkan Anda melindungi ruang rapat dan kantor eksekutif dari penyadapan, dan menetapkan berbagai tingkat akses ke informasi.

Dari sudut pandang pengaturan aktivitas personel, penting untuk merancang sistem permintaan akses ke Internet, email eksternal, dan sumber daya lainnya. Elemen terpisah akan menjadi tanda terima elektronik tanda tangan digital untuk meningkatkan keamanan informasi keuangan dan lainnya yang dikirimkan ke lembaga pemerintah melalui saluran email.

pada moral dan etika Sarana tersebut dapat dikaitkan dengan norma moral atau aturan etika yang telah berkembang dalam masyarakat atau tim tertentu, yang kepatuhannya berkontribusi pada perlindungan informasi, dan pelanggarannya disamakan dengan ketidakpatuhan terhadap aturan perilaku dalam suatu masyarakat atau tim. Norma-norma ini tidak wajib, sebagai norma yang disetujui secara hukum, namun ketidakpatuhannya menyebabkan penurunan otoritas, prestise seseorang atau organisasi.

Cara formal perlindungan informasi

Pengobatan formal- ini adalah sarana teknis dan perangkat lunak khusus yang dapat dibagi menjadi fisik, perangkat keras, perangkat lunak, dan kriptografi.

Sarana fisik perlindungan informasi- ini adalah mekanisme mekanis, elektrik, dan elektronik apa pun yang berfungsi secara independen dari sistem informasi dan menciptakan penghalang untuk mengaksesnya.

Kunci, termasuk yang elektronik, layar, tirai dirancang untuk menciptakan hambatan bagi kontak faktor destabilisasi dengan sistem. Grup ini dilengkapi dengan sistem keamanan, misalnya, kamera video, perekam video, sensor yang mendeteksi gerakan atau kelebihan tingkat radiasi elektromagnetik di area tempat peralatan teknis untuk merekam informasi berada.

Keamanan informasi perangkat keras- ini adalah perangkat listrik, elektronik, optik, laser, dan lainnya yang dibangun ke dalam sistem informasi dan telekomunikasi: komputer khusus, sistem kontrol karyawan, perlindungan server dan jaringan perusahaan. Mereka mencegah akses ke informasi, termasuk dengan menutupinya.

Perangkat keras meliputi: penghasil derau, filter jaringan, radio pemindai, dan banyak perangkat lain yang "memblokir" saluran kebocoran informasi potensial atau memungkinkannya untuk dideteksi.

perangkat lunak keamanan informasi- ini adalah program sederhana dan kompleks yang dirancang untuk memecahkan masalah yang berkaitan dengan memastikan keamanan informasi.

Contoh solusi terintegrasi adalah sistem DLP dan sistem SIEM.

sistem DLP("Pencegahan Kebocoran Data" secara harfiah "pencegahan kebocoran data"), masing-masing, berfungsi untuk mencegah kebocoran, memformat ulang informasi, dan mengarahkan ulang arus informasi.

sistem SIEM("Informasi Keamanan dan Manajemen Acara", yang berarti "Manajemen Acara dan Keamanan Informasi") menyediakan analisis waktu nyata dari peristiwa keamanan (alarm) dari perangkat dan aplikasi jaringan. SIEM diwakili oleh aplikasi, perangkat atau layanan, dan juga digunakan untuk pencatatan data dan pelaporan untuk kompatibilitas dengan data bisnis lainnya.

Alat perangkat lunak menuntut daya perangkat perangkat keras, dan cadangan tambahan harus disediakan selama penginstalan.

Matematika (kriptografi)– penerapan metode perlindungan data kriptografi dan steno untuk transmisi aman melalui jaringan perusahaan atau global.

Kriptografi dianggap sebagai salah satu cara paling andal untuk melindungi data, karena ini melindungi informasi itu sendiri, bukan aksesnya. Informasi yang dikonversi secara kriptografis memiliki tingkat perlindungan yang tinggi.

