Qatlamli axborot xavfsizligi tizimi. Milliy raketaga qarshi mudofaa tizimi Amerika Qo'shma Shtatlarining "global zarba" strategiyasiga chek qo'yadi & nbsp Cover yaqinroqda

Yaxshi ishingizni bilimlar bazasiga yuborish oddiy. Quyidagi shakldan foydalaning

Talabalar, aspirantlar, bilimlar bazasidan o‘z o‘qishlarida va ishlarida foydalanayotgan yosh olimlar sizdan juda minnatdor bo‘lishadi.

http://www.allbest.ru saytida joylashgan

1. ISHNING UMUMIY XUSUSIYATLARI

1.1 Muvofiqlik

1.2 Maqsad

1.3 Vazifalar

2. ASARNING ASOSIY MAZMUNI

2.1 Chuqur mudofaa

2.2 Chuqur axborot xavfsizligi tizimining komponentlari

2.2.1 Antivirus dasturlari

2.2.2 Ro'yxatga olish va audit

2.2.3 Jismoniy himoya

2.2.4 Autentifikatsiya va parolni himoyalash

2.2.5 Faervollar

2.2.6 Demilitarizatsiya qilingan hudud

2.2.7 VPN

2.2.8 Bosqinlarni aniqlash tizimi

3. ISHNING ASOSIY NATIJALARI

FOYDALANILGAN MA'LUMOT MANBALARI RO'YXATI

chuqur ma'lumotni himoya qilish antivirus

1. ISHNING UMUMIY XUSUSIYATLARI.

1.1 Muvofiqlik

"Ofis" tipidagi kompyuter tizimlarida axborotni himoya qilishning qatlamli tizimini o'rganish tarmoqlarga hujumlar sonining doimiy o'sishi munosabati bilan dolzarbdir. yirik tashkilotlar masalan, maxfiy ma'lumotlarni o'z ichiga olgan ma'lumotlar bazalarini nusxalash uchun. Bunday himoya tizimi buzg'unchilarga qarshi juda kuchli vosita bo'lib, ularning himoyalangan tizimga ruxsatsiz kirish (UAS) urinishlarini samarali tarzda oldini oladi.

Ushbu ishning maqsadi "ofis" tipidagi kompyuter tizimlari uchun qatlamli himoya tizimini o'rganishdir.

1.3 Vazifalar

Ushbu maqsadga erishish uchun quyidagi vazifalarni hal qilish kerak:

Qatlamli xavfsizlik tizimini qurish va ishlash tamoyillarini o'rganish;

Axborotni qatlamli himoya qilish tizimiga kiritilgan mustaqil himoya tizimlarini o'rganish;

Himoya tizimlariga qo'yiladigan talablarni aniqlash;

2. ASARNING ASOSIY MAZMUNI

2.1 Chuqur mudofaa

Chuqur mudofaa - bu axborot sug'urtasi tushunchasi bo'lib, unda kompyuter tizimida bir necha xil himoya tizimlari o'rnatilgan. Uning maqsadi xavfsizlikni boshqarish tizimining noto'g'ri ishlashi yoki tajovuzkor ma'lum bir zaiflikdan foydalanganda kompyuter tizimining ortiqcha himoyasini ta'minlashdir.

Chuqur mudofaa g'oyasi tizimni har qanday hujumdan himoya qilishdir, odatda ketma-ket bir qator mustaqil usullardan foydalanish.

Dastlab, chuqur mudofaa sof edi harbiy strategiya, aksincha, oldini olish va oldini olish uchun emas, balki dushmanning hujumini kechiktirish, turli xil mudofaa choralarini to'g'ri joylashtirish uchun ozgina vaqt sarflash imkonini beradi. To'liqroq tushunish uchun biz misol keltira olamiz: tikanli simlar piyoda askarlarni samarali ravishda to'xtatadi, ammo tanklar uning ustidan osongina o'tadi. Biroq, tank ularni oddiygina chetlab o'tadigan piyodalardan farqli o'laroq, tankga qarshi tipratikanlardan o'ta olmaydi. Ammo agar ular birgalikda ishlatilsa, na tanklar, na piyodalar tezda o'tib keta olmaydi va himoyachi tomon tayyorgarlik ko'rishga ulgurmaydi.

Himoya mexanizmlari, protseduralari va siyosatlarini joylashtirish kompyuter tizimining xavfsizligini oshirish uchun mo'ljallangan, bu erda bir nechta himoya qatlamlari josuslik va muhim tizimlarga to'g'ridan-to'g'ri hujumlarning oldini olishi mumkin. Kompyuter tarmoqlari nuqtai nazaridan, chuqur mudofaa nafaqat buzg'unchilikning oldini olish, balki hujumni aniqlash va unga javob berish vaqtini ta'minlash va shu bilan buzilish oqibatlarini kamaytirishga qaratilgan.

"Ofis" tipidagi kompyuter tizimida turli darajadagi kirishga ega bo'lgan ma'lumotlar - bepuldan davlat sirini tashkil etuvchi ma'lumotlargacha qayta ishlanishi mumkin. Shuning uchun UA va turli xil hujumlarning oldini olish uchun bunday tizim talab qilinadi samarali tizim axborotni himoya qilish.

Keyinchalik, qatlamli himoya tizimlarida ishlatiladigan asosiy himoya qatlamlari (qatlamlar) ko'rib chiqiladi. Shuni ta'kidlash kerakki, ikkita yoki undan ortiq quyidagi tizimlardan iborat himoya tizimi chuqurlashtirilgan hisoblanadi.

2.2 Chuqur axborot xavfsizligi tizimining komponentlari

2.2.1 Antivirus dasturlari

Antivirus dasturi (antivirus) - kompyuter viruslarini, shuningdek, umuman istalmagan (zararli deb hisoblangan) dasturlarni aniqlash va bunday dasturlar tomonidan zararlangan (o'zgartirilgan) fayllarni tiklash, shuningdek, fayllarni infektsiyani (modifikatsiyasini) oldini olish uchun yoki oldini olish uchun maxsus dastur. zararli kod bilan operatsion tizim.

Davlat sirini tashkil etuvchi ma'lumotlarni, kirishi cheklangan boshqa ma'lumotlarni o'z ichiga olgan ma'lumotlarni himoya qilishni (kriptografik bo'lmagan usullar bilan) ta'minlash uchun foydalaniladigan dasturiy ta'minotni nazarda tutadi.

Antivirus mahsulotlarini bir necha mezonlarga ko'ra tasniflash mumkin:

Qo'llaniladigan virusga qarshi himoya texnologiyalari:

Klassik antivirus mahsulotlari (faqat imzoga asoslangan aniqlash usulidan foydalanadigan mahsulotlar);

Virusga qarshi faol himoya vositalari (faqat proaktiv virusga qarshi himoya texnologiyalaridan foydalanadigan mahsulotlar);

Kombinatsiyalangan mahsulotlar (ham klassik, ham imzoga asoslangan himoya usullari, ham proaktiv usullardan foydalanadigan mahsulotlar).

Mahsulot funksionalligi:

Antivirus mahsulotlari (faqat antivirus himoyasini ta'minlaydigan mahsulotlar)

Birlashtirilgan mahsulotlar (nafaqat zararli dasturlardan himoya qilish, balki spamni filtrlash, ma'lumotlarni shifrlash va zaxiralash va boshqa funktsiyalarni ta'minlaydigan mahsulotlar);

Maqsadli platformalar bo'yicha:

Windows OS oilasi uchun antivirus mahsulotlari;

*NIX oilasining operatsion tizimlari uchun antivirus mahsulotlari (bu turkumga OS BSD, Linux va boshqalar kiradi);

MacOS oilasi uchun antivirus mahsulotlari;

Mobil platformalar uchun antivirus mahsulotlari (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 va boshqalar).

Korporativ foydalanuvchilar uchun antivirus mahsulotlarini himoya qilish ob'ektlari bo'yicha ham tasniflash mumkin:

Ish stantsiyalarini himoya qilish uchun antivirus mahsulotlari;

Fayl va terminal serverlarini himoya qilish uchun antivirus mahsulotlari;

Pochta va Internet shlyuzlarini himoya qilish uchun antivirus mahsulotlari;

Virtualizatsiya serverlarini himoya qilish uchun antivirus mahsulotlari.

Virusga qarshi himoya vositalariga qo'yiladigan talablar virusga qarshi himoya vositalariga qo'yiladigan umumiy talablarni va virusga qarshi himoya vositalarining xavfsizlik funktsiyalariga qo'yiladigan talablarni o'z ichiga oladi.

Virusga qarshi himoya vositalarining xavfsizlik funktsiyalariga qo'yiladigan talablarni farqlash uchun virusga qarshi himoya vositalarining oltita himoya klassi o'rnatildi. Eng past sinf oltinchi, eng yuqori sinf birinchi.

6-sinfga mos keladigan virusga qarshi himoya vositalari 3 va 4-sinf shaxsiy ma'lumotlarning axborot tizimlarida qo'llaniladi.

2-sinf shaxsiy ma'lumotlarning axborot tizimlarida 5-sinfga mos keladigan virusga qarshi himoya vositalari qo'llaniladi.

4-sinfga mos keladigan virusga qarshi himoya vositalari davlat sirini tashkil etuvchi ma'lumotlarni o'z ichiga olmaydi, cheklangan ma'lumotlar qayta ishlanadigan davlat axborot tizimlarida, shaxsiy ma'lumotlarning 1-sinf axborot tizimlarida, shuningdek ommaviy axborotda qo'llaniladi. 2-sinf tizimlari.

Davlat sirini tashkil etuvchi ma'lumotlarni o'z ichiga olgan ma'lumotlarni qayta ishlaydigan axborot tizimlarida 3, 2 va 1 himoya sinflariga mos keladigan virusga qarshi himoya vositalaridan foydalaniladi.

Shuningdek, virusga qarshi himoya vositalarining quyidagi turlari ajratiladi:

"A" turi - axborot tizimining komponentlarida (serverlarda, ish stantsiyalarida) o'rnatilgan virusga qarshi himoya vositalarini markazlashtirilgan boshqarish uchun mo'ljallangan virusga qarshi himoya vositalari (virusga qarshi himoya vositalarining tarkibiy qismlari);

"B" turi - axborot tizimi serverlarida foydalanish uchun mo'ljallangan virusga qarshi himoya vositalari (virusga qarshi himoya vositalarining komponentlari);

"B" turi - axborot tizimlarining avtomatlashtirilgan ish stantsiyalarida foydalanish uchun mo'ljallangan virusga qarshi himoya vositalari (virusga qarshi himoya vositalarining komponentlari);

"G" turi - avtonom avtomatlashtirilgan ish stantsiyalarida foydalanish uchun mo'ljallangan virusga qarshi himoya vositalari (virusga qarshi himoya vositalarining komponentlari).

“A” tipidagi virusga qarshi himoya vositalari axborot tizimlarida mustaqil ravishda qo‘llanilmaydi va faqat “B” va (yoki) “S” tipidagi virusga qarshi himoya vositalari bilan birgalikda foydalanish uchun mo‘ljallangan.

Chuqur antivirus himoyasining maqsadi himoyalangan tizimning turli darajalarida zararli dasturlarni filtrlashdan iborat. Ko'rib chiqing:

Ulanish darajasi

Korxona tarmog'i hech bo'lmaganda ulanish qatlami va yadrodan iborat. Ulanish darajasida ko'pgina tashkilotlarda xavfsizlik devorlari, hujumlarni aniqlash va oldini olish tizimlari (IDS/IPS/IDP) va xizmat ko'rsatishni rad etish hujumlari o'rnatilgan. Ushbu yechimlar asosida zararli dasturlarning kirib kelishidan himoyalanishning birinchi darajasi amalga oshiriladi. Xavfsizlik devorlari va IDS / IPS / IDP vositalari protokol agenti darajasida o'rnatilgan tekshirish funksiyasiga ega. Bundan tashqari, UTM yechimlari uchun de-fakto standarti kiruvchi/chiquvchi trafikni tekshiradigan o'rnatilgan antivirusdir. Xavfsizlik devorlarida oqimli antiviruslarning mavjudligi ham odatiy holga aylanmoqda. Bunday variantlar taniqli mahsulotlarning yangi versiyalarida tez-tez paydo bo'ladi. Biroq, ko'plab foydalanuvchilar tarmoq uskunasining o'rnatilgan funktsiyalari haqida unutishadi, lekin, qoida tariqasida, ularni faollashtirish kengaytirish variantlarini sotib olish uchun qo'shimcha xarajatlarni talab qilmaydi.

Shunday qilib, tarmoq uskunalarining o'rnatilgan xavfsizlik xususiyatlaridan optimal foydalanish va xavfsizlik devorlarida qo'shimcha antivirusni boshqarish variantlarini faollashtirish chuqurlikdagi birinchi mudofaa darajasini yaratadi.

Ilovani himoya qilish darajasi

Ilovalarni himoya qilish darajasi virusga qarshi skanerlash uchun shlyuz echimlarini va dastlab virus bo'lmagan vazifalarni hal qilishga qaratilgan xavfsizlik vositalarini o'z ichiga oladi. Shunga o'xshash echimlar bozorda taqdim etilgan va Rossiya FSTEC talablariga muvofiq sertifikatlangan. Ushbu mahsulotlar sezilarli darajada amalga oshirish xarajatlarini talab qilmaydi va tekshirilayotgan kontent turlariga bog'liq emas, shuning uchun har qanday hajmdagi tashkilotlarda foydalanish mumkin.

Asosiy vazifasi virusga qarshi skanerlash bo'lmagan echimlar zararli dasturlarni filtrlashning ikkinchi darajasi sifatida ham harakat qilishi mumkin. Masalan, spamni filtrlash va veb-xizmatlarni himoya qilish uchun keng tarqalgan shlyuz yechimlari - URL filtri, veb-ilovalar xavfsizlik devori, balanslash vositalari. Ular ko'pincha zararli tarkibni filtrlashning bir nechta ishlab chiqaruvchilari yordamida qayta ishlangan tarkibni virusga qarshi skanerlashni amalga oshirish imkoniyatiga ega. Xususan, pochta tizimlari yoki spam filtrlash shlyuzlari darajasida virusga qarshi skanerlashni amalga oshirish. Bir nechta antivirus mahsulotlarini ketma-ket qo'llashda, kiruvchi / chiquvchi yozishmalarda viruslarni filtrlash samaradorligi deyarli 100% ga yetishi mumkin.

Ushbu yondashuv yordamida zararli dasturlarni filtrlashning jiddiy ko'rsatkichlariga birinchi va ikkinchi himoya darajalarida chuqur erishish mumkin. Boshqacha qilib aytadigan bo'lsak, tegishli virusga qarshi himoya tizimini joriy qilishda (foydalanuvchi oldida) zararli dasturlarning asosiy ulushi u yoki bu maqsad uchun shlyuz echimlari darajasida filtrlanadi.

Xost xavfsizlik darajasi

Xost himoyasi serverlar va foydalanuvchi ish stantsiyalarini antivirus tekshiruvlarini amalga oshirishni anglatadi. Xodimlar o'zlarining kundalik ishlarida ko'plab statsionar va mobil qurilmalardan foydalanishlari sababli, ularning barchasini himoya qilish kerak. Bundan tashqari, oddiy imzo antivirusi endi jiddiy himoya vositasi hisoblanmaydi. Shuning uchun ko'plab tashkilotlar Host IPS texnologiyasiga o'tdilar, bu sizga xavfsizlik devori, IPS tizimlari (xulq-atvor tahlili) orqali tekshirishda qo'shimcha nazorat / himoya mexanizmlaridan foydalanish imkonini beradi.

Agar foydalanuvchining ish joylarini himoya qilish masalalari allaqachon yaxshi tartibga solingan bo'lsa, u holda dastur serverlarida (jismoniy yoki virtual) Host IPS-ni amalga oshirish aniq vazifadir. Bir tomondan, Xost IPS texnologiyasi server yukini sezilarli darajada oshirmasligi kerak, boshqa tomondan, u kerakli darajadagi xavfsizlikni ta'minlashi kerak. O'rtacha muvozanatni faqat ma'lum ilovalar va apparat platformasida yechimni sinovdan o'tkazish orqali topish mumkin.

2.2.2 Hisobga olish va tekshirish

Ro'yxatga olish axborot tizimida sodir bo'layotgan hodisalar to'g'risidagi ma'lumotlarni to'plash va to'plashni anglatadi. Masalan, kim va qachon tizimga kirishga harakat qilgan, bu urinish qanday yakunlangan, kim qanday axborot resurslaridan foydalangan, qaysi axborot resurslari kim tomonidan o‘zgartirilgan va boshqalar va boshqalar.

Audit - bu to'plangan ma'lumotlarning tezkor, deyarli real vaqtda yoki davriy ravishda amalga oshiriladigan tahlili.

Hisoblash va auditni amalga oshirish quyidagi asosiy maqsadlarga ega:

Foydalanuvchilar va ma'murlarning javobgarligini ta'minlash;

Hodisalar ketma-ketligini qayta qurish imkoniyatini ta'minlash;

Qoidabuzarlikni aniqlashga urinish axborot xavfsizligi;

Muammolarni aniqlash va tahlil qilish uchun ma'lumot berish.

Shunday qilib, ro'yxatga olish va audit ro'yxatga olish va hisobga olish quyi tizimi bilan bog'liq. Ushbu operatsiyalardan foydalanib, siz mavjud axborot xavfsizligi inshootidagi muammolar va zaifliklarni tez va samarali tarzda topishingiz mumkin. Axborot xavfsizligi ma'lumotlari sinfiga qarab, uning ushbu elementi turli shakllarga ega bo'lishi va ro'yxatga olish va hisobga olish kabi turli vazifalarni hal qilishi mumkin:

Kirish (chiqish) sub'ektlari tizim(lar) ga (tarmoq tuguniga) (barcha darajalarda);

Dasturlar va jarayonlarni (vazifalar, topshiriqlar) ishga tushirish (tugatish) (2A, 1D, 1C, 1B, 1A darajalarida);

Himoyalangan fayllarga kirish sub'ektlarining dasturlariga kirish, shu jumladan ularni yaratish va o'chirish, liniyalar va aloqa kanallari orqali uzatish (2A 1D, 1C, 1B, 1A darajalarida);

Terminallarga, kompyuterlarga, kompyuter tarmog'i tugunlariga, aloqa kanallariga, tashqi kompyuter qurilmalariga, dasturlarga, jildlarga, kataloglarga, fayllarga, yozuvlarga, yozuv maydonlariga kirish sub'ektlari dasturlariga kirish (2A 1D, 1C, 1B, 1A darajalarida);

Kirish sub'ektlari vakolatlarini o'zgartirish (1C, 1B, 1A);

Himoyalangan kirish ob'ektlarini yaratdi (2A, 1C, 1B, 1A);

Himoyani buzishga urinishlar (1C, 1B, 1A).

Shunday qilib, chuqur himoyani qurishda jurnallar va audit tizimlari himoyalangan tizim chegarasida, serverda, har bir ish stantsiyasida, shuningdek, barcha autentifikatsiya qurilmalarida (masalan, himoyalangan hududga kirishda) o'rnatilishi kerak.

2.2.3 Jismoniy himoya

Bu qurilmalar va ommaviy axborot vositalarini o'g'irlashning oldini olish, shuningdek, beparvolik va tabiiy ofatlardan himoya qilish choralarini o'z ichiga oladi:

Qo'riqlanadigan hudud chegarasidagi nazorat punkti;

Devorlarni o'rnatish, taqiqlash belgilari, avtomobillar uchun tana balandligi cheklovchilari, turli xil to'siqlar va boshqalar. himoyalangan hududning perimetri bo'ylab;

Strategik ahamiyatga ega ob'ektlarning joylashishi, shuning uchun hujumchi ularga etib borish uchun katta ochiq maydonni kesib o'tishi kerak edi;

Himoya qilinadigan hududni, ya'ni darvozalar, eshiklar va boshqa strategik ahamiyatga ega ob'ektlarni yoritish. Shuni ta'kidlash kerakki, butun hudud bo'ylab tarqalgan xira yorug'lik spot chiroqlarning bitta yorqin nuqtalariga qaraganda samaraliroqdir, chunki spot chiroqlarning ko'r joylari bor. Asosiysi o'chirilgan bo'lsa, zaxira elektr ta'minoti tizimi ham ta'minlanishi kerak;

Binoga kirishda xavfsizlik postlari;

Signal tizimi va sensorlarni o'rnatish (harakat sensori, sensorli sensorlar, shisha sindirish sensori). Shuni ta'kidlash kerakki, ushbu tizim sensorlardan noto'g'ri signallarni yo'q qilish uchun video kuzatuv tizimi bilan tandemda ishlashi kerak;

Video kuzatuv tizimini o'rnatish;

Qulflardan biometrikaga qadar turli xil kirish boshqaruvlari;

Uskunaning ochilishini nazorat qilish vositalari (ishlatgichlardagi muhrlar va boshqalar);

Uskunani ish joyida maxsus qulflar yordamida mahkamlash.

2.2.4 Autentifikatsiya va parolni himoyalash

Autentifikatsiya - autentifikatsiya qilish protsedurasi, masalan: foydalanuvchi tomonidan kiritilgan parolni foydalanuvchi ma'lumotlar bazasidagi parol bilan solishtirish orqali foydalanuvchi autentifikatsiyasi; jo‘natuvchining imzosini tekshirish kaliti yordamida xatning elektron raqamli imzosini tekshirish orqali elektron pochtaning haqiqiyligini tasdiqlash; faylning nazorat summasini ushbu fayl muallifi tomonidan e'lon qilingan miqdorga nisbatan tekshirish. Rus tilida bu atama asosan axborot texnologiyalari sohasida qo'llaniladi.

Tizimlarning ishonch darajasi va xavfsizlik siyosatiga qarab, taqdim etilgan autentifikatsiya bir tomonlama yoki o'zaro bo'lishi mumkin. Odatda u kriptografik usullar yordamida amalga oshiriladi.

Autentifikatsiya standartlarini ko'rsatadigan bir nechta hujjatlar mavjud. Rossiya uchun quyidagilar dolzarbdir: GOST R ISO / IEC 9594-8-98 - Autentifikatsiya asoslari.

Ushbu standart:

Katalog tomonidan saqlanadigan autentifikatsiya ma'lumotlarining formatini belgilaydi;

Katalogdan autentifikatsiya ma'lumotlarini olish usullarini tavsiflaydi;

Katalogda autentifikatsiya ma'lumotlarini yaratish va joylashtirish bo'yicha dastlabki shartlarni belgilaydi;

Ilova dasturlari autentifikatsiyani amalga oshirish uchun bunday autentifikatsiya ma'lumotlaridan foydalanishi mumkin bo'lgan uchta usulni belgilaydi va boshqa xavfsizlik xizmatlari autentifikatsiya bilan qanday ta'minlanishi mumkinligini tavsiflaydi.

Ushbu xalqaro standart autentifikatsiyaning ikki turini belgilaydi: oddiy, daʼvo qilingan identifikatorni tekshirish uchun paroldan foydalanish va kuchli, kriptografik usullar yordamida yaratilgan identifikatorlardan foydalanish.

Har qanday autentifikatsiya tizimida odatda bir nechta elementlarni ajratish mumkin:

Jarayondan o'tadigan sub'ekt;

Mavzuning xarakteristikasi o'ziga xos xususiyatdir;

Autentifikatsiya tizimining egasi, mas'ul va uning ishini nazorat qilish;

Autentifikatsiya mexanizmining o'zi, ya'ni tizim printsipi;

Muayyan kirish huquqlarini beruvchi yoki sub'ektni ulardan mahrum qiladigan mexanizm.

Shuningdek, 3 ta autentifikatsiya omili mavjud:

Biz bilgan narsa parol. Bu faqat vakolatli sub'ektga ega bo'lishi kerak bo'lgan maxfiy ma'lumotlar. Parol nutq so'zi, matnli so'z, blokirovka uchun birikma yoki shaxsiy identifikatsiya raqami (PIN) bo'lishi mumkin. Parol mexanizmi juda oson amalga oshirilishi mumkin va mavjud arzon. Ammo uning sezilarli kamchiliklari bor: parolni sir saqlash ko'pincha qiyin, tajovuzkorlar doimiy ravishda parolni o'g'irlash, buzish va taxmin qilishning yangi usullarini taklif qilishadi. Bu parol mexanizmini zaif himoya qiladi.

Bizda bor narsa bu autentifikatsiya qurilmasi. Bu erda sub'ektning qandaydir noyob ob'ektga egalik qilish sharoiti muhim ahamiyatga ega. Bu shaxsiy muhr, qulfning kaliti bo'lishi mumkin, kompyuter uchun bu xarakteristikani o'z ichiga olgan ma'lumotlar fayli. Bu xususiyat ko'pincha plastik karta, smart-karta kabi ma'lum bir autentifikatsiya qurilmasiga o'rnatilgan. Buzg'unchi uchun parolni buzishdan ko'ra bunday qurilmani qo'lga olish qiyinroq bo'ladi va sub'ekt qurilma o'g'irlangan bo'lsa, darhol xabar berishi mumkin. Bu ushbu usulni parol mexanizmidan ko'ra xavfsizroq qiladi, ammo bunday tizimning narxi yuqoriroq.

Bizning bir qismimiz -- biometrika. Xarakteristika predmetning jismoniy xususiyatidir. Bu portret, barmoq izi yoki palma izi, ovoz yoki ko'zning xususiyati bo'lishi mumkin. Mavzu nuqtai nazaridan, bu usul eng oddiy: parolni eslab qolish yoki autentifikatsiya moslamasini o'zingiz bilan olib yurishingiz shart emas. Biroq, avtorizatsiya qilingan foydalanuvchini tasdiqlash uchun biometrik tizim juda sezgir bo'lishi kerak, ammo shunga o'xshash biometrik parametrlarga ega bo'lgan tajovuzkorni rad etishi kerak. Bundan tashqari, bunday tizimning narxi ancha yuqori. Ammo, kamchiliklariga qaramay, biometrika hali ham istiqbolli omil bo'lib qolmoqda.

Keling, autentifikatsiya usullarini batafsil ko'rib chiqaylik.

Qayta foydalanish mumkin bo'lgan parolni autentifikatsiya qilish.

U umumiy tilda "login" (inglizcha login - foydalanuvchi nomi, hisob) deb ataladigan foydalanuvchi identifikatorini va parolni - ba'zi maxfiy ma'lumotlarni kiritishdan iborat. Yaroqli (mos yozuvlar) login-parol juftligi maxsus ma'lumotlar bazasida saqlanadi.

Oddiy autentifikatsiya quyidagi umumiy algoritmga ega:

Mavzu tizimga kirishni so'raydi va shaxsiy ID va parolni kiritadi.

Kiritilgan noyob ma'lumotlar autentifikatsiya serveriga yuboriladi va u erda ma'lumotnoma ma'lumotlari bilan taqqoslanadi.

Agar ma'lumotlar mos yozuvlar autentifikatsiyasi muvaffaqiyatli deb hisoblanadi, agar farq bo'lsa, mavzu 1-bosqichga o'tadi

Mavzu tomonidan kiritilgan parol tarmoq orqali ikki usulda uzatilishi mumkin:

Parolni autentifikatsiya qilish protokoli (PAP) asosida shifrlanmagan, aniq

SSL yoki TLS shifrlashdan foydalanish. Bunday holda, sub'ekt tomonidan kiritilgan noyob ma'lumotlar tarmoq orqali xavfsiz tarzda uzatiladi.

Bir martalik parollar yordamida autentifikatsiya.

Ob'ektning qayta ishlatilishi mumkin bo'lgan parolini olgandan so'ng, tajovuzkor buzilgan maxfiy ma'lumotlarga doimiy kirish huquqiga ega. Bu muammo bir martalik parollar (OTP -- One Time Password) yordamida hal qilinadi. Ushbu usulning mohiyati shundaki, parol faqat bitta login uchun amal qiladi, har bir keyingi kirish so'rovi bilan yangi parol talab qilinadi. Bir martalik parollar uchun autentifikatsiya mexanizmi apparat va dasturiy ta'minotda ham amalga oshirilishi mumkin.

Bir martalik parollardan foydalanish texnologiyalarini quyidagilarga bo'lish mumkin:

Ob'ekt va tizim uchun umumiy bo'lgan psevdo-tasodifiy raqamlar generatoridan foydalanish;

Vaqt belgilaridan universal vaqt tizimi bilan birgalikda foydalanish;

Mavzu va tizim uchun umumiy tasodifiy parollar bazasidan foydalanish.

Ko'p faktorli autentifikatsiya.

So'nggi paytlarda kengaytirilgan yoki ko'p faktorli autentifikatsiya tobora ko'proq foydalanilmoqda. U bir nechta autentifikatsiya omillarini almashish asosida qurilgan. Bu tizimning xavfsizligini sezilarli darajada oshiradi. Mobil telefonlarda SIM-kartalardan foydalanish misol bo'la oladi. Mavzu o'z kartasini (autentifikatsiya qurilmasini) telefonga kiritadi va yoqilgandan so'ng PIN-kodni (parol) kiritadi. Bundan tashqari, masalan, ba'zi zamonaviy noutbuklar va smartfonlarda barmoq izlari skaneri mavjud. Shunday qilib, tizimga kirishda sub'ekt ushbu protseduradan (biometriya) o'tishi kerak, so'ngra parolni kiriting. Tizim uchun autentifikatsiya qilishning u yoki bu omillari yoki usulini tanlashda, birinchi navbatda, zarur xavfsizlik darajasi, tizimni qurish xarajatlari va sub'ektning harakatchanligini ta'minlash kerak.

Biometrik autentifikatsiya.

Inson biometrik parametrlarini o'lchashga asoslangan autentifikatsiya usullari deyarli 100% identifikatsiyani ta'minlaydi, parollar va shaxsiy identifikatorlarni yo'qotish muammolarini hal qiladi.

Eng ko'p ishlatiladigan biometrik atributlar va tegishli tizimlar:

Barmoq izlari;

qo'l geometriyasi;

iris;

Yuzning termal tasviri;

Klaviaturadan kiritish;

Shu bilan birga, biometrik autentifikatsiyaning bir qator kamchiliklari bor:

Biometrik shablon foydalanuvchi xususiyatlarini dastlabki qayta ishlash natijasi bilan emas, balki taqqoslash joyiga kelgan narsa bilan taqqoslanadi. Yo'lda ko'p narsa yuz berishi mumkin.

Shablon bazasi tajovuzkor tomonidan o'zgartirilishi mumkin.

Nazorat qilinadigan hududda, xavfsizlik nazorati ostida va "dala" sharoitida biometrikadan foydalanish o'rtasidagi farqni hisobga olish kerak, qachonki, masalan, qo'g'irchoq va hokazolarni skanerlashga olib kelish mumkin. qurilma.

Inson biometrik ma'lumotlarining ba'zi o'zgarishlari (qarish va jarohatlar, kuyishlar, kesishlar, kasallik, amputatsiya va boshqalar natijasida), shuning uchun shablonlar bazasi doimiy parvarish qilishni talab qiladi va bu ham foydalanuvchilar, ham ma'murlar uchun muayyan muammolarni keltirib chiqaradi.

Agar sizning biometrik ma'lumotlaringiz o'g'irlangan yoki buzilgan bo'lsa, u odatda umrbod bo'ladi. Parollar, ularning ishonchsizligiga qaramay, oxirgi chora sifatida o'zgartirilishi mumkin. Barmoqni, ko'zni yoki ovozni hech bo'lmaganda tezda o'zgartirib bo'lmaydi.

Biometrik xususiyatlar noyob identifikatorlardir, ammo ularni sir saqlash mumkin emas.

Autentifikatsiya protsedurasi kompyuterlar o'rtasida ma'lumot almashishda qo'llaniladi, juda murakkab kriptografik protokollar esa aloqa liniyasini o'zaro aloqa ishtirokchilaridan birini tinglash yoki almashtirishdan himoya qilish uchun ishlatiladi. Va, qoida tariqasida, autentifikatsiya tarmoq shovqinini o'rnatadigan ikkala ob'ekt uchun zarur bo'lganligi sababli, autentifikatsiya o'zaro bo'lishi mumkin.

Shunday qilib, autentifikatsiyaning bir nechta oilalarini ajratish mumkin:

Kompyuterda foydalanuvchi autentifikatsiyasi:

Shifrlangan ism (kirish)

Parolni autentifikatsiya qilish protokoli, PAP (login-parolni bog'lash)

Kirish kartasi (sertifikatli USB, SSO)

Tarmoq autentifikatsiyasi -

Raqamli imzo yordamida SNMP xavfsizligini ta'minlang

SAML (Security Assertion Markup Language)

seans kukilari

Kerberos chiptalari

X.509 sertifikatlari

Windows NT 4 oilasining operatsion tizimlari NTLM (NT LAN Manager) protokolidan foydalanadi. Windows 2000/2003 domenlarida esa ancha rivojlangan Kerberos protokoli qo'llaniladi.

Mudofaani chuqur qurish nuqtai nazaridan, autentifikatsiya himoyaning barcha darajalarida qo'llaniladi. Autentifikatsiya nafaqat xodimlar tomonidan (himoya qilinadigan ob'ektga, maxsus binolarga kirishda, har qanday tashuvchida maxfiy ma'lumotlarni olishda, kompyuter tizimiga kirishda, dasturiy va texnik vositalardan foydalanishda), balki har bir alohida ish stantsiyasi, dastur, ommaviy axborot vositalari tomonidan amalga oshirilishi kerak. ma'lumotlar, ish stantsiyalariga ulangan asboblar, serverlar va boshqalar.

2.2.5 Faervollar

Xavfsizlik devori (ME) mahalliy (bitta komponentli) yoki funktsional taqsimlangan dasturiy ta'minot (dasturiy ta'minot va apparat) vositasi (kompleks) bo'lib, AS ga kiruvchi va/yoki AS dan chiqadigan ma'lumotlar ustidan nazoratni amalga oshiradi. ME ma'lumotni filtrlash orqali ASni himoya qilishni ta'minlaydi, ya'ni. uni mezonlar to'plami bo'yicha tahlil qilish va berilgan qoidalar asosida uni ASga (dan) taqsimlash to'g'risida qaror qabul qilish, shu bilan sub'ektlarning bir ASdan boshqa AS ob'ektlariga kirishini chegaralash. Har bir qoida sub'ektlar va ob'ektlar o'rtasida ma'lum turdagi ma'lumotlarni uzatishni taqiqlaydi yoki ruxsat beradi. Natijada, bitta AS sub'ektlari faqat boshqa ASdan ruxsat berilgan axborot ob'ektlariga kirish huquqiga ega bo'ladilar. Qoidalar to'plamini talqin qilish ma'lumotlarni (paketlarni) keyingi filtr yoki protokol qatlamiga o'tkazishga ruxsat beruvchi yoki rad etuvchi bir qator filtrlar tomonidan amalga oshiriladi. ME xavfsizligining beshta toifasi o'rnatilgan.

Har bir sinf axborot xavfsizligi talablarining ma'lum bir minimal to'plami bilan tavsiflanadi.

Eng past xavfsizlik klassi beshinchi bo'lib, 1D toifali dinamiklarning atrof-muhit bilan xavfsiz o'zaro ta'siri uchun ishlatiladi, to'rtinchisi - 1G uchun, uchinchisi - 1B, ikkinchisi - 1B, eng yuqori - birinchi, 1A sinfidagi dinamiklarning xavfsiz o'zaro ta'siri uchun ishlatiladi. atrof-muhit bilan.

MEga qo'yiladigan talablar Rossiya FSTEC ko'rsatmalariga muvofiq kompyuter uskunalari (CVT) va AS talablarini istisno qilmaydi "Kompyuter uskunalari. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko‘rsatkichlari” va “Avtomatlashtirilgan tizimlar. Axborotga ruxsatsiz kirishdan himoya qilish. Avtomatlashtirilgan tizimlarning tasnifi va axborotni muhofaza qilish talablari.

Agar ME ma'lum bir xavfsizlik sinfining ASga kiritilgan bo'lsa, unga MEni qo'shish orqali asl nusxadan olingan umumiy ASning xavfsizlik klassi kamaytirilmasligi kerak.

3B, 2B sinfidagi AESlar uchun kamida 5-sinfdagi ME qo'llanilishi kerak.

AU 3A, 2A sinflari uchun, qayta ishlanayotgan ma'lumotlarning ahamiyatiga qarab, quyidagi sinflarning ME qo'llanilishi kerak:

"maxfiy" deb tasniflangan ma'lumotlarni qayta ishlashda - 3-sinfdan past bo'lmagan;

"o'ta maxfiy" ma'lumotlarga ishlov berishda - 2-sinfdan past bo'lmagan;

"Alohida ahamiyatga ega" deb tasniflangan ma'lumotlarni qayta ishlashda - 1-sinfdan past bo'lmagan.

ME NSD axborot xavfsizligi tizimining standart elementi bo'lib, kirishni boshqarish quyi tizimiga kiruvchi ma'lumotlar oqimini boshqaruvchi vositadir.

Ajratish nuqtai nazaridan, xavfsizlik devori ham himoyalangan tizimning perimetri bo'ylab, ham uning alohida elementlarida, masalan, ish stantsiyalari va serverlarida o'rnatilgan dasturiy xavfsizlik devorlarida joylashgan bo'lishi mumkin.

Demilitarizatsiya zonasi.

DMZ (demilitarizatsiya zonasi, DMZ) axborot perimetrini himoya qilish texnologiyasi bo'lib, unda serverlar so'rovlarga javob beradi. tashqi tarmoq, maxsus tarmoq segmentida (DMZ deb ataladi) joylashgan va zonada joylashgan davlat xizmatlaridan biri buzilganda zararni minimallashtirish uchun xavfsizlik devori (xavfsizlik devori) yordamida asosiy tarmoq segmentlariga kirish cheklangan.

Xavfsizlik talablariga qarab, DMZ bitta, ikkita yoki uchta xavfsizlik devoriga ega bo'lishi mumkin.

Yagona xavfsizlik devori konfiguratsiyasi.

Ushbu DMZ sxemasida ichki tarmoq va tashqi tarmoq tarmoqlar orasidagi ulanishlarni boshqaradigan yo'riqnoma (xavfsizlik devori vazifasini bajaradi)dagi turli portlarga ulangan. Bunday sxemani amalga oshirish oson, faqat bitta qo'shimcha port kerak. Biroq, agar yo'riqnoma buzilgan (yoki noto'g'ri sozlangan) bo'lsa, tarmoq tashqi tarmoqdan bevosita ta'sir qiladi.

Ikkita xavfsizlik devori bilan konfiguratsiya.

Ikkilamchi xavfsizlik devori konfiguratsiyasida DMZ ikkita marshrutizatorga ulanadi, ulardan biri tashqi tarmoqdan DMZ ga ulanishni cheklaydi, ikkinchisi esa DMZ dan ichki tarmoqqa ulanishlarni nazorat qiladi. Bunday sxema tashqi tarmoq bilan o'zaro aloqada bo'lgan har qanday xavfsizlik devori yoki serverlarni buzish oqibatlarini minimallashtirishga imkon beradi - ichki xavfsizlik devori buzilmagan ekan, tajovuzkor ichki tarmoqqa tasodifiy kirish huquqiga ega bo'lmaydi.

Uchta xavfsizlik devori konfiguratsiyasi.

Uchta xavfsizlik devori bilan noyob konfiguratsiya mavjud. Ushbu konfiguratsiyada birinchisi tashqi tarmoqdan so'rovlarni boshqaradi, ikkinchisi DMZ tarmoq ulanishlarini, uchinchisi esa ichki tarmoq ulanishlarini boshqaradi. Bunday konfiguratsiyada DMZ va ichki tarmoq odatda NAT (tarmoq manzili tarjimasi) orqasida yashiringan.

Bittasi asosiy xususiyatlar DMZ nafaqat ichki xavfsizlik devoridagi trafikni filtrlash, balki ichki tarmoqning faol uskunalari va DMZ o'rtasidagi o'zaro aloqada majburiy kuchli kriptografiya talabidir. Xususan, DMZdagi serverdan so'rovni ruxsatsiz qayta ishlash mumkin bo'lgan holatlar bo'lmasligi kerak. Agar DMZ perimetr ichidagi ma'lumotni ichkaridan oqishdan himoya qilish uchun ishlatilsa, ichki tarmoqdan foydalanuvchi so'rovlarini qayta ishlash uchun shunga o'xshash talablar qo'llaniladi.

Chuqur mudofaa nuqtai nazaridan, DMZ DOE ning bir qismi sifatida belgilanishi mumkin, ammo DMZ faqat ba'zi ma'lumotlar jamoat mulki bo'lishi kerak bo'lganda talab qilinadi (masalan, veb-sayt). DMZ, xuddi ME kabi, himoyalangan tarmoqning chekkasida amalga oshiriladi va agar kerak bo'lsa, har biri o'z xavfsizlik siyosatiga ega bo'lgan bir nechta bunday zonalar bo'lishi mumkin. Shunday qilib, bu erda birinchi daraja - DMZ-ga kirishda himoya, ikkinchisi - ichki tarmoqni himoya qilish. Shu sababli, DMZ-ga kirishning o'zi qiyin, ammo yaxshi sharoitlarda ham ichki tarmoqni buzish deyarli mumkin emas.

VPN (ingliz. Virtual Private Network - virtual xususiy tarmoq) - boshqa tarmoq (masalan, Internet) orqali bir yoki bir nechta tarmoq ulanishlarini (mantiqiy tarmoq) taqdim etish imkonini beruvchi texnologiyalarning umumlashtirilgan nomi. Aloqa ishonch darajasi pastroq yoki noma'lum bo'lgan tarmoqlar orqali (masalan, umumiy tarmoqlar orqali) amalga oshirilishiga qaramay, qurilgan mantiqiy tarmoqqa ishonch darajasi asosiy tarmoqlarga ishonch darajasiga bog'liq emas. kriptografik vositalardan foydalanish (shifrlash, autentifikatsiya, ochiq kalitlar infratuzilmasi, xabarlarning mantiqiy tarmog'i orqali uzatiladigan takrorlash va o'zgarishlardan himoya qilish vositalari).

Amaldagi protokollar va maqsadga qarab, VPN ulanishlarni ta'minlashi mumkin uch tur: tugundan tugunga, tugundan tarmoqqa va tarmoqdan tarmoqqa.

Odatda, VPN-lar tarmoqdan yuqori bo'lmagan darajalarda joylashtiriladi, chunki bu darajalarda kriptografiyadan foydalanish transport protokollaridan (TCP, UDP kabi) o'zgarishsiz foydalanishga imkon beradi.

Microsoft Windows foydalanuvchilari VPN atamasini virtual tarmoqning amalga oshirilishidan biri - PPTPga murojaat qilish uchun ishlatishadi va ko'pincha shaxsiy tarmoqlarni yaratish uchun ishlatilmaydi.

Ko'pincha virtual tarmoqni yaratish uchun PPP protokolining boshqa protokolga inkapsulyatsiyasi qo'llaniladi - IP (bu usul PPTP - Nuqtadan nuqtaga tunnel protokolini amalga oshirishdan foydalanadi) yoki Ethernet (PPPoE) (garchi ularda farqlar ham bor). ). Yaqinda VPN texnologiyasi nafaqat shaxsiy tarmoqlarni yaratish uchun, balki postsovet hududidagi ba'zi "so'nggi mil" provayderlari tomonidan Internetga kirishni ta'minlash uchun ham qo'llanildi.

Tegishli darajada amalga oshirish va maxsus dasturiy ta'minotdan foydalanish bilan VPN tarmog'i uzatiladigan ma'lumotlarni shifrlashning yuqori darajasini ta'minlashi mumkin. Barcha komponentlar to'g'ri sozlangan bo'lsa, VPN texnologiyasi Internetda anonimlikni ta'minlaydi.

VPN echimlarini bir nechta asosiy parametrlarga ko'ra tasniflash mumkin:

Amaldagi atrof-muhit xavfsizligi darajasiga ko'ra:

Xavfsiz - virtual xususiy tarmoqlarning eng keng tarqalgan versiyasi. Uning yordami bilan ishonchsiz tarmoq, odatda Internetga asoslangan ishonchli va xavfsiz tarmoqni yaratish mumkin. Xavfsiz VPNlarga misollar: IPSec, OpenVPN va PPTP.

Ishonchli - uzatish vositasi ishonchli deb hisoblanishi mumkin bo'lgan hollarda qo'llaniladi va faqat kattaroq tarmoq ichida virtual pastki tarmoqni yaratish muammosini hal qilish kerak. Xavfsizlik masalalari ahamiyatsiz bo'lib qoladi. Bunday VPN yechimlariga misollar: Ko'p protokolli yorliqlarni almashtirish (MPLS) va L2TP (Layer 2 Tunneling Protocol).

Amalga oshirish usuli:

Maxsus dasturiy ta'minot va apparat ko'rinishida - VPN tarmog'ini amalga oshirish maxsus dasturiy ta'minot va texnik vositalar to'plami yordamida amalga oshiriladi. Ushbu amalga oshirish yuqori mahsuldorlikni va qoida tariqasida yuqori darajadagi xavfsizlikni ta'minlaydi.

Sifatida dasturiy yechim- VPN funksiyasini ta'minlovchi maxsus dasturiy ta'minotga ega shaxsiy kompyuterdan foydalanish.

Integratsiyalashgan yechim - VPN funksionalligi tarmoq trafigini filtrlash, xavfsizlik devorini tashkil qilish va xizmat ko'rsatish sifatini ta'minlash vazifalarini ham hal qiladigan kompleks tomonidan taqdim etiladi.

Uchrashuv bo'yicha:

Intranet VPN - bitta tashkilotning bir nechta taqsimlangan filiallarini yagona xavfsiz tarmoqqa birlashtirish, ochiq aloqa kanallari orqali ma'lumotlarni almashish uchun ishlatiladi.

Masofaviy kirish VPN korporativ tarmoq segmenti (markaziy ofis yoki filial) va uyda ishlayotganda uy kompyuteri, korporativ noutbuk, smartfon yoki internet kioskidan korporativ resurslarga ulanadigan bitta foydalanuvchi o'rtasida xavfsiz kanal yaratish uchun ishlatiladi.

Extranet VPN - "tashqi" foydalanuvchilar (masalan, mijozlar yoki mijozlar) ulanadigan tarmoqlar uchun ishlatiladi. Ularga bo'lgan ishonch darajasi kompaniya xodimlariga qaraganda ancha past, shuning uchun ularning ayniqsa qimmatli, maxfiy ma'lumotlarga kirishiga to'sqinlik qiladigan yoki cheklaydigan maxsus himoya "chegaralarini" ta'minlash kerak.

Internet VPN - provayderlar tomonidan Internetga kirishni ta'minlash uchun ishlatiladi, odatda, agar bir nechta foydalanuvchi bitta jismoniy kanal orqali ulansa. PPPoE protokoli ADSL ulanishlarida standartga aylandi.

L2TP 2000-yillarning o'rtalarida uy tarmoqlarida keng tarqalgan edi: o'sha kunlarda intranet trafiki to'lanmagan, tashqi trafik esa qimmat edi. Bu xarajatlarni nazorat qilish imkonini berdi: VPN ulanishi o'chirilganda, foydalanuvchi hech narsa to'lamaydi. Hozirgi vaqtda (2012) simli Internet arzon yoki cheksizdir va foydalanuvchi tomonida ko'pincha Internetni yoqish va o'chirish kompyuterdagi kabi qulay bo'lmagan router mavjud. Shuning uchun, L2TP kirish o'tmishda qoldi.

Mijoz/Server VPN - bu korporativ tarmoqning ikkita tugunlari (tarmoqlar emas) o'rtasida uzatiladigan ma'lumotlarni himoya qilishni ta'minlaydi. Ushbu parametrning o'ziga xos xususiyati shundaki, VPN odatda bir xil tarmoq segmentida joylashgan tugunlar o'rtasida, masalan, o'rtasida qurilgan. ish stantsiyasi va server. Bu ehtiyoj juda tez-tez bitta jismoniy tarmoqda bir nechta mantiqiy tarmoqlarni yaratish zarur bo'lgan hollarda paydo bo'ladi. Masalan, moliyaviy bo'lim va kadrlar bo'limi o'rtasida trafikni taqsimlash kerak bo'lganda, bir xil jismoniy segmentda joylashgan serverlarga kirish. Ushbu parametr VLAN texnologiyasiga o'xshaydi, lekin trafikni ajratish o'rniga u shifrlangan.

Protokol turi bo'yicha - TCP / IP, IPX va AppleTalk ostida virtual xususiy tarmoqlarni amalga oshirish mavjud. Ammo bugungi kunda TCP / IP protokoliga umumiy o'tish tendentsiyasi mavjud va VPN echimlarining aksariyati uni qo'llab-quvvatlaydi. Undagi manzil ko'pincha RFC5735 standartiga muvofiq, Xususiy TCP / IP tarmoqlari qatoridan tanlanadi.

Tarmoq protokoli qatlami bo'yicha - ISO/OSI mos yozuvlar tarmog'i modeli qatlamlari bilan taqqoslash asosida.

VPN-ga asoslangan mudofaa turli ishlab chiqaruvchilarning uskunalarida ikkita (yoki undan ko'p) himoya perimetrlarini o'z ichiga olishi kerak. Bunday holda, bitta etkazib beruvchining mudofaa chizig'ida "teshik" dan foydalanish texnikasi boshqasini hal qilishda qo'llanilmaydi. Bunday ikki bosqichli yechim majburiydir texnologik talab ko'plab korporativ tarmoqlar uchun, xususan, Shveytsariya bank tarmoqlarida juda keng tarqalgan.

Shakl 1. Himoyalangan perimetrlarning o'zaro ta'sirining stsenariylari.

2-rasm. 1-rasmda foydalanilgan belgilar.

Cisco mahsulotlari va CSP VPN-ga asoslangan ikki qatlamli tarmoq xavfsizligi arxitekturasining bir qismi sifatida xavfsiz perimetrlarning o'zaro ta'siri uchun quyidagi asosiy stsenariylar amalga oshiriladi (1-rasm):

Korporativ foydalanuvchilarning Internetga kirishi.

Tashqi perimetrlarning xavfsiz o'zaro ta'siri.

Uzoq foydalanuvchilar uchun tashqi perimetr tarmog'iga xavfsiz kirish.

Masofaviy foydalanuvchilar uchun ichki perimetr tarmog'iga xavfsiz kirish.

Ichki perimetrlarning xavfsiz o'zaro ta'siri.

Ichki himoyalangan sxemalarni yaratish va mijoz-server ilovalarini himoya qilish.

Asosiy stsenariylarning texnik amalga oshirilishi xilma-xil va quyidagilarga bog'liq:

biz nimani himoya qilamiz (himoya ob'ektlari nima, ular qanday tasdiqlangan),

himoyalangan ob'ektlar joylashgan joyda (tarmoq topologiyasi),

himoyalarni qanday qo'llashni xohlaymiz (kirishni boshqarish siyosati va IPsec tunnel tuzilishi).

2.2.7 Bosqinlarni aniqlash tizimi

Buzilishlarni aniqlash tizimi (IDS) - bu kompyuter tizimi yoki tarmog'iga ruxsatsiz kirish yoki ularni asosan Internet orqali ruxsatsiz boshqarish faktlarini aniqlash uchun mo'ljallangan dasturiy yoki apparat vositasi. Ingliz tiliga mos keladigan atama - Intrusion Detection System (IDS). Intrusionlarni aniqlash tizimlari kompyuter tizimlari uchun qo'shimcha himoya qatlamini ta'minlaydi.

Intrusionlarni aniqlash tizimlari kompyuter tizimining xavfsizligini buzishi mumkin bo'lgan ma'lum turdagi zararli harakatlarni aniqlash uchun ishlatiladi. Bunday faoliyatga zaif xizmatlarga qarshi tarmoq hujumlari, imtiyozlarni oshirish hujumlari, muhim fayllarga ruxsatsiz kirish va zararli dasturiy ta'minot (kompyuter viruslari, troyanlar va qurtlar) kiradi.

Odatda, IDS arxitekturasi quyidagilarni o'z ichiga oladi:

Himoyalangan tizim xavfsizligi bilan bog'liq hodisalarni to'plash uchun mo'ljallangan sensor quyi tizimi

Sensor ma'lumotlari asosida hujumlar va shubhali harakatlarni aniqlash uchun mo'ljallangan tahlil quyi tizimi

Birlamchi hodisalar va tahlil natijalarini to'plashni ta'minlaydigan saqlash

IDS-ni sozlash, himoyalangan tizim va IDS holatini kuzatish, tahlil quyi tizimi tomonidan aniqlangan hodisalarni ko'rish imkonini beruvchi boshqaruv konsoli

Datchiklarning turi va joylashuviga, shuningdek, shubhali faoliyatni aniqlash uchun tahlil quyi tizimi tomonidan qo'llaniladigan usullarga qarab IDSni tasniflashning bir necha usullari mavjud. Ko'pgina oddiy IDSlarda barcha komponentlar bitta modul yoki qurilma sifatida amalga oshiriladi.

Sensorlarning joylashuvi bo'yicha IDS tasnifidan foydalanib, tarmoq (tarmoq IDS), server (protokol IDS) va xost (tugun IDS) darajalarida joylashgan qatlamli IDSni aniqlash mumkin. Xuddi shu tasnifga ko'ra, gibrid IDSlarni darhol qatlamli IDSlar deb tasniflash mumkin, chunki ular asosiy ajratish talablariga javob beradi.

Tarmoqqa ulangan IDSda sensorlar tarmoqning diqqatga sazovor joylarida, ko'pincha qurolsizlantirilgan zonada yoki tarmoqning chetida joylashgan. Sensor barcha tarmoq trafigini ushlab turadi va har bir paket tarkibini zararli komponentlar uchun tahlil qiladi. Protokol IDS'lari ma'lum protokollar qoidalarini yoki til sintaksisini (masalan, SQL) buzadigan trafikni kuzatish uchun ishlatiladi. Xost IDS-larida sensor odatda o'rnatilgan xost faoliyatini nazorat qiluvchi dasturiy ta'minot agenti hisoblanadi. Ro'yxatda keltirilgan IDS turlarining gibrid versiyalari ham mavjud.

Tarmoqqa asoslangan IDS (NIDS) tarmoq trafigini tekshirish va bir nechta xostlarni kuzatish orqali kirishni nazorat qiladi. tarmoq tizimi tajovuzni aniqlash portni aks ettirish uchun sozlangan markaz yoki kalitga yoki tarmoq TAP qurilmasiga ulanish orqali tarmoq trafigiga kiradi. Tarmoqqa ulangan IDS ga misol Snort.

Protokolga asoslangan IDS (PIDS) - bog'langan tizimlar yoki foydalanuvchilar bilan aloqa protokollarini kuzatuvchi va tahlil qiluvchi tizim (yoki agent). Veb-server uchun bunday IDS odatda HTTP va HTTPS protokollarini nazorat qiladi. HTTPS dan foydalanilganda, HTTPS paketlarini shifrlash va tarmoqqa yuborishdan oldin tekshirish uchun IDS shunday interfeysda joylashgan bo'lishi kerak.

Ilova protokoliga asoslangan IDS (APIDS) - bu dasturga xos protokollar yordamida uzatiladigan ma'lumotlarni kuzatuvchi va tahlil qiluvchi tizim (yoki agent). Misol uchun, SQL ma'lumotlar bazasiga ega veb-serverda IDS serverga yuborilgan SQL buyruqlari tarkibini kuzatib boradi.

Xostga asoslangan IDS (HIDS) - bu xostda joylashgan tizim (yoki agent) bo'lib, tizim qo'ng'iroqlari, ilovalar jurnallari, fayllarni o'zgartirish (bajariladigan, parol fayllari, tizim ma'lumotlar bazalari), xost holati va boshqa manbalar tahlili yordamida tajovuzlarni kuzatadi. Masalan, OSSEC.

Gibrid IDS IDSni ishlab chiqishda ikki yoki undan ortiq yondashuvlarni birlashtiradi. Xostlardagi agentlardan olingan ma'lumotlar tarmoq xavfsizligi haqida to'liq tasavvurni ta'minlash uchun tarmoq ma'lumotlari bilan birlashtiriladi. Gibrid IDSga misol Prelude.

IDS va xavfsizlik devori ikkala oqimni boshqarish vositalari bo'lsa-da, xavfsizlik devori kirishni oldini olish uchun xost yoki quyi tarmoqqa ma'lum turdagi trafikni cheklab qo'yishi va tarmoq ichida sodir bo'layotgan hujumlarni kuzatmasligi bilan farq qiladi. IDS, aksincha, trafikning o'tishiga imkon beradi, uni tahlil qiladi va shubhali faoliyat aniqlanganda signal beradi. Xavfsizlik buzilishini aniqlash odatda evristik qoidalar va ma'lum kompyuter hujumlarining imzo tahlili yordamida amalga oshiriladi.

3. ISHNING ASOSIY NATIJALARI

Ish jarayonida qatlamli axborot xavfsizligi tizimini qurishning asosiy printsipi - "ajralish" o'rganildi. Bu shuni anglatadiki, axborot xavfsizligi tizimining ko'plab mustaqil komponentlari bir joyda o'rnatilmasligi, balki "eshelonlangan" - himoyalangan tizimning turli darajalari (eshelonlari) bo'yicha taqsimlanishi kerak. Shu sababli, tizimning "haddan tashqari himoyalanish" holatiga erishiladi, unda bir komponentning zaif tomonlari boshqa komponentlar bilan qoplanadi.

"Ofis" tipidagi kompyuter tizimlarida qatlamli SZIni shakllantirishda qo'llaniladigan mustaqil vositalar ham o'rganildi:

Antivirus dasturlari;

Ro'yxatga olish va audit;

Jismoniy himoya;

autentifikatsiya va parolni himoya qilish;

Faervollar;

Demilitarizatsiya zonasi;

Intrusionlarni aniqlash tizimi.

Har bir komponent uchun uni qanday darajada o'rnatish zarurligi ko'rib chiqildi va Rossiya FSTEC hujjatlariga muvofiq talablar qo'yildi.

FOYDALANILGAN MA'LUMOT MANBALARI RO'YXATI

Rossiya FSTECning rahbarlik hujjati “Kompyuter vositalari. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari. 1992 yil 30 mart;

Rossiya FSTEC ning rahbarlik hujjati “Avtomatlashtirilgan tizimlar. Axborotga ruxsatsiz kirishdan himoya qilish. Avtomatlashtirilgan tizimlarning tasnifi va axborotni muhofaza qilish talablari” 1992 yil 30 mart;

“Kompyuter vositalari. Faervollar. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari» 1997 yil 25 iyul;

Allbest.ru saytida joylashgan

Shunga o'xshash hujjatlar

Ruxsatsiz kirish usullari, axborotni himoya qilish usullari va vositalarining tasnifi. LANda axborot xavfsizligi usullarini tahlil qilish. Identifikatsiya va autentifikatsiya, ro'yxatga olish va audit, kirishni nazorat qilish. Kompyuter tizimlari xavfsizligi tushunchalari.

dissertatsiya, 2011-04-19 qo'shilgan

Zaruriy himoya darajasi va tarmoq samaradorligi o'rtasida tanlov muammosi. Tarmoqlarda axborotni himoya qilishni ta'minlash mexanizmlari: kriptografiya, elektron imzo, autentifikatsiya, tarmoqni himoya qilish. Axborotni himoya qilishning zamonaviy vositalariga qo'yiladigan talablar.

muddatli ish, 2008-01-12 qo'shilgan

Axborot xavfsizligi talablari. Avtomatlashtirilgan tizimning tasnifi. Axborotni himoya qilishning zarur darajasiga ta'sir qiluvchi omillar. Jismoniy ma'lumotlarni himoya qilish. Uzluksiz quvvat manbalarini o'rnatish. Identifikatsiya va autentifikatsiya, kirishni boshqarish.

muddatli ish, 29.11.2014 yil qo'shilgan

Axborotni ruxsatsiz kirishdan himoya qilish usullari va vositalari. Kompyuter tarmoqlarida axborotni himoya qilish xususiyatlari. Kriptografik himoya va elektron raqamli imzo. Axborotni kompyuter viruslari va xakerlik hujumlaridan himoya qilish usullari.

referat, 23.10.2011 qo'shilgan

Kompyuter tarmoqlarida axborotni himoya qilish texnologiyalariga umumiy nuqtai: kriptografiya, elektron imzo, autentifikatsiya, tarmoqni himoya qilish. Avast tizimidan foydalangan holda mijoz mashinasida ma'lumotlarni himoya qilishni tashkil etish. Avast tizimini kompyuterda sozlash va sozlash.

muddatli ish, 05/11/2014 qo'shilgan

Kompyuter jinoyati tushunchasi. Axborotni muhofaza qilish va axborot xavfsizligining asosiy tushunchalari. Mumkin bo'lgan axborot tahdidlarining tasnifi. Tahdidlar paydo bo'lishining dastlabki shartlari. Axborot resurslarini himoya qilish usullari va usullari. Antivirus dasturlari turlari.

muddatli ish, 28.05.2013 qo'shilgan

Kompyuterni ruxsatsiz kirishdan himoya qilish uchun dasturiy ta'minot va apparat vositalari. "Sobol" elektron qulfi. SecretNet axborot xavfsizligi tizimi. Barmoq izlarini himoya qilish qurilmalari. Ochiq kalitlarni boshqarish, sertifikat organlari.

muddatli ish, 23.08.2016 qo'shilgan

Himoya ob'ektlarining xususiyatlari va ularga qo'yiladigan talablar. Oqish kanallarini aniqlash va himoya qilish talablari. Himoya vositalari va ularni joylashtirish. Murakkab ekranlash orqali axborotni himoya qilishning muqobil tizimi. Himoyalangan tuzilmalar, xonalar, kameralar.

muddatli ish, 2012-04-16 qo'shilgan

Texnik vositalar axborotni himoya qilish. Kompyuter tizimining xavfsizligiga asosiy tahdidlar. Ruxsatsiz kirishdan himoya qilish vositalari. Maxfiy ma'lumotlarning sizib chiqishini oldini olish tizimlari. Himoya tizimlarini tahlil qilish uchun asboblar.

taqdimot, 11/18/2014 qo'shilgan

Axborotni himoya qilish ob'ekti sifatida tahlil qilish va axborot xavfsizligiga qo'yiladigan talablarni o'rganish. Axborotni muhofaza qilish ob'ektini boshqarish tizimini ishlab chiqish va himoya qilishning muhandislik-texnik tadbirlarini tadqiq qilish. Packet Tracer dasturi yordamida obyektni himoya qilishni amalga oshirish.

Millionlab dollarlarni ishlab chiqish uchun Rossiya havo mudofaasi va raketaga qarshi mudofaa tizimini yengib o'tish mumkin bo'ladi, deb yozadi Amerika jurnali The National Interest. Nashr xulosalariga ko'ra, AQSh armiyasi yuqori texnologiyali dushmanga qarshi turish tajribasiga ega emas, shuning uchun Rossiya Federatsiyasi bilan yuzaga kelishi mumkin bo'lgan harbiy mojaroning natijasini oldindan aytib bo'lmaydi. Maqola muallifining ta'kidlashicha, operatsiya sodir bo'lgan taqdirda, zamonaviy yashirin samolyotlar va Tomahawks kabi qanotli raketalar tutib qolish xavfi ostida qoladi. Amerika qurollarining imkoniyatlari va Rossiya havo mudofaasi salohiyati haqida - RT materialida.

Pentagonning yashirin texnologiyalardan keng foydalangan holda samolyotlarni yaratishga investitsiyalari Rossiyaning "kirish va manevrlarni cheklash va taqiqlash" tizimiga qarshi kafolatlangan natijani bermaydi (A2 / AD - kirishga qarshi va hududni rad etish). Bu haqda Amerikaning The National Interest nashri yozgan.

A2 / AD - bu G'arbda keng tarqalgan atama bo'lib, bu davlat chegaralardan yuzlab va o'nlab kilometr uzoqlikda havo hujumi qurollarini tutib olish va dushmanning quruqlik va dengiz nishonlariga profilaktik zarbalar berishga qodir uzoq masofali tizimlarga ega ekanligini anglatadi.

Xorijdagi nashrning ta'kidlashicha, Rossiyada "havo minalangan maydon" mavjud bo'lib, u "NATO mojaro yuzaga kelgan taqdirda qandaydir tarzda zararsizlantirishi yoki aylanib o'tishi kerak". Moskvaning asosiy ustunligi qatlamli havo mudofaa tizimi bo'lib, uning asosiy "afzalliklari masofa, aniqlik va harakatchanlikdir".

The National Interest nashrining yozishicha, Rossiya havo hududiga bostirib kirilgan taqdirda nafaqat oxirgi amerika samolyotlari, balki dengizga asoslangan qanotli raketalar ham (biz Tomahawks haqida gapiramiz). Shu sababdan " Eng yaxshi yo'l havo hujumidan mudofaa tizimlariga qarshilik ko‘rsatish – ulardan qochishdir”, deb xulosa qiladi jurnal.

Osmonni boshqarish

G'arb matbuotida NATO samolyotlari va raketalarining havo hujumiga qarshi mudofaa / raketaga qarshi mudofaa tizimlariga nisbatan zaifligi haqida keng tarqalgan nuqtai nazar mavjud. rus qo'shinlari. Harbiy ekspert Yuriy Knutovning fikricha, bu AQShning boshlash odatiga asoslangan jang qilish faqat to'liq havo ustunligiga erishilganda.

"Amerikaliklar hech qachon qo'mondonlik punktlari va havo hujumidan mudofaa tizimlarini yo'q qilmasdan turib hech qachon mamlakatga bostirib kirmaydi. Rossiya misolida bu mutlaqo imkonsiz holat. Shuning uchun ular hozirgi vaziyatdan juda g'azablangan. Shu bilan birga, Qo'shma Shtatlarda biz bilan bo'lishi mumkin bo'lgan urushga tayyorgarlik ko'rish jarayoni hech qachon tugamagan va amerikaliklar aviatsiya va qurollarni yaxshilashda davom etmoqda ", dedi Knutov RTga bergan intervyusida.

Mutaxassisning fikricha, AQSH aviatsiya texnologiyasini rivojlantirish boʻyicha anʼanaviy tarzda mamlakatimizdan oldinda boʻlgan. Biroq, yarim asr davomida rus olimlari NATOning eng so'nggi samolyotlari va raketalarini tutib olish va ularning elektron jihozlariga jiddiy xalaqit beradigan yuqori samarali qurollarni yaratdilar.

Sovet Ittifoqida qatlamli havo mudofaasi / raketaga qarshi mudofaa tizimini yaratishga katta e'tibor berildi. 1960-yillarning boshlariga qadar Amerika razvedka samolyotlari SSSR ustidan deyarli to'siqsiz uchib o'tdi. Biroq, birinchi zenit-raketa tizimlari (SAM) paydo bo'lishi va Sverdlovsk yaqinidagi U-2 ning yo'q qilinishi (1960 yil 1 may) bilan AQSh harbiy-havo kuchlarining mamlakatimiz hududi ustidagi parvozlarining intensivligi sezilarli darajada kamaydi.

Havo mudofaasini, shuningdek, raketa hujumidan ogohlantirish tizimlarini (SPRN) shakllantirish va rivojlantirishga katta mablag 'sarflandi. Natijada, SSSR ta'minlashga muvaffaq bo'ldi ishonchli himoya eng muhim ma'muriy markazlar, asosiy harbiy infratuzilma ob'ektlari, qo'mondonlik punktlari va sanoat zonalari.

Turli xil radiolokatsion stansiyalar (havo bo'shlig'ini kuzatish, nishonni aniqlash, razvedka), avtomatlashtirilgan boshqaruv tizimlari (radar ma'lumotlarini qayta ishlash va uni qo'mondonlikka etkazish), tiqilib qolish uskunalari va yong'inga qarshi tizimlar (havo hujumiga qarshi hujumlar) qabul qilindi. raketa tizimlari, jangchilar, elektron urush tizimlari).

1980-yillarning oxirigacha bosh soni SSSR havo mudofaasi kuchlari 500 ming kishidan oshdi. Sovet Ittifoqini Moskva havo hujumidan mudofaa okrugi, 3-alohida raketa hujumidan ogohlantiruvchi armiya, 9-alohida havo mudofaasi korpusi, 18-alohida kosmik boshqaruv korpusi va shtab-kvartiralari Minsk, Kiev, Sverdlovsk, Leningradda joylashgan sakkizta havo mudofaasi armiyasi himoya qildi. Arxangelsk, Toshkent, Novosibirsk, Xabarovsk va Tbilisi.

Hammasi bo'lib 1260 dan ortiq havo mudofaasi bo'linmalari, 211 zenit-raketa polklari, 28 radiotexnika polklari, 36 radiotexnika brigadalari, 70 ta havo mudofaasi qiruvchi polklari, 2,5 mingdan ortiq jangovar samolyotlar jangovar navbatchilikda edi.

SSSR parchalanganidan so'ng, geosiyosiy vaziyatning o'zgarishi va harbiy doktrinaning o'zgarishi tufayli havo hujumidan mudofaa kuchlari soni qisqartirildi. Endi Aerokosmik kuchlar tarkibiga Kosmik kuchlarning bo'linmalari (erta ogohlantirish tizimi uchun mas'ul), 1-Havo mudofaasi va raketaga qarshi mudofaa armiyasi (Moskva viloyatini himoya qiladi) va Rossiya Federatsiyasining janubini qamrab olgan beshta havo kuchlari va havo mudofaasi armiyasi kiradi. Markaziy Rossiyaning g'arbiy hududlari, Uzoq Sharq, Sibir, Volga bo'yi, Urals va Arktika.

Rossiya Mudofaa vazirligining ma'lumotlariga ko'ra, so'nggi yillarda Rossiya "asosiy raketaga moyil bo'lgan hududlarda" uzluksiz radar maydonini tikladi va so'nggi S-400 Triumf va Pantsir-S havosining kelishi tufayli havo hujumidan mudofaa tizimini mustahkamladi. mudofaa tizimlari, Tavrotning yangilangan versiyalari va “Buka.

Kelgusi yillarda harbiylar A-135 Amur raketaga qarshi mudofaa tizimini modernizatsiya qilishni yakunlashni va deyarli barcha ma'lum nishonlarni, shu jumladan orbital samolyotlar, sun'iy yo'ldoshlar, qit'alararo ballistik raketalarni tutib olishga qodir bo'lgan S-500 kompleksini ommaviy ishlab chiqarishni yo'lga qo'yishni rejalashtirmoqda. ularning jangovar kallaklari.

"Yuqori natijalar keltirmaydi"

Harbiy fanlar akademiyasi professori Vadim Kozyulin RT telekanaliga bergan intervyusida AQShda samolyotlar va raketalarning radar koʻrinishining pastligiga tayanishning asosliligi boʻyicha bahslar davom etayotganini taʼkidladi. Uning so‘zlariga ko‘ra, Qo‘shma Shtatlarda zamonaviy radarlar (birinchi navbatda, rossiyaliklar) havodagi “ko‘rinmas” deb ataladigan narsalarni osongina aniqlay olishidan qo‘rquv kuchaymoqda.

“Agar bu katta natijalar bermasa, bu yoʻnalishda qattiq ishlash mantiqiymi, degan savol tugʻiladi. Amerikaliklar yashirin texnologiyalarni ishlab chiqishda kashshoflar edi. Yashirin loyihalarga yuzlab milliard dollar sarflandi, biroq barcha ishlab chiqarish modellari ham umidni oqlamadi”, — dedi Kozyulin.

Radarning past ko'rinishiga samarali tarqalish maydonini (ESR) kamaytirish orqali erishiladi. Bu ko'rsatkich samolyot konstruktsiyasida tekis geometrik shakllar va maxsus radio yutuvchi materiallar mavjudligiga bog'liq. "Ko'rinmas" odatda RCS 0,4 kvadrat metrdan kam bo'lgan samolyot deb ataladi. m.

AQShning birinchi seriyali yashirin samolyoti 1981 yilda osmonga ko'tarilgan Lockheed F-117 Nighthawk taktik bombardimonchi samolyoti edi. Panama, Iroq va Yugoslaviyaga qarshi operatsiyalarda qatnashgan. O'z davri uchun ajoyib EPR ko'rsatkichiga qaramay (0,025 kvadrat metrdan 0,1 kvadrat metrgacha), F-117 juda ko'p muhim kamchiliklarga ega edi.

Haddan tashqari yuqori narx va ekspluatatsiya qilishda qiyinchilik bilan Nighthawk jangovar yuk (ikki tonnadan sal ko'proq) va masofa (taxminan 900 km) bo'yicha AQSh havo kuchlarining oldingi transport vositalaridan umidsiz ravishda ustun edi. Bundan tashqari, yashirin ta'sirga faqat radio sukunati rejimida erishildi (aloqa va "do'st yoki dushman" identifikatsiya tizimini o'chirish).

1999 yil 27 martda Amerikaning yuqori texnologiyali mashinasi Yugoslaviya havo mudofaasi kuchlarining Sovet havo mudofaa tizimi S-125 tomonidan otib tashlandi, u o'sha paytda eskirgan deb hisoblanadi. Bu F-117 ning yagona jangovar yo'qotishi edi. O'shandan beri harbiylar va ekspertlar o'rtasida bunday hodisa qanday sodir bo'lganligi haqida munozaralar to'xtamadi. 2008 yilda Nighthawk AQSh harbiy-havo kuchlaridan olib chiqilgan.

Amerika aviatsiyasining eng zamonaviy namunalari ham "ko'rinmas" bilan ifodalanadi. Beshinchi avlod F-22 birinchi samolyotining RCS 0,005-0,3 kvadrat metrni tashkil qiladi. m, so'nggi F-35 qiruvchisi - 0,001-0,1 kv. m, uzoq masofali bombardimonchi B-2 Spirit - 0,0014-0,1 kv. m Shu bilan birga, S-300 va S-400 havo mudofaa tizimlari o'rnatishga qodir. havo nishonlari EPR bilan 0,01 kv. m (aniq ma'lumotlar mavjud emas).

Kozyulinning ta'kidlashicha, G'arb va mahalliy ommaviy axborot vositalari ko'pincha ruscha yoki yo'qligini aniqlashga harakat qilishadi zenit tizimlari Amerika samolyotlarini ushlab turish. Uning so'zlariga ko'ra, zenit jangiga ko'plab omillar bir vaqtning o'zida ta'sir qiladi, uning natijasini oldindan aytib bo'lmaydi.

“EPR samolyotning balandligi va masofasiga qarab o'zgaradi. Bir nuqtada uni yaxshi ko'rish mumkin, boshqasida - yo'q. Biroq, Rossiya havo hujumidan mudofaa tizimlarining jahon bozorida katta mashhurligi va amerikaliklarning S-400 imkoniyatlaridan qo'rqishlari Rossiyaning havo mudofaasi o'z vazifalarini bajarayotganidan dalolat beradi, ya'ni har qanday havo hujumidan himoya qilish. - deya xulosa qildi Kozyulin.

2025 yilga borib buni Amerikaning lahzali global zarba berish strategiyasiga samarali javob deb atash mumkin, deydi iste'fodagi polkovnik Viktor Litovkin.

Qatlamli raketaga qarshi mudofaa tizimi

Mamlakatimizda 2025 yilgacha qatlamli milliy raketaga qarshi mudofaa tizimini yaratish tugallanishi haqida jurnalistlarga ma’lum qildi. bosh dizayner Raketa hujumidan ogohlantirish tizimlari (SPRN) Sergey Boev. Uning yaratilishini bugungi kunda harbiy mojarolar jarayonida hal qiluvchi rol o‘ynaydigan dunyoda havo hujumi qurollarining faol rivojlanishiga javob deb atadi.

“Raketaga qarshi mudofaa tizimi ikkita eshelonga ega - quruqlik va kosmik. Quruqlik esheloniga mamlakatimiz perimetri bo‘ylab joylashgan raketa hujumidan ogohlantirish stansiyalari, shuningdek, strategik hamda o‘rta va qisqa masofalarga mo‘ljallangan raketalarni tutib olishga qodir zenit-raketa va raketaga qarshi tizimlar kiradi.

Raketa hujumidan ogohlantirish tizimi ham bo'lgan kosmik eshelon razvedka uskunalari, jumladan sun'iy yo'ldosh uskunalari yordamida istalgan yo'nalishda, lekin birinchi navbatda Rossiya yo'nalishida raketa uchirilishini aniqlaydi. Mudofaa haqida chuqurroq gapirganda, biz radar stantsiyalari va havo mudofaa tizimlarini nafaqat perimetr bo'ylab, balki mamlakat ichida ham joylashtirishni nazarda tutamiz. Bunday yondashuv mamlakatning asosiy sanoat hududlari, harbiy ob'ektlar va madaniyat markazlariga zarba berishni o'tkazib yubormaslik imkonini beradi ", - deya tushuntiradi harbiy ekspert Economics Today FBAga.

Taxminlarga ko'ra, 2025 yilga kelib, eshelondagi mudofaa raketaga qarshi va havo hujumiga qarshi mudofaa tizimlarini, shu jumladan postsovet hududidagi ittifoqchilarimiz hududida bir butunga birlashtiradi. Mutaxassisning fikricha, bunday soyabonning yaratilishi taktik va strategik havo mudofaasi va raketaga qarshi mudofaa tizimlari o‘rtasidagi chegaralarning xiralashishiga olib keladi.

Tezkor global ta'sir

Qatlamli raketaga qarshi mudofaa tizimi Tunguska, Buk, Pantsir va Tor-M2 kabi qisqa masofaga mo'ljallangan tizimlar hamda o'rta masofaga mo'ljallangan S-300 va Vityaz tizimlarini o'z ichiga oladi. Harbiy ekspert Aleksey Leonkov taʼkidlaganidek, yerdan 100 kilometrgacha boʻlgan masofadagi nishonlarga zarba bera oladigan S-500 uzoq masofali havo mudofaa tizimining qabul qilinishi qatlamli mudofaa tizimini yopadi.

“Bunday himoyani “Instant Global Strike” deb nomlanuvchi AQShning yirik aerokosmik hujumi kontseptsiyasiga samarali javob deb atash mumkin. Mudofaa tizimi, shu jumladan, hali ishga tushirilmagan istiqbolli ishlanmalarni, shu jumladan gipertovushli qanotli raketalarni hisobga olgan holda ishlab chiqilmoqda. Hozircha dushmanning bunday qurollari yo‘q, ammo bunday raketalar paydo bo‘lsa, biz ularni tutib olishga tayyormiz. Qayd etish joizki, boshqa hech bir davlatda, shu jumladan AQShda ham bunday rivojlangan havo hujumidan mudofaa tizimi mavjud emas”, — deya xulosa qiladi Viktor Litovkin.

Sergey Boev ta'kidlaganidek, lahzali global zarba strategiyasi 2030 yilgacha mukammallikka erishiladi. Bu vaqtga kelib, Qo'shma Shtatlar bir vaqtning o'zida turli xil jihozlardagi qit'alararo ballistik raketalarni ham, gipertovushli qurollarni ham, turli bazalardagi qanotli raketalarni ham zarba berish imkoniyatiga ega bo'ladi. Bu erda biz uchun to'g'ridan-to'g'ri tahdid Ruminiya va Polshada joylashtirilgan Aegis raketaga qarshi mudofaa tizimlaridir. Mavjud muammolardan kelib chiqqan holda, 20-yillarning o'rtalariga qadar qatlamli raketaga qarshi mudofaa tizimini joylashtirish mamlakatimiz uchun strategik vazifadir.

Amerikaning The National Interest jurnali ta'kidlashicha, AQShning ishlab chiqarishga millionlab dollar sarflagan so'nggi havo hujumi qurollari Rossiyaning havo mudofaasi va raketaga qarshi mudofaa tizimini yengib o'tishiga kafolat yo'q. Nashr xulosalariga ko'ra, AQSh armiyasi yuqori texnologiyali dushmanga qarshi turish tajribasiga ega emas, shuning uchun Rossiya Federatsiyasi bilan yuzaga kelishi mumkin bo'lgan harbiy mojaroning natijasini oldindan aytib bo'lmaydi. Maqola muallifining ta'kidlashicha, operatsiya sodir bo'lgan taqdirda, zamonaviy yashirin samolyotlar va Tomahawks kabi qanotli raketalar tutib qolish xavfi ostida qoladi. Amerika qurollarining imkoniyatlari va Rossiya havo mudofaasi salohiyati haqida - RT materialida

Amerika samolyoti B-2 Spirit

The National Interest nashrining yozishicha, Rossiya havo hududiga bostirib kirilgan taqdirda nafaqat Amerikaning so‘nggi samolyotlari, balki dengizda joylashgan qanotli raketalar ham (bu Tomahawks haqida ketmoqda) ham zaif bo‘ladi. Shu sababli, "havo hujumidan mudofaa tizimlariga qarshi turishning eng yaxshi usuli ulardan qochishdir", deb xulosa qiladi jurnal.

Osmonni boshqarish

G'arb matbuotida NATO samolyotlari va raketalarining Rossiya qo'shinlari qurollangan havo mudofaasi / raketaga qarshi mudofaa tizimlariga zaifligi haqida keng tarqalgan fikr mavjud. Harbiy ekspert Yuriy Knutov fikricha, AQShning havoda toʻliq ustunlikka erishilgandagina harbiy harakatlar boshlash odatiga asoslanadi.

Havo mudofaasini, shuningdek, raketa hujumidan ogohlantirish tizimlarini (SPRN) shakllantirish va rivojlantirishga katta mablag 'sarflandi. Natijada, SSSR eng muhim ma'muriy markazlarni, asosiy harbiy infratuzilma ob'ektlarini, qo'mondonlik punktlarini va sanoat zonalarini ishonchli himoya qilishga muvaffaq bo'ldi.

Turli xil radiolokatsion stantsiyalar (havo bo'shlig'ini kuzatish, nishonni aniqlash, razvedka), avtomatlashtirilgan boshqaruv tizimlari (radar ma'lumotlarini qayta ishlash va uni qo'mondonlikka etkazish), tiqilib qolish uskunalari va yong'inni yo'q qilish tizimlari (zenit-raketa tizimlari, qiruvchi samolyotlar, elektron urush tizimlari) qabul qilindi. .

1980-yillarning oxiriga kelib, SSSR Havo mudofaasi kuchlarining ruxsat etilgan kuchi 500 ming kishidan oshdi. Sovet Ittifoqini Moskva havo hujumidan mudofaa okrugi, 3-alohida raketa hujumidan ogohlantiruvchi armiya, 9-alohida havo mudofaasi korpusi, 18-alohida kosmik boshqaruv korpusi va shtab-kvartiralari Minsk, Kiev, Sverdlovsk, Leningradda joylashgan sakkizta havo mudofaasi armiyasi himoya qildi. Arxangelsk, Toshkent, Novosibirsk, Xabarovsk va Tbilisi.

"Yuqori natijalar keltirmaydi"

“Agar bu katta natijalar bermasa, bu yoʻnalishda qattiq ishlash mantiqiymi, degan savol tugʻiladi. Amerikaliklar yashirin texnologiyalarni ishlab chiqishda kashshoflar edi. Yashirin loyihalarga yuzlab milliard dollar sarflandi, biroq barcha ishlab chiqarish modellari ham umidni oqlamadi”, — dedi Kozyulin.

Juda yuqori narx va foydalanishdagi qiyinchilikka qo'shimcha ravishda, Nighthawk jangovar yuk (ikki tonnadan ortiq) va masofa (taxminan 900 km) bo'yicha AQSh havo kuchlarining oldingi transport vositalaridan umidsiz ravishda ustun edi. Bundan tashqari, yashirin ta'sirga faqat radio sukunati rejimida erishildi (aloqa va "do'st yoki dushman" identifikatsiya tizimini o'chirish).

Amerika aviatsiyasining eng zamonaviy namunalari ham "ko'rinmas" bilan ifodalanadi. Beshinchi avlod F-22 birinchi samolyotining RCS 0,005-0,3 kvadrat metrni tashkil qiladi. m, so'nggi F-35 qiruvchisi - 0,001-0,1 kv. m, uzoq masofali bombardimonchi B-2 Spirit - 0,0014-0,1 kv. m.Shu bilan birga, S-300 va S-400 havo mudofaa tizimlari 0,01 kvadrat metr maydonda EPR bilan havo nishonlarini aniqlay oladi. m (aniq ma'lumotlar mavjud emas).

Kozyulinning ta'kidlashicha, G'arb va mahalliy OAV ko'pincha Rossiya zenit tizimlari Amerika samolyotlarini to'xtata oladimi yoki yo'qligini aniqlashga harakat qiladi. Uning so'zlariga ko'ra, zenit jangiga ko'plab omillar bir vaqtning o'zida ta'sir qiladi, uning natijasini oldindan aytib bo'lmaydi.

“EPR samolyotning balandligi va masofasiga qarab o'zgaradi. Bir nuqtada uni yaxshi ko'rish mumkin, boshqasida - yo'q. Biroq, Rossiya havo hujumidan mudofaa tizimlarining jahon bozorida katta mashhurligi va amerikaliklarning S-400 imkoniyatlaridan qo'rqishlari Rossiyaning havo mudofaasi o'z vazifalarini bajarayotganidan dalolat beradi, ya'ni har qanday havo hujumidan himoya qilish. - deya xulosa qildi Kozyulin.

ostida qatlamli himoya(chuqur mudofaa) zamonaviy kompyuter adabiyotida tarmoq uskunalarida axborot kafolatiga erishishning amaliy strategiyasi sifatida tushuniladi. Ushbu strategiya himoya xususiyatlari va xarajat, ishlash va uning funktsional xususiyatlari o'rtasidagi muvozanatdir.

Axborot kafolati axborot va axborot tizimlari mavjudlik, yaxlitlik, autentifikatsiya, maxfiylik va chidamlilik kabi xavfsizlik xizmatlarini qo'llash orqali hujumdan himoyalanganda erishiladi. Ushbu xizmatlarni amalga oshiradigan ilovalar himoya, aniqlash va javob paradigmalariga asoslangan bo'lishi kerak.

Chuqur mudofaa strategiyasining axborot ta'minlanishiga erishish uchta asosiy elementning muvozanatini topishni talab qiladi.

1. Xodimlar - axborotni ta'minlashga erishish tashkilotning boshqaruv darajasidan boshlanadi. Boshqaruv xodimlari tashkilot maqsadlariga erishish uchun mumkin bo'lgan tahdidlar haqida aniq bo'lishi kerak. Shundan so'ng resurslarni inventarizatsiya qilish, axborot ta'minotini ta'minlash siyosati va tartiblarini aniqlash, xodimlarning rollarini taqsimlash va mas'uliyatni belgilash kerak. Bu, shuningdek, jismoniy himoya tartib-qoidalari va xodimlarni xavfsizlik choralarini o'z ichiga oladi.

2. Texnologiya - etarli bo'lishini ta'minlash
texnologiyalar tanlangan va to‘g‘ri qo‘llanilgan bo‘lsa, axborot ta’minotini ta’minlash bo‘yicha samarali siyosat va tartiblarni ishlab chiqish va amalga oshirish zarur. Ular quyidagilarni o'z ichiga olishi kerak: xavfsizlik siyosati, tizim darajasidagi arxitektura va standartlar, kerakli mahsulotlarni tanlash mezonlari, tizim komponentlarini sozlashning o'ziga xos xususiyatlari va xavflarni baholash tartiblari.

Funktsional operatsiyalar - bu jihatga e'tibor qaratiladi
saqlash uchun zarur bo'lgan barcha kundalik harakatlar haqida
tashkilot xavfsizligi. Bunday funktsional operatsiyalarning tarkibi, masalan, quyidagi operatsiyalarni o'z ichiga olishi mumkin: xavfsizlik siyosatini ishlab chiqish, o'rnatish va saqlash (xavfsizlik siyosati); foydalanilayotgan axborot texnologiyalaridagi o‘zgarishlarni tekshirish va sertifikatlash; o'rnatilgan xavfsizlik xususiyatlarini boshqarish; joriy tahdidlarni nazorat qilish va ularga javob berish; hujumni aniqlash va javob berish; axborot texnologiyalari komponentlarini tiklash va qayta o'rnatish tartiblari va boshqalar.

Himoyani bir nechta joylarda qo'llash. Chunki
tajovuzkorlar tizimga turli joylardan hujum qilishlari mumkin, shu jumladan tashqi va ichki, tashkilot murojaat qilishi kerak
tarmoqlar va infratuzilmani himoya qilishni, tarmoq chegaralarini va himoya qilishni ta'minlashi kerak bo'lgan turli nuqtalarda himoya mexanizmlari.
hudud, shuningdek, kompyuter texnikasini muhofaza qilish;

Qatlamli himoyadan foydalanish potentsial hujumchi va nishon o'rtasida himoya mexanizmlarini o'rnatishni o'z ichiga oladi;

Xavfsizlik mustahkamligining ta'rifiga axborotni ta'minlashning har bir komponentining xavfsizlik imkoniyatlarini baholash orqali erishiladi;

Hujumlar va hujumlarni aniqlash uchun infratuzilmani qo'llash,
tahlil qilish usullari va vositalaridan foydalanish va ushbu infratuzilma tomonidan olingan natijalarni o'zaro bog'lash.

Chuqur mudofaa tushunchasi hozirda umumiy qabul qilingan, shuning uchun himoya vositalarini ishlab chiqaruvchilar uni birgalikda ishlaydigan va odatda bitta boshqaruv moslamasi tomonidan boshqariladigan himoya vositalarining butun qatorlarini chiqarish orqali amalga oshiradilar.