Slojeviti informacijski sigurnosni sustav. Nacionalni proturaketni obrambeni sustav stavlja točku na američku strategiju "globalnog udara" Pokrivenost na bliskim prilazima

Pošaljite svoj dobar rad u bazu znanja jednostavno je. Koristite obrazac u nastavku

Studenti, diplomanti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam vrlo zahvalni.

Objavljeno na http://www.allbest.ru

1. OPĆE KARAKTERISTIKE RADA

1.1 Relevantnost

1.2 Cilj

1.3 Zadaci

2. GLAVNI SADRŽAJ RADA

2.1 Dubinska obrana

2.2 Komponente slojevitog sustava informacijske sigurnosti

2.2.1 Antivirusni programi

2.2.2 Evidentiranje i revizija

2.2.3 Fizička zaštita

2.2.4 Autentifikacija i zaštita lozinkom

2.2.5 Vatrozidi

2.2.6 Demilitarizirana zona

2.2.7 VPN

2.2.8 Sustav za otkrivanje upada

3. GLAVNI REZULTATI RADA

POPIS KORIŠTENIH IZVORA INFORMACIJA

obrana u dubini informacija antivirus

1. OPĆE KARAKTERISTIKE RADA.

1.1 Relevantnost

Proučavanje slojevitog sustava informacijske sigurnosti u računalnim sustavima "uredskog" tipa relevantno je zbog stalnog povećanja broja napada na mreže velike organizacije u svrhu, primjerice, kopiranja baza podataka koje sadrže povjerljive informacije. Takav sigurnosni sustav vrlo je moćan alat protiv napadača i može učinkovito odvratiti njihove pokušaje neovlaštenog pristupa (AT) zaštićenom sustavu.

Svrha ovog rada je proučavanje slojevitog sustava zaštite za računalne sustave “uredskog” tipa.

1.3 Ciljevi

Za postizanje ovog cilja potrebno je riješiti sljedeće zadatke:

Proučiti principe izgradnje i rada slojevitog sigurnosnog sustava;

Proučiti neovisne sigurnosne sustave uključene u slojeviti informacijski sigurnosni sustav;

Odrediti zahtjeve za sustave zaštite;

2. GLAVNI SADRŽAJ RADA

2.1 Dubinska obrana

Defense in Depth koncept je informacijskog osiguranja u kojem je nekoliko različitih slojeva zaštitnih sustava instalirano kroz računalni sustav. Njegova je svrha osigurati redundantnu sigurnost računalnog sustava u slučaju kvara sustava sigurnosne kontrole ili kada napadač iskoristi određenu ranjivost.

Ideja dubinske obrane je zaštititi sustav od bilo kakvog napada, koristeći, obično sekvencijalno, više neovisnih metoda.

U početku je dubinska obrana bila čista vojna strategija, što omogućuje ne preduhitriti i spriječiti, već odgoditi napad neprijatelja, kupiti malo vremena kako bi se pravilno pozicionirale razne zaštitne mjere. Za potpunije razumijevanje možemo navesti primjer: bodljikava žica učinkovito sputava pješaštvo, ali tenkovi lako prelaze preko nje. Međutim, tenk ne može proći kroz protutenkovske živice, za razliku od pješaštva koje ih jednostavno zaobilazi. Ali ako se koriste zajedno, tada ni tenkovi ni pješaštvo neće moći brzo proći, a obrambena strana će imati vremena za pripremu.

Postavljanje sigurnosnih mehanizama, procedura i politika namijenjeno je poboljšanju sigurnosti računalnog sustava, pri čemu višestruki slojevi zaštite mogu spriječiti špijunažu i izravne napade na kritične sustave. Iz perspektive računalnog umrežavanja, dubinska obrana nije namijenjena samo sprječavanju neovlaštenog pristupa, već i osiguravanju vremena u kojem se napad može otkriti i na njega odgovoriti, čime se smanjuju posljedice proboja.

Računalni sustav “uredskog” tipa može obrađivati podatke s različitim razinama pristupa - od slobodnih do podataka koji predstavljaju državnu tajnu. Upravo zato, radi sprječavanja NSD i različite vrste napada, takav sustav zahtijeva prisutnost učinkovit sustav zaštita informacija.

Zatim ćemo razmotriti glavne slojeve zaštite (ešalone) koji se koriste u slojevitim obrambenim sustavima. Treba napomenuti da se obrambeni sustav koji se sastoji od dva ili više od sljedećih sustava smatra slojevitim.

2.2 Komponente slojevitog sustava informacijske sigurnosti

2.2.1 Antivirusni programi

Antivirusni program (antivirus) je specijalizirani program za otkrivanje računalnih virusa, kao i neželjenih (smatraju se malicioznim) programa općenito i vraćanje datoteka zaraženih (modificiranih) takvim programima, kao i za prevenciju - sprječavanje infekcije (modifikacije) datoteka ili operativni sustav sa zlonamjernim kodom.

Odnosi se na softverske alate koji se koriste za osiguranje zaštite (nekriptografskim metodama) informacija koje sadrže informacije koje predstavljaju državnu tajnu i druge informacije s ograničenim pristupom.

Antivirusni proizvodi mogu se klasificirati prema nekoliko kriterija:

Prema korištenim tehnologijama antivirusne zaštite:

Klasični antivirusni proizvodi (proizvodi koji koriste samo metode detekcije potpisa);

Proizvodi za proaktivnu antivirusnu zaštitu (proizvodi koji koriste samo proaktivne antivirusne zaštitne tehnologije);

Kombinirani proizvodi (proizvodi koji koriste klasične metode zaštite temeljene na potpisu i one proaktivne).

Prema funkcionalnosti proizvoda:

Antivirusni proizvodi (proizvodi koji pružaju samo antivirusnu zaštitu)

Kombinirani proizvodi (proizvodi koji pružaju ne samo zaštitu od zlonamjernog softvera, već i filtriranje neželjene pošte, šifriranje i sigurnosno kopiranje podataka i druge funkcije);

Prema ciljanim platformama:

Antivirusni proizvodi za Windows operativne sustave;

Antivirusni proizvodi za *NIX OS obitelj (ova obitelj uključuje BSD, Linux OS, itd.);

Antivirusni proizvodi za MacOS obitelj operativnih sustava;

Antivirusni proizvodi za mobilne platforme (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 itd.).

Antivirusni proizvodi za korporativne korisnike također se mogu klasificirati prema objektima zaštite:

Antivirusni proizvodi za zaštitu radnih stanica;

Antivirusni proizvodi za zaštitu datotečnih i terminalskih poslužitelja;

Antivirusni proizvodi za zaštitu e-pošte i internetskih pristupnika;

Antivirusni proizvodi za zaštitu virtualizacijskih poslužitelja.

Zahtjevi za alate za antivirusnu zaštitu uključuju opće zahtjeve za alate za antivirusnu zaštitu i zahtjeve za sigurnosne funkcije alata za antivirusnu zaštitu.

Kako bi se razlikovali zahtjevi za sigurnosne funkcije antivirusnih zaštitnih alata, ustanovljeno je šest zaštitnih klasa antivirusnih zaštitnih alata. Najniža klasa je šesta, najviša je prva.

U informacijskim sustavima osobnih podataka klase 3 i 4 koriste se antivirusni zaštitni alati koji odgovaraju klasi zaštite 6.

U informacijskim sustavima osobnih podataka klase 2 koriste se antivirusni zaštitni alati koji odgovaraju klasi 5 zaštite.

Alati antivirusne zaštite koji odgovaraju klasi 4 zaštite koriste se u državnim informacijskim sustavima koji obrađuju ograničene informacije koje ne sadrže podatke koji predstavljaju državnu tajnu, u informacijskim sustavima osobnih podataka klase 1, kao iu javnim informacijskim sustavima klase II.

Antivirusni zaštitni alati koji odgovaraju klasama zaštite 3, 2 i 1 koriste se u informacijskim sustavima koji obrađuju informacije koje sadrže podatke koji predstavljaju državnu tajnu.

Također se razlikuju sljedeće vrste antivirusnih zaštitnih alata:

tip “A” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu), namijenjeni centraliziranoj administraciji alata za antivirusnu zaštitu instaliranih na komponentama informacijskog sustava (poslužiteljima, automatiziranim radnim stanicama);

tip “B” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu) namijenjeni za korištenje na poslužiteljima informacijskog sustava;

tip "B" - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu) namijenjeni za korištenje na automatiziranim radnim stanicama informacijskih sustava;

tip “G” - alati za antivirusnu zaštitu (komponente alata za antivirusnu zaštitu) namijenjeni za korištenje u autonomnim automatiziranim radnim stanicama.

Antivirusni zaštitni alati tipa “A” ne koriste se u informacijskim sustavima samostalno i namijenjeni su za korištenje samo zajedno s antivirusnim zaštitnim alatima tipa “B” i (ili) “C”.

Svrha dubinske obrane je filtriranje malwarea na različitim razinama zaštićenog sustava. Smatrati:

Razina veze

U najmanju ruku, mreža poduzeća sastoji se od sloja povezivanja i jezgre. Na razini povezivanja, mnoge organizacije imaju vatrozid, sustave za otkrivanje i sprječavanje upada (IDS/IPS/IDP) i obranu od napada uskraćivanjem usluge. Na temelju ovih rješenja implementirana je prva razina zaštite od prodora malwarea. Vatrozidi i IDS/IPS/IDP alati izvan kutije imaju ugrađenu funkciju inspekcije na razini agenta protokola. Štoviše, de facto standard za UTM rješenja je ugrađeni antivirusni program koji skenira dolazni/odlazni promet. Prisutnost ugrađenih antivirusnih programa u vatrozidima također postaje norma. Takve se opcije sve češće pojavljuju u novim verzijama dobro poznatih proizvoda. Međutim, mnogi korisnici zaboravljaju na ugrađene funkcije mrežne opreme, ali u pravilu njihova aktivacija ne zahtijeva dodatne troškove za kupnju opcija proširenja.

Tako će optimalno korištenje ugrađenih sigurnosnih funkcija mrežne opreme i aktivacija dodatnih opcija antivirusne kontrole na vatrozidima stvoriti prvu dubinsku razinu obrane.

Razina zaštite aplikacije

Razina zaštite aplikacije uključuje rješenja pristupnika za antivirusno skeniranje i sigurnosne alate koji su inicijalno usmjereni na rješavanje problema koji nisu antivirusni. Slična rješenja su predstavljena na tržištu i certificirana prema zahtjevima FSTEC-a Rusije. Ovi proizvodi ne zahtijevaju značajne troškove implementacije i nisu vezani za vrste sadržaja koji se provjeravaju, te se stoga mogu koristiti u organizacijama bilo koje veličine.

Rješenja čija glavna funkcija nije antivirusno skeniranje također mogu djelovati kao druga razina filtriranja zlonamjernog softvera. Primjer su široko rasprostranjena rješenja pristupnika za filtriranje neželjene pošte i zaštitu web usluga - filtriranje URL-ova, vatrozid web aplikacije, alati za balansiranje. Često imaju mogućnost obavljanja antivirusnog skeniranja obrađenog sadržaja pomoću nekoliko dobavljača filtriranja zlonamjernog sadržaja. Konkretno, implementacija antivirusnog skeniranja na razini sustava pošte ili pristupnika za filtriranje neželjene pošte. U slučaju uzastopne upotrebe nekoliko antivirusnih proizvoda, učinkovitost filtriranja virusa u dolaznoj / odlaznoj korespondenciji može doseći gotovo 100%.

Koristeći ovaj pristup, već možete postići ozbiljne performanse filtriranja zlonamjernog softvera na prvoj i drugoj dubinskoj razini obrane. Drugim riječima, ako je implementiran adekvatan antivirusni sustav zaštite (do korisnika), lavovski udio malwarea bit će filtriran na razini gateway rješenja za ovu ili onu svrhu.

Razina sigurnosti hosta

Zaštita glavnog računala podrazumijeva implementaciju funkcija antivirusnog skeniranja poslužitelja i korisničkih radnih stanica. Budući da zaposlenici u svakodnevnom radu koriste mnoge stolne i mobilne uređaje, svi moraju biti zaštićeni. Štoviše, jednostavni antivirusni potpis odavno se više ne smatra ozbiljnim zaštitnim alatom. Zbog toga su mnoge organizacije prešle na Host IPS tehnologiju koja omogućuje korištenje dodatnih mehanizama kontrole/zaštite tijekom verifikacije kroz funkcionalnost vatrozida i IPS sustava (analiza ponašanja).

Ako su pitanja zaštite radnih mjesta korisnika već dobro regulirana, onda je implementacija Host IPS-a na aplikacijskim poslužiteljima (fizičkim ili virtualnim) poseban zadatak. S jedne strane, Host IPS tehnologija ne bi trebala značajno povećati opterećenje poslužitelja, s druge strane, mora osigurati potrebnu razinu sigurnosti. Razumna ravnoteža može se pronaći samo kroz pilot testiranje rješenja na određenom skupu aplikacija i hardverskoj platformi.

2.2.2 Zapisivanje i revizija

Zapisivanje se odnosi na prikupljanje i akumulaciju informacija o događajima koji se događaju u informacijskom sustavu. Na primjer, tko se i kada pokušao prijaviti u sustav, kako je taj pokušaj završio, tko je koristio koje informacijske resurse, koji su informacijski resursi modificirani i tko ih je mijenjao, i mnogi drugi.

Revizija je analiza akumuliranih informacija koja se provodi promptno, gotovo u stvarnom vremenu ili periodički.

Implementacija zapisivanja i revizije ima sljedeće glavne ciljeve:

Osiguravanje odgovornosti korisnika i administratora;

Osiguravanje mogućnosti rekonstrukcije slijeda događaja;

Otkrivanje pokušaja kršenja sigurnost informacija;

Pružanje informacija za prepoznavanje i analizu problema.

Dakle, evidentiranje i revizija pripadaju podsustavu registracije i računovodstva. Pomoću ovih operacija možete brzo i učinkovito pronaći probleme i ranjivosti u postojećem sustavu informacijske sigurnosti. Ovisno o klasi opreme za zaštitu informacija, ovaj element može uzeti raznih oblika i odlučiti različite zadatke, kao što su registracija i računovodstvo:

Ulazak (izlazak) subjekata pristupa u (iz) sustava(e) (čvor mreže) (na svim razinama);

Pokretanje (završetak) programa i procesa (zadataka, zadataka) (na razinama 2A, 1D, 1B, 1B, 1A);

Pristup programa subjekata pristupa zaštićenim datotekama, uključujući njihovu izradu i brisanje, prijenos preko linija i komunikacijskih kanala (na razinama 2A 1G, 1B, 1B, 1A);

Pristup programa subjekata pristupa terminalima, računalima, čvorovima računalne mreže, komunikacijskim kanalima, vanjskim računalnim uređajima, programima, volumenima, imenicima, datotekama, zapisima, zapisnim poljima (na razinama 2A 1D, 1B, 1B, 1A);

Promjene u ovlastima subjekata pristupa (1B, 1B, 1A);

Izrađeni objekti zaštićenog pristupa (2A, 1B, 1B, 1A);

Signaliziranje pokušava narušiti sigurnost (1B, 1B, 1A).

Dakle, kod izgradnje dubinske obrane, sustavi za logovanje i reviziju moraju biti instalirani na granici štićenog sustava, na serveru, na svakoj radnoj stanici, kao i na svim uređajima za autentifikaciju (primjerice, prilikom ulaska u štićeni teritorij).

2.2.3 Fizička zaštita

To uključuje mjere za sprječavanje krađe uređaja i medija za pohranu, kao i zaštitu od nemara i prirodnih katastrofa:

Kontrolna točka na granici zaštićenog područja;

Montaža ograda, znakova zabrane, graničnika visine karoserije za automobile, raznih barijera i sl. duž perimetra zaštićenog područja;

Postavljanje strateški važnih objekata tako da bi napadač morao prijeći veliki otvoreni prostor kako bi došao do njih;

Rasvjeta zaštićenog prostora, odnosno kapija, vrata i drugih strateški važnih objekata. Treba uzeti u obzir da je prigušeno svjetlo raspoređeno po cijelom teritoriju učinkovitije od pojedinačnih svijetlih točaka reflektora, budući da reflektori imaju slijepe točke. Također treba osigurati rezervni sustav napajanja u slučaju da je glavni isključen;

Sigurnosni stupovi na ulazima u prostorije;

Ugradnja alarmnog sustava i senzora (senzori pokreta, dodira, loma stakla). Treba napomenuti da ovaj sustav mora raditi u tandemu sa sustavom video nadzora kako bi se uklonili lažni alarmi senzora;

Ugradnja sustava video nadzora;

Razni alati za kontrolu pristupa, od brava do biometrije;

Sredstva za kontrolu otvaranja opreme (plombe na kućištima i sl.);

Osiguranje opreme na radnom mjestu pomoću specijaliziranih brava.

2.2.4 Autentifikacija i zaštita lozinkom

Autentikacija - postupak provjere autentičnosti, npr.: provjera autentičnosti korisnika usporedbom lozinke koju je unio sa lozinkom u bazi korisnika; ovjera elektronička pošta provjerom digitalnog potpisa pisma pomoću ključa za provjeru potpisa pošiljatelja; provjera usklađenosti kontrolne sume datoteke s iznosom koji je deklarirao autor ove datoteke. U ruskom se izraz koristi uglavnom u području informacijske tehnologije.

S obzirom na stupanj povjerenja i sigurnosnu politiku sustava, izvršena autentifikacija može biti jednosmjerna ili obostrana. Obično se provodi pomoću kriptografskih metoda.

Postoji nekoliko dokumenata koji uspostavljaju standarde provjere autentičnosti. Za Rusiju je relevantno sljedeće: GOST R ISO/IEC 9594-8-98 - Osnove autentifikacije.

Ovaj standard:

Definira format podataka za provjeru autentičnosti koje pohranjuje imenik;

Opisuje kako dobiti podatke za provjeru autentičnosti iz imenika;

Uspostavlja preduvjete za metode generiranja i postavljanja autentifikacijskih informacija u imenik;

Definira tri načina na koje aplikacijski programi mogu koristiti takve informacije za provjeru autentičnosti za izvođenje provjere autentičnosti i opisuje kako se druge sigurnosne usluge mogu pružiti korištenjem provjere autentičnosti.

Ovaj standard specificira dvije vrste autentifikacije: jednostavnu, korištenjem lozinke kao potvrde zatraženog identiteta, i jaku, korištenjem vjerodajnica stvorenih pomoću kriptografskih metoda.

U svakom sustavu provjere autentičnosti obično postoji nekoliko elemenata:

Subjekt koji će biti podvrgnut zahvatu;

Obilježje subjekta je distinktivno obilježje;

Vlasnik autentifikacijskog sustava, odgovoran i nadzor nad njegovim radom;

Sam mehanizam autentifikacije, odnosno princip rada sustava;

Mehanizam koji daje određena prava pristupa ili ih uskraćuje subjektu.

Postoje i 3 čimbenika provjere autentičnosti:

Nešto što znamo je lozinka. Riječ je o tajnim podacima koje smije imati samo ovlašteni subjekt. Lozinka može biti govorna riječ, tekstualna riječ, kombinacija brave ili osobni identifikacijski broj (PIN). Mehanizam lozinke može se vrlo jednostavno implementirati i ima niska cijena. Ali ima značajne nedostatke: Čuvanje lozinke u tajnosti često je teško; napadači neprestano smišljaju nove načine za krađu, hakiranje i pogađanje lozinke. Zbog toga je mehanizam lozinke slabo zaštićen.

Nešto što imamo je uređaj za autentifikaciju. Ovdje je važna činjenica da subjekt posjeduje neki jedinstveni objekt. To može biti osobni pečat, ključ za bravu ili za računalo to je podatkovna datoteka koja sadrži karakteristiku. Karakteristika je često ugrađena u poseban uređaj za provjeru autentičnosti, na primjer, plastičnu karticu, pametnu karticu. Za napadača, nabava takvog uređaja postaje teža od probijanja lozinke, a subjekt može odmah prijaviti ako je uređaj ukraden. To ovu metodu čini sigurnijom od mehanizma zaporke, ali je cijena takvog sustava veća.

Nešto što je dio nas je biometrija. Karakteristika je fizička značajka subjekta. To može biti portret, otisak prsta ili dlana, glas ili obilježje oka. Sa stajališta ispitanika, ova metoda je najjednostavnija: nema potrebe pamtiti lozinku ili nositi uređaj za autentifikaciju sa sobom. Međutim, biometrijski sustav mora biti vrlo osjetljiv kako bi potvrdio ovlaštenog korisnika, ali odbio napadača sa sličnim biometrijskim parametrima. Također, cijena takvog sustava je prilično visoka. No, unatoč svojim nedostacima, biometrija ostaje prilično obećavajući faktor.

Pogledajmo pobliže metode provjere autentičnosti.

Autentifikacija korištenjem lozinki za višekratnu upotrebu.

Sastoji se od unosa korisničkog identifikatora, kolokvijalno nazvanog “login” (eng. login - korisničko ime za registraciju, račun) i lozinke - neke povjerljive informacije. Pouzdan (referentni) par login-password pohranjen je u posebnoj bazi podataka.

Osnovna provjera autentičnosti ima sljedeći opći algoritam:

Subjekt traži pristup sustavu i unosi osobni ID i lozinku.

Uneseni jedinstveni podaci šalju se autentifikacijskom poslužitelju, gdje se uspoređuju s referentnim podacima.

Ako se podaci podudaraju s referentnim podacima, provjera autentičnosti se smatra uspješnom; ako se razlikuju, subjekt prelazi na 1. korak

Lozinka koju je subjekt unio može se prenijeti na mreži na dva načina:

Nešifrirano, u čistom tekstu, temeljeno na protokolu provjere autentičnosti lozinke (PAP)

Korištenje SSL ili TLS enkripcije. U tom se slučaju jedinstveni podaci koje je subjekt unio sigurno prenose preko mreže.

Autentifikacija pomoću jednokratnih lozinki.

Nakon što jednom dobije subjektovu zaporku za višekratnu upotrebu, napadač ima stalni pristup hakiranim povjerljivim informacijama. Ovaj problem je riješen korištenjem jednokratnih lozinki (OTP - One Time Password). Suština ove metode je da je lozinka važeća samo za jednu prijavu; svaki sljedeći pristup zahtijeva novu lozinku. Mehanizam provjere autentičnosti pomoću jednokratnih lozinki može se implementirati hardverski ili softverski.

Tehnologije za korištenje jednokratnih lozinki mogu se podijeliti na:

Korištenje generatora pseudoslučajnih brojeva koji je zajednički i subjektu i sustavu;

Korištenje vremenskih oznaka u kombinaciji s jedinstvenim vremenskim sustavom;

Korištenje baze podataka slučajnih lozinki, jedinstvenih za subjekt i za sustav.

Višefaktorska autentifikacija.

Nedavno se sve više koristi takozvana proširena, ili višefaktorska autentifikacija. Izgrađen je na zajedničkoj uporabi nekoliko faktora provjere autentičnosti. Time se značajno povećava sigurnost sustava. Primjer je korištenje SIM kartica u Mobiteli. Subjekt umeće svoju karticu (uređaj za autentifikaciju) u telefon i unosi svoj PIN (lozinku) kada je uključen. Također, na primjer, neka moderna prijenosna računala i pametni telefoni imaju skener otiska prsta. Dakle, subjekt prilikom prijave u sustav mora proći ovu proceduru (biometrija) i zatim unijeti lozinku. Prilikom odabira pojedinog faktora ili metode autentifikacije za sustav potrebno je, prije svega, uzeti u obzir potreban stupanj sigurnosti, cijenu izgradnje sustava, te osiguranje mobilnosti subjekta.

Biometrijska autentifikacija.

Metode autentifikacije temeljene na mjerenju biometrijskih parametara osobe omogućuju gotovo 100% identifikaciju, rješavajući probleme gubitka lozinki i osobnih identifikatora.

Najčešće korišteni biometrijski atributi i odgovarajući sustavi su:

Otisci prstiju;

Geometrija ruke;

Iris;

Termo slika lica;

Unos s tipkovnice;

U isto vrijeme, biometrijska autentifikacija ima niz nedostataka:

Biometrijski predložak se ne uspoređuje s rezultatom početne obrade korisničkih karakteristika, već s onim što je došlo na mjesto za usporedbu. Mnogo toga se može dogoditi tijekom putovanja.

Napadač može modificirati bazu podataka predloška.

Potrebno je voditi računa o razlici između korištenja biometrije u kontroliranom prostoru, pod budnim okom osiguranja, i u “terenskim” uvjetima, kada se, primjerice, lutka može prinijeti uređaju za skeniranje i sl.

Neki ljudski biometrijski podaci se mijenjaju (kako kao posljedica starenja, tako i zbog ozljeda, opeklina, posjekotina, bolesti, amputacije itd.), pa bazu predložaka treba stalno održavati, a to stvara određene probleme i korisnicima i administratorima.

Ako su vaši biometrijski podaci ukradeni ili ugroženi, to je obično doživotno. Lozinke se, usprkos njihovoj nepouzdanosti, mogu promijeniti u krajnjem slučaju. Ne možete promijeniti prst, oko ili glas, barem ne brzo.

Biometrijske karakteristike su jedinstveni identifikatori, ali se ne mogu držati u tajnosti.

Kod razmjene informacija između računala koristi se postupak autentifikacije, a vrlo složeni kriptografski protokoli koriste se za zaštitu komunikacijske linije od prisluškivanja ili supstitucije jednog od sudionika u interakciji. A budući da je u pravilu autentifikacija neophodna za oba objekta koji uspostavljaju mrežnu interakciju, autentifikacija može biti obostrana.

Stoga se može razlikovati nekoliko obitelji autentifikacije:

Autentifikacija korisnika na računalu:

Šifrirano ime (prijava)

Protokol provjere autentičnosti lozinke, PAP (kombinacija prijava i lozinka)

Pristupna kartica (USB s certifikatom, SSO)

Mrežna autentifikacija -

Osigurajte SNMP pomoću digitalnog potpisa

SAML (Security Assertion Markup Language)

Sesijski kolačići

Kerberos ulaznice

X.509 Certifikati

Operativni sustavi obitelji Windows NT 4 koriste NTLM protokol (NT LAN Manager). lokalna mreža NT). A u Windows 2000/2003 domenama koristi se puno napredniji Kerberos protokol.

Sa stajališta dubinske izgradnje obrane, autentifikacija se koristi na svim razinama zaštite. Autentifikaciju mora proći ne samo osoblje (prilikom ulaska u štićeni objekt, u posebne prostore, prilikom primanja povjerljivih informacija na bilo kojem mediju, prilikom ulaska u računalni sustav, prilikom korištenja softvera i hardvera), već i svaka pojedinačna radna stanica, program, medijske informacije, alati spojeni na radne stanice, poslužitelje itd.

2.2.5 Vatrozidi

Vatrozid (FW) je lokalni (jednokomponentni) ili funkcionalno distribuirani programski (hardverski i softverski) alat (kompleks) koji provodi kontrolu nad informacijama koje ulaze u vatrozid i/ili izlaze iz vatrozida. ME pruža AS zaštitu filtriranjem informacija, tj. njegovu analizu prema skupu kriterija i donošenje odluke o njegovoj distribuciji u (iz) AS-a na temelju zadanih pravila, čime se razgraničava pristup subjekata s jednog AS-a objektima drugog AS-a. Svako pravilo zabranjuje ili dopušta prijenos informacija određene vrste između subjekata i objekata. Kao posljedica toga, subjekti iz jednog AS-a dobivaju pristup samo dopuštenim informacijskim objektima iz drugog AS-a. Tumačenje skupa pravila izvodi niz filtara koji dopuštaju ili zabranjuju prijenos podataka (paketa) na sljedeću razinu filtra ili protokola. Uspostavljeno je pet ME sigurnosnih klasa.

Svaku klasu karakterizira određeni minimalni skup zahtjeva za zaštitu informacija.

Najniža sigurnosna klasa je peta, koja se koristi za sigurnu interakciju zvučnika klase 1D s vanjskim okruženjem, četvrta - za 1G, treća - 1B, druga - 1B, najviša je prva, koja se koristi za sigurnu interakciju zvučnike klase 1A s vanjskim okruženjem.

Zahtjevi za ME ne isključuju zahtjeve za računalnu opremu (CT) i AS u skladu sa smjernicama FSTEC-a Rusije „Računalna oprema. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama” i “Automatizirani sustavi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatiziranih sustava i zahtjevi za zaštitu informacija.”

Kada je ME uključen u AS određene sigurnosne klase, sigurnosna klasa ukupnog AS-a dobivenog iz izvornog dodavanjem ME-a ne bi se trebala smanjivati.

Za zvučnike klase 3B, 2B moraju se koristiti ME-ovi najmanje klase 5.

Za zvučnike klase 3A, 2A, ovisno o važnosti informacija koje se obrađuju, treba koristiti ME sljedećih klasa:

Prilikom obrade podataka klasificiranih kao "tajna" - ne niža od klase 3;

Pri obradi informacija klasificiranih kao "strogo povjerljivo" - ne niže od klase 2;

Pri obradi informacija klasificiranih kao "posebna važnost" - ne niža od klase 1.

ME je standardni element sustava informacijske sigurnosti NSD-a i sredstvo je kontrole protoka informacija, ulazeći u podsustav kontrole pristupa.

S gledišta echeloniranja, vatrozidi se mogu nalaziti i na perimetru zaštićenog sustava i na njegovim pojedinačnim elementima, na primjer, softverski vatrozidi instalirani na radnim stanicama i poslužiteljima.

Demilitarizirano područje.

DMZ (demilitarizirana zona, DMZ) je tehnologija za osiguranje zaštite informacijskog perimetra, u kojem poslužitelji odgovaraju na zahtjeve od vanjska mreža, nalaze se u posebnom mrežnom segmentu (koji se naziva DMZ) i ograničeni su u pristupu glavnim segmentima mreže vatrozidom, kako bi se minimizirala šteta u slučaju hakiranja nekog od javnih servisa koji se nalaze u zoni.

Ovisno o sigurnosnim zahtjevima, DMZ može imati jedan, dva ili tri vatrozida.

Konfiguracija s jednim vatrozidom.

U ovoj DMZ shemi, interna mreža i vanjska mreža povezane su na različite priključke usmjerivača (djelujući kao vatrozid), koji kontrolira veze između mreža. Ova shema je jednostavna za implementaciju i zahtijeva samo jedan dodatni priključak. Međutim, ako je ruter hakiran (ili pogrešno konfiguriran), mreža postaje ranjiva izravno iz vanjske mreže.

Konfiguracija s dva vatrozida.

U konfiguraciji dvostrukog vatrozida, DMZ se povezuje s dva usmjerivača, od kojih jedan ograničava veze s vanjske mreže na DMZ, a drugi kontrolira veze s DMZ-a na internu mrežu. Ova shema vam omogućuje da minimizirate posljedice hakiranja bilo kojeg vatrozida ili poslužitelja koji su u interakciji s vanjskom mrežom - sve dok interni vatrozid ne bude hakiran, napadač neće imati proizvoljan pristup internoj mreži.

Konfiguracija s tri vatrozida.

Postoji rijetka konfiguracija s tri vatrozida. U ovoj konfiguraciji prvi od njih preuzima zahtjeve vanjske mreže, drugi kontrolira DMZ mrežne veze, a treći kontrolira interne mrežne veze. U takvoj konfiguraciji obično su DMZ i interna mreža skriveni iza NAT-a (Network Address Translation).

Jedan od glavne značajke DMZ nije samo filtriranje prometa na internom vatrozidu, već i zahtjev za obaveznom jakom kriptografijom u interakciji između aktivne opreme interne mreže i DMZ-a. Konkretno, ne bi trebalo biti situacija u kojima je moguće neovlašteno obraditi zahtjev s poslužitelja u DMZ-u. Ako se DMZ koristi za osiguranje zaštite informacija unutar perimetra od curenja iznutra, slični zahtjevi se nameću za obradu korisničkih zahtjeva iz interne mreže.

Sa stajališta formiranja dubinske obrane, DMZ se može definirati kao dio ME, međutim, DMZ je potreban samo kada neki podaci moraju biti u javnoj uporabi (primjerice, web stranica). DMZ je, kao i ME, implementiran na rubu zaštićene mreže, a po potrebi može postojati više takvih zona, svaka sa svojim sigurnosnim politikama. Dakle, ovdje je prvi nivo zaštita pri pristupu DMZ-u, a drugi je zaštita interne mreže. Zahvaljujući tome, pristup samom DMZ-u je otežan, ali čak i uz uspješan splet okolnosti, prekid unutarnje mreže gotovo je nemoguć.

VPN (engleski: Virtual Private Network) je općeniti naziv za tehnologije koje omogućuju pružanje jedne ili više mrežnih veza (logičke mreže) preko druge mreže (na primjer, interneta). Unatoč činjenici da se komunikacije odvijaju preko mreža s nižom ili nepoznatom razinom povjerenja (primjerice, preko javnih mreža), razina povjerenja u izgrađenu logičku mrežu ne ovisi o razini povjerenja u temeljnim mrežama zbog korištenje kriptografskih alata (enkripcija, autentifikacija, infrastruktura javnih ključeva, sredstva za zaštitu od ponavljanja i promjena koje se prenose preko logičke mreže poruka).

Ovisno o korištenim protokolima i namjeni, VPN može osigurati veze tri vrste: od čvora do čvora, od čvora do mreže i od mreže do mreže.

Tipično, VPN-ovi se postavljaju na razinama koje nisu više od razine mreže, budući da korištenje kriptografije na tim razinama omogućuje nepromijenjenu upotrebu prijenosnih protokola (kao što su TCP, UDP).

Korisnici Microsoft Windowsa koriste pojam VPN za jednu od implementacija virtualne mreže - PPTP, koja se često koristi ne za stvaranje privatnih mreža.

Najčešće se za stvaranje virtualne mreže PPP protokol enkapsulira u neki drugi protokol - IP (ovu metodu koristi PPTP implementacija - Point-to-Point Tunneling Protocol) ili Ethernet (PPPoE) (iako i oni imaju razlike) . VPN tehnologija nedavno se koristi ne samo za stvaranje samih privatnih mreža, već i od strane nekih pružatelja usluga "zadnje milje" u postsovjetskom prostoru za pružanje pristupa internetu.

Uz odgovarajuću razinu provedbe i korištenje posebnih softver VPN mreža može pružiti visoku razinu enkripcije prenesenih informacija. Kada su sve komponente ispravno konfigurirane, VPN tehnologija osigurava anonimnost na internetu.

VPN rješenja mogu se klasificirati prema nekoliko glavnih parametara:

Prema stupnju sigurnosti korištenog okoliša:

Sigurna - najčešća verzija virtualnih privatnih mreža. Uz njegovu pomoć moguće je stvoriti pouzdanu i sigurnu mrežu temeljenu na nepouzdanoj mreži, obično Internetu. Primjeri sigurnih VPN-ova su: IPSec, OpenVPN i PPTP.

Pouzdan - koristi se u slučajevima kada se prijenosni medij može smatrati pouzdanim i potrebno je samo riješiti problem stvaranja virtualne podmreže unutar veće mreže. Sigurnosna pitanja postaju nevažna. Primjeri takvih VPN rješenja su: Multi-protocol label switching (MPLS) i L2TP (Layer 2 Tunneling Protocol).

Po načinu implementacije:

U obliku posebnog softvera i hardvera, implementacija VPN mreže provodi se pomoću posebnog skupa softvera i hardvera. Ovakva implementacija osigurava visoke performanse i, u pravilu, visok stupanj sigurnosti.

Kao programsko rješenje- koristiti Osobno računalo s posebnim softverom koji pruža VPN funkcionalnost.

Integrirano rješenje - VPN funkcionalnost osigurava kompleks koji također rješava probleme filtriranja mrežnog prometa, organiziranja vatrozida i osiguravanja kvalitete usluge.

Po namjeni:

Intranet VPN koristi se za spajanje više distribuiranih podružnica jedne organizacije koje razmjenjuju podatke putem otvorenih komunikacijskih kanala u jednu sigurnu mrežu.

Remote Access VPN koristi se za stvaranje sigurnog kanala između segmenta korporativne mreže (centralnog ureda ili podružnice) i jednog korisnika koji se, radeći kod kuće, povezuje na korporativne resurse s kućnog računala, korporativnog prijenosnog računala, pametnog telefona ili internetskog kioska.

Extranet VPN - koristi se za mreže na koje se povezuju "vanjski" korisnici (na primjer, kupci ili klijenti). Razina povjerenja u njih znatno je niža nego u zaposlenike tvrtke, pa je potrebno osigurati posebne „linije“ zaštite koje onemogućuju ili ograničavaju pristup potonjih posebno vrijednim, povjerljivim informacijama.

Internet VPN - koristi se za pružanje pristupa internetu od strane pružatelja usluga, obično ako se više korisnika povezuje putem jednog fizičkog kanala. PPPoE protokol je postao standard u ADSL vezama.

L2TP je bio široko rasprostranjen sredinom 2000-ih u kućnim mrežama: u to se vrijeme intranetski promet nije plaćao, a vanjski promet bio je skup. To je omogućilo kontrolu troškova: kada je VPN veza isključena, korisnik ne plaća ništa. Trenutno (2012.) žičani internet jeftino ili neograničeno, a na korisnikovoj strani često postoji ruter na kojem paljenje i gašenje interneta nije tako zgodno kao na računalu. Stoga L2TP pristup postaje prošlost.

Klijent/poslužitelj VPN - pruža zaštitu za podatke koji se prenose između dva čvora (ne mreže) korporativne mreže. Posebnost ove opcije je da se VPN gradi između čvorova koji se u pravilu nalaze u istom segmentu mreže, na primjer, između radna stanica i poslužitelj. Ova potreba se vrlo često javlja u slučajevima kada je potrebno napraviti nekoliko logičkih mreža na jednoj fizičkoj mreži. Na primjer, kada je potrebno podijeliti promet između financijskog odjela i odjela ljudskih resursa koji pristupaju poslužiteljima koji se nalaze u istom fizičkom segmentu. Ova je opcija slična VLAN tehnologiji, ali umjesto odvajanja prometa, kriptirana je.

Prema vrsti protokola, postoje implementacije virtualnih privatnih mreža za TCP/IP, IPX i AppleTalk. Ali danas postoji tendencija prema općem prijelazu na TCP/IP protokol, a velika većina VPN rješenja ga podržava. Adresiranje u njemu najčešće je odabrano prema standardu RFC5735, iz niza TCP/IP privatnih mreža.

Po razini mrežnog protokola - na temelju usporedbe s razinama ISO/OSI referentnog modela mreže.

Dubinska obrana temeljena na VPN-u mora uključivati dva (ili više) sigurnosnih perimetara na opremi različitih proizvođača. U tom slučaju metoda iskorištavanja “rupe” na liniji obrane jednog dobavljača neće biti primjenjiva na rješenje drugog. Ovo dvoslojno rješenje je obavezno tehnološki zahtjev za mnoge korporativne mreže, osobito vrlo česte u švicarskim bankarskim mrežama.

Slika 1. Scenariji interakcije između štićenih perimetara.

Slika 2. Simboli korišteni na slici 1.

U okviru dvoslojne mrežne sigurnosne arhitekture temeljene na Cisco i CSP VPN proizvodima implementirani su sljedeći osnovni scenariji interakcije zaštićenih perimetara (slika 1):

Pristup Internetu za poslovne korisnike.

Sigurna interakcija između vanjskih perimetara.

Siguran pristup za udaljene korisnike vanjskoj perimetarskoj mreži.

Siguran pristup za udaljene korisnike internoj perimetarskoj mreži.

Sigurna interakcija unutarnjih perimetara.

Stvaranje internih sigurnih sklopova i zaštita klijent-poslužitelj aplikacija.

Tehničke izvedbe osnovnih scenarija su različite i ovise o:

što štitimo (koji su zaštićeni objekti, kako se autentificiraju),

gdje se nalaze sigurnosni objekti (topologija mreže),

kako želimo primijeniti sigurnosne mjere (politiku kontrole pristupa i strukturu IPsec tunela).

2.2.7 Sustav za otkrivanje upada

Sustav za otkrivanje upada (IDS) je softverski ili hardverski alat dizajniran za otkrivanje slučajeva neovlaštenog pristupa ili neovlaštene kontrole računalnog sustava ili mreže, prvenstveno putem Interneta. Odgovarajući engleski izraz je Intrusion Detection System (IDS). Sustavi za otkrivanje upada pružaju dodatni sloj zaštite za računalne sustave.

Sustavi za otkrivanje upada koriste se za otkrivanje određenih vrsta zlonamjernih aktivnosti koje mogu ugroziti sigurnost računalnog sustava. Takve aktivnosti uključuju mrežne napade na ranjive servise, napade usmjerene na eskalaciju privilegija, neovlašteni pristup važnim datotekama, kao i zlonamjerni softver (računalni virusi, trojanci i crvi)

Tipično, IDS arhitektura uključuje:

Senzorski podsustav dizajniran za prikupljanje događaja koji se odnose na sigurnost zaštićenog sustava

Podsustav za analizu dizajniran za otkrivanje napada i sumnjivih radnji na temelju podataka senzora

Pohrana koja osigurava akumulaciju primarnih događaja i rezultata analize

Upravljačka konzola koja vam omogućuje konfiguriranje IDS-a, praćenje stanja zaštićenog sustava i IDS-a te pregled incidenata koje je identificirao podsustav analize

Postoji nekoliko načina za klasifikaciju IDS-a ovisno o vrsti i lokaciji senzora, kao i metodama koje podsustav analize koristi za prepoznavanje sumnjive aktivnosti. U mnogim jednostavnim IDS-ovima, sve komponente su implementirane kao jedan modul ili uređaj.

Koristeći klasifikaciju IDS-a na temelju lokacije senzora, moguće je odrediti slojeviti IDS koji se nalazi na razinama mreže (IDS mreže), poslužitelja (IDS protokola) i hosta (IDS čvora). Prema istoj klasifikaciji, hibridni IDS se mogu odmah klasificirati kao slojeviti IDS, budući da zadovoljavaju osnovne zahtjeve za razdvajanje.

U umreženom IDS-u senzori se nalaze na kritičnim točkama u mreži, često u demilitariziranoj zoni ili na rubu mreže. Senzor presreće sav mrežni promet i analizira sadržaj svakog paketa na prisutnost zlonamjernih komponenti. IDS-ovi protokola koriste se za nadzor prometa koji krši pravila određenih protokola ili sintaksu jezika (na primjer, SQL). U IDS-u koji se temelji na glavnom računalu, senzor je obično softverski agent koji prati aktivnost glavnog računala na kojem je instaliran. Postoje i hibridne inačice navedenih vrsta OWL-ova.

Mrežni IDS (NIDS) nadzire upade pregledom mrežnog prometa i nadgleda više hostova. Mrežni sustav uređaj za otkrivanje upada dobiva pristup mrežnom prometu spajanjem na čvorište ili preklopnik konfiguriran za zrcaljenje porta ili mrežni TAP uređaj. Primjer web-baziranog IDS-a je Snort.

IDS temeljen na protokolu (PIDS) je sustav (ili agent) koji prati i analizira komunikacijske protokole s pridruženim sustavima ili korisnicima. Za web poslužitelj, takav IDS obično prati HTTP i HTTPS protokole. Kada koristite HTTPS, IDS se mora nalaziti na takvom sučelju kako bi pregledao HTTPS pakete prije nego što se šifriraju i pošalju na mrežu.

IDS temeljen na aplikacijskom protokolu (APIDS) sustav je (ili agent) koji prati i analizira podatke koji se prenose korištenjem protokola specifičnih za aplikaciju. Na primjer, na web poslužitelju sa SQL bazom podataka, IDS će nadzirati sadržaj SQL naredbi poslanih poslužitelju.

Nodal IDS (Host-based IDS, HIDS) - sustav (ili agent) smješten na hostu koji nadzire upade korištenjem analize poziva sustava, logova aplikacija, izmjena datoteka (izvršnih, datoteka s lozinkama, baza podataka sustava), stanja hosta i drugih izvori. Primjer je OSSEC.

Hibridni IDS kombinira dva ili više pristupa razvoju IDS-a. Podaci agenata na hostovima kombiniraju se s podacima o mreži kako bi se stvorila najpotpunija slika mrežne sigurnosti. Primjer hibridne OWL je Prelude.

Iako su i IDS i vatrozid alati za kontrolu protoka informacija, vatrozid se razlikuje po tome što ograničava određene vrste prometa prema glavnom računalu ili podmreži kako bi spriječio upade i ne prati upade koji se događaju unutar mreže. IDS, naprotiv, propušta promet, analizira ga i signalizira kada se otkrije sumnjiva aktivnost. Otkrivanje proboja sigurnosti obično se provodi pomoću heurističkih pravila i analize potpisa poznatih računalnih napada.

3. GLAVNI REZULTATI RADA

U tijeku rada proučen je osnovni princip izgradnje slojevitog sustava informacijske sigurnosti - “ešalon”. To znači da mnoge neovisne komponente sustava informacijske sigurnosti ne bi trebale biti instalirane na jednom mjestu, već “ešalonirano” – raspoređene po različitim razinama (ešalonima) zaštićenog sustava. Zahvaljujući tome, postiže se stanje "prezaštićenosti" sustava, u kojem se slabosti jedne komponente pokrivaju drugim komponentama.

Proučavana su i sama neovisna sredstva koja se koriste u formiranju slojevite informacijske sigurnosti u računalnim sustavima "uredskog" tipa:

Antivirusni programi;

Evidentiranje i revizija;

Fizička zaštita;

Autentifikacija i zaštita lozinkom;

Vatrozidi;

Demilitarizirano područje;

Sustav za detekciju upada.

Za svaku komponentu razmatrano je na kojim je razinama potrebna njezina ugradnja, a izneseni su i zahtjevi, prema dokumentima FSTEC-a Rusije.

POPIS KORIŠTENIH IZVORA INFORMACIJA

Vodeći dokument FSTEC-a Rusije „Računalni uređaji. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama.” od 30.03.1992.

Vodeći dokument FSTEC-a Rusije „Automatizirani sustavi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatiziranih sustava i zahtjevi za zaštitu informacija” od 30. ožujka 1992.;

Vodeći dokument „Računalni uređaji. Vatrozidi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama“ od 25. srpnja 1997.;

Objavljeno na Allbest.ru

Slični dokumenti

Načini neovlaštenog pristupa, podjela metoda i sredstava zaštite informacija. Analiza metoda zaštite informacija u LAN-u. Identifikacija i autentifikacija, evidentiranje i revizija, kontrola pristupa. Koncepti sigurnosti računalnih sustava.

diplomski rad, dodan 19.04.2011

Problem izbora između potrebne razine zaštite i učinkovitosti mreže. Mehanizmi za osiguranje informacijske sigurnosti u mrežama: kriptografija, elektronički potpis, autentifikacija, mrežna zaštita. Zahtjevi za suvremene alate za informacijsku sigurnost.

kolegij, dodan 01.12.2008

Zahtjevi zaštite informacija. Klasifikacija automatiziranog sustava. Čimbenici koji utječu na traženu razinu informacijske sigurnosti. Fizička zaštita podataka. Ugradnja besprekidnih izvora napajanja. Identifikacija i autentifikacija, kontrola pristupa.

kolegij, dodan 29.11.2014

Metode i sredstva zaštite informacija od neovlaštenog pristupa. Značajke zaštite informacija u računalne mreže. Kriptografska zaštita i elektronički digitalni potpis. Metode zaštite informacija od računalnih virusa i hakerskih napada.

sažetak, dodan 23.10.2011

Prikaz tehnologija informacijske sigurnosti u računalnim mrežama: kriptografija, elektronički potpis, autentifikacija, mrežna zaštita. Organizacija informacijske sigurnosti na klijentskom računalu pomoću sustava Avast. Konfiguracija i postavljanje Avast sustava na vašem računalu.

kolegij, dodan 05/11/2014

Pojam računalnog kriminala. Osnovni pojmovi zaštite informacija i informacijske sigurnosti. Klasifikacija mogućih prijetnji informacijama. Preduvjeti za nastanak prijetnji. Načini i metode zaštite informacijskih izvora. Vrste antivirusnih programa.

kolegij, dodan 28.05.2013

Softver i hardver za zaštitu vašeg računala od neovlaštenog pristupa. Elektronska brava "Sable". SecretNet informacijski sigurnosni sustav. Uređaji za zaštitu informacija o otiscima prstiju. Upravljanje javnim ključem, certifikacijski centri.

kolegij, dodan 23.08.2016

Značajke zaštićenih objekata i zahtjevi za njih. Identifikacija kanala istjecanja i zahtjevi za zaštitu. Zaštitna oprema i njihov smještaj. Alternativni sustav zaštite informacija sa složenim oklopom. Oklopljene strukture, sobe, komore.

kolegij, dodan 16.04.2012

Tehnička sredstva zaštita informacija. Glavne prijetnje sigurnosti računalnog sustava. Sredstva zaštite od neovlaštenog pristupa. Sustavi za sprječavanje curenja povjerljivih informacija. Alati za analizu sigurnosnih sustava.

prezentacija, dodano 18.11.2014

Analiza informacije kao objekta zaštite i proučavanje zahtjeva za informacijsku sigurnost. Istraživanje inženjersko-tehničkih mjera zaštite i razvoj sustava upravljanja objektima zaštite informacija. Implementacija zaštite objekata pomoću programa Packet Tracer.

Milijuni dolara troše se na razvoj i moći će nadvladati ruske sustave protuzračne obrane i raketne obrane, navodi američki časopis The National Interest. Prema zaključcima publikacije, američka vojska nema iskustva u sukobu s visokotehnološkim neprijateljem, tako da je rezultat potencijalnog vojnog sukoba s Ruskom Federacijom nemoguće predvidjeti. U slučaju operacije, moderni stealth zrakoplovi i krstareće rakete, poput Tomahawka, bit će u opasnosti od presretanja, naglašava autor članka. O mogućnostima američkog oružja i potencijalu ruske protuzračne obrane - u materijalu RT.

Pentagonova ulaganja u stvaranje zrakoplova s opsežnom upotrebom stealth tehnologija neće dati zajamčeni rezultat protiv ruski sustav“ograničenja i zabrane pristupa i manevra” (A2/AD - anti-access and area denial). O tome piše američki časopis The National Interest.

A2/AD je termin uobičajen na Zapadu koji podrazumijeva da država ima udarne sustave dugog dometa koji su sposobni presresti oružje za zračni napad stotinama i desecima kilometara od granica i izvesti preventivne udare na neprijateljske ciljeve na kopnu i moru.

Inozemna publikacija primjećuje da Rusija ima "zračno minsko polje" koje će "NATO morati nekako neutralizirati ili zaobići u slučaju sukoba". Glavna prednost Moskve je njezin slojeviti sustav protuzračne obrane, čije su glavne "prednosti domet, točnost i mobilnost".

Prema The National Interestu, u slučaju invazije na ruski zračni prostor, ne samo najnovije Američki avioni, ali i krstareće rakete morskog baziranja (riječ je o tomahawcima). Zbog ovog razloga " Najbolji način Oduprijeti se sustavima protuzračne obrane znači izbjegavati ih”, zaključuje časopis.

Kontrola neba

U zapadnom tisku rašireno je stajalište o ranjivosti NATO zrakoplova i projektila na sustave protuzračne obrane/proturaketne obrane kojima su naoružane ruske trupe. Prema vojnom stručnjaku Juriju Knutovu, temelji se na navici Sjedinjenih Država da počnu boreći se tek nakon postizanja potpune nadmoći u zraku.

“Amerikanci nikada ne napadaju zemlju, a da prethodno ne unište zapovjedna mjesta i sustave protuzračne obrane. U slučaju Rusije, to je apsolutno nemoguća situacija. Zato ih i živcira sadašnje stanje stvari. Istodobno, proces pripreme za mogući rat s nama u Sjedinjenim Državama nikada nije završio i Amerikanci nastavljaju poboljšavati zrakoplovstvo i oružje”, rekao je Knutov u razgovoru za RT.

Prema riječima stručnjaka, Sjedinjene Države tradicionalno su ispred naše zemlje u razvoju zrakoplovne tehnologije. No, već pola stoljeća domaći znanstvenici stvaraju visokoučinkovito oružje koje je u stanju presresti najnovije NATO zrakoplove i projektile te izazvati ozbiljne smetnje u njihovoj elektroničkoj opremi.

Stvaranje slojevitog sustava protuzračne obrane/proturaketne obrane u Sovjetskom Savezu pridavalo je golemu pažnju. Sve do ranih 1960-ih američki izviđački zrakoplovi gotovo su nesmetano letjeli iznad SSSR-a. Međutim, s pojavom prvih protuzračnih raketnih sustava (SAM) i uništenjem U-2 kod Sverdlovska (1. svibnja 1960.), intenzitet letova američkog ratnog zrakoplovstva nad teritorijem naše zemlje osjetno je smanjen.

Ogromna su sredstva uložena u formiranje i razvoj protuzračne obrane, kao i sustava za upozoravanje na raketni napad (MAWS). Kao rezultat toga, SSSR je uspio osigurati pouzdana zaštita najvažnija administrativna središta, ključnu vojnu infrastrukturu, zapovjedna mjesta i industrijske zone.

Usvojen je niz radarskih stanica (promatranje zračnog prostora, otkrivanje ciljeva, izviđanje), automatizirani sustavi upravljanje (obrada radarskih informacija i njihov prijenos zapovjedništvu), opremom za ometanje i sustavima za uništavanje požara (protuzračni raketni sustavi, lovci, sustavi elektroničkog ratovanja).

Od kasnih 1980-ih razina osoblja Trupe protuzračne obrane SSSR-a premašile su 500 tisuća ljudi. Sovjetski Savez branio je Moskovski okrug protuzračne obrane, 3. odvojena armija za upozoravanje na raketne napade, 9. odvojeni korpus protuzračne obrane, 18. odvojeni korpus kontrole svemira, kao i osam armija protuzračne obrane sa sjedištima u Minsku, Kijevu, Sverdlovsku, Lenjingradu. , Arkhangelsk , Taškent, Novosibirsk, Khabarovsk i Tbilisi.

Ukupno je na borbenoj dužnosti bilo preko 1260 raketnih divizija protuzračne obrane, 211 raketnih pukovnija protuzračne obrane, 28 radiotehničkih pukovnija, 36 radiotehničkih brigada, 70 borbenih pukovnija protuzračne obrane, s više od 2,5 tisuća borbenih zrakoplova.

Nakon raspada SSSR-a, zbog promjene geopolitičke situacije i promjene vojne doktrine, broj postrojbi protuzračne obrane je smanjen. Sada Zračne svemirske snage uključuju postrojbe Svemirskih snaga (odgovorne za sustave ranog upozoravanja), 1. vojsku protuzračne obrane i raketne obrane (štiti moskovsku regiju) i pet vojski zračnih snaga i protuzračne obrane koje pokrivaju jug Ruske Federacije, zapadni regije središnje Rusije, Dalekog istoka, Sibira, Povolžja te Urala i Arktika.

Prema Ministarstvu obrane Ruske Federacije, Rusija je posljednjih godina obnovila neprekidno radarsko polje "u glavnim raketno opasnim smjerovima" i ojačala sustav protuzračne obrane zahvaljujući primitku najnovijeg S-400 "Trijumf", Sustavi protuzračne obrane "Pancir-S", modernizirane verzije "Tora" i "Buka" za trupe.

U nadolazećim godinama vojska planira dovršiti modernizaciju proturaketnog obrambenog sustava A-135 Amur i razmjestiti masovna proizvodnja kompleks S-500, sposoban presresti gotovo sve poznate ciljeve, uključujući orbitalne zrakoplove, satelite, interkontinentalne balističke rakete i njihove bojeve glave.

“Ne donosi revolucionarne rezultate”

U razgovoru za RT, profesor Akademije vojnih znanosti Vadim Kozyulin primijetio je da je u Sjedinjenim Državama u tijeku rasprava o opravdanosti oslanjanja na nisku radarsku signaturu zrakoplova i projektila. Prema njegovim riječima, u Sjedinjenim Državama raste zabrinutost da moderni radari (prvenstveno ruski) mogu lako otkriti takozvane "nevidljive" radare u zraku.

“Ovdje se postavlja pitanje ima li smisla toliko raditi na ovom području ako to ne donosi prijelomne rezultate. Amerikanci su bili pioniri u razvoju stealth tehnologije. Stotine milijardi dolara potrošene su na stealth projekte, ali čak ni svi proizvodni uzorci nisu ispunili očekivanja”, rekao je Kozyulin.

Nizak radarski potpis postiže se smanjenjem efektivnog područja disperzije (RCS). Ovaj pokazatelj ovisi o prisutnosti ravnih geometrijskih oblika u dizajnu zrakoplova i posebnim materijalima koji apsorbiraju radio zračenje. Zrakoplov s ESR manjim od 0,4 četvornih metara obično se naziva "nevidljivim". m.

Prvi američki proizvedeni nevidljivi zrakoplov bio je taktički bombarder Lockheed F-117 Nighthawk, koji je poletio u nebo 1981. godine. Sudjelovao je u operacijama protiv Paname, Iraka i Jugoslavije. Unatoč pokazatelju ESR, nevjerojatnom za svoje vrijeme (od 0,025 m2 do 0,1 m2), F-117 je imao mnogo značajnih nedostataka.

Osim toga iznimno visoka cijena i operativnih poteškoća, Nighthawk je bio beznadno inferioran ranijim vozilima američkog ratnog zrakoplovstva u pogledu borbenog opterećenja (nešto više od dvije tone) i dometa (oko 900 km). Osim toga, stealth efekt postignut je samo u načinu radijske tišine (isključivanje komunikacija i sustava identifikacije prijatelj ili neprijatelj).

27. ožujka 1999. američko vozilo visoke tehnologije oboreno je sovjetskim sustavom PZO S-125 jugoslavenskih PZO, koji se već smatrao zastarjelim. Ovo je bio jedini borbeni gubitak F-117. Od tada se među vojnim osobljem i stručnjacima nastavljaju rasprave o tome kako je takav incident postao moguć. Godine 2008. Nighthawk je umirovljen iz američkih zračnih snaga.

Najmoderniji primjeri američkog zrakoplovstva također su predstavljeni "nevidljivim" letjelicama. EPR prvog zrakoplova pete generacije F-22 je 0,005-0,3 četvornih metara. m, najnoviji lovac F-35 - 0,001-0,1 sq. m, bombarder dugog dometa B-2 Spirit - 0,0014-0,1 sq. m. U isto vrijeme, sustavi protuzračne obrane S-300 i S-400 sposobni su za snimanje zračni ciljevi s EPR u području od 0,01 sq. m (nema točnih podataka).

Kozjulin je primijetio da zapadni i domaći mediji često pokušavaju saznati jesu li ruski protuzračni sustavi presreću američke avione. Prema njegovim riječima, na protuzračnu borbu istodobno utječu mnogi čimbenici, nemoguće je unaprijed predvidjeti njezin ishod.

“EPR se mijenja ovisno o visini i dometu leta zrakoplova. U jednom trenutku može biti jasno vidljiv, u drugom - ne. Međutim, velika popularnost ruski fondovi Protuzračna obrana na svjetskom tržištu i američka zabrinutost za mogućnosti S-400 pokazuju da se ruska protuzračna obrana nosi s postavljenim zadaćama, odnosno zaštitom od bilo kojeg sredstva zračnog napada”, zaključio je Kozjulin.

Do 2025. to se može nazvati učinkovitim odgovorom na američku strategiju trenutnog globalnog udara, kaže umirovljeni pukovnik Viktor Litovkin.

Slojeviti sustav proturaketne obrane

Novinarima je rekao da će u našoj zemlji do 2025. biti dovršeno stvaranje slojevitog nacionalnog sustava proturaketne obrane. glavni projektant sustavi za upozorenje na raketni napad (MAWS) Sergey Boev. Njegovo stvaranje nazvao je odgovorom na aktivan razvoj oružja za zračni napad u svijetu, koje danas uvelike određuje tijek vojnih sukoba.

“Proturaketni obrambeni sustav ima dva ešalona – kopneni i svemirski. Kopneni ešalon uključuje stanice za upozorenje na raketni napad smještene duž perimetra naše zemlje, kao i protuzračne raketne i proturaketne sustave koji mogu presresti kako strateške, tako i rakete srednjeg i kraćeg dometa.

Svemirski ešalon, koji je ujedno i sustav upozorenja na raketni napad, koristi izviđačku opremu, uključujući satelitsku opremu, za otkrivanje lansiranja projektila u bilo kojem smjeru, ali prvenstveno prema Rusiji. Kada govorimo o slojevitoj obrani, podrazumijevamo postavljanje radarskih stanica i sustava protuzračne obrane ne samo duž perimetra, već i unutar zemlje. Takav pristup omogućit će da se ne propuste napadi na ključna industrijska područja zemlje, vojne objekte i kulturne centre”, objašnjava vojni stručnjak za FBA Economics Today.

Očekuje se da će slojevita obrana do 2025. godine ujediniti sustave raketne obrane i protuzračne obrane u jedinstvenu cjelinu, uključujući i područje naših saveznika na postsovjetskom prostoru. Stvaranje takvog kišobrana, prema mišljenju stručnjaka, dovodi do brisanja granica između taktičke i strateške protuzračne obrane i sustava proturaketne obrane.

Instant globalni udar

Slojeviti sustav proturaketne obrane uključivat će sustave kratkog dometa kao što su Tunguska, Buk, Pancir i Tor-M2 te srednjeg dometa S-300 i Vityaz. Kao što je primijetio vojni stručnjak Alexey Leonkov, usvajanje sustava protuzračne obrane dugog dometa S-500, sposobnog pogoditi ciljeve na udaljenosti do 100 kilometara iznad zemlje, dovršit će slojeviti obrambeni sustav.

“Takva se obrana može nazvati učinkovitim odgovorom na američki koncept masivnog zračno-svemirskog napada, poznatog kao “Bljeskavi globalni udar”. Obrambeni sustav se razvija, uključujući uzimajući u obzir obećavajuće razvoje koji još nisu usvojeni za službu, uključujući hipersonične krstareće rakete. Dok neprijatelj nema takvo oružje, mi ćemo biti spremni presresti takve projektile ako se pojave. Vrijedno je napomenuti da niti jedna druga država, uključujući Sjedinjene Države, nema tako razvijen sustav protuzračne obrane”, rezimira Viktor Litovkin.

Kako je primijetio Sergej Bojev, strategija trenutnog globalnog udara bit će dovršena do 2030. godine. Do ovog trenutka, Sjedinjene Države će moći istovremeno koristiti interkontinentalne balističke projektile u različitim konfiguracijama, hipersonično oružje i krstareće projektile različitih namjena za izvođenje napada. Zemaljski proturaketni obrambeni sustav Aegis raspoređen u Rumunjskoj i Poljskoj predstavlja izravnu prijetnju nama ovdje. Na temelju trenutnih izazova, razmještanje slojevitog sustava proturaketne obrane do sredine 20-ih strateški je zadatak za našu zemlju.

Nema jamstava da će najnovije američko oružje za zračni napad, u čiji se razvoj troše milijuni dolara, moći nadvladati ruski sustav protuzračne obrane i raketne obrane, piše američki časopis The National Interest. Prema zaključcima publikacije, američka vojska nema iskustva u sukobu s visokotehnološkim neprijateljem, tako da je rezultat potencijalnog vojnog sukoba s Ruskom Federacijom nemoguće predvidjeti. U slučaju operacije, moderni stealth zrakoplovi i krstareće rakete, poput Tomahawka, bit će u opasnosti od presretanja, naglašava autor članka. O mogućnostima američkog oružja i potencijalu ruske protuzračne obrane - u materijalu RT

Američki zrakoplov B-2 Spirit

Pentagonova ulaganja u stvaranje zrakoplova s opsežnom upotrebom stealth tehnologija neće dati zajamčeni rezultat protiv ruskog sustava zabrane pristupa i manevra (A2/AD - zabrana pristupa i područja). O tome piše američki časopis The National Interest.

Kako piše The National Interest, u slučaju invazije na ruski zračni prostor neće biti ranjivi samo najnoviji američki zrakoplovi, već i krstareće rakete morskog baziranja (riječ je o tomahavcima). Iz tog razloga, “najbolji način da se suprotstavite sustavima protuzračne obrane je njihovo izbjegavanje”, zaključuje časopis.

Kontrola neba

U zapadnom tisku rašireno je stajalište o ranjivosti NATO zrakoplova i projektila na sustave protuzračne obrane/proturaketne obrane kojima su naoružane ruske trupe. Prema vojnom stručnjaku Juriju Knutovu, to se temelji na navici Sjedinjenih Država da započnu vojne operacije tek nakon postizanja potpune zračne nadmoći.

Ogromna su sredstva uložena u formiranje i razvoj protuzračne obrane, kao i sustava za upozoravanje na raketni napad (MAWS). Kao rezultat toga, SSSR je uspio osigurati pouzdanu zaštitu najvažnijih administrativnih središta, ključne vojne infrastrukture, zapovjednih mjesta i industrijskih zona.

Raznovrsne radarske stanice (promatranje zračnog prostora, otkrivanje ciljeva, izviđanje), automatizirani sustavi upravljanja (obrada radarskih informacija i njihov prijenos zapovjedništvu), sustavi za ometanje i sustavi za uništavanje vatre (protuzračni raketni sustavi, lovci, sustavi elektroničkog ratovanja) bili usvojeni.

Krajem 1980-ih redovita snaga protuzračne obrane SSSR-a prelazila je 500 tisuća ljudi. Sovjetski Savez branio je Moskovski okrug protuzračne obrane, 3. odvojena armija za upozoravanje na raketne napade, 9. odvojeni korpus protuzračne obrane, 18. odvojeni korpus kontrole svemira, kao i osam armija protuzračne obrane sa sjedištima u Minsku, Kijevu, Sverdlovsku, Lenjingradu. , Arkhangelsk , Taškent, Novosibirsk, Khabarovsk i Tbilisi.

U nadolazećim godinama vojska planira dovršiti modernizaciju proturaketnog obrambenog sustava A-135 Amur i pokrenuti serijsku proizvodnju kompleksa S-500, sposobnog za presretanje gotovo svih poznatih ciljeva, uključujući orbitalne zrakoplove, satelite, interkontinentalne balističke rakete i njihove bojeve glave.

“Ne donosi revolucionarne rezultate”

“Ovdje se postavlja pitanje ima li smisla toliko raditi na ovom području ako to ne donosi prijelomne rezultate. Amerikanci su bili pioniri u razvoju stealth tehnologije. Stotine milijardi dolara potrošene su na stealth projekte, ali čak ni svi proizvodni uzorci nisu ispunili očekivanja”, rekao je Kozyulin.

Osim iznimno visoke cijene i složenosti rada, Nighthawk je bio beznadno inferioran ranijim vozilima američkog ratnog zrakoplovstva u pogledu borbenog opterećenja (nešto više od dvije tone) i dometa (oko 900 km). Osim toga, stealth efekt postignut je samo u načinu radijske tišine (isključivanje komunikacija i sustava identifikacije prijatelj ili neprijatelj).

Najmoderniji primjeri američkog zrakoplovstva također su predstavljeni "nevidljivim" letjelicama. EPR prvog zrakoplova pete generacije F-22 je 0,005-0,3 četvornih metara. m, najnoviji lovac F-35 - 0,001-0,1 sq. m, bombarder dugog dometa B-2 Spirit - 0,0014-0,1 sq. m. U isto vrijeme, sustavi protuzračne obrane S-300 i S-400 sposobni su zabilježiti zračne ciljeve s ESR-om u području od 0,01 kvadratnog metra. m (nema točnih podataka).

Kozjulin je napomenuo da zapadni i domaći mediji često pokušavaju saznati mogu li ruski protuzračni sustavi presresti američke zrakoplove. Prema njegovim riječima, na protuzračnu borbu istodobno utječu mnogi čimbenici, nemoguće je unaprijed predvidjeti njezin ishod.

“EPR se mijenja ovisno o visini i dometu leta zrakoplova. U jednom trenutku može biti jasno vidljiv, u drugom - ne. Međutim, velika popularnost ruskih sustava protuzračne obrane na svjetskom tržištu i zabrinutost Amerikanaca za mogućnosti S-400 pokazuju da se ruska protuzračna obrana nosi s postavljenim zadaćama, odnosno obranom od svih sredstava zračnog napada, “, zaključio je Kozjulin.

Pod, ispod slojevita obrana(dubinska obrana) u suvremenoj računalnoj literaturi shvaćena je kao praktična strategija za postizanje informacijske sigurnosti u mrežnoj opremi. Ova strategija predstavlja ravnotežu između zaštitnih svojstava i troškova, performansi i funkcionalnih karakteristika.

Informacijsko osiguranje se postiže kada informacije i Informacijski sustavi zaštićeni od napada primjenom sigurnosnih usluga kao što su dostupnost, cjelovitost, autentifikacija, povjerljivost i tolerancija na greške. Aplikacije koje implementiraju ove usluge moraju se temeljiti na paradigmi zaštite, otkrivanja i odgovora.

Postizanje informacijske sigurnosti za slojevitu obrambenu strategiju zahtijeva pronalaženje ravnoteže između tri glavna elementa.

1. Osoblje – postizanje informacijske sigurnosti počinje na razini menadžmenta organizacije. Upravljačko osoblje mora jasno razumjeti moguće prijetnje postizanju ciljeva organizacije. Nakon toga bi trebao uslijediti popis resursa, definiranje politika i postupaka osiguranja informacija, dodjela uloga osoblja i definiranje odgovornosti. To također uključuje postupke fizičke zaštite i mjere sigurnosti osoblja.

2. Tehnologija - kako bi se osiguralo da dovoljno
Kako bi se tehnologije odabrale i pravilno primijenile, potrebno je razviti i implementirati učinkovite politike i postupke za osiguranje informacijske sigurnosti. Oni bi trebali uključivati: sigurnosnu politiku, arhitekturu i standarde na razini sustava, kriterije za odabir potrebnih proizvoda, specifične konfiguracije komponenti sustava, kao i postupke procjene rizika.

Funkcionalne operacije - ovaj aspekt se fokusira
na sve dnevne aktivnosti potrebne za održavanje
sigurnost organizacije. Takve funkcionalne operacije mogu uključivati, na primjer, sljedeće operacije: razvoj, instalacija i održavanje sigurnosne politike(a); provjera i certificiranje promjena u korištenim informacijskim tehnologijama; upravljanje instaliranim sigurnosnim kontrolama; kontrola i odgovor na trenutne prijetnje; otkrivanje i odgovaranje na napade; postupci za vraćanje i ponovno instaliranje komponenti informacijske tehnologije itd.

Primjena zaštite na više mjesta. Jer
napadači mogu napasti sustav s mnogo mjesta, uključujući vanjska i unutarnja, organizacija mora implementirati
zaštitni mehanizmi na različitim točkama koji moraju zaštititi mreže i infrastrukturu, zaštititi granice mreže i
teritorij, kao i zaštita računalne opreme;

Korištenje slojevite zaštite uključuje ugradnju zaštitnih mehanizama između potencijalnog napadača i mete;

Utvrđivanje stabilnosti sigurnosti postiže se procjenom zaštitnih sposobnosti svake komponente informacijskog osiguranja;

Primjena infrastrukture za otkrivanje napada i upada,
korištenje metoda i alata za analizu i korelaciju rezultata dobivenih ovom infrastrukturom.

Koncept dubinske obrane danas je općeprihvaćen, pa ga proizvođači zaštitne opreme provode puštanjem u promet cijelih linija zaštitnih sredstava koja funkcioniraju zajedno i upravljaju se, u pravilu, jednim upravljačkim uređajem.