Tedarik zincirlerinde lojistik operasyonların yönetimi ile ilgili stratejik, taktik ve operasyonel problemler ve görevler göz önünde bulundurulur: kargo birimlerinin oluşturulması, malların taşınması, araçların yüklenmesi ve boşaltılması, depolama ve kargo işlemleri, müşteriler için siparişlerin alınması, sevkiyat, kargo partilerinin konsolidasyonu ve ayrıştırılması, etiketleme, tasnif, sipariş operasyonlarının yönetimi, emtia ve nakliye belgelerinin kaydı, malların ithalat-ihracat gümrük işlemleri, malların sigortası ve taşıyıcıların (forwarderların) sorumluluğu, lojistik operasyonlar için bilgi desteği. Vurgu, nakliye, depolama ve kargo elleçlemede lojistik çözümlerin optimize edilmesi ve lojistik operasyonlara eşlik eden bilgi akışlarının yönetilmesidir.
TEDARİK ZİNCİRLERİNDE NAKLİYE
LOJİSTİKTE TAŞIMACILIĞIN ROLÜ NEDİR?
Bir piyasa ekonomisinde ulaştırma işletmelerinin işleyişinin karakteristik özellikleri, ulaştırma hizmetleri için bir pazarın oluşumu, işletmeler ve çeşitli ulaştırma türleri arasında artan rekabet ve kısmen tarifeler ve ulaştırma hizmetlerinin kalitesi için sıkılaştırma gereksinimleri gibi nesnel koşullardır. tüketicilerin. Aynı zamanda, lojistik hizmet açısından modern taşımacılık uygulaması kısaca şu şekilde formüle edilebilir: "Belirli bir zamanda ve optimal maliyetlerde gerekli kalite ve miktarda doğru ürün." Hemen hemen tüm ülkelerde, lojistik maliyetlerinin önemli bir kısmı nakliye bileşenine düşmektedir, bu nedenle lojistik yönetimi, nakliye çözümlerini optimize etmeye daha fazla dikkat etmelidir. Çeşitli tahminlere göre, nakliye maliyetleri toplam lojistik maliyetlerinin %20 ila %70'i arasında değişirken, mal fiyatlarındaki nakliye bileşeni ürün türüne göre değişir: elektronik için %2-3, gıda için %5-6, Makine ve teçhizat için %7-12, hammadde için %40-60, mineral yapı malzemeleri için %80-85 ve çeşitli sektörler ve firmalar için üretim maliyetinin %300'üne kadar çıkabilmektedir.
Ülkemizde lojistiğin oluşmasında ve gelişmesinde taşımacılığın özel bir yeri vardır. Uluslararası mal taşımacılığında yer alan yurtiçi nakliye ve nakliye şirketleri, nakliye ve kargo elleçleme için modern lojistik teknolojilerini tanıtma ihtiyacını ilk hisseden şirketlerdi: inter-, multimodal ve terminal kargo nakliye sistemleri, nakliye teknolojileri LT ve "kapıdan kapıya", kargo taşımacılığına eşlik eden modern telekomünikasyon sistemleri vb. Büyük Rus devlet ve özel taşımacılık ve nakliye işletmeleri, lojistik hizmetler için aktif olarak terminal ağları, kargo dağıtım ve lojistik merkezleri, bilgi ve bilgisayar destek sistemleri oluşturmaya başladı. Bununla birlikte, nakliye kompleksindeki lojistik potansiyeli yeterince kullanılmamaktadır.
Çoğu Rus bölgesindeki nakliye ve terminal ve depo kompleksinin durumunun bir analizi, nakliye ve lojistik hizmetinde aşağıdaki eksikliklerin tespit edilmesini mümkün kılmıştır:
- ulaşım kompleksinin işleyişi için pazarlama stratejilerinin yetersiz detaylandırılması;
- uluslararası standartları karşılamayan düşük kaliteli lojistik hizmet;
- üretim ve teknik tabanın düşük düzeyde gelişimi, ulaşım hizmeti altyapısı, nakliye sırasında lojistik sürecini destekleyecek bilgi sistemleri;
- birleşik bir yenilik ve yatırım politikasının olmaması;
- kargo gümrükleme için mevcut belge yönetim sistemlerinin ve gümrük prosedürlerinin karmaşıklığı ve kusurluluğu;
- ulaşım sürecinin katılımcıları, terminaller, depolar, gümrükler, diğer işletmeler ve hizmetlerinin tüketicileri arasında düşük düzeyde etkileşim ve bilgi iletişimi;
- ortakların nakliye ve lojistik hizmetindeki çıkarlarının önemli ölçüde ayrılığı;
- birleşik bir düzenleyici çerçevenin olmaması, nakliye lojistiği alanında modern yasalar;
- yönlendirme faaliyetleri için modern lojistik teknolojilerinin eksikliği.
Ülkemizdeki modern kargo taşımacılığı kavramı, ekonominin endüstriyel sektörlerine eşdeğer bir endüstriden hizmet sektörüne - taşımacılık hizmetine kadar pazar ilişkilerinin gelişmesiyle önemli ölçüde değişmiştir. Bu nedenle, ulaştırma hizmetlerinin tüketicileri, en iyi kalitede lojistik hizmetleri sağlayacak bu tür taşıma modlarını ve taşıma yöntemlerini seçmektedir.
Modern koşullarda nakliye hizmeti, yalnızca malların tedarikçiden tüketiciye taşınmasını değil, aynı zamanda çok sayıda nakliye, bilgi ve işlem operasyonları, kargo elleçleme hizmetleri, sigorta, güvenlik vb. Bu nedenle, ulaşımın - Tedarik zincirindeki belirli bir teknolojiye göre ürünlerin belirli bir araç veya araçlarla hareketiyle ilişkili ve sırayla iletme, kargo elleçleme, paketleme, mülkiyet devri dahil lojistik operasyonlar ve işlevlerden oluşan bir lojistik işlevidir. malların, risk sigortasının, gümrük prosedürlerinin vb.
Çoğu sanayi ve ticaret işletmesi için nakliye, temel bir yeterlilik değildir, bu nedenle genellikle uzman şirketlere dış kaynak sağlanır - lojistik aracıları, nakliyedeki ana olanlar taşıyıcılar ve nakliyecilerdir.
1. Taşıma lojistiği, ilgili sorunları çözer
a) malların çeşitli ulaşım araçlarıyla taşınmasıyla
B) araçların satın alınması ve tescili ile
C) taşıma ve nakliye işletmelerinin faaliyetlerinin kurulması, tescili ve organizasyonu ile
2. Lojistik yöneticisinin ulaşım alanındaki görevi,
a) nakliye sürecinin depo ve üretim süreçleri ile koordinasyonu
B) Depo içindeki malların hareketini organize etmek
C) nakliye rotası ve transit kargo hareketinin kontrolü
3. Malların lojistik tedarik zincirinde taşımacılığın rolü,
a) hammaddelerin, malzemelerin, bitmiş ürünlerin nakliye maliyetleri, lojistik maliyetlerin yapısında baskındır.
B) taşımacılığın, taşıyıcı şirketlerin ana faaliyet alanlarındaki maliyetler üzerinde önemli bir etkisi vardır.
C)önemli sayıda şirket kendi araçlarına sahip
4. Tam zamanında teknoloji kullanılarak kargo teslimatı
a)çeşitli ürün, malzeme, hammadde talebini karşılamak için her durumda uygulamaya uygun
B) depolamanın bakımı için önemli maliyetler gerektirir
C) teslimatları planlamak, kontrol etmek ve göndermek için idari aparat üzerindeki yükü arttırır
5. Her şeyden önce, lojistik ilkeleri uygulanabilir
a) tehlikeli malları taşırken
B) dökme hammadde teslimatında
C) değerli yüksek teknoloji ürünleri teslim ederken
6. Malları tüketicilere teslim etme süreci, şu durumlarda karmaşık değildir:
a) mal yelpazesinde artış
B) teslim edilen mal miktarındaki artış
C)ürün dağıtım coğrafyasını genişletmek
D) tüketici sayısındaki artış
7. Konteynerleştirme ve paketleme işlemleri
a) verimliliğini arttırırken malların teslimat teknolojisini karmaşık hale getirmek
B) mal teslimi teknolojisini basitleştirin ve gönderici ve alıcıdan gelen mallarla ek ekipman ve ek işlemler gerektirmez
C) malların teslimat teknolojisinin karmaşıklığını etkilemez
8. Amaca göre sınıflandırma yapılırken hangi taşıma grubu tahsis edilmez?
a) ticari olarak kargo sahiplerine ulaşım hizmetleri sağlayan toplu taşıma
B) mal sahiplerine ait taşıma ve taşıma ihtiyaçlarının karşılanması
C) uzmanlaşmış nakliye şirketleri tarafından sahip olunan araçlar
9. Kargo sahipleri, faaliyetlerinde taşıma yöntemini kullanırlar.
a) minimal mod
B)çok modlu
C) yarı-modal
10. Multimodal taşımacılık genellikle şu şekilde anlaşılır:
a)çeşitli taşıma modları ile kargo teslimatı
B)
C) aktarma ve depo işlemleri için entegre teknolojileri kullanarak kargo teslimatı
D) bir otomobilin zorunlu katılımıyla herhangi bir taşıma yöntemiyle kargo teslimi
11. Tek modlu taşımacılık genellikle şu şekilde anlaşılır:
a) kargo birimleri - "birimler" halinde oluşturulan çeşitli kargo taşıma modları ile teslimat
B) malların tek bir taşıma şekliyle teslimi
C) birleşik aktarma ve ambar işleme teknolojileri kullanılarak kargo teslimi
12. Malların çeşitli taşıma modlarıyla taşınması için bu terim kullanılmaz.
a) multimodal taşımacılık
B) intermodal taşımacılık
C) multimodal taşımacılık
D) Kombine taşımacılık
e) tek tip taşımacılık
13. Multimodal taşımacılığın avantajı,
a) daha ucuz teslimat
B)
C) organizasyon kolaylığı
14. Tek modlu taşımacılığın avantajı,
a) daha ucuz teslimat
B) yeniden yükleme işlemi yok
C) tam zamanında teslimat
15. Tek modlu taşımacılığı ne kolaylaştırmaz?
a) birkaç katılımcı arasında ulaşım koşullarının gereksiz koordinasyonu
B) evrak sayısında azalma
C) diğer ulaşım modları ile yerleşimlerin hariç tutulması
D) düşük ulaşım maliyeti ile ulaşım modlarının kullanılması
16. Multimodal taşımacılığın çekiciliği şu şekilde sağlanır:
a) birkaç katılımcı arasında ulaşım koşullarının gereksiz koordinasyonu
B) evrak sayısını azaltmak
C) diğer ulaşım modları ile yerleşimlerin hariç tutulması
D) düşük ulaşım maliyeti ile ulaşım modlarının kullanılması
Konu 2. Ulaştırma modlarının özellikleri
17. Demiryolu taşımacılığının özellikleri şunları içerir:
a) bölgeler arasında trafik düzenliliği ve sürdürülebilir ulaşım bağlantıları
b) daha fazla manevra kabiliyeti ve hareketlilik
c) kargo teslimatının yüksek hızı
e) transitte yüksek maliyetler
18. Karayolu taşımacılığının özellikleri şunları içerir:
a) yüksek taşıma ve taşıma kapasitesi
b) ulaşımın düşük enerji yoğunluğu
d) çevre üzerinde önemli çevresel etki
e) 1 ton yükün düşük nakliye maliyeti
19. Su taşımacılığının özellikleri şunları içerir:
1 ton yükün yüksek nakliye maliyeti
iklim koşulları nedeniyle ulaşım imkanının kısıtlanması
nispeten düşük yakıt tüketimi
20. Hava taşımacılığının özellikleri şunları içermez:
düşük enerji yoğunluğu ve nakliye maliyetleri
yüksek hızlı kargo teslimatı
yolda harcanan minimum süre
yüksek ulaşım maliyeti
küçük taşıma kapasitesi
21. Taşımanın maksimum taşıma kapasitesi kriteri en iyi şu şekilde karşılanır:
otomobil taşımacılığı
demiryolu taşımacılığı
su ulaştırma
Hava Taşımacılığı
22. Rastgele bir zamanda nakliyeye hazır olma kriteri en iyi şu şekilde karşılanır:
a) karayolu taşımacılığı
b) demiryolu taşımacılığı
c) su taşımacılığı
d) hava taşımacılığı
23. 1 tonluk yükün minimum taşıma maliyeti kriteri en iyi şu şekilde karşılanır:
a) karayolu taşımacılığı
b) demiryolu taşımacılığı
c) su taşımacılığı
d) hava taşımacılığı
24. Kargo tarafından transit olarak harcanan minimum süre kriteri en iyi şekilde aşağıdakiler tarafından karşılanır:
a) karayolu taşımacılığı
b) demiryolu taşımacılığı
c) su taşımacılığı
d) hava taşımacılığı
25. Kargonun transit geçişte geçirdiği minimum süre kriteri,
a) karayolu taşımacılığı
e) demiryolu taşımacılığı
b) su taşımacılığı
c) hava taşımacılığı
26. Asgari geç teslimat riski kriteri en az aşağıdakiler tarafından karşılanır:
a) karayolu taşımacılığı
b) demiryolu taşımacılığı
b) su taşımacılığı
c) hava taşımacılığı
Tanıtım. 2
1. Bilgi güvenliği teorisinin temel hükümleri. beş
1.1 Bilgi güvenliği tehditlerinin sınıflandırılması. beş
1.2 En yaygın tehditler.. 9
1.3 Yazılım saldırıları. on bir
1.4 Kötü Amaçlı Yazılım. 13
1.5 Güvenlik önlemlerinin sınıflandırılması KS.. 14
2. Ağlarda bilgiyi korumanın temel yöntemleri ve araçları. 19
2.1 Bilginin fiziksel olarak korunması. 19
2.2 CS'de donanım bilgilerinin korunması .. 22
2.3 CS'deki bilgi güvenliği yazılımı .. 24
3. "Vestel" şirketinin telekomünikasyon ağlarında bilgi güvenliği yöntemleri ve araçları. 44
3.1 İşletmenin ve kurumsal ağın özellikleri. 44
3.2 Bilgi korumasının kurumsal ve yasal desteği. 46
3.3 "Vestel" kurumsal ağındaki bilgilerin işletim sistemi düzeyinde korunması. 48
3.4 Bilgilerin yetkisiz erişime karşı korunması. 52
3.5 Antivirüs koruması. 57
Çözüm. 64
Sözlük. 68
Kullanılan kaynakların listesi. 70
Kısaltmalar listesi. 74
Ek A.. 75
Ek B. 76
Ek B.. 77
Ek D. 78
Tanıtım
Bilgi güvenliği sorunu yeni olmaktan uzaktır. İnsanlar eski zamanlardan beri bunu çözmeye çalışıyorlar.
Uygarlığın şafağında, değerli bilgiler maddi biçimde korunmuştur: taş tabletler üzerinde kesilmiş, daha sonra kağıda yazılmıştır. Korumaları için aynı malzeme nesneleri kullanıldı: duvarlar, hendekler.
Bilgi genellikle haberci tarafından iletildi ve korumalar eşlik etti. Ve bu önlemler kendilerini haklı çıkardı, çünkü bir başkasının bilgilerini elde etmenin tek yolu onu çalmaktı. Ne yazık ki, fiziksel korumanın büyük bir dezavantajı vardı. Bir mesajı yakalarken, düşmanlar içinde yazılan her şeyi tanıdı. Julius Caesar bile aktarım sürecinde değerli bilgileri korumaya karar verdi. Sezar şifresini icat etti. Bu şifre, ele geçirildiğinde kimsenin okuyamayacağı mesajları göndermeyi mümkün kıldı.
Bu kavram İkinci Dünya Savaşı sırasında geliştirildi. Almanya, askeri birliklere gönderilen mesajları şifrelemek için Enigma adlı bir makine kullandı.
Elbette, toplumumuz ve teknolojimiz değiştikçe bilginin korunma şekli de sürekli değişiyor. Bilgisayarların ortaya çıkışı ve yaygın kullanımı, çoğu kişi ve kuruluşun bilgileri elektronik biçimde depolamaya başlamasına yol açmıştır. Bu tür bilgilerin korunmasına ihtiyaç vardı.
70'lerin başında. 20. yüzyılda David Bell ve Leonard La Padula, bilgisayar operasyonları için bir güvenlik modeli geliştirdiler. Bu model, hükümetin bilgi sınıflandırma düzeyleri (sınıflandırılmamış, gizli, gizli, çok gizli) ve izin düzeyleri kavramına dayanıyordu. Bir kişi (özne), sınıflandırmaya göre dosya (nesne) seviyesinden daha yüksek bir izin seviyesine sahipse, dosyaya erişim sağladı, aksi takdirde erişim reddedildi. Bu kavram, 1983 yılında ABD Savunma Bakanlığı tarafından geliştirilen 5200.28 "Güvenilir Bilgi İşlem Sistemi Değerlendirme Kriterleri" (TCSEC) standardında uygulanmıştır. Kapağının renginden dolayı "Turuncu Kitap" olarak adlandırılmıştır.
"Turuncu Kitap", her bölüm için işlevsel ve garanti gereksinimlerini tanımladı. Sistemin belirli bir sertifika düzeyini karşılaması için bu gereksinimleri karşılaması gerekiyordu.
Çoğu güvenlik sertifikası için garanti gereksinimlerini tamamlamak zaman alıcı ve maliyetliydi. Sonuç olarak, çok az sistem C2 seviyesinden daha yüksek sertifikalandırılmıştır (aslında, şimdiye kadar sadece bir sistem A1 seviyesinde sertifikalandırılmıştır - Honeywell SCOMP).
Diğer kriterlerin geliştirilmesinde, fonksiyonel gereksinimleri garanti gereksinimlerinden ayırmaya yönelik girişimlerde bulunulmuştur. Bu gelişmeler 1989'da Alman Yeşil Kitabına, 1990'da Kanada Kriterleri'ne, 1991'de Bilgi Teknolojisi Güvenlik Değerlendirme Kriterleri'ne (ITSEC) ve 1992'de Federal Kriterlere (Ortak Kriterler - "Genel Kriterler" olarak bilinir) dahil edildi. standart, bilgisayar sistemlerinin güvenliğini onaylamanın kendi yolunu sundu.
Sistemlerin güvenliğini değerlendirme kriterleriyle ilgili sorunlardan biri, ağ işletim mekanizmalarının anlaşılmamasıydı. Bilgisayarlar birleştirildiğinde eski güvenlik sorunlarına yenileri ekleniyor. "Turuncu Kitap", bilgisayarları ortak bir ağa bağlarken ortaya çıkan sorunları dikkate almadı, bu nedenle 1987'de TNI (Güvenilir Ağ Yorumu) veya "Kırmızı Kitap" ortaya çıktı. "Kırmızı Kitap", "Turuncu Kitap"taki tüm güvenlik gereksinimlerini korudu, ağ alanını ele almak ve bir ağ güvenliği konsepti oluşturmak için bir girişimde bulunuldu. Ne yazık ki, "Kırmızı Kitap" da işlevselliği garantiyle ilişkilendirmiştir. TNI tarafından yalnızca birkaç sistem değerlendirildi ve hiçbiri ticari olarak başarılı olmadı.
Bugün sorunlar daha da ciddileşti. Kuruluşlar, görünümü "Kırmızı Kitap" ın öngöremediği kablosuz ağları kullanmaya başladı. Kablosuz ağlar için Kırmızı Kitap sertifikasının eski olduğu kabul edilir.
Bilgisayar sistemleri ve ağları teknolojileri çok hızlı gelişiyor. Buna göre, bilgiyi korumanın yeni yolları da hızla ortaya çıkıyor. Bu nedenle, yeterlilik çalışmamın teması "Ağlarda bilgiyi koruma yöntemleri ve araçları" çok alakalı.
Araştırmanın amacı, telekomünikasyon ağları üzerinden iletilen bilgilerdir.
Çalışmanın konusu ağların bilgi güvenliğidir.
Yeterlilik çalışmasının temel amacı, ağlardaki bilgileri koruma yöntemlerini ve araçlarını incelemek ve analiz etmektir.
Bu hedefe ulaşmak için bir dizi görevi çözmek gerekir:
Güvenlik tehditlerini ve sınıflandırmalarını göz önünde bulundurun;
Ağdaki bilgileri koruma yöntemlerini ve araçlarını, bunların sınıflandırılmasını ve uygulama özelliklerini karakterize etmek;
CS'de fiziksel, donanım ve yazılım bilgi koruma olanaklarını ortaya çıkarmak, avantajlarını ve dezavantajlarını belirlemek;
Kurumsal bir ağdaki bilgileri koruma yöntemlerini, yöntemlerini ve araçlarını düşünün (Vestel işletmesi örneğinde).
1.1 Bilgi güvenliği tehditlerinin sınıflandırılması
Bir bilgisayar ağındaki (CN) bilgilerin güvenliğine yönelik tehdit, içinde işlenen bilgilerin güvenliğinin ihlali ile bağlantılı olarak CN'nin işleyişinde bir değişikliğe neden olabilecek bir olay veya eylem olarak anlaşılır.
Bilginin güvenlik açığı, bilgi güvenliği tehditlerinin uygulanması için koşulların yaratıldığı böyle bir durumun olasılığıdır.
Bir CS'ye yapılan saldırı, davetsiz misafir tarafından belirli bir güvenlik açığının aranması ve kullanılmasından oluşan bir eylemdir. Başka bir deyişle, bir CS'ye yapılan saldırı, içindeki bilgilerin güvenliğine yönelik bir tehdidin gerçekleşmesidir.
Bilgisayar ağlarında çalışırken bilgi iletiminin güvenliği ile ilgili sorunlar üç ana türe ayrılabilir:
bilginin ele geçirilmesi - bilginin bütünlüğü korunur, ancak gizliliği ihlal edilir;
bilgi değişikliği - orijinal mesaj değiştirilir veya tamamen bir başkasıyla değiştirilir ve muhataba gönderilir;
Bilgi yazarlığının değiştirilmesi. Bu sorunun ciddi sonuçları olabilir. Örneğin, biri başka birinin adı altında bir e-posta gönderebilir (bu tür aldatmaya genellikle sahtekarlık denir) veya bir Web sunucusu bir elektronik mağaza gibi davranabilir, siparişleri, kredi kartı numaralarını kabul edebilir, ancak herhangi bir ürün gönderemez.
Güvenlik açığı açısından bilgisayar ağlarının özgüllüğü, esas olarak coğrafi olarak dağınık ve heterojen (çeşitli) unsurlar arasındaki yoğun bilgi etkileşiminin varlığı ile ilişkilidir.
Güvenlik açığı, kelimenin tam anlamıyla CS'nin tüm ana yapısal ve işlevsel öğeleridir: iş istasyonları, sunucular (Ana makineler), ağlar arası köprüler (ağ geçitleri, anahtarlama merkezleri), iletişim kanalları vb.
Çeşitli kökenlerden gelen bilgilerin güvenliğine yönelik çok sayıda çeşitli tehditler bilinmektedir. Literatürde, oluşturulan tehlikelerin türleri, kötü niyetli niyetin derecesi, tehdit kaynakları vb. gibi birçok farklı sınıflandırma vardır ve bunlar bölme kriteri olarak kullanılır. En basit sınıflandırmalardan biri Şekil 2'de gösterilmektedir. 1.
Pirinç. 1. Güvenlik tehditlerinin genel sınıflandırması.
Doğal tehditler, CS ve insandan bağımsız nesnel fiziksel süreçlerin veya doğal afetlerin unsurları üzerindeki etkinin neden olduğu tehditlerdir.
Yapay tehditler, insan faaliyetlerinden kaynaklanan COP'ye yönelik tehditlerdir. Bunlar arasında, eylemlerin motivasyonuna dayanarak şunları ayırt edebiliriz:
CS ve öğelerinin tasarımındaki hataların, yazılımdaki hataların, personelin eylemlerindeki hataların vb. neden olduğu kasıtsız (kasıtsız, tesadüfi) tehditler;
insanların (davetsiz misafirler) bencil istekleriyle bağlantılı kasıtlı (kasıtlı) tehditler.
CS ile ilgili tehdit kaynakları harici veya dahili olabilir (CS'nin bileşenleri - donanımı, programları, personeli).
Tehditlerin daha karmaşık ve ayrıntılı bir sınıflandırması Ek A'da verilmiştir.
Tehditlerin uygulanmasının olumsuz sonuçlarının analizi, olası tehdit kaynaklarının, tezahürlerine katkıda bulunan güvenlik açıklarının ve uygulama yöntemlerinin zorunlu olarak tanımlanmasını gerektirir. Ve sonra zincir, Şekil 2'de gösterilen devreye doğru büyür. 2.
Pirinç. 2. Bilgi güvenliğine yönelik tehditlerin uygulama modeli.
Tehditler, güvenlik amaçlarını ihlal ederek ilişkilerin konusuna zarar verme olasılığına göre sınıflandırılır. Hasar, herhangi bir konudan (suç, kusur veya ihmal) kaynaklanabileceği gibi, tezahür konusuna bağlı olmayan bir sonuç haline gelebilir. Çok fazla tehdit yok. Bilginin gizliliğini sağlarken, bu, bilgilerin ve işlenmesinin araçlarının çalınması (kopyalanması) ve ayrıca kaybı (kasıtsız kayıp, sızıntı) olabilir. Bilginin bütünlüğünü sağlarken, tehditlerin listesi aşağıdaki gibidir: bilginin değiştirilmesi (bozulması); bilgilerin gerçekliğinin reddi; yanlış bilgi empoze etmek. Bilginin kullanılabilirliğini sağlarken, onu engellemek veya bilginin kendisini ve işleme araçlarını yok etmek mümkündür.
Tüm tehdit kaynakları, medya türüne göre sınıflara ve sınıflara göre gruplara ayrılabilir (Şekil 3a). Güvenlik açıkları, güvenlik açıklarının kaynağına göre sınıflara ve tezahürlere göre gruplara ve alt gruplara ayrılabilir (Şekil 3b). Uygulama yöntemleri, uygulama yöntemlerine göre gruplara ayrılabilir (Şekil 3c). Aynı zamanda, “yöntem” kavramının yalnızca antropojenik kaynaklar tarafından tehditlerin uygulanması göz önüne alındığında uygulanabilir olduğu dikkate alınmalıdır. Teknolojik ve doğal kaynaklar için bu kavram “önkoşul” kavramına dönüştürülmüştür.
Pirinç. 3. Sınıflandırmaların yapısı: a) "Tehdit kaynakları"; b) "Zayıflıklar"; c) "Uygulama yöntemleri"
Tehditlerin (saldırıların) uygulama olasılıklarının sınıflandırılması, saldırı hedeflerinin uygulanmasına yol açan güvenlik açıklarını kullanarak belirli uygulama yöntemleriyle tehdit kaynağının olası eylemlerinin bir kümesidir. Saldırının amacı, tehditlerin uygulanmasının amacı ile örtüşmeyebilir ve tehdidin daha fazla uygulanmasını sağlamak için gerekli bir ara sonucu elde etmeyi amaçlayabilir. Böyle bir tutarsızlık olması durumunda, saldırı, tehdidin gerçekleştirilmesine yönelik eylemlerin gerçekleştirilmesi için bir hazırlık aşaması olarak kabul edilir, yani. yasadışı bir eylemi "işlemeye hazırlık" olarak. Saldırının sonucu, tehdidin uygulanması olan ve/veya bu tür bir uygulamaya katkıda bulunan sonuçlardır.
Bir ağda çalışırken güvenlik tehditlerini değerlendirmek ve analiz etmek için ilk veriler, faaliyetlerinin yönünü, güvenlik hedeflerinin beklenen önceliklerini, ağda çözülen görevleri ve koşulları anlamaya yönelik ilişkilerin konularını sorgulamanın sonuçlarıdır. ağın konumu ve çalışması.
En sık ve en tehlikeli (zarar miktarı açısından) düzenli kullanıcılar, operatörler, sistem yöneticileri ve bir bilgisayar ağına hizmet veren diğer kişilerin kasıtsız hatalarıdır.
Bazen bu tür hatalar aslında birer tehdittir (yanlış girilen veriler veya programda sistemin çökmesine neden olan bir hata), bazen saldırganların yararlanabileceği güvenlik açıkları oluştururlar (genellikle yönetimsel hatalardır). Bazı raporlara göre, kayıpların %65'e varan kısmı kasıtsız hataların sonucudur.
Yangın ve sel, işte okuma yazma bilmeme ve ihmal kadar sorun yaratmaz.
Açıkçası, kasıtsız hatalarla başa çıkmanın en radikal yolu maksimum otomasyon ve sıkı kontroldür.
Diğer erişilebilirlik tehditleri, tehditlerin hedeflediği CS bileşenlerine göre sınıflandırılabilir:
kullanıcı hatası;
dahili ağ hatası;
destekleyici altyapının başarısızlığı.
Tipik olarak, kullanıcılarla ilgili olarak aşağıdaki tehditler dikkate alınır:
bilgi sistemiyle çalışma isteksizliği (çoğunlukla yeni özelliklere hakim olmak gerektiğinde ve kullanıcı istekleri ile gerçek yetenekler ve teknik özellikler arasında bir tutarsızlık olduğunda ortaya çıkar);
uygun eğitim eksikliği nedeniyle sistemle çalışamama (genel bilgisayar okuryazarlığı eksikliği, tanı mesajlarını yorumlayamama, belgelerle çalışamama vb.);
teknik destek eksikliği nedeniyle sistemle çalışamama (eksik dokümantasyon, referans bilgisi eksikliği vb.).
Dahili arızaların ana kaynakları şunlardır:
yerleşik çalışma kurallarından sapma (kazara veya kasıtlı);
Kullanıcıların veya bakım personelinin kazara veya kasıtlı eylemleri nedeniyle sistemin normal çalışmadan çıkması (tahmini talep sayısının aşılması, aşırı miktarda bilgi işlenmesi vb.);
sistemin (yeniden) konfigürasyonu sırasındaki hatalar;
yazılım ve donanım arızaları;
veri imhası;
ekipmanın tahrip olması veya hasar görmesi.
Destekleyici altyapıyla ilgili olarak, aşağıdaki tehditlerin dikkate alınması önerilir:
iletişim sistemlerinin, güç kaynağının, su ve / veya ısı kaynağının, klimanın bozulması (kazara veya kasıtlı);
binaların tahrip edilmesi veya hasar görmesi;
hizmet personelinin ve/veya kullanıcıların görevlerini yerine getirememe veya isteksizlikleri (sivil kargaşa, trafik kazaları, terör eylemi veya tehdidi, grev vb.).
Sözde "rahatsız" çalışanlar - mevcut ve eski - çok tehlikelidir. Kural olarak, organizasyona - "suçluya" zarar vermeye çalışırlar, örneğin:
hasar ekipmanı;
programları ve/veya verileri zamanla yok edecek bir mantık bombası oluşturun;
verileri silin.
Kırgın çalışanlar, hatta eski çalışanlar, kuruluştaki kurallara aşinadır ve önemli ölçüde zarar verme yeteneğine sahiptir. Bir çalışan ayrıldığında, bilgi kaynaklarına erişim haklarının (mantıksal ve fiziksel) iptal edilmesini sağlamak gerekir.
Agresif kaynak tüketimi (genellikle ağ bant genişliği, işlemcilerin veya RAM'in işlem gücü) ağı normal çalışmadan çıkarmanın bir yolu olarak kullanılabilir. Tehdit kaynağının konumuna göre bu tüketim yerel ve uzak olarak ikiye ayrılır. Sistem yapılandırmasındaki yanlış hesaplamalar ile yerel bir program, işlemciyi ve/veya fiziksel belleği neredeyse tekelleştirebilir ve diğer programların yürütme hızını sıfıra indirebilir.
Uzaktan kaynak tüketiminin en basit örneği SYN flood saldırısıdır. Sunucunun "yarı açık" TCP bağlantı tablosunu aşma girişimidir (bağlantıların kurulması başlar ancak bitmez). En azından böyle bir saldırı, meşru kullanıcıların yeni bağlantılar kurmasını zorlaştırır, yani sunucuya erişilemez gibi görünür.
Yayın adreslerine sahip ping paketlerini kabul eden ağlar, "Papa Smurf" saldırısına karşı savunmasızdır. Bu tür paketlere verilen yanıtlar bant genişliğini "yiyip bitirir".
Son zamanlarda, uzaktan kaynak tüketimi kendini özellikle tehlikeli bir biçimde gösterdi - sunucuya birçok farklı adresten maksimum hızda tamamen yasal bağlantı ve / veya hizmet talepleri gönderildiğinde, koordineli dağıtılmış saldırılar olarak. Şubat 2000, en büyük e-ticaret sistemlerinden birkaçının (daha doğrusu, sistemlerin sahipleri ve kullanıcılarının) kurban olduğu bu tür saldırılar için "moda"nın başlangıcı olarak kabul edilebilir. Ağ bant genişliği ve sunucu performansı arasında bir dengesizlik şeklinde mimari bir yanlış hesaplama varsa, kullanılabilirliğe yönelik dağıtılmış saldırılara karşı savunma yapmak son derece zordur.
Yazılım ve donanım hataları şeklindeki güvenlik açıkları, sistemleri normal çalışmadan çıkarmak için kullanılabilir. Örneğin, Pentium I işlemcisindeki bilinen bir hata, yerel bir kullanıcının belirli bir komut vererek bilgisayarı "askıya almasına" izin verdi, bu nedenle yalnızca bir donanım SIFIRLAMASI yardımcı olur.
"Teardrop" programı, parçalanmış IP paketlerinin montajındaki bir hatadan yararlanarak bilgisayarları uzaktan "askıya alır".
1.4 Kötü amaçlı yazılım
Saldırı gerçekleştirmenin en tehlikeli yöntemlerinden biri, saldırıya uğrayan sistemlere kötü amaçlı yazılımların sokulmasıdır.
Kötü amaçlı yazılımın aşağıdaki yönleri ayırt edilir:
kötü amaçlı işlev;
dağıtım yöntemi;
dış sunum.
Yıkıcı işlevi gerçekleştiren parça aşağıdakiler için tasarlanmıştır:
diğer kötü amaçlı yazılımların tanıtımı;
saldırıya uğrayan sistem üzerinde kontrol sahibi olmak;
kaynakların agresif tüketimi;
programların ve/veya verilerin değiştirilmesi veya yok edilmesi.
Dağıtım mekanizmasına göre:
Virüsler - diğer programlara enjekte edilerek yayılma (muhtemelen değişikliklerle) yeteneğine sahip kod;
"Solucanlar" - bağımsız olarak, yani diğer programlara dahil edilmeden, kopyalarının ağ üzerinden yayılmasına ve yürütülmesine neden olabilen bir kod (virüsün etkinleştirilmesi, virüslü bir programın başlatılmasını gerektirir).
Virüsler genellikle bir ana bilgisayar içinde yerel olarak yayılır; ağ üzerinden iletmek için virüslü bir dosya göndermek gibi harici yardıma ihtiyaç duyarlar. Solucanlar ise öncelikle ağ yolculuğuna odaklanır.
Bazen kötü amaçlı yazılımın dağıtımı, agresif kaynak tüketimine neden olur ve bu nedenle kötü amaçlı bir özelliktir. Örneğin, "solucanlar" ağ bant genişliğini ve posta sistemi kaynaklarını "yiyip bitirir".
İşlevsel olarak yararlı bir programa benzeyen kötü amaçlı koda Truva Atı denir. Örneğin, virüs bulaşmış sıradan bir program Truva Atı olur; bazen Truva atları el yapımıdır ve bazı çekici paketlerde saf kullanıcılara kaydırılır (genellikle dosya paylaşım ağlarını veya oyun ve eğlence sitelerini ziyaret ederken).
1.5 CS güvenlik önlemlerinin sınıflandırılması
Uygulama yöntemlerine göre, bilgisayar ağlarının güvenliğini sağlamak için tüm önlemler aşağıdakilere ayrılır: yasal (yasama), ahlaki ve etik, organizasyonel (idari), fiziksel, teknik (donanım ve yazılım).
Yasal koruma önlemleri, bilgilerin işlenmesine ilişkin kuralları düzenleyen, bilgilerin işlenmesi ve kullanılması sürecinde bilgi ilişkilerine katılanların hak ve yükümlülüklerini belirleyen ve ayrıca bu ihlallere karşı sorumluluk oluşturan ülkede yürürlükte olan yasaları, kararnameleri ve yönetmelikleri içerir. kuralları, böylece bilgilerin kötüye kullanılmasını önler ve potansiyel ihlalciler için caydırıcı olur.
Ahlaki ve etik karşı önlemler, bir ülkede veya toplumda bilgisayar ağlarının yayılmasıyla geleneksel olarak geliştirilmiş veya gelişmekte olan davranış normlarını içerir. Bu normlar, yasal olarak onaylanmış normatif eylemler olarak çoğunlukla zorunlu değildir, ancak bunların uymamaları genellikle bir kişinin, bir grup kişinin veya kuruluşun otoritesinde, prestijinde bir düşüşe yol açar. Ahlaki ve etik normlar hem yazılı olmayabilir (örneğin, genel olarak kabul edilen dürüstlük, vatanseverlik vb. normlar) hem de yazılı, yani bir dizi kural veya düzenlemede (tüzük) resmileştirilebilir.
Organizasyonel (idari) koruma önlemleri, veri işleme sisteminin işleyişini, kaynaklarının kullanımını, personelin faaliyetlerini ve ayrıca kullanıcıların sistemle etkileşimini en fazla engelleyecek şekilde prosedürünü düzenleyen organizasyonel önlemlerdir. veya güvenlik tehditleri uygulama olasılığını hariç tutun. İçerirler :
ağların ve veri işleme sistemlerinin diğer nesnelerinin tasarımı, inşası ve ekipmanında gerçekleştirilen faaliyetler;
ağ kaynaklarına kullanıcı erişimi için kurallar geliştirmek için önlemler (bir güvenlik politikasının geliştirilmesi);
personel seçimi ve eğitiminde gerçekleştirilen faaliyetler;
güvenlik organizasyonu ve güvenilir erişim kontrolü;
belgelerin ve medyanın bilgi ile muhasebeleştirilmesi, depolanması, kullanılması ve imha edilmesi;
erişim kontrolü ayrıntılarının dağıtımı (parolalar, şifreleme anahtarları, vb.);
kullanıcıların çalışmaları üzerinde açık ve gizli kontrolün organizasyonu;
ekipman ve yazılımların tasarımı, geliştirilmesi, onarımı ve modifikasyonunda gerçekleştirilen faaliyetler vb.
Fiziksel koruma önlemleri, olası izinsiz giriş ve olası izinsiz girişlerin ağ bileşenlerine ve korunan bilgilere erişiminin yanı sıra erişim yolları üzerinde fiziksel engeller oluşturmak için özel olarak tasarlanmış çeşitli mekanik, elektro- veya elektronik-mekanik cihaz ve yapıların kullanımına dayanmaktadır. teknik görsel gözlem, iletişim ve güvenlik alarmı araçları.
Teknik (donanım) koruma önlemleri, CS'nin bir parçası olan ve (bağımsız olarak veya başka yollarla birlikte) koruma işlevleri gerçekleştiren çeşitli elektronik cihazların kullanımına dayanmaktadır.
Yazılım koruma yöntemleri, bilgilerin üç alanda doğrudan korunmasına yöneliktir: a) donanım; b) yazılım; c) veri ve kontrol komutları.
İletim sırasında bilgileri korumak için, genellikle bir iletişim kanalına veya fiziksel bir ortama girmeden önce çeşitli veri şifreleme yöntemleri kullanılır ve daha sonra şifre çözülür. Uygulamanın gösterdiği gibi, şifreleme yöntemleri mesajın anlamını güvenilir bir şekilde gizleyebilir.
Makine bilgilerine erişimi yöneten tüm koruma programları, soruları yanıtlama ilkesiyle çalışır: kim, hangi işlemleri ve hangi veriler üzerinde yapabilir.
Erişim şu şekilde tanımlanabilir:
genel (her kullanıcıya koşulsuz olarak sağlanır);
reddetme (koşulsuz reddetme, örneğin bir bilgiyi silme izni);
olaya bağlı (olay odaklı);
veri içeriğine bağlı;
duruma bağlı (bilgisayar sisteminin dinamik durumu);
frekansa bağlı (örneğin, kullanıcıya yalnızca bir kez veya belirli sayıda erişime izin verilir);
kullanıcı adına veya başka bir belirtiye göre;
otoriteye bağlı;
izinle (örneğin, şifreyle);
prosedürle.
Ayrıca, yetkisiz erişim girişimlerine karşı etkili önlemler, kayıt araçlarını içerir. Bu amaçlar için en umut verici olanı, yabancı ülkelerde yaygın olarak kullanılan ve izleme (olası bir bilgisayar tehdidinin otomatik olarak izlenmesi) olarak adlandırılan yeni özel amaçlı işletim sistemleridir.
İzleme, işletim sisteminin (OS) kendisi tarafından gerçekleştirilir ve görevleri, makine bilgilerinin girdi-çıktı, işleme ve imha süreçleri üzerinde kontrol içerir. İşletim sistemi, yetkisiz erişim zamanını ve erişilen yazılım araçlarını kaydeder. Ek olarak, bir bilgisayar sisteminin güvenliğine yönelik bir ihlalin bilgisayar güvenlik servisine, aynı anda baskı için gerekli verilerin (listenin) verilmesiyle derhal bildirir. Son zamanlarda, Amerika Birleşik Devletleri'nde ve bazı Avrupa ülkelerinde, bilgisayar sistemlerini korumak için özel alt rutinler de kullanılmaya başlandı ve yetkisiz bir kişi, aşağıdakilere benzer şekilde sınıflandırılmış bilgiler içeren bir dosyanın içeriğini görüntülemeye çalıştığında ana programın kendi kendini imha etmesine neden oldu. bir "mantık bombası" eylemi.
Güvenlik Görevleri:
İletişim kanalları ve veri tabanlarındaki bilgilerin kriptografik yöntemlerle korunması;
Veri nesnelerinin ve kullanıcıların kimlik doğrulaması (iletişim kuran tarafların kimlik doğrulaması);
Veri nesnelerinin bütünlüğü ihlallerinin tespiti;
Gizli bilgilerin işlendiği teknik araçların ve tesislerin yan kanallardan ve muhtemelen bilgi almak için gömülü elektronik cihazlardan sızıntıya karşı korunmasını sağlamak;
Yazılım ürünlerinin ve bilgisayar ekipmanının, yazılım virüslerinin ve yer imlerinin bunlara girmesine karşı korunmasını sağlamak;