Pengenalan perlindungan informasi kriptografi berarti pembuatan kompleks perangkat lunak dan perangkat keras, arsitektur dan komposisinya ditentukan berdasarkan kebutuhan pelanggan tertentu, persyaratan hukum, tugas dan metode yang diperlukan, serta algoritme enkripsi.

Ini mungkin termasuk komponen perangkat lunak enkripsi (cryptoproviders), alat organisasi VPN, alat identitas, alat untuk menghasilkan dan memverifikasi kunci dan tanda tangan digital.

Alat enkripsi dapat mendukung algoritme enkripsi GOST dan menyediakan kelas perlindungan kriptografi yang diperlukan tergantung pada tingkat perlindungan yang diperlukan, kerangka peraturan, dan persyaratan kompatibilitas dengan yang lain, termasuk sistem eksternal. Pada saat yang sama, alat enkripsi memberikan perlindungan untuk seluruh rangkaian komponen informasi, termasuk file, direktori dengan file, media penyimpanan fisik dan virtual, seluruh server dan sistem penyimpanan data.

Sebagai kesimpulan dari bagian kedua, setelah mempertimbangkan secara singkat metode dan cara utama untuk melindungi informasi, serta klasifikasi informasi, kami dapat mengatakan sebagai berikut: Fakta bahwa tesis terkenal sekali lagi dikonfirmasi bahwa memastikan keamanan informasi adalah berbagai macam tindakan yang mencakup semua aspek informasi perlindungan, yang pembuatan dan penyediaannya harus didekati dengan sangat hati-hati dan serius.

Penting untuk mengamati dengan ketat dan dalam keadaan apa pun Aturan Emas tidak boleh dilanggar - ini adalah pendekatan terpadu.

Untuk presentasi yang lebih visual dari alat keamanan informasi, yaitu sebagai seperangkat tindakan yang tidak terpisahkan, disajikan di bawah ini pada Gambar 2, yang masing-masing bata mewakili perlindungan informasi di segmen tertentu, menghilangkan salah satu batu bata dan ancaman keamanan akan timbul.

Gambar 2. Klasifikasi alat keamanan informasi.

Di bawah perangkat lunak keamanan informasi memahami program khusus yang disertakan dalam perangkat lunak CS semata-mata untuk menjalankan fungsi perlindungan.

Perangkat lunak keamanan informasi utama meliputi:

Program untuk identifikasi dan otentikasi pengguna CS;

Program untuk membatasi akses pengguna ke sumber daya CS;

Program enkripsi informasi;

Program untuk melindungi sumber daya informasi (perangkat lunak sistem dan aplikasi, basis data, alat pelatihan komputer, dll.) dari modifikasi, penggunaan, dan penyalinan yang tidak sah.

Perhatikan bahwa di bawah identifikasi, sehubungan dengan memastikan keamanan informasi CS, mereka memahami pengakuan yang jelas atas nama unik subjek CS. Autentikasi berarti konfirmasi bahwa nama yang disajikan cocok dengan subjek (otentikasi subjek).

Contoh perangkat lunak keamanan informasi tambahan:

Program penghancuran informasi sisa (dalam blok RAM, file sementara, dll.);

Program audit (penyimpanan log) peristiwa yang berkaitan dengan keamanan COP, untuk memastikan kemungkinan pemulihan dan bukti terjadinya peristiwa tersebut;

Program untuk meniru pekerjaan dengan pelaku (mengalihkannya untuk menerima informasi yang diduga rahasia);

Program untuk menguji kontrol keamanan CS, dll.

Manfaat perangkat lunak keamanan informasi meliputi:

Kemudahan replikasi;

Fleksibilitas (kemampuan untuk menyesuaikan dengan berbagai kondisi penggunaan, dengan mempertimbangkan secara spesifik ancaman terhadap keamanan informasi dari CS tertentu);

Kemudahan penggunaan - beberapa alat perangkat lunak, seperti enkripsi, bekerja dalam mode "transparan" (tidak terlihat oleh pengguna), sementara yang lain tidak memerlukan keterampilan baru (dibandingkan dengan program lain) dari pengguna;

Kemungkinan yang hampir tidak terbatas untuk pengembangan mereka dengan membuat perubahan untuk memperhitungkan ancaman baru terhadap keamanan informasi.

Beras. 1.1 Contoh perangkat lunak keamanan berlabuh

Beras. 1.2. Contoh alat keamanan informasi bawaan

Kerugian dari perangkat lunak keamanan informasi meliputi:

Mengurangi keefektifan CS karena konsumsi sumber dayanya yang diperlukan untuk berfungsinya program perlindungan;

Performa lebih rendah (dibandingkan dengan perlindungan perangkat keras serupa seperti enkripsi);

Docking dari banyak alat perlindungan perangkat lunak (dan bukan bawaannya ke dalam perangkat lunak CS, Gambar 1.1 dan 1.2), yang menciptakan kemungkinan mendasar bagi penyusup untuk melewatinya;

Kemungkinan modifikasi berbahaya dari alat perlindungan perangkat lunak selama operasi CS.

2.2.4 "Autentikasi pengguna"

Otentikasi pengguna berdasarkan kata sandi dan model jabat tangan

Saat memilih kata sandi, pengguna CS harus dipandu oleh dua, pada kenyataannya, aturan yang saling eksklusif - kata sandi harus sulit ditebak dan mudah diingat (karena kata sandi tidak boleh ditulis di mana pun dalam keadaan apa pun, karena dalam hal ini diperlukan untuk tambahan memecahkan masalah melindungi pembawa kata sandi).

Kompleksitas pemilihan kata sandi ditentukan, pertama-tama, oleh kekuatan kumpulan karakter yang digunakan saat memilih kata sandi (N) dan panjang sandi seminimal mungkin (Ke). Dalam hal ini, jumlah kata sandi yang berbeda dapat diperkirakan dari bawah sebagai C p \u003d N k. Misalnya, jika kumpulan karakter kata sandi membentuk huruf Latin huruf kecil, dan panjang kata sandi minimum adalah 3, maka C p = 26 3 \u003d 17576 (yang cukup sedikit untuk pemilihan perangkat lunak). Jika kumpulan karakter kata sandi terdiri dari huruf latin kecil dan besar, serta angka, dan panjang kata sandi minimum adalah 6, maka C p = 62 6 = 56800235584.

Kompleksitas kata sandi yang dipilih oleh pengguna CS harus diatur oleh administrator saat menerapkan kebijakan keamanan yang ditetapkan untuk sistem ini. Pengaturan kebijakan akun lainnya saat menggunakan autentikasi kata sandi adalah:

Usia kata sandi maksimum (rahasia apa pun tidak dapat dirahasiakan selamanya);

Kata sandi tidak cocok dengan nama pengguna logis yang terdaftar di CS;

Keunikan kata sandi untuk satu pengguna.

Persyaratan kata sandi yang tidak dapat diulang dapat diimplementasikan dengan dua cara. Pertama, Anda dapat mengatur tanggal kedaluwarsa kata sandi minimum (jika tidak, pengguna yang terpaksa mengubah kata sandinya setelah kedaluwarsa kata sandinya akan dapat segera mengubah kata sandi ke yang lama). Kedua, Anda dapat menyimpan daftar kata sandi yang sudah digunakan oleh pengguna ini (panjang maksimum daftar dapat diatur oleh administrator).

Sayangnya, secara praktis tidak mungkin untuk memastikan keunikan sebenarnya dari setiap kata sandi yang baru dipilih oleh pengguna menggunakan langkah-langkah di atas. Pengguna boleh, tanpa melanggar pembatasan yang ditetapkan, pilih kata sandi "Al", "A2", ... di mana A1 adalah kata sandi pengguna pertama yang memenuhi persyaratan kompleksitas.

Dimungkinkan untuk memastikan tingkat kerumitan kata sandi yang dapat diterima dan keunikannya yang sebenarnya dengan menetapkan kata sandi untuk semua pengguna oleh administrator CS sambil secara bersamaan melarang pengguna mengubah kata sandi. Untuk menghasilkan kata sandi, administrator dapat menggunakan generator perangkat lunak yang memungkinkan Anda membuat kata sandi dengan kompleksitas yang berbeda-beda.

Namun, dengan metode penetapan kata sandi ini, ada masalah yang terkait dengan kebutuhan untuk membuat saluran aman untuk mentransfer kata sandi dari administrator ke pengguna, kesulitan memverifikasi bahwa pengguna tidak menyimpan kata sandi yang dipilih hanya di memorinya, dan potensi administrator yang mengetahui kata sandi semua pengguna untuk menyalahgunakan kekuasaannya. Oleh karena itu, paling bijaksana untuk memilih kata sandi oleh pengguna berdasarkan aturan yang ditetapkan oleh administrator, dengan kemungkinan administrator untuk menetapkan kata sandi baru untuk pengguna jika dia lupa kata sandinya.

Aspek lain dari kebijakan akun pengguna CS harus menjadi penentuan penangkalan sistem terhadap upaya untuk menebak kata sandi.

Aturan berikut mungkin berlaku:

Membatasi jumlah upaya login;

Menyembunyikan nama logis dari pengguna yang terakhir masuk (mengetahui nama logis dapat membantu penyusup menebak atau menebak kata sandinya);

Akun untuk semua upaya login (berhasil dan tidak berhasil) di log audit.

Respons sistem untuk usaha yang gagal login pengguna dapat berupa:

Memblokir akun tempat upaya login dilakukan, jika jumlah upaya maksimum yang mungkin terlampaui (oleh waktu yang diberikan atau hingga kunci dibuka secara manual oleh administrator);

Peningkatan bertahap dalam waktu tunda sebelum pengguna diberikan upaya login berikutnya.

Saat memasukkan atau mengubah kata sandi pengguna untuk pertama kali, dua aturan klasik biasanya berlaku:

Karakter kata sandi yang dimasukkan tidak ditampilkan di layar (aturan yang sama berlaku untuk pengguna yang memasukkan kata sandi saat masuk ke sistem);

Untuk mengonfirmasi kebenaran entri kata sandi (dengan mempertimbangkan aturan pertama), entri ini diulangi dua kali.

Untuk menyimpan kata sandi, dimungkinkan untuk melakukan pra-enkripsi atau hash.

Enkripsi kata sandi memiliki dua kelemahan:

Karena perlu menggunakan kunci untuk enkripsi, diperlukan untuk memastikan penyimpanannya yang aman di CS (pengetahuan tentang kunci enkripsi kata sandi akan memungkinkannya untuk didekripsi dan akses tidak sah ke informasi dilakukan);

Ada bahaya mendekripsi kata sandi apa pun dan menghapusnya.

Hashing adalah transformasi yang tidak dapat diubah dan mengetahui nilai hash dari kata sandi tidak akan memberi penyerang kemungkinan untuk mendapatkannya dalam teks yang jelas (dia hanya akan dapat mencoba menebak kata sandi dengan fungsi hashing yang diketahui). Oleh karena itu, jauh lebih aman untuk menyimpan kata sandi dalam bentuk hash. Kerugiannya adalah bahkan tidak ada kemungkinan teoretis untuk memulihkan kata sandi yang dilupakan oleh pengguna.

Contoh kedua adalah otentikasi berdasarkan pola jabat tangan. Saat mendaftar di CS, pengguna ditawari satu set gambar kecil (misalnya, piktogram), di antaranya ia harus memilih sejumlah gambar tertentu. Lain kali dia masuk, dia disajikan dengan kumpulan gambar yang berbeda, beberapa di antaranya dia lihat saat pendaftaran. Untuk otentikasi yang benar, pengguna harus menandai gambar yang dia pilih saat pendaftaran.

Keuntungan autentikasi berbasis jabat tangan dibandingkan autentikasi kata sandi:

Tidak ada informasi rahasia yang ditransfer antara pengguna dan sistem yang perlu dirahasiakan, I

Setiap sesi logon pengguna berikutnya berbeda dari yang sebelumnya, sehingga pemantauan jangka panjang dari sesi ini tidak akan memberikan apa pun kepada penyusup.

Kerugian otentikasi berdasarkan model "handshake" termasuk durasi prosedur ini yang lama dibandingkan dengan otentikasi kata sandi.

Otentikasi pengguna dengan karakteristik biometrik mereka

Karakteristik biometrik utama pengguna CS yang dapat digunakan untuk autentikasi antara lain:

sidik jari;

Bentuk geometris tangan;

Pola iris mata;

Menggambar retina;

Bentuk geometris dan dimensi wajah;

Bentuk geometris dan ukuran telinga, dll.

Yang paling umum adalah perangkat keras dan perangkat lunak untuk autentikasi pengguna berdasarkan sidik jari mereka. Untuk membaca sidik jari tersebut biasanya digunakan keyboard dan mouse yang dilengkapi dengan scanner khusus. Kehadiran bank data yang cukup besar dengan sidik jari) warga adalah alasan utama penggunaan alat otentikasi yang cukup luas di lembaga pemerintah, serta di organisasi komersial besar. Kerugian dari alat tersebut adalah potensi penggunaan sidik jari pengguna untuk mengontrol privasi mereka.

Jika karena alasan obyektif (misalnya karena polusi tempat di mana otentikasi dilakukan) tidak mungkin mendapatkan sidik jari yang jelas, maka otentikasi berdasarkan bentuk geometris tangan pengguna dapat digunakan. Dalam hal ini, pemindai dapat dipasang di dinding ruangan.

Yang paling andal (tetapi juga yang paling mahal) adalah alat otentikasi pengguna berdasarkan karakteristik mata (pola iris atau pola retina). Probabilitas kekambuhan fitur ini diperkirakan 10 -78 .

Yang termurah (tetapi juga yang paling tidak dapat diandalkan) adalah alat otentikasi berdasarkan bentuk geometris dan ukuran wajah pengguna atau timbre suaranya. Ini memungkinkan Anda menggunakan alat ini untuk autentikasi saat pengguna mengakses CS dari jarak jauh.

Keuntungan utama otentikasi pengguna berdasarkan karakteristik biometriknya;

Kesulitan memalsukan tanda-tanda ini;

Keandalan otentikasi yang tinggi karena keunikan fitur tersebut;

Tidak terpisahkannya fitur biometrik dari identitas pengguna.

Untuk membandingkan autentikasi pengguna berdasarkan karakteristik biometrik tertentu, estimasi probabilitas kesalahan jenis pertama dan kedua digunakan. Probabilitas kesalahan jenis pertama (penolakan akses ke CS ke pengguna resmi) adalah 10 -6 ... 10 -3 . Probabilitas kesalahan jenis kedua (memungkinkan pengguna yang tidak terdaftar untuk bekerja di CS) dalam sistem otentikasi biometrik modern adalah 10 -5 ... 10 -2 .

Kerugian umum alat autentikasi pengguna CS berdasarkan karakteristik biometriknya adalah biayanya yang lebih tinggi dibandingkan alat autentikasi lainnya, yang terutama disebabkan oleh kebutuhan untuk membeli perangkat keras tambahan. Metode Otentikasi Berbasis Fitur tulisan tangan keyboard dan melukis dengan mouse pengguna, tidak memerlukan penggunaan peralatan khusus.

Otentikasi pengguna dengan tulisan tangan keyboard dan lukisan mouse

S.P. Rastorguev adalah salah satu orang pertama yang mengusulkan ide otentikasi pengguna sesuai dengan kekhasan pekerjaan mereka dengan keyboard dan mouse. Saat mengembangkan model matematis otentikasi berdasarkan tulisan tangan keyboard pengguna, diasumsikan bahwa interval waktu antara menekan karakter yang berdekatan kata kunci dan antara menekan kombinasi tombol tertentu di dalamnya mematuhi hukum distribusi normal. esensi metode ini otentikasi adalah untuk menguji hipotesis tentang kesetaraan pusat distribusi dari dua populasi umum normal (diperoleh saat menyiapkan sistem untuk karakteristik pengguna dan selama otentikasi).

Mari pertimbangkan varian autentikasi pengguna dengan serangkaian frasa kunci (sama dalam mode konfigurasi dan autentikasi).

Tata cara penyesuaian dengan karakteristik user yang terdaftar di CS:

1) pemilihan frase kunci oleh pengguna (simbolnya harus ditempatkan secara merata di seluruh keyboard);

2) mengetik frase kunci beberapa kali;

3) pengecualian kesalahan besar (menurut algoritma khusus);

4) perhitungan dan penyimpanan perkiraan ekspektasi matematis, varians dan angka, pengamatan untuk interval waktu antara set dari setiap pasangan simbol frase kunci yang berdekatan.

Keandalan autentikasi berdasarkan tulisan tangan keyboard pengguna lebih rendah daripada saat menggunakan karakteristik biometriknya.

Namun, metode autentikasi ini juga memiliki kelebihan:

Kemampuan untuk menyembunyikan fakta menggunakan otentikasi pengguna tambahan jika frasa sandi yang dimasukkan oleh pengguna digunakan sebagai frasa kunci;

Kemungkinan menerapkan metode ini hanya dengan bantuan perangkat lunak (mengurangi biaya alat otentikasi).

Sekarang pertimbangkan metode otentikasi berdasarkan lukisan tikus(dengan bantuan manipulator ini, tentu saja, tidak mungkin untuk melakukan lukisan nyata oleh pengguna, jadi lukisan ini akan menjadi goresan yang cukup sederhana). Sebut saja garis lukisan sebagai garis putus-putus yang diperoleh dengan menghubungkan titik-titik dari awal lukisan hingga selesai (titik yang berdekatan tidak boleh memiliki koordinat yang sama). Kami menghitung panjang garis pengecatan sebagai jumlah dari panjang segmen yang menghubungkan titik pengecatan.

Seperti otentikasi berdasarkan tulisan tangan keyboard, keaslian pengguna dengan mencoret-coret mouse dikonfirmasi terutama oleh kecepatan pekerjaannya dengan perangkat input ini.

Keuntungan mengautentikasi pengguna dengan mencoret-coretnya dengan mouse, seperti menggunakan tulisan tangan keyboard, termasuk kemungkinan penerapan metode ini hanya dengan bantuan perangkat lunak; kerugiannya adalah keandalan otentikasi yang lebih rendah dibandingkan dengan penggunaan karakteristik biometrik pengguna, serta kebutuhan pengguna untuk cukup percaya diri dalam keterampilan bekerja dengan mouse.

Fitur umum dari metode autentikasi berdasarkan tulisan tangan keyboard dan lukisan mouse adalah ketidakstabilan karakteristiknya untuk pengguna yang sama, yang dapat disebabkan oleh:

1) perubahan alami yang terkait dengan peningkatan keterampilan pengguna dalam bekerja dengan keyboard dan mouse, atau sebaliknya, dengan kemundurannya karena penuaan tubuh;

2) perubahan yang terkait dengan keadaan fisik atau emosional pengguna yang tidak normal.

Perubahan karakteristik pengguna yang disebabkan oleh penyebab jenis pertama tidak tiba-tiba, oleh karena itu, dapat dinetralkan dengan mengubah karakteristik referensi setelah setiap otentikasi pengguna berhasil.

Perubahan karakteristik pengguna yang disebabkan oleh alasan jenis kedua dapat tiba-tiba dan menyebabkan penolakan usahanya untuk masuk ke CS. Namun, fitur autentikasi berdasarkan tulisan tangan keyboard dan lukisan mouse ini juga dapat menjadi keuntungan jika kita berbicara tentang pengguna CS untuk keperluan militer, energi, dan keuangan.

Arah yang menjanjikan dalam pengembangan metode otentikasi pengguna CS berdasarkan karakteristik pribadinya dapat berupa konfirmasi keaslian pengguna berdasarkan pengetahuan dan keterampilannya yang menjadi ciri tingkat pendidikan dan budaya.