Layered information security system. Tinapos ng pambansang sistema ng pagtatanggol ng missile ang diskarte sa "global strike" ng US Cover on close approaches

Ipadala ang iyong mabuting gawa sa base ng kaalaman ay simple. Gamitin ang form sa ibaba

Ang mga mag-aaral, nagtapos na mga estudyante, mga batang siyentipiko na gumagamit ng base ng kaalaman sa kanilang pag-aaral at trabaho ay lubos na magpapasalamat sa iyo.

Nai-post sa http://www.allbest.ru

1. PANGKALAHATANG KATANGIAN NG GAWAIN

1.1 Kaugnayan

1.2 Target

1.3 Mga gawain

2. PANGUNAHING NILALAMAN NG TRABAHO

2.1 Depensa ng malalim

2.2 Mga bahagi ng isang layered na sistema ng seguridad ng impormasyon

2.2.1 Mga programang antivirus

2.2.2 Pagre-record at pag-audit

2.2.3 Pisikal na proteksyon

2.2.4 Pagpapatunay at proteksyon ng password

2.2.5 Mga Firewall

2.2.6 Demilitarized Zone

2.2.7 VPN

2.2.8 Intrusion detection system

3. PANGUNAHING RESULTA NG TRABAHO

LISTAHAN NG MGA PINAGMUMULAN NG IMPORMASYON NA GINAMIT

pagtatanggol sa malalim na impormasyon antivirus

1. PANGKALAHATANG KATANGIAN NG GAWAIN.

1.1 Kaugnayan

Ang pag-aaral ng isang layered information security system sa "office" type na mga computer system ay may kaugnayan dahil sa patuloy na pagtaas ng bilang ng mga pag-atake sa mga network malalaking organisasyon para sa layunin, halimbawa, ng pagkopya ng mga database na naglalaman ng kumpidensyal na impormasyon. Ang ganitong sistema ng seguridad ay isang napakalakas na tool laban sa mga umaatake at epektibong makakapigil sa kanilang hindi awtorisadong pag-access (AT) na mga pagtatangka sa protektadong sistema.

Ang layunin ng gawaing ito ay pag-aralan ang isang layered na sistema ng proteksyon para sa mga sistema ng kompyuter na uri ng "opisina".

1.3 Mga Layunin

Upang makamit ang layuning ito, kinakailangan upang malutas ang mga sumusunod na gawain:

Pag-aralan ang mga prinsipyo ng pagbuo at pagpapatakbo ng isang layered na sistema ng seguridad;

Pag-aralan ang mga independiyenteng sistema ng seguridad na kasama sa isang layered na sistema ng seguridad ng impormasyon;

Tukuyin ang mga kinakailangan para sa mga sistema ng proteksyon;

2. PANGUNAHING NILALAMAN NG TRABAHO

2.1 Depensa ng malalim

Ang Depensa sa Depth ay isang konsepto ng insurance ng impormasyon kung saan ang ilang iba't ibang mga layer ng mga sistema ng proteksyon ay naka-install sa isang computer system. Ang layunin nito ay magbigay ng kalabisan na seguridad sa isang computer system kung sakaling magkaroon ng malfunction ng security control system o kapag sinamantala ng isang attacker ang isang partikular na kahinaan.

Ang ideya ng malalim na pagtatanggol ay upang protektahan ang system mula sa anumang pag-atake, gamit, kadalasang sunud-sunod, ang isang bilang ng mga independiyenteng pamamaraan.

Noong una, panay ang depensa sa lalim estratehiyang militar, na ginagawang posible na hindi hadlangan at pigilan, ngunit upang ipagpaliban ang pag-atake ng kaaway, upang bumili ng kaunting oras upang mailagay nang tama ang iba't ibang mga hakbang sa proteksyon. Para sa isang mas kumpletong pag-unawa, maaari tayong magbigay ng isang halimbawa: ang barbed wire ay epektibong pumipigil sa infantry, ngunit ang mga tanke ay madaling humimok dito. Gayunpaman, ang isang tangke ay hindi maaaring magmaneho sa mga anti-tank hedge, hindi tulad ng infantry, na nilalampasan lamang ang mga ito. Ngunit kung gagamitin ang mga ito nang magkasama, kung gayon ang mga tangke o infantry ay hindi makakalusot nang mabilis, at ang nagtatanggol na panig ay magkakaroon ng oras upang maghanda.

Ang paglalagay ng mga mekanismo ng seguridad, pamamaraan, at patakaran ay nilayon upang pahusayin ang seguridad ng isang computer system, kung saan maraming layer ng proteksyon ang makakapigil sa paniniktik at direktang pag-atake sa mga kritikal na sistema. Mula sa pananaw ng computer networking, ang malalim na pagtatanggol ay nilalayon hindi lamang upang maiwasan ang hindi awtorisadong pag-access, ngunit din upang magbigay ng oras kung saan ang isang pag-atake ay maaaring matukoy at tumugon sa, sa gayon ay binabawasan ang mga kahihinatnan ng isang paglabag.

Ang isang "opisina" na sistema ng computer ay maaaring magproseso ng impormasyon na may iba't ibang antas ng pag-access - mula sa libre hanggang sa impormasyon na bumubuo ng isang lihim ng estado. Kaya naman, para maiwasan ang NSD at iba't ibang uri pag-atake, ang ganitong sistema ay nangangailangan ng presensya epektibong sistema proteksyon ng impormasyon.

Susunod, isasaalang-alang natin ang mga pangunahing layer ng proteksyon (echelons) na ginagamit sa mga layered defense system. Dapat tandaan na ang isang sistema ng pagtatanggol na binubuo ng dalawa o higit pa sa mga sumusunod na sistema ay itinuturing na layered.

2.2 Mga bahagi ng isang layered na sistema ng seguridad ng impormasyon

2.2.1 Mga programang antivirus

Ang antivirus program (antivirus) ay isang dalubhasang programa para sa pag-detect ng mga virus sa computer, pati na rin ang mga hindi gustong (tinuturing na nakakahamak) na mga programa sa pangkalahatan at pagpapanumbalik ng mga file na nahawahan (binago) ng mga naturang programa, pati na rin para sa pag-iwas - pagpigil sa impeksyon (pagbabago) ng mga file o ang operating system na may malisyosong code .

Tumutukoy sa mga tool sa software na ginagamit upang matiyak ang proteksyon (sa pamamagitan ng mga hindi cryptographic na pamamaraan) ng impormasyong naglalaman ng impormasyong bumubuo ng mga lihim ng estado at iba pang impormasyon na may limitadong pag-access.

Ang mga produkto ng antivirus ay maaaring maiuri ayon sa ilang pamantayan:

Ayon sa mga teknolohiyang proteksyon ng anti-virus na ginamit:

Mga klasikong produkto ng antivirus (mga produkto na gumagamit lamang ng mga pamamaraan ng pagtuklas ng lagda);

Mga proactive na produkto ng proteksyon ng antivirus (mga produkto na gumagamit lamang ng mga teknolohiyang proactive na proteksyon ng antivirus);

Mga pinagsamang produkto (mga produktong gumagamit ng parehong klasiko, nakabatay sa lagda na mga paraan ng proteksyon at mga proactive).

Ayon sa functionality ng produkto:

Mga produkto ng antivirus (mga produkto na nagbibigay lamang ng proteksyon sa antivirus)

Mga kumbinasyong produkto (mga produktong nagbibigay hindi lamang ng proteksyon laban sa malware, kundi pati na rin ang pag-filter ng spam, pag-encrypt at pag-backup ng data, at iba pang mga function);

Sa pamamagitan ng mga target na platform:

Mga produkto ng antivirus para sa mga operating system ng Windows;

Mga produktong anti-virus para sa *NIX OS family (kabilang sa pamilyang ito ang BSD, Linux OS, atbp.);

Mga produkto ng antivirus para sa pamilya ng MacOS ng mga operating system;

Mga produktong anti-virus para sa mga mobile platform (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7, atbp.).

Ang mga produkto ng antivirus para sa mga gumagamit ng korporasyon ay maaari ding mauri ayon sa mga bagay na proteksiyon:

Mga produktong antivirus upang protektahan ang mga workstation;

Mga produktong anti-virus upang protektahan ang mga file at terminal server;

Mga produktong anti-virus upang protektahan ang mga email at Internet gateway;

Mga produkto ng antivirus upang protektahan ang mga server ng virtualization.

Kasama sa mga kinakailangan para sa mga tool sa proteksyon ng anti-virus ang mga pangkalahatang kinakailangan para sa mga tool sa proteksyon ng anti-virus at mga kinakailangan para sa mga function ng seguridad ng mga tool sa proteksyon ng anti-virus.

Upang pag-iba-ibahin ang mga kinakailangan para sa mga function ng seguridad ng mga tool sa proteksyon ng anti-virus, anim na klase ng proteksyon ng mga tool sa proteksyon ng anti-virus ang itinatag. Ang pinakamababang klase ay pang-anim, ang pinakamataas ay una.

Ang mga tool sa proteksyon ng anti-virus na nauugnay sa klase ng proteksyon 6 ay ginagamit sa mga sistema ng impormasyon ng personal na data ng mga klase 3 at 4.

Ang mga tool sa proteksyon ng anti-virus na nauugnay sa proteksyon ng klase 5 ay ginagamit sa mga sistema ng impormasyon ng personal na data ng klase 2.

Ang mga tool sa proteksyon ng anti-virus na naaayon sa proteksyon ng klase 4 ay ginagamit sa mga sistema ng impormasyon ng pamahalaan na nagpoproseso ng mga pinaghihigpitang impormasyon na hindi naglalaman ng impormasyong bumubuo ng mga lihim ng estado, sa mga sistema ng impormasyon ng personal na data ng klase 1, gayundin sa mga sistema ng pampublikong impormasyon ng klase II.

Ang mga tool sa proteksyon ng anti-virus na nauugnay sa mga klase ng proteksyon 3, 2 at 1 ay ginagamit sa mga sistema ng impormasyon na nagpoproseso ng impormasyong naglalaman ng impormasyon na bumubuo ng mga lihim ng estado.

Ang mga sumusunod na uri ng mga tool sa proteksyon ng antivirus ay nakikilala rin:

uri ng "A" - mga tool sa proteksyon ng anti-virus (mga bahagi ng mga tool sa proteksyon ng anti-virus), na nilayon para sa sentralisadong pangangasiwa ng mga tool sa proteksyon ng anti-virus na naka-install sa mga bahagi ng system ng impormasyon (mga server, automated na workstation);

uri ng "B" - mga tool sa proteksyon ng anti-virus (mga bahagi ng mga tool sa proteksyon ng anti-virus) na nilayon para gamitin sa mga server ng system ng impormasyon;

uri ng "B" - mga tool sa proteksyon ng anti-virus (mga bahagi ng mga tool sa proteksyon ng anti-virus) na nilayon para gamitin sa mga awtomatikong workstation ng mga sistema ng impormasyon;

uri ng "G" - mga tool sa proteksyon ng anti-virus (mga bahagi ng mga tool sa proteksyon ng anti-virus) na nilalayon para gamitin sa mga autonomous na automated na workstation.

Ang mga tool sa proteksyon ng anti-virus na uri "A" ay hindi ginagamit sa mga sistema ng impormasyon nang nakapag-iisa at inilaan para sa paggamit lamang kasabay ng mga tool sa proteksyon ng anti-virus ng mga uri ng "B" at (o) "C".

Ang layunin ng malalim na pagtatanggol ay i-filter ang malware sa iba't ibang antas ng protektadong system. Isaalang-alang:

Antas ng koneksyon

Sa pinakamababa, ang isang enterprise network ay binubuo ng isang connectivity layer at isang core. Sa antas ng pagkakakonekta, maraming organisasyon ang may mga firewall, intrusion detection at prevention system (IDS/IPS/IDP), at mga depensa laban sa pagtanggi sa mga pag-atake ng serbisyo. Batay sa mga solusyong ito, ipinatupad ang unang antas ng proteksyon laban sa pagtagos ng malware. Ang mga firewall at IDS/IPS/IDP na mga tool sa labas ng kahon ay may built-in na functionality ng inspeksyon sa antas ng ahente ng protocol. Bukod dito, ang de facto na pamantayan para sa mga solusyon sa UTM ay isang built-in na antivirus na nag-scan ng papasok/papalabas na trapiko. Ang pagkakaroon ng mga in-line na antivirus sa mga firewall ay nagiging karaniwan na rin. Ang ganitong mga pagpipilian ay lumilitaw nang higit at mas madalas sa mga bagong bersyon ng mga kilalang produkto. Gayunpaman, maraming mga gumagamit ang nakalimutan ang tungkol sa mga built-in na pag-andar ng kagamitan sa network, ngunit, bilang isang patakaran, ang kanilang pag-activate ay hindi nangangailangan ng karagdagang mga gastos para sa pagbili ng mga opsyon sa pagpapalawak.

Kaya, ang pinakamainam na paggamit ng mga built-in na function ng seguridad ng mga kagamitan sa network at pag-activate ng karagdagang mga opsyon sa pagkontrol ng anti-virus sa mga firewall ay lilikha ng unang antas ng depensa nang malalim.

Antas ng proteksyon ng aplikasyon

Kasama sa antas ng proteksyon ng application ang parehong mga solusyon sa gateway para sa pag-scan ng anti-virus at mga tool sa seguridad na sa simula ay naglalayong lutasin ang mga problemang hindi anti-virus. Ang mga katulad na solusyon ay ipinakita sa merkado at sertipikado ayon sa mga kinakailangan ng FSTEC ng Russia. Ang mga produktong ito ay hindi nangangailangan ng malaking gastos sa pagpapatupad at hindi nakatali sa mga uri ng nilalamang sinusuri, at samakatuwid ay maaaring gamitin sa mga organisasyon ng anumang laki.

Ang mga solusyon na ang pangunahing function ay hindi anti-virus scanning ay maaari ding kumilos bilang pangalawang antas ng pag-filter ng malware. Ang isang halimbawa ay ang malawakang mga solusyon sa gateway para sa pag-filter ng spam at pagprotekta sa mga serbisyo sa web - pag-filter ng URL, Web Application Firewall, mga tool sa pagbabalanse. Madalas silang may kakayahang magsagawa ng anti-virus scanning ng naprosesong content gamit ang ilang malisyosong content filtering vendor. Sa partikular, ang pagpapatupad ng anti-virus scanning sa antas ng mail system o spam filtering gateways. Sa kaso ng sunud-sunod na paggamit ng ilang mga produkto ng antivirus, ang kahusayan ng pag-filter ng mga virus sa mga papasok/papalabas na sulat ay maaaring umabot sa halos 100%.

Gamit ang diskarteng ito, makakamit mo na ang seryosong pagganap ng pag-filter ng malware sa una at ikalawang antas ng depensa nang malalim. Sa madaling salita, kung ang isang sapat na sistema ng proteksyon ng anti-virus ay ipinatupad (hanggang sa gumagamit), ang malaking bahagi ng malware ay sasalain sa antas ng mga solusyon sa gateway para sa isang layunin o iba pa.

Antas ng seguridad ng host

Ang proteksyon ng host ay nangangahulugan ng pagpapatupad ng mga anti-virus scanning function para sa mga server at workstation ng user. Dahil ang mga empleyado ay gumagamit ng maraming desktop at mobile device sa kanilang pang-araw-araw na trabaho, lahat sila ay kailangang protektahan. Bukod dito, ang isang simpleng signature antivirus ay matagal nang hindi na itinuturing na isang seryosong tool sa proteksyon. Iyon ang dahilan kung bakit maraming organisasyon ang lumipat sa teknolohiyang Host IPS, na nagbibigay-daan sa paggamit ng mga karagdagang mekanismo ng kontrol/proteksyon sa panahon ng pag-verify sa pamamagitan ng paggana ng isang firewall at IPS system (pagsusuri ng pag-uugali).

Kung ang mga isyu sa pagprotekta sa mga lugar ng trabaho ng user ay maayos nang naayos, kung gayon ang pagpapatupad ng Host IPS sa mga server ng application (pisikal o virtual) ay isang partikular na gawain. Sa isang banda, ang teknolohiya ng Host IPS ay hindi dapat makabuluhang taasan ang pag-load ng server, sa kabilang banda, dapat itong magbigay ng kinakailangang antas ng seguridad. Ang isang makatwirang balanse ay makikita lamang sa pamamagitan ng pilot testing ng solusyon sa isang partikular na hanay ng mga application at hardware platform.

2.2.2 Pag-log at pag-audit

Ang pag-log ay tumutukoy sa koleksyon at akumulasyon ng impormasyon tungkol sa mga kaganapang nagaganap sa isang sistema ng impormasyon. Halimbawa, sino ang sumubok na mag-log in sa system at kung kailan, paano natapos ang pagtatangka na ito, sino ang gumamit kung anong mga mapagkukunan ng impormasyon, anong mga mapagkukunan ng impormasyon ang binago at kung sino, at marami pang iba.

Ang audit ay isang pagsusuri ng naipon na impormasyon, na isinasagawa kaagad, halos sa totoong oras, o pana-panahon.

Ang pagpapatupad ng pag-log at pag-audit ay may mga sumusunod na pangunahing layunin:

Pagtiyak ng pananagutan ng user at administrator;

Tinitiyak ang posibilidad ng muling pagtatayo ng pagkakasunud-sunod ng mga kaganapan;

Pagtuklas ng mga pagtatangkang paglabag seguridad ng impormasyon;

Pagbibigay ng impormasyon upang matukoy at masuri ang mga problema.

Kaya, ang pag-log at pag-audit ay nabibilang sa subsystem ng pagpaparehistro at accounting. Gamit ang mga operasyong ito, mabilis at epektibong makakahanap ka ng mga problema at kahinaan sa kasalukuyang seguridad ng impormasyon. Depende sa klase ng kagamitan sa proteksyon ng impormasyon, maaaring tumagal ang elementong ito iba't ibang hugis at magpasya iba't ibang gawain, tulad ng pagpaparehistro at accounting:

Pagpasok (paglabas) ng mga paksa ng pag-access sa (mula) sa (mga) system (node ng network) (sa lahat ng antas);

Paglulunsad (pagkumpleto) ng mga programa at proseso (mga gawain, gawain) (sa mga antas 2A, 1D, 1B, 1B, 1A);

Pag-access ng mga programa ng mga paksa sa pag-access sa mga protektadong file, kabilang ang kanilang paglikha at pagtanggal, paghahatid sa mga linya at mga channel ng komunikasyon (sa mga antas 2A 1G, 1B, 1B, 1A);

Pag-access ng mga programa ng mga paksa sa pag-access sa mga terminal, computer, computer network node, mga channel ng komunikasyon, mga panlabas na aparato ng computer, mga programa, volume, direktoryo, file, talaan, record field (sa mga antas 2A 1D, 1B, 1B, 1A);

Mga pagbabago sa mga kapangyarihan ng mga paksa sa pag-access (1B, 1B, 1A);

Nilikha ang mga protektadong access object (2A, 1B, 1B, 1A);

Pagsenyas ng mga pagtatangka na labagin ang seguridad (1B, 1B, 1A).

Kaya, kapag nagtatayo ng pagtatanggol nang malalim, ang mga sistema ng pag-log at pag-audit ay dapat na mai-install sa hangganan ng protektadong sistema, sa server, sa bawat workstation, pati na rin sa lahat ng mga aparato sa pagpapatunay (halimbawa, kapag pumapasok sa protektadong teritoryo).

2.2.3 Pisikal na proteksyon

Kabilang dito ang mga hakbang upang maiwasan ang pagnanakaw ng mga device at storage media, pati na rin ang proteksyon laban sa kapabayaan at natural na sakuna:

Checkpoint sa hangganan ng protektadong lugar;

Pag-install ng mga bakod, mga palatandaan ng pagbabawal, mga limitasyon ng taas ng katawan para sa mga kotse, iba't ibang mga hadlang, atbp. kasama ang perimeter ng protektadong teritoryo;

Pagpoposisyon ng mga madiskarteng mahahalagang bagay upang ang isang umaatake ay kailangang tumawid sa isang malaking bukas na espasyo upang makarating sa kanila;

Pag-iilaw ng protektadong lugar, katulad ng mga tarangkahan, pintuan at iba pang madiskarteng mahahalagang bagay. Dapat itong isaalang-alang na ang madilim na ilaw na ipinamamahagi sa buong teritoryo ay mas epektibo kaysa sa mga solong maliwanag na spot ng mga spotlight, dahil ang mga spotlight ay may mga blind spot. Ang isang backup na sistema ng supply ng kuryente ay dapat ding ibigay kung sakaling ang pangunahing isa ay hindi nakakonekta;

Mga poste ng seguridad sa mga pasukan sa lugar;

Pag-install ng isang alarm system at mga sensor (motion, touch, glass break sensor). Dapat tandaan na ang sistemang ito ay dapat na gumana kasabay ng isang video surveillance system upang maalis ang mga maling alarma ng sensor;

Pag-install ng isang video surveillance system;

Iba't ibang access control tool, mula sa mga lock hanggang biometrics;

Paraan para sa pagkontrol sa pagbubukas ng kagamitan (mga selyo sa mga kaso, atbp.);

Pag-secure ng kagamitan sa mga lugar ng trabaho gamit ang mga espesyal na kandado.

2.2.4 Pagpapatunay at proteksyon ng password

Pagpapatunay - isang pamamaraan ng pagpapatunay, halimbawa: pagpapatunay ng pagiging tunay ng isang gumagamit sa pamamagitan ng paghahambing ng password na ipinasok niya sa password sa database ng gumagamit; pagpapatunay email sa pamamagitan ng pagsuri sa digital signature ng isang sulat gamit ang signature verification key ng nagpadala; pagsuri sa checksum ng isang file para sa pagsunod sa halagang idineklara ng may-akda ng file na ito. Sa Russian, ang termino ay pangunahing ginagamit sa lugar teknolohiya ng impormasyon.

Dahil sa antas ng tiwala at patakaran sa seguridad ng mga system, ang pagpapatunay na ginawa ay maaaring one-way o mutual. Karaniwan itong isinasagawa gamit ang mga pamamaraan ng cryptographic.

Mayroong ilang mga dokumento na nagtatatag ng mga pamantayan sa pagpapatunay. Para sa Russia, ang mga sumusunod ay may kaugnayan: GOST R ISO/IEC 9594-8-98 - Mga Batayan ng pagpapatunay.

Ang pamantayang ito:

Tinutukoy ang format ng impormasyon sa pagpapatunay na nakaimbak ng direktoryo;

Inilalarawan kung paano makakuha ng impormasyon sa pagpapatunay mula sa direktoryo;

Nagtatatag ng mga kinakailangan para sa mga paraan ng pagbuo at paglalagay ng impormasyon sa pagpapatunay sa direktoryo;

Tinutukoy ang tatlong paraan kung saan maaaring gamitin ng mga program ng application ang naturang impormasyon sa pagpapatunay upang magsagawa ng pagpapatunay, at inilalarawan kung paano maaaring ibigay ang iba pang mga serbisyo ng seguridad gamit ang pagpapatunay.

Tinutukoy ng pamantayang ito ang dalawang uri ng pagpapatotoo: simple, gamit ang isang password bilang pag-verify ng inaangkin na pagkakakilanlan, at malakas, gamit ang mga kredensyal na ginawa gamit ang mga cryptographic na pamamaraan.

Sa anumang sistema ng pagpapatunay, karaniwang mayroong ilang mga elemento:

Ang paksa na sasailalim sa pamamaraan;

Ang katangian ng paksa ay isang natatanging katangian;

Ang may-ari ng sistema ng pagpapatunay, responsable at pangangasiwa sa gawain nito;

Ang mekanismo ng pagpapatunay mismo, iyon ay, ang prinsipyo ng pagpapatakbo ng system;

Isang mekanismo na nagbibigay ng ilang partikular na karapatan sa pag-access o nag-aalis sa paksa ng mga ito.

Mayroon ding 3 salik sa pagpapatunay:

Ang isang bagay na alam namin ay isang password. Ito ay lihim na impormasyon na dapat magkaroon lamang ng isang awtorisadong paksa. Ang password ay maaaring salita sa pananalita, text word, kumbinasyon ng lock, o personal identification number (PIN). Ang isang mekanismo ng password ay maaaring ipatupad medyo madali at mayroon mura. Ngunit mayroon ito makabuluhang pagkukulang: Ang paglihim ng password ay kadalasang mahirap; Ginagawa nitong mahinang protektado ang mekanismo ng password.

Ang isang bagay na mayroon kami ay isang authentication device. Ang mahalaga dito ay ang katotohanan na ang paksa ay nagtataglay ng ilang natatanging bagay. Ito ay maaaring isang personal na selyo, isang susi sa isang lock, o para sa isang computer ito ay isang data file na naglalaman ng isang katangian. Ang katangian ay madalas na binuo sa isang espesyal na authentication device, halimbawa, isang plastic card, isang smart card. Para sa isang umaatake, ang pagkuha ng ganoong device ay nagiging mas mahirap kaysa sa pag-crack ng password, at ang paksa ay maaaring agad na mag-ulat kung ang device ay ninakaw. Ginagawa nitong mas secure ang pamamaraang ito kaysa sa mekanismo ng password, ngunit mas mataas ang halaga ng naturang sistema.

Ang isang bagay na bahagi natin ay biometrics. Ang katangian ay isang pisikal na katangian ng isang paksa. Ito ay maaaring isang portrait, isang daliri o palm print, isang boses, o isang tampok ng mata. Mula sa punto ng view ng paksa, ang pamamaraang ito ay ang pinakasimpleng: hindi na kailangang tandaan ang isang password o magdala ng isang authentication device sa iyo. Gayunpaman, ang isang biometric system ay dapat na napakasensitibo upang kumpirmahin ang isang awtorisadong gumagamit ngunit tanggihan ang isang umaatake na may mga katulad na biometric na parameter. Gayundin, ang halaga ng naturang sistema ay medyo mataas. Ngunit, sa kabila ng mga pagkukulang nito, ang biometrics ay nananatiling isang medyo promising factor.

Tingnan natin ang mga paraan ng pagpapatunay.

Pagpapatotoo gamit ang mga password na magagamit muli.

Binubuo ito ng pagpasok ng isang user identifier, na kolokyal na tinatawag na "login" (eng. login - user registration name, account) at isang password - ilang kumpidensyal na impormasyon. Ang isang maaasahang (reference) na pares ng login-password ay naka-imbak sa isang espesyal na database.

Ang pangunahing pagpapatunay ay may sumusunod na pangkalahatang algorithm:

Ang paksa ay humihiling ng access sa system at nagpasok ng isang personal na ID at password.

Ang ipinasok na natatanging data ay ipinadala sa authentication server, kung saan ito ay inihambing sa reference na data.

Kung ang data ay tumutugma sa reference na data, ang pagpapatunay ay itinuturing na matagumpay kung ito ay naiiba, ang paksa ay lilipat sa unang hakbang

Ang password na ipinasok ng paksa ay maaaring maipadala sa network sa dalawang paraan:

Hindi naka-encrypt, sa malinaw na text, batay sa Password Authentication Protocol (PAP)

Paggamit ng SSL o TLS encryption. Sa kasong ito, ang natatanging data na ipinasok ng paksa ay ligtas na ipinapadala sa network.

Pagpapatotoo gamit ang isang beses na mga password.

Sa sandaling makuha ang magagamit muli na password ng paksa, ang umaatake ay may patuloy na access sa na-hack na kumpidensyal na impormasyon. Ang problemang ito ay nalutas sa pamamagitan ng paggamit ng isang beses na mga password (OTP - Isang Oras na Password). Ang kakanyahan ng pamamaraang ito ay ang password ay may bisa lamang para sa isang pag-login sa bawat kasunod na kahilingan sa pag-access ay nangangailangan ng bagong password. Ang mekanismo ng pagpapatunay gamit ang isang beses na mga password ay maaaring ipatupad alinman sa hardware o software.

Ang mga teknolohiya para sa paggamit ng isang beses na mga password ay maaaring nahahati sa:

Paggamit ng pseudo-random number generator na karaniwan sa paksa at sa system;

Paggamit ng mga timestamp kasabay ng isang pare-parehong sistema ng oras;

Gamit ang isang database ng mga random na password, pare-pareho para sa paksa at para sa system.

Multi-factor na pagpapatunay.

Kamakailan, ang tinatawag na pinalawig, o multi-factor, na pagpapatotoo ay lalong ginagamit. Ito ay binuo sa magkasanib na paggamit ng ilang mga kadahilanan sa pagpapatunay. Ito ay makabuluhang pinatataas ang seguridad ng system. Ang isang halimbawa ay ang paggamit ng mga SIM card sa mga mobile phone. Inilalagay ng paksa ang kanilang card (authentication device) sa telepono at ipinapasok ang kanilang PIN (password) kapag naka-on. Gayundin, halimbawa, ang ilang modernong laptop at smartphone ay may fingerprint scanner. Kaya, kapag nag-log in sa system, ang paksa ay dapat dumaan sa pamamaraang ito (biometrics) at pagkatapos ay magpasok ng isang password. Kapag pumipili ng isang partikular na kadahilanan o paraan ng pagpapatunay para sa isang sistema, kinakailangan, una sa lahat, na isaalang-alang ang kinakailangang antas ng seguridad, ang halaga ng pagbuo ng system, at pagtiyak sa kadaliang mapakilos ng paksa.

Biometric na pagpapatunay.

Ang mga pamamaraan ng pagpapatunay batay sa pagsukat ng mga biometric na parameter ng isang tao ay nagbibigay ng halos 100% na pagkakakilanlan, paglutas ng mga problema ng pagkawala ng mga password at personal na pagkakakilanlan.

Ang pinakaginagamit na biometric na katangian at kaukulang mga sistema ay:

Mga fingerprint;

Geometry ng kamay;

Iris;

Thermal na imahe ng mukha;

Keyboard input;

Kasabay nito, ang biometric authentication ay may ilang mga disadvantages:

Ang biometric na template ay inihambing hindi sa resulta ng paunang pagproseso ng mga katangian ng gumagamit, ngunit sa kung ano ang dumating sa site ng paghahambing. Maraming maaaring mangyari sa paglalakbay.

Ang database ng template ay maaaring baguhin ng isang umaatake.

Kinakailangang isaalang-alang ang pagkakaiba sa pagitan ng paggamit ng biometrics sa isang kinokontrol na lugar, sa ilalim ng maingat na mata ng seguridad, at sa mga kondisyon ng "patlang", kapag, halimbawa, ang isang dummy ay maaaring dalhin sa aparato ng pag-scan, atbp.

Nagbabago ang ilang biometric data ng tao (parehong resulta ng pagtanda at pinsala, paso, hiwa, sakit, pagputol, atbp.), kaya ang database ng template ay nangangailangan ng patuloy na pagpapanatili, at lumilikha ito ng ilang partikular na problema para sa parehong mga user at administrator .

Kung ninakaw o nakompromiso ang iyong biometric data, karaniwan itong panghabambuhay. Ang mga password, sa kabila ng kanilang hindi pagiging maaasahan, ay maaaring baguhin bilang isang huling paraan. Hindi mo maaaring baguhin ang isang daliri, isang mata o isang boses, hindi bababa sa hindi mabilis.

Ang mga biometric na katangian ay mga natatanging identifier, ngunit hindi maaaring panatilihing lihim.

Ang pamamaraan ng pagpapatotoo ay ginagamit kapag nagpapalitan ng impormasyon sa pagitan ng mga computer, at ang napakakomplikadong cryptographic na mga protocol ay ginagamit upang protektahan ang linya ng komunikasyon mula sa eavesdropping o pagpapalit ng isa sa mga kalahok sa pakikipag-ugnayan. At dahil, bilang panuntunan, ang pagpapatunay ay kinakailangan para sa parehong mga bagay na nagtatatag ng pakikipag-ugnayan sa network, ang pagpapatunay ay maaaring magkapareho.

Kaya, maraming mga pamilya ng pagpapatunay ay maaaring makilala:

Pagpapatunay ng user sa PC:

Naka-encrypt na pangalan (login)

Password Authentication Protocol, PAP (pagsasama-sama ng login-password)

Access card (USB na may certificate, SSO)

Pagpapatunay ng network -

I-secure ang SNMP gamit ang digital signature

SAML (Security Assertion Markup Language)

Mga cookies ng session

Mga Ticket sa Kerberos

Mga Sertipiko ng X.509

Ginagamit ng mga operating system ng pamilyang Windows NT 4 ang NTLM protocol (NT LAN Manager). lokal na network NT). At sa mga domain ng Windows 2000/2003, ginagamit ang mas advanced na Kerberos protocol.

Mula sa punto ng view ng pagbuo ng depensa nang malalim, ang pagpapatunay ay ginagamit sa lahat ng antas ng proteksyon. Hindi lamang ang mga tauhan ang dapat sumailalim sa pagpapatunay (kapag pumapasok sa isang protektadong pasilidad, sa mga espesyal na lugar, kapag tumatanggap ng kumpidensyal na impormasyon sa anumang media, kapag pumapasok sa isang computer system, kapag gumagamit ng software at hardware), kundi pati na rin ang bawat indibidwal na workstation, programa, impormasyon ng media, mga tool konektado sa mga workstation, server, atbp.

2.2.5 Mga Firewall

Ang firewall (FW) ay isang lokal (single-component) o functionally distributed software (hardware at software) tool (complex) na nagpapatupad ng kontrol sa impormasyong pumapasok sa firewall at/o umaalis sa firewall. Ang ME ay nagbibigay ng AS na proteksyon sa pamamagitan ng pagsala ng impormasyon, ibig sabihin. pagsusuri nito ayon sa isang hanay ng mga pamantayan at paggawa ng desisyon sa pamamahagi nito sa (mula) sa AS batay sa ibinigay na mga panuntunan, kaya nililimitahan ang pag-access ng mga paksa mula sa isang AS sa mga bagay ng isa pang AS. Ang bawat tuntunin ay nagbabawal o nagpapahintulot sa paglipat ng impormasyon ng isang tiyak na uri sa pagitan ng mga paksa at mga bagay. Bilang kinahinatnan, ang mga paksa mula sa isang AS ay tumatanggap lamang ng access sa mga pinahihintulutang bagay ng impormasyon mula sa isa pang AS. Ang interpretasyon ng isang hanay ng mga panuntunan ay isinasagawa sa pamamagitan ng isang pagkakasunud-sunod ng mga filter na nagpapahintulot o tumatanggi sa pagpapadala ng data (packet) sa susunod na antas ng filter o protocol. Limang klase sa seguridad ng ME ang itinatag.

Ang bawat klase ay nailalarawan sa pamamagitan ng isang tiyak na minimum na hanay ng mga kinakailangan para sa proteksyon ng impormasyon.

Ang pinakamababang klase ng seguridad ay ang ikalima, na ginagamit para sa ligtas na pakikipag-ugnayan ng mga class 1D speaker sa panlabas na kapaligiran, ang ikaapat - para sa 1G, ang pangatlo - 1B, ang pangalawa - 1B, ang pinakamataas ay ang una, na ginagamit para sa ligtas na pakikipag-ugnayan ng class 1A speaker na may panlabas na kapaligiran.

Ang mga kinakailangan para sa ME ay hindi ibinubukod ang mga kinakailangan para sa kagamitan sa kompyuter (CT) at AS alinsunod sa mga alituntunin ng FSTEC ng Russia "Mga kagamitan sa kompyuter. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Mga tagapagpahiwatig ng seguridad laban sa hindi awtorisadong pag-access sa impormasyon" at "Mga awtomatikong system. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Pag-uuri ng mga automated system at mga kinakailangan para sa proteksyon ng impormasyon."

Kapag ang isang ME ay kasama sa isang AS ng isang partikular na klase ng seguridad, ang klase ng seguridad ng kabuuang AS na nakuha mula sa orihinal sa pamamagitan ng pagdaragdag ng ME dito ay hindi dapat bawasan.

Para sa class 3B, 2B speakers, ang ME na hindi bababa sa class 5 ay dapat gamitin.

Para sa class 3A, 2A speakers, depende sa kahalagahan ng impormasyong pinoproseso, ME ng mga sumusunod na klase ay dapat gamitin:

Kapag nagpoproseso ng impormasyon na inuri bilang "lihim" - hindi mas mababa sa klase 3;

Kapag nagpoproseso ng impormasyon na inuri bilang "nangungunang lihim" - hindi mas mababa sa klase 2;

Kapag nagpoproseso ng impormasyon na inuri bilang "espesyal na kahalagahan" - hindi mas mababa sa klase 1.

Ang ME ay isang karaniwang elemento ng sistema ng seguridad ng impormasyon ng NSD at isang paraan ng pagkontrol sa mga daloy ng impormasyon, pagpasok sa subsystem ng access control.

Mula sa punto ng view ng echeloning, ang mga firewall ay maaaring matatagpuan pareho sa perimeter ng protektadong sistema at sa mga indibidwal na elemento nito, halimbawa, mga software firewall na naka-install sa mga workstation at server.

Demilitarized zone.

Ang DMZ (demilitarized zone, DMZ) ay isang teknolohiya para sa pagtiyak ng proteksyon ng perimeter ng impormasyon, kung saan ang mga server ay tumutugon sa mga kahilingan mula sa panlabas na network, ay matatagpuan sa isang espesyal na segment ng network (na tinatawag na DMZ) at limitado sa pag-access sa mga pangunahing segment ng network gamit ang isang firewall, upang mabawasan ang pinsala kung ang isa sa mga pampublikong serbisyo na matatagpuan sa zone ay na-hack.

Depende sa mga kinakailangan sa seguridad, ang DMZ ay maaaring magkaroon ng isa, dalawa o tatlong firewall.

Configuration gamit ang isang firewall.

Sa DMZ scheme na ito, ang panloob na network at ang panlabas na network ay konektado sa iba't ibang port ng router (na kumikilos bilang isang firewall), na kumokontrol sa mga koneksyon sa pagitan ng mga network. Ang scheme na ito ay madaling ipatupad at nangangailangan lamang ng isang karagdagang port. Gayunpaman, kung ang router ay na-hack (o na-configure nang hindi tama), ang network ay nagiging vulnerable nang direkta mula sa panlabas na network.

Configuration na may dalawang firewall.

Sa isang dual firewall configuration, ang DMZ ay kumokonekta sa dalawang router, ang isa ay naghihigpit sa mga koneksyon mula sa panlabas na network patungo sa DMZ, at ang pangalawa ay nagkokontrol ng mga koneksyon mula sa DMZ patungo sa panloob na network. Binibigyang-daan ka ng scheme na ito na bawasan ang mga kahihinatnan ng pag-hack ng alinman sa mga firewall o server na nakikipag-ugnayan sa panlabas na network - hanggang sa ma-hack ang panloob na firewall, ang umaatake ay hindi magkakaroon ng di-makatwirang pag-access sa panloob na network.

Configuration na may tatlong firewall.

Mayroong isang bihirang configuration na may tatlong firewall. Sa pagsasaayos na ito, ang una sa kanila ay tumatagal sa mga kahilingan mula sa panlabas na network, ang pangalawa ay kumokontrol sa mga koneksyon sa network ng DMZ, at ang pangatlo ay kumokontrol sa mga panloob na koneksyon sa network. Sa pagsasaayos na ito, kadalasan ang DMZ at ang panloob na network ay nakatago sa likod ng NAT (Network Address Translation).

Isa sa pangunahing tampok Ang DMZ ay hindi lamang pagsala ng trapiko sa panloob na firewall, kundi pati na rin ang pangangailangan ng mandatoryong malakas na cryptography sa pakikipag-ugnayan sa pagitan ng mga aktibong kagamitan ng panloob na network at ng DMZ. Sa partikular, hindi dapat magkaroon ng mga sitwasyon kung saan posibleng magproseso ng kahilingan mula sa isang server sa DMZ nang walang pahintulot. Kung ang DMZ ay ginagamit upang matiyak ang proteksyon ng impormasyon sa loob ng perimeter mula sa pagtagas mula sa loob, ang mga katulad na kinakailangan ay ipinapataw para sa pagproseso ng mga kahilingan ng user mula sa panloob na network.

Mula sa punto ng view ng pagbuo ng depensa nang malalim, ang DMZ ay maaaring tukuyin bilang bahagi ng ME, gayunpaman, ang DMZ ay kinakailangan lamang kapag ang ilang data ay dapat na ginagamit ng publiko (halimbawa, isang website). Ang DMZ, tulad ng ME, ay ipinatupad sa gilid ng protektadong network, at, kung kinakailangan, maaaring mayroong ilang mga naturang zone, bawat isa ay may sariling mga patakaran sa seguridad. Kaya, ang unang eselon dito ay proteksyon kapag ina-access ang DMZ, at ang pangalawa ay proteksyon ng panloob na network. Salamat sa ito, ang pagkakaroon ng access sa DMZ mismo ay mahirap, ngunit kahit na may isang matagumpay na kumbinasyon ng mga pangyayari, ang pagkagambala sa panloob na network ay halos imposible.

Ang VPN (Ingles: Virtual Private Network) ay isang pangkalahatang pangalan para sa mga teknolohiya na nagpapahintulot sa isa o higit pang mga koneksyon sa network (lohikal na network) na maibigay sa isa pang network (halimbawa, ang Internet). Sa kabila ng katotohanan na ang mga komunikasyon ay isinasagawa sa mga network na may mas mababa o hindi kilalang antas ng tiwala (halimbawa, sa mga pampublikong network), ang antas ng tiwala sa binuo na lohikal na network ay hindi nakasalalay sa antas ng tiwala sa mga pinagbabatayan na network dahil sa ang paggamit ng mga tool sa cryptography (encryption, authentication, public key infrastructure, ay nangangahulugan upang maprotektahan laban sa mga pag-uulit at mga pagbabagong ipinadala sa lohikal na network ng mga mensahe).

Depende sa mga protocol na ginamit at ang layunin, ang isang VPN ay maaaring magbigay ng mga koneksyon tatlong uri: node-to-node, node-to-network at network-to-network.

Karaniwan, ang mga VPN ay inilalagay sa mga antas na hindi mas mataas kaysa sa antas ng network, dahil ang paggamit ng cryptography sa mga antas na ito ay nagbibigay-daan sa mga transport protocol (gaya ng TCP, UDP) na gamitin nang hindi nagbabago.

Ang mga gumagamit ng Microsoft Windows ay gumagamit ng terminong VPN upang sumangguni sa isa sa mga pagpapatupad ng virtual network - PPTP, na kadalasang ginagamit hindi para sa paglikha ng mga pribadong network.

Kadalasan, upang lumikha ng isang virtual network, ang PPP protocol ay naka-encapsulated sa ilang iba pang protocol - IP (ang pamamaraang ito ay ginagamit ng pagpapatupad ng PPTP - Point-to-Point Tunneling Protocol) o Ethernet (PPPoE) (bagaman mayroon din silang mga pagkakaiba) . Ang teknolohiya ng VPN ay ginamit kamakailan hindi lamang upang lumikha ng mga pribadong network mismo, kundi pati na rin ng ilang "huling milya" na tagapagkaloob sa puwang pagkatapos ng Sobyet upang magbigay ng access sa Internet.

Gamit ang tamang antas ng pagpapatupad at ang paggamit ng mga espesyal na software Ang network ng VPN ay maaaring magbigay ng mataas na antas ng pag-encrypt ng ipinadalang impormasyon. Kapag ang lahat ng mga bahagi ay maayos na na-configure, tinitiyak ng teknolohiya ng VPN ang hindi pagkakilala sa Internet.

Ang mga solusyon sa VPN ay maaaring maiuri ayon sa ilang pangunahing mga parameter:

Ayon sa antas ng seguridad ng kapaligiran na ginamit:

Secure - ang pinakakaraniwang bersyon ng virtual private network. Sa tulong nito, posible na lumikha ng isang maaasahan at ligtas na network batay sa isang hindi mapagkakatiwalaang network, kadalasan ang Internet. Ang mga halimbawa ng mga secure na VPN ay: IPSec, OpenVPN at PPTP.

Pinagkakatiwalaan - ginagamit sa mga kaso kung saan ang transmission medium ay maaaring ituring na maaasahan at ito ay kinakailangan lamang upang malutas ang problema ng paglikha ng isang virtual subnet sa loob ng isang mas malaking network. Ang mga isyu sa seguridad ay nagiging walang katuturan. Ang mga halimbawa ng naturang mga solusyon sa VPN ay: Multi-protocol label switching (MPLS) at L2TP (Layer 2 Tunneling Protocol).

Sa pamamagitan ng paraan ng pagpapatupad:

Sa anyo ng espesyal na software at hardware, ang pagpapatupad ng isang VPN network ay isinasagawa gamit ang isang espesyal na hanay ng software at hardware. Ang pagpapatupad na ito ay nagbibigay ng mataas na pagganap at, bilang panuntunan, isang mataas na antas ng seguridad.

Bilang solusyon sa software- gamitin Personal na computer na may espesyal na software na nagbibigay ng functionality ng VPN.

Pinagsamang solusyon - Ang pag-andar ng VPN ay ibinibigay ng isang kumplikadong nalulutas din ang mga problema ng pag-filter ng trapiko sa network, pag-aayos ng isang firewall at pagtiyak ng kalidad ng serbisyo.

Sa pamamagitan ng layunin:

Ang Intranet VPN ay ginagamit upang pag-isahin ang ilang ipinamahagi na sangay ng isang organisasyon na nagpapalitan ng data sa pamamagitan ng bukas na mga channel ng komunikasyon sa isang solong secure na network.

Ang Remote Access VPN ay ginagamit upang lumikha ng isang secure na channel sa pagitan ng isang corporate network segment (central office o branch) at isang user na, nagtatrabaho sa bahay, kumokonekta sa corporate resources mula sa isang home computer, corporate laptop, smartphone o Internet kiosk.

Extranet VPN - ginagamit para sa mga network kung saan kumokonekta ang mga “external” na user (halimbawa, mga customer o kliyente). Ang antas ng tiwala sa kanila ay mas mababa kaysa sa mga empleyado ng kumpanya, kaya kinakailangan na magbigay ng mga espesyal na "linya" ng proteksyon na pumipigil o naglilimita sa pag-access ng huli sa partikular na mahalaga, kumpidensyal na impormasyon.

Internet VPN - ginagamit upang magbigay ng access sa Internet ng mga provider, kadalasan kung maraming user ang kumonekta sa pamamagitan ng isang pisikal na channel. Ang PPPoE protocol ay naging pamantayan sa mga koneksyon sa ADSL.

Laganap ang L2TP noong kalagitnaan ng 2000s sa mga home network: sa panahong iyon, hindi binabayaran ang trapiko sa intranet, at mahal ang panlabas na trapiko. Ginawa nitong posible na kontrolin ang mga gastos: kapag naka-off ang koneksyon ng VPN, walang babayaran ang user. Sa kasalukuyan (2012) naka-wire na Internet mura o walang limitasyon, at sa panig ng gumagamit ay madalas na mayroong isang router kung saan ang pag-on at pag-off ng Internet ay hindi maginhawa gaya ng sa isang computer. Samakatuwid, ang L2TP access ay nagiging isang bagay ng nakaraan.

Client/Server VPN - nagbibigay ito ng proteksyon para sa ipinadalang data sa pagitan ng dalawang node (hindi mga network) ng isang corporate network. Ang kakaiba ng pagpipiliang ito ay ang VPN ay binuo sa pagitan ng mga node na matatagpuan, bilang panuntunan, sa parehong segment ng network, halimbawa, sa pagitan ng workstation at ang server. Ang pangangailangang ito ay madalas na lumitaw sa mga kaso kung saan kinakailangan na lumikha ng ilang mga lohikal na network sa isang pisikal na network. Halimbawa, kapag kinakailangan na hatiin ang trapiko sa pagitan ng departamento ng pananalapi at ng departamento ng human resources na nag-a-access sa mga server na matatagpuan sa parehong pisikal na segment. Ang pagpipiliang ito ay katulad ng teknolohiya ng VLAN, ngunit sa halip na paghiwalayin ang trapiko, ito ay naka-encrypt.

Sa pamamagitan ng uri ng protocol, may mga pagpapatupad ng virtual private network para sa TCP/IP, IPX at AppleTalk. Ngunit ngayon ay may posibilidad patungo sa isang pangkalahatang paglipat sa TCP/IP protocol, at ang karamihan sa mga solusyon sa VPN ay sumusuporta dito. Ang pag-address dito ay kadalasang pinipili alinsunod sa pamantayan ng RFC5735, mula sa hanay ng TCP/IP Private Networks.

Ayon sa antas ng network protocol - batay sa paghahambing sa mga antas ng modelo ng network ng sangguniang ISO/OSI.

Ang malalim na pagtatanggol na nakabatay sa VPN ay dapat magsama ng dalawa (o higit pa) na mga perimeter ng seguridad sa mga kagamitan mula sa iba't ibang mga tagagawa. Sa kasong ito, ang paraan ng pagsasamantala sa "butas" sa linya ng depensa ng isang supplier ay hindi mailalapat sa solusyon ng isa pa. Ang two-tier na solusyon na ito ay sapilitan teknolohikal na pangangailangan para sa maraming corporate network, partikular na karaniwan sa mga Swiss banking network.

Figure 1. Mga sitwasyon ng pakikipag-ugnayan sa pagitan ng mga protektadong perimeter.

Figure 2. Mga simbolo na ginamit sa Figure 1.

Sa loob ng balangkas ng isang two-tier na arkitektura ng seguridad ng network batay sa mga produkto ng Cisco at CSP VPN, ang mga sumusunod na pangunahing senaryo para sa pakikipag-ugnayan ng mga protektadong perimeter ay ipinatupad (Larawan 1):

Internet access para sa mga corporate user.

Secure na pakikipag-ugnayan sa pagitan ng mga panlabas na perimeter.

Secure na pag-access para sa mga malalayong user sa panlabas na perimeter network.

Secure na pag-access para sa mga malalayong user sa panloob na perimeter network.

Secure na pakikipag-ugnayan ng mga panloob na perimeter.

Paglikha ng mga panloob na secure na circuit at proteksyon ng mga application ng client-server.

Ang mga teknikal na pagpapatupad ng mga pangunahing senaryo ay iba-iba at nakadepende sa:

kung ano ang aming pinoprotektahan (ano ang mga protektadong bagay, paano sila napatotohanan),

kung saan matatagpuan ang mga bagay sa seguridad (topology ng network),

kung paano namin gustong maglapat ng mga hakbang sa seguridad (patakaran sa kontrol sa pag-access at istraktura ng lagusan ng IPsec).

2.2.7 Intrusion detection system

Ang intrusion detection system (IDS) ay isang software o hardware tool na idinisenyo upang makita ang mga kaso ng hindi awtorisadong pag-access o hindi awtorisadong kontrol ng isang computer system o network, pangunahin sa pamamagitan ng Internet. Ang kaukulang termino sa Ingles ay Intrusion Detection System (IDS). Ang mga intrusion detection system ay nagbibigay ng karagdagang layer ng proteksyon para sa mga computer system.

Ang mga intrusion detection system ay ginagamit upang matukoy ang ilang uri ng malisyosong aktibidad na maaaring makompromiso ang seguridad ng isang computer system. Kasama sa naturang aktibidad ang mga pag-atake sa network laban sa mga mahihinang serbisyo, mga pag-atake na naglalayong dagdagan ang mga pribilehiyo, hindi awtorisadong pag-access sa mahahalagang file, pati na rin ang malisyosong software (mga virus sa computer, Trojan at worm)

Karaniwan, ang isang arkitektura ng IDS ay kinabibilangan ng:

Isang sensor subsystem na idinisenyo upang mangolekta ng mga kaganapan na nauugnay sa seguridad ng protektadong sistema

Subsystem ng pagsusuri na idinisenyo upang matukoy ang mga pag-atake at kahina-hinalang pagkilos batay sa data ng sensor

Imbakan na nagbibigay ng akumulasyon ng mga pangunahing kaganapan at mga resulta ng pagsusuri

Isang management console na nagbibigay-daan sa iyong i-configure ang IDS, subaybayan ang estado ng protektadong system at IDS, at tingnan ang mga insidente na tinukoy ng subsystem ng pagsusuri

Mayroong ilang mga paraan upang pag-uri-uriin ang mga IDS depende sa uri at lokasyon ng mga sensor, pati na rin ang mga pamamaraan na ginagamit ng subsystem ng pagsusuri upang matukoy ang kahina-hinalang aktibidad. Sa maraming simpleng IDS, ang lahat ng bahagi ay ipinapatupad bilang isang module o device.

Gamit ang pag-uuri ng mga IDS batay sa lokasyon ng mga sensor, posible na matukoy ang isang layered IDS na matatagpuan sa mga antas ng network (network IDS), server (protocol IDS) at host (node IDS). Ayon sa parehong pag-uuri, ang hybrid IDS ay maaaring agad na mauri bilang layered IDS, dahil natutugunan nila ang mga pangunahing kinakailangan sa paghihiwalay.

Sa isang naka-network na IDS, ang mga sensor ay matatagpuan sa mga kritikal na punto ng network, kadalasan sa demilitarized zone, o sa gilid ng network. Hinaharang ng sensor ang lahat ng trapiko sa network at sinusuri ang mga nilalaman ng bawat packet para sa pagkakaroon ng mga nakakahamak na bahagi. Ginagamit ang mga Protocol IDS upang subaybayan ang trapiko na lumalabag sa mga panuntunan ng ilang partikular na protocol o syntax ng isang wika (halimbawa, SQL). Sa host-based IDS, ang sensor ay karaniwang isang software agent na sinusubaybayan ang aktibidad ng host kung saan ito naka-install. Mayroon ding mga hybrid na bersyon ng mga nakalistang uri ng mga OWL.

Ang network-based IDS (NIDS) ay sumusubaybay para sa mga panghihimasok sa pamamagitan ng pag-inspeksyon sa trapiko sa network at sinusubaybayan ang maraming host. Sistema ng network Ang intrusion detection device ay nakakakuha ng access sa trapiko sa network sa pamamagitan ng pagkonekta sa isang hub o switch na na-configure para sa port mirroring, o isang network TAP device. Ang isang halimbawa ng isang web-based na IDS ay Snort.

Ang protocol-based IDS (PIDS) ay isang system (o ahente) na sumusubaybay at nagsusuri ng mga protocol ng komunikasyon sa mga nauugnay na system o user. Para sa isang web server, karaniwang sinusubaybayan ng naturang IDS ang mga protocol ng HTTP at HTTPS. Kapag gumagamit ng HTTPS, ang mga IDS ay dapat na matatagpuan sa naturang interface upang tingnan ang mga HTTPS packet bago sila ma-encrypt at maipadala sa network.

Ang Application Protocol-based IDS (APIDS) ay isang system (o ahente) na sumusubaybay at nagsusuri ng data na ipinadala gamit ang mga protocol na tukoy sa application. Halimbawa, sa isang web server na may SQL database, susubaybayan ng IDS ang nilalaman ng mga SQL command na ipinadala sa server.

Nodal IDS (Host-based IDS, HIDS) - isang system (o ahente) na matatagpuan sa host na sinusubaybayan ang mga panghihimasok gamit ang pagsusuri ng mga tawag sa system, mga log ng application, mga pagbabago ng mga file (mapapatupad, mga file ng password, mga database ng system), estado ng host at iba pa pinagmumulan. Ang isang halimbawa ay ang OSSEC.

Pinagsasama ng hybrid IDS ang dalawa o higit pang mga diskarte sa pagbuo ng isang IDS. Ang data mula sa mga ahente sa mga host ay pinagsama sa impormasyon ng network upang lumikha ng pinaka kumpletong larawan ng seguridad ng network. Ang isang halimbawa ng hybrid OWL ay Prelude.

Bagama't ang isang IDS at isang firewall ay mga tool sa pagkontrol sa daloy ng impormasyon, ang isang firewall ay naiiba sa paghihigpit nito sa ilang mga uri ng trapiko sa isang host o subnet upang maiwasan ang mga panghihimasok at hindi sinusubaybayan ang mga panghihimasok na nangyayari sa loob ng network. Ang IDS, sa kabaligtaran, ay pumasa sa trapiko, sinusuri ito at nagsenyas kapag may nakitang kahina-hinalang aktibidad. Ang pagtuklas ng isang paglabag sa seguridad ay karaniwang isinasagawa gamit ang mga heuristic na panuntunan at pagsusuri ng mga lagda ng mga kilalang pag-atake sa computer.

3. PANGUNAHING RESULTA NG TRABAHO

Sa kurso ng trabaho, ang pangunahing prinsipyo ng pagbuo ng isang layered na sistema ng seguridad ng impormasyon ay pinag-aralan - "echelon". Nangangahulugan ito na maraming mga independiyenteng bahagi ng sistema ng seguridad ng impormasyon ang dapat na mai-install hindi sa isang lugar, ngunit "echeloned" - ibinahagi sa iba't ibang antas (echelons) ng protektadong sistema. Salamat sa ito, ang isang estado ng "overprotection" ng system ay nakamit, kung saan ang mga kahinaan ng isang bahagi ay sakop ng iba pang mga bahagi.

Ang mga independiyenteng paraan na ginamit mismo sa pagbuo ng layered na seguridad ng impormasyon sa mga sistema ng computer na uri ng "opisina" ay pinag-aralan din:

Mga programang antivirus;

Pagre-record at pag-audit;

Pisikal na proteksyon;

Pagpapatunay at proteksyon ng password;

Mga firewall;

Demilitarized Zone;

Sistema ng pagtuklas ng panghihimasok.

Para sa bawat bahagi, isinasaalang-alang sa kung anong mga antas ang kinakailangan sa pag-install nito, at ipinakita din ang mga kinakailangan, ayon sa mga dokumento ng FSTEC ng Russia.

LISTAHAN NG MGA PINAGMUMULAN NG IMPORMASYON NA GINAMIT

Gabay na dokumento ng FSTEC ng Russia "Mga pasilidad ng computer. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Mga tagapagpahiwatig ng seguridad laban sa hindi awtorisadong pag-access sa impormasyon." napetsahan noong Marso 30, 1992;

Gabay na dokumento ng FSTEC ng Russia "Mga awtomatikong sistema. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Pag-uuri ng mga awtomatikong sistema at mga kinakailangan para sa proteksyon ng impormasyon” na may petsang Marso 30, 1992;

Gabay na dokumento “Mga pasilidad sa kompyuter. Mga firewall. Proteksyon laban sa hindi awtorisadong pag-access sa impormasyon. Mga tagapagpahiwatig ng seguridad laban sa hindi awtorisadong pag-access sa impormasyon" na may petsang Hulyo 25, 1997;

Nai-post sa Allbest.ru

Mga katulad na dokumento

Mga paraan ng hindi awtorisadong pag-access, pag-uuri ng mga pamamaraan at paraan ng pagprotekta ng impormasyon. Pagsusuri ng mga pamamaraan ng seguridad ng impormasyon sa isang LAN. Pagkilala at pagpapatunay, pag-log at pag-audit, kontrol sa pag-access. Mga konsepto ng seguridad ng computer system.

thesis, idinagdag noong 04/19/2011

Ang problema sa pagpili sa pagitan ng kinakailangang antas ng proteksyon at kahusayan ng network. Mga mekanismo para sa pagtiyak ng seguridad ng impormasyon sa mga network: cryptography, electronic signature, authentication, network protection. Mga kinakailangan para sa modernong mga tool sa seguridad ng impormasyon.

course work, idinagdag noong 01/12/2008

Mga kinakailangan sa proteksyon ng impormasyon. Pag-uuri ng isang awtomatikong sistema. Mga salik na nakakaimpluwensya sa kinakailangang antas ng seguridad ng impormasyon. Proteksyon ng pisikal na data. Pag-install ng mga walang tigil na supply ng kuryente. Identification at authentication, access control.

course work, idinagdag noong 11/29/2014

Mga pamamaraan at paraan ng pagprotekta ng impormasyon mula sa hindi awtorisadong pag-access. Mga tampok ng proteksyon ng impormasyon sa mga network ng kompyuter. Cryptographic na proteksyon at electronic digital signature. Mga paraan ng pagprotekta ng impormasyon mula sa mga virus ng computer at pag-atake ng hacker.

abstract, idinagdag noong 10/23/2011

Pagsusuri ng mga teknolohiya sa seguridad ng impormasyon sa mga network ng computer: cryptography, electronic signature, authentication, network protection. Organisasyon ng seguridad ng impormasyon sa makina ng kliyente gamit ang Avast system. Configuration at setup ng Avast system sa iyong computer.

course work, idinagdag noong 05/11/2014

Ang konsepto ng krimen sa kompyuter. Mga pangunahing konsepto ng proteksyon ng impormasyon at seguridad ng impormasyon. Pag-uuri ng mga posibleng banta sa impormasyon. Mga kinakailangan para sa paglitaw ng mga pagbabanta. Mga paraan at pamamaraan ng pagprotekta sa mga mapagkukunan ng impormasyon. Mga uri ng antivirus program.

course work, idinagdag 05/28/2013

Software at hardware para sa pagprotekta sa iyong computer mula sa hindi awtorisadong pag-access. Electronic lock na "Sable". Sistema ng seguridad ng impormasyon ng SecretNet. Mga device sa seguridad ng impormasyon ng fingerprint. Pamamahala ng pampublikong susi, mga sentro ng sertipikasyon.

course work, idinagdag 08/23/2016

Mga katangian ng mga protektadong bagay at mga kinakailangan para sa kanila. Pagkilala sa mga channel ng pagtagas at mga kinakailangan sa proteksyon. Mga kagamitan sa proteksyon at ang kanilang pagkakalagay. Isang alternatibong sistema ng proteksyon ng impormasyon na may kumplikadong kalasag. Mga istrukturang may kalasag, silid, silid.

course work, idinagdag 04/16/2012

Teknikal na paraan proteksyon ng impormasyon. Pangunahing banta sa seguridad sa isang computer system. Paraan ng proteksyon laban sa hindi awtorisadong pag-access. Mga sistema para maiwasan ang paglabas ng kumpidensyal na impormasyon. Mga tool sa pagsusuri ng mga sistema ng seguridad.

pagtatanghal, idinagdag noong 11/18/2014

Pagsusuri ng impormasyon bilang isang object ng proteksyon at pag-aaral ng mga kinakailangan para sa seguridad ng impormasyon. Pananaliksik ng mga hakbang sa engineering at teknikal na proteksyon at pagbuo ng isang control system para sa isang bagay na proteksyon ng impormasyon. Pagpapatupad ng proteksyon sa bagay gamit ang Packet Tracer program.

Milyun-milyong dolyar ang ginugugol sa pag-unlad at magagawang pagtagumpayan ang mga sistema ng pagtatanggol sa hangin ng Russia at mga missile, ayon sa American magazine na The National Interest. Ayon sa mga konklusyon ng publikasyon, ang hukbo ng Amerika ay walang karanasan sa paghaharap sa isang high-tech na kaaway, kaya ang resulta ng isang potensyal na salungatan sa militar sa Russian Federation ay imposible upang mahulaan. Sa kaganapan ng isang operasyon, ang modernong stealth aircraft at cruise missiles, tulad ng Tomahawks, ay nasa panganib ng pagharang, binibigyang diin ng may-akda ng artikulo. Tungkol sa mga kakayahan ng mga sandata ng Amerikano at ang potensyal ng pagtatanggol sa hangin ng Russia - sa materyal ng RT.

Ang mga pamumuhunan ng Pentagon sa paglikha ng mga sasakyang panghimpapawid na may malawak na paggamit ng mga stealth na teknolohiya ay hindi magbibigay ng garantisadong resulta laban sa sistemang Ruso"mga paghihigpit at pagbabawal sa pag-access at pagmamaniobra" (A2/AD - anti-access at pagtanggi sa lugar). Ang publikasyong Amerikano na The National Interest ay nagsusulat tungkol dito.

Ang A2/AD ay isang terminong karaniwan sa Kanluran, na nagpapahiwatig na ang isang estado ay may malayuang mga sistema ng welga na may kakayahang humarang ng mga sandata sa pag-atake sa himpapawid daan-daan at sampu-sampung kilometro mula sa mga hangganan at maglunsad ng mga preventive strike sa mga target sa lupa at dagat ng kaaway.

Ang pahayagan sa ibang bansa ay nagsasaad na ang Russia ay may "air minefield" na "kailangan ng NATO na kahit papaano ay neutralisahin o lumibot sa kaganapan ng isang salungatan." Ang pangunahing bentahe ng Moscow ay ang layered air defense system nito, ang pangunahing "bentahe nito ay ang saklaw, katumpakan at kadaliang kumilos."

Ayon sa The National Interest, sa kaso ng pagsalakay sa airspace ng Russia, hindi lamang ang pinakabago Amerikanong eroplano, ngunit pati na rin ang mga cruise missiles na nakabase sa dagat (pinag-uusapan natin ang tungkol sa Tomahawks). Dahil dito" Ang pinakamahusay na paraan Ang paglaban sa mga sistema ng pagtatanggol sa hangin ay ang pag-iwas sa kanila,” pagtatapos ng magasin.

Kontrol ng langit

Mayroong malawak na pananaw sa Western press tungkol sa kahinaan ng NATO aircraft at missiles sa air defense/missile defense system na armado ng mga tropang Ruso. Ayon sa eksperto sa militar na si Yuri Knutov, ito ay batay sa ugali ng Estados Unidos na magsimula lumalaban lamang sa pagkamit ng kumpletong air superiority.

“Hindi kailanman sinasalakay ng mga Amerikano ang isang bansa nang hindi muna sinisira ang mga command post at air defense system. Sa kaso ng Russia, ito ay isang ganap na imposible na sitwasyon. Kaya naman naiinis na sila sa mga nangyayari ngayon. Kasabay nito, ang proseso ng paghahanda para sa isang posibleng digmaan sa amin sa Estados Unidos ay hindi kailanman natapos at ang mga Amerikano ay patuloy na pagpapabuti ng aviation at mga armas, "sabi ni Knutov sa isang pakikipag-usap sa RT.

Ayon sa eksperto, tradisyonal na nangunguna ang United States sa ating bansa sa pagpapaunlad ng teknolohiya ng aviation. Gayunpaman, sa loob ng kalahating siglo, ang mga domestic scientist ay lumilikha ng lubos na epektibong mga armas na may kakayahang humarang sa pinakabagong sasakyang panghimpapawid at missiles ng NATO at magdulot ng malubhang pagkagambala sa kanilang mga elektronikong kagamitan.

Ang paglikha ng isang layered air defense/missile defense system sa Unyong Sobyet ay binigyan ng malaking pansin. Hanggang sa unang bahagi ng 1960s, ang American reconnaissance aircraft ay lumipad na halos walang hadlang sa USSR. Gayunpaman, sa pagdating ng unang anti-aircraft missile system (SAM) at ang pagkawasak ng U-2 malapit sa Sverdlovsk (Mayo 1, 1960), ang intensity ng mga flight ng American Air Force sa teritoryo ng ating bansa ay kapansin-pansing nabawasan.

Napakalaking halaga ng pera ang namuhunan sa pagbuo at pagpapaunlad ng air defense, gayundin ang mga missile attack warning system (MAWS). Bilang isang resulta, ang USSR ay pinamamahalaang upang matiyak maaasahang proteksyon ang pinakamahalagang mga sentrong pang-administratibo, pangunahing imprastraktura ng militar, mga post ng command at mga sonang pang-industriya.

Ang iba't ibang mga istasyon ng radar ay pinagtibay (pagsubaybay sa airspace, pagtuklas ng target, reconnaissance), mga awtomatikong sistema kontrol (pagproseso ng impormasyon ng radar at paghahatid nito sa command), kagamitan sa pag-jamming at mga sistema ng pagkasira ng sunog (anti-aircraft mga sistema ng misayl, mga mandirigma, electronic warfare system).

Noong huling bahagi ng 1980s antas ng tauhan Ang mga tropa ng pagtatanggol sa hangin ng USSR ay lumampas sa 500 libong tao. Ang Unyong Sobyet ay ipinagtanggol ng Moscow Air Defense District, ang 3rd Separate Missile Warning Army, ang 9th Separate Air Defense Corps, ang 18th Separate Space Control Corps, pati na rin ang walong air defense armies na may punong tanggapan sa Minsk, Kyiv, Sverdlovsk, Leningrad , Arkhangelsk , Tashkent, Novosibirsk, Khabarovsk at Tbilisi.

Sa kabuuan, higit sa 1,260 air defense missile divisions, 211 anti-aircraft missile regiment, 28 radio engineering regiments, 36 radio engineering brigades, 70 air defense fighter regiment, na may bilang na higit sa 2.5 thousand combat aircraft, ay nasa combat duty.

Matapos ang pagbagsak ng USSR, dahil sa mga pagbabago sa geopolitical na sitwasyon at isang pagbabago sa doktrina ng militar, ang bilang ng mga tropa ng air defense ay nabawasan. Ngayon ang Aerospace Forces ay kinabibilangan ng mga yunit ng Space Forces (responsable para sa maagang mga sistema ng babala), ang 1st Air Defense-Missile Defense Army (pinoprotektahan ang rehiyon ng Moscow) at limang air force at air defense armies na sumasaklaw sa timog ng Russian Federation, ang kanluran. mga rehiyon ng Central Russia, Malayong Silangan, Siberia, rehiyon ng Volga, at mga Urals at Arctic.

Ayon sa Ministri ng Depensa ng Russian Federation, sa mga nagdaang taon, naibalik ng Russia ang isang tuluy-tuloy na radar field "sa pangunahing missile-mapanganib na direksyon" at pinalakas ang air defense system dahil sa pagtanggap ng pinakabagong S-400 "Triumph", “Pantsir-S” air defense systems, modernized versions of “Tora” and “Pantsir-S” to the troops Buka.

Sa mga darating na taon, plano ng militar na kumpletuhin ang modernisasyon ng A-135 Amur missile defense system at i-deploy maramihang paggawa ang S-500 complex, na may kakayahang humarang sa halos lahat ng kilalang target, kabilang ang orbital aircraft, satellite, intercontinental ballistic missiles at kanilang mga warhead.

"Hindi nagdadala ng mga resulta ng tagumpay"

Sa isang pakikipag-usap sa RT, nabanggit ng Propesor ng Academy of Military Sciences na si Vadim Kozyulin na sa Estados Unidos ay may patuloy na debate tungkol sa bisa ng pag-asa sa mababang radar signature ng sasakyang panghimpapawid at missiles. Ayon sa kanya, lumalaki ang mga alalahanin sa Estados Unidos na ang mga modernong radar (pangunahing Ruso) ay madaling makakita ng tinatawag na "invisible" na mga radar sa hangin.

"Ito ay itinaas ang tanong kung ito ay makatuwiran na magtrabaho nang husto sa lugar na ito kung hindi ito magdadala ng mga resulta ng tagumpay. Ang mga Amerikano ay mga pioneer sa pagbuo ng stealth technology. Daan-daang bilyong dolyar ang ginugol sa mga stealth na proyekto, ngunit kahit na ang lahat ng mga sample ng produksyon ay nabuhay sa mga inaasahan," sabi ni Kozyulin.

Ang mababang radar signature ay nakakamit sa pamamagitan ng pagbabawas ng epektibong dispersion area (RCS). Ang tagapagpahiwatig na ito ay nakasalalay sa pagkakaroon ng mga flat geometric na hugis sa disenyo ng sasakyang panghimpapawid at mga espesyal na materyales na sumisipsip ng radyo. Ang "Invisible" ay karaniwang tinatawag na isang sasakyang panghimpapawid na may ESR na mas mababa sa 0.4 metro kuwadrado. m.

Ang unang US production stealth aircraft ay ang Lockheed F-117 Nighthawk tactical bomber, na umabot sa himpapawid noong 1981. Lumahok siya sa mga operasyon laban sa Panama, Iraq at Yugoslavia. Sa kabila ng tagapagpahiwatig ng ESR, hindi kapani-paniwala para sa oras nito (mula sa 0.025 sq. m hanggang 0.1 sq. m), ang F-117 ay may maraming makabuluhang pagkukulang.

Bukod sa labis mataas na presyo at mga kahirapan sa pagpapatakbo, ang Nighthawk ay walang pag-asa na mas mababa sa mga naunang sasakyan ng US Air Force sa mga tuntunin ng pagkarga ng labanan (mahigit dalawang tonelada lamang) at saklaw (mga 900 km). Bilang karagdagan, ang stealth effect ay nakamit lamang sa radio silence mode (i-switch off ang mga komunikasyon at ang friend-or-foe identification system).

Noong Marso 27, 1999, isang Amerikanong high-tech na sasakyan ang binaril ng isang Soviet S-125 air defense system ng Yugoslav air defense forces, na itinuturing na hindi na ginagamit. Ito ang tanging pagkatalo sa labanan ng F-117. Simula noon, nagpatuloy ang mga talakayan sa mga tauhan ng militar at mga eksperto tungkol sa kung paano naging posible ang naturang insidente. Noong 2008, nagretiro si Nighthawk mula sa US Air Force.

Ang pinakamodernong mga halimbawa ng American aviation ay kinakatawan din ng "invisible" aircraft. Ang EPR ng unang ikalimang henerasyong sasakyang panghimpapawid na F-22 ay 0.005-0.3 metro kuwadrado. m, ang pinakabagong F-35 fighter - 0.001-0.1 sq. m, long-range bomber B-2 Spirit - 0.0014-0.1 sq. m. Kasabay nito, ang mga sistema ng pagtatanggol sa hangin ng S-300 at S-400 ay may kakayahang mag-record mga target sa hangin na may EPR sa rehiyon na 0.01 sq. m (walang eksaktong data).

Nabanggit ni Kozyulin na madalas na sinusubukan ng Western at domestic media na malaman kung Russian anti-aircraft system harangin ang mga eroplanong Amerikano. Ayon sa kanya, ang labanan laban sa sasakyang panghimpapawid ay sabay na naiimpluwensyahan ng maraming mga kadahilanan, imposibleng mahulaan ang kinalabasan nito nang maaga.

"Ang EPR ay nagbabago depende sa taas at hanay ng paglipad ng sasakyang panghimpapawid. Sa isang punto maaari itong malinaw na nakikita, sa isa pa - hindi. Gayunpaman, mahusay na katanyagan Mga pondo ng Russia Ang pagtatanggol ng hangin sa pandaigdigang merkado at ang mga alalahanin ng Amerikano tungkol sa mga kakayahan ng S-400 ay nagpapahiwatig na ang pagtatanggol ng hangin ng Russia ay nakayanan ang mga nakatalagang gawain nito, iyon ay, proteksyon laban sa anumang paraan ng pag-atake sa hangin, "pagtatapos ni Kozyulin.

Pagsapit ng 2025, matatawag itong mabisang tugon sa diskarte ng Amerika ng isang instant global strike, sabi ng retiradong koronel na si Viktor Litovkin.

Layered missile defense system

Sinabi niya sa mga mamamahayag na ang paglikha ng isang layered national missile defense system ay makukumpleto sa ating bansa sa 2025. punong taga-disenyo missile attack warning systems (MAWS) Sergey Boev. Tinawag niya ang paglikha nito bilang tugon sa aktibong pag-unlad ng mga sandata sa pag-atake ng hangin sa mundo, na ngayon ay higit na tinutukoy ang kurso ng mga salungatan sa militar.

"Ang sistema ng pagtatanggol ng missile ay may dalawang echelon - lupa at espasyo. Kasama sa ground echelon ang mga istasyon ng babala sa pag-atake ng missile na matatagpuan sa kahabaan ng perimeter ng ating bansa, pati na rin ang mga anti-aircraft missile at anti-missile system na may kakayahang humarang sa parehong strategic at medium- at shorter-range missiles.

Ang space echelon, na isa ring missile attack warning system, ay gumagamit ng reconnaissance equipment, kabilang ang satellite equipment, upang makita ang mga paglulunsad ng missile sa anumang direksyon, ngunit pangunahin sa Russia. Kapag pinag-uusapan natin ang tungkol sa layered defense, ipinapalagay natin ang paglalagay ng mga istasyon ng radar at air defense system hindi lamang sa kahabaan ng perimeter, kundi pati na rin sa loob ng bansa. Ang ganitong paraan ay gagawing posible na hindi makaligtaan ang mga pag-atake sa mga pangunahing industriyal na lugar ng bansa, mga instalasyong militar at mga sentrong pangkultura,” paliwanag ng isang eksperto sa militar sa FBA Economics Today.

Inaasahan na sa 2025, ang layered defense ay pag-isahin ang missile defense at air defense system sa isang solong kabuuan, kabilang ang teritoryo ng ating mga kaalyado sa post-Soviet space. Ang paglikha ng naturang payong, ayon sa eksperto, ay humahantong sa paglabo ng mga hangganan sa pagitan ng mga taktikal at madiskarteng air defense at mga sistema ng pagtatanggol ng misayl.

Instant na pandaigdigang strike

Kasama sa layered missile defense system ang mga short-range system tulad ng Tunguska, Buk, Pantsir at Tor-M2 at medium-range na S-300 at Vityaz. Tulad ng nabanggit ng eksperto sa militar na si Alexey Leonkov, ang pag-ampon ng S-500 long-range air defense system, na may kakayahang tumama sa mga target sa layo na hanggang 100 kilometro sa ibabaw ng lupa, ay kukumpleto sa layered defense system.

"Ang ganitong pagtatanggol ay maaaring tawaging isang epektibong tugon sa konsepto ng US ng napakalaking pag-atake sa aerospace, na kilala bilang "Flash global strike." Ang sistema ng pagtatanggol ay binuo, kabilang ang pagsasaalang-alang sa mga promising development na hindi pa pinagtibay para sa serbisyo, kabilang ang hypersonic cruise missiles. Bagama't walang ganoong armas ang kalaban, magiging handa tayong harangin ang mga naturang missile kung lilitaw ang mga ito. Kapansin-pansin na walang ibang bansa, kabilang ang Estados Unidos, ang may tulad na binuo na sistema ng pagtatanggol sa hangin, "pagbubuod ni Viktor Litovkin.

Gaya ng nabanggit ni Sergei Boev, ang diskarte ng isang instant global strike ay makukumpleto sa 2030. Sa puntong ito, magagamit na ng United States ang mga intercontinental ballistic missiles nang sabay-sabay sa iba't ibang configuration, hypersonic na armas, at cruise missiles ng iba't ibang deployment para magsagawa ng mga strike. Ang Aegis ground-based missile defense system na naka-deploy sa Romania at Poland ay direktang banta sa atin dito. Batay sa kasalukuyang mga hamon, ang deployment ng isang layered missile defense system sa kalagitnaan ng 20s ay isang estratehikong gawain para sa ating bansa.

Walang mga garantiya na ang pinakabagong mga armas sa pag-atake ng hangin ng US, na ang pagbuo nito ay gumagastos ng milyun-milyong dolyar, ay magagawang pagtagumpayan ang Russian air defense at missile defense system, sabi ng American magazine na The National Interest. Ayon sa mga konklusyon ng publikasyon, ang hukbo ng Amerika ay walang karanasan sa paghaharap sa isang high-tech na kaaway, kaya ang resulta ng isang potensyal na salungatan sa militar sa Russian Federation ay imposible upang mahulaan. Sa kaganapan ng isang operasyon, ang modernong stealth aircraft at cruise missiles, tulad ng Tomahawks, ay nasa panganib ng pagharang, binibigyang diin ng may-akda ng artikulo. Tungkol sa mga kakayahan ng mga sandata ng Amerikano at ang potensyal ng pagtatanggol sa hangin ng Russia - sa materyal na RT

American aircraft B-2 Spirit

Ang mga pamumuhunan ng Pentagon sa paglikha ng mga sasakyang panghimpapawid na may malawak na paggamit ng mga teknolohiyang nakaw ay hindi magbibigay ng garantisadong resulta laban sa sistema ng "access at maniobra na pagtanggi" ng Russia (A2/AD - anti-access at pagtanggi sa lugar). Ang publikasyong Amerikano na The National Interest ay nagsusulat tungkol dito.

Tulad ng isinulat ng The National Interest, sa kaso ng pagsalakay sa airspace ng Russia, hindi lamang ang pinakabagong sasakyang panghimpapawid ng Amerika ang magiging mahina, kundi pati na rin ang mga cruise missiles na nakabase sa dagat (pinag-uusapan natin ang tungkol sa Tomahawks). Para sa kadahilanang ito, "ang pinakamahusay na paraan upang kontrahin ang mga sistema ng pagtatanggol sa hangin ay upang maiwasan ang mga ito," pagtatapos ng magasin.

Kontrol ng langit

Mayroong malawak na pananaw sa Western press tungkol sa kahinaan ng NATO aircraft at missiles sa air defense/missile defense system na armado ng mga tropang Ruso. Ayon sa eksperto sa militar na si Yuri Knutov, nakabatay ito sa ugali ng Estados Unidos na magsimula lamang ng mga operasyong militar pagkatapos makamit ang kumpletong air superiority.

Napakalaking halaga ng pera ang namuhunan sa pagbuo at pagpapaunlad ng air defense, gayundin ang mga missile attack warning system (MAWS). Bilang isang resulta, pinamamahalaang ng USSR na matiyak ang maaasahang proteksyon ng pinakamahalagang mga sentro ng administratibo, pangunahing imprastraktura ng militar, mga post ng command at mga pang-industriyang zone.

Iba't ibang mga istasyon ng radar (pagsubaybay sa airspace, pagtuklas ng target, reconnaissance), mga automated na sistema ng kontrol (pagproseso ng impormasyon ng radar at paghahatid nito sa command), mga jamming system at mga sistema ng pagkasira ng sunog (mga anti-aircraft missile system, mandirigma, electronic warfare system) ay pinagtibay.

Sa pagtatapos ng 1980s, ang regular na lakas ng USSR air defense troops ay lumampas sa 500 libong tao. Ang Unyong Sobyet ay ipinagtanggol ng Moscow Air Defense District, ang 3rd Separate Missile Warning Army, ang 9th Separate Air Defense Corps, ang 18th Separate Space Control Corps, pati na rin ang walong air defense armies na may punong tanggapan sa Minsk, Kyiv, Sverdlovsk, Leningrad , Arkhangelsk , Tashkent, Novosibirsk, Khabarovsk at Tbilisi.

Sa mga darating na taon, plano ng militar na kumpletuhin ang modernisasyon ng A-135 Amur missile defense system at ilunsad ang serial production ng S-500 complex, na may kakayahang humarang sa halos lahat ng kilalang target, kabilang ang orbital aircraft, satellite, intercontinental ballistic missiles at kanilang mga warhead.

"Hindi nagdadala ng mga resulta ng tagumpay"

"Ito ay itinaas ang tanong kung makatuwirang magtrabaho nang husto sa lugar na ito kung hindi ito magdadala ng mga resulta ng tagumpay. Ang mga Amerikano ay mga pioneer sa pagbuo ng stealth technology. Daan-daang bilyong dolyar ang ginugol sa mga stealth na proyekto, ngunit hindi lahat ng mga sample ng produksyon ay nakamit ang mga inaasahan," sabi ni Kozyulin.

Bilang karagdagan sa napakataas na presyo at pagiging kumplikado ng operasyon, ang Nighthawk ay walang pag-asa na mas mababa sa mga naunang sasakyan ng US Air Force sa mga tuntunin ng pagkarga ng labanan (mahigit lamang sa dalawang tonelada) at saklaw (mga 900 km). Bilang karagdagan, ang stealth effect ay nakamit lamang sa radio silence mode (i-switch off ang mga komunikasyon at ang friend-or-foe identification system).

Ang pinakamodernong mga halimbawa ng American aviation ay kinakatawan din ng "invisible" aircraft. Ang EPR ng unang ikalimang henerasyong sasakyang panghimpapawid na F-22 ay 0.005-0.3 metro kuwadrado. m, ang pinakabagong F-35 fighter - 0.001-0.1 sq. m, long-range bomber B-2 Spirit - 0.0014-0.1 sq. m. Kasabay nito, ang mga sistema ng pagtatanggol ng hangin ng S-300 at S-400 ay may kakayahang mag-record ng mga target ng hangin na may ESR sa rehiyon na 0.01 metro kuwadrado. m (walang eksaktong data).

Nabanggit ni Kozyulin na madalas na sinusubukan ng Western at domestic media na alamin kung ang mga anti-aircraft system ng Russia ay maaaring humarang ng sasakyang panghimpapawid ng Amerika. Ayon sa kanya, ang labanan laban sa sasakyang panghimpapawid ay sabay na naiimpluwensyahan ng maraming mga kadahilanan, imposibleng mahulaan ang kinalabasan nito nang maaga.

"Ang EPR ay nagbabago depende sa taas at hanay ng paglipad ng sasakyang panghimpapawid. Sa isang punto maaari itong malinaw na nakikita, sa isa pa - hindi. Gayunpaman, ang mahusay na katanyagan ng mga sistema ng pagtatanggol sa hangin ng Russia sa merkado ng mundo at ang mga alalahanin ng mga Amerikano tungkol sa mga kakayahan ng S-400 ay nagpapahiwatig na ang pagtatanggol ng hangin ng Russia ay nakayanan ang mga nakatalagang gawain nito, iyon ay, proteksyon laban sa anumang paraan ng pag-atake ng hangin, ” pagtatapos ni Kozyulin.

Sa ilalim layered defense(defense in depth) sa modernong computer literature ay nauunawaan bilang isang praktikal na diskarte para sa pagkamit ng kasiguruhan ng impormasyon sa network equipment. Ang diskarte na ito ay kumakatawan sa isang balanse sa pagitan ng mga katangian ng proteksyon at gastos, pagganap at mga katangian ng pagganap.

Nakakamit ang katiyakan ng impormasyon kapag ang impormasyon at Sistema ng Impormasyon pinoprotektahan mula sa mga pag-atake sa pamamagitan ng paglalapat ng mga serbisyong panseguridad tulad ng kakayahang magamit, integridad, pagpapatunay, pagiging kumpidensyal at pagpapahintulot sa kasalanan. Ang mga application na nagpapatupad ng mga serbisyong ito ay dapat na nakabatay sa paradigm na protektahan, tuklasin, at tumugon.

Ang pagkamit ng seguridad ng impormasyon para sa isang layered na diskarte sa pagtatanggol ay nangangailangan ng paghahanap ng balanse ng tatlong pangunahing elemento.

1. Tauhan - ang pagkamit ng seguridad ng impormasyon ay nagsisimula sa antas ng pamamahala ng organisasyon. Dapat malinaw na maunawaan ng mga tauhan ng pamamahala ang mga posibleng banta sa pagkamit ng mga layunin ng organisasyon. Dapat itong sundan ng isang imbentaryo ng mga mapagkukunan, kahulugan ng mga patakaran at pamamaraan sa pagtiyak ng impormasyon, pagtatalaga ng mga tungkulin ng tauhan at kahulugan ng mga responsibilidad. Kasama rin dito ang mga pamamaraan ng pisikal na proteksyon at mga hakbang sa kaligtasan ng tauhan.

2. Teknolohiya - upang matiyak na sapat
ang mga teknolohiya ay pinili at wastong inilapat, kinakailangan na bumuo at magpatupad ng epektibong mga patakaran at pamamaraan para sa pagtiyak ng kasiguruhan ng impormasyon. Dapat nilang isama ang: patakaran sa seguridad, arkitektura at pamantayan sa antas ng system, pamantayan para sa pagpili ng mga kinakailangang produkto, partikular na pagsasaayos ng mga bahagi ng system, pati na rin ang mga pamamaraan sa pagtatasa ng panganib.

Mga functional na operasyon - nakatutok ang aspetong ito
sa lahat ng pang-araw-araw na gawain na kinakailangan upang mapanatili
seguridad ng organisasyon. Maaaring kabilang sa mga naturang functional na operasyon, halimbawa, ang mga sumusunod na operasyon: pagbuo, pag-install at pagpapanatili ng (mga) patakaran sa seguridad; pagpapatunay at sertipikasyon ng mga pagbabago sa mga teknolohiya ng impormasyon na ginamit; pamamahala ng mga naka-install na kontrol sa seguridad; kontrol at pagtugon sa mga kasalukuyang banta; pagtuklas at pagtugon sa mga pag-atake; mga pamamaraan para sa pagpapanumbalik at muling pag-install ng mga bahagi ng teknolohiya ng impormasyon, atbp.

Paglalapat ng proteksyon sa maraming lugar. Dahil ang
maaaring umatake ang mga attacker sa isang system mula sa maraming lugar, kabilang ang panlabas at panloob, dapat ipatupad ng isang organisasyon
mga mekanismo ng proteksyon sa iba't ibang mga punto na dapat protektahan ang mga network at imprastraktura, protektahan ang mga hangganan ng network at
teritoryo, pati na rin ang proteksyon ng mga kagamitan sa computer;

Ang paggamit ng layered na proteksyon ay nagsasangkot ng pag-install ng mga mekanismo ng proteksyon sa pagitan ng isang potensyal na umaatake at ang target;

Ang pagtukoy sa katatagan ng seguridad ay nakakamit sa pamamagitan ng pagtatasa ng mga kakayahan sa proteksyon ng bawat bahagi ng kasiguruhan ng impormasyon;

Paglalapat ng imprastraktura ng pag-atake at pag-detect ng panghihimasok,
ang paggamit ng mga pamamaraan at kasangkapan para sa pagsusuri at pag-uugnay ng mga resultang nakuha ng imprastraktura na ito.

Ang konsepto ng malalim na depensa ay tinatanggap na ngayon, kaya ipinapatupad ito ng mga tagagawa ng mga kagamitang pang-proteksyon sa pamamagitan ng pagpapakawala ng buong linya ng mga kagamitang pang-proteksyon na gumagana nang magkasama at kinokontrol, bilang panuntunan, ng isang aparatong pangkontrol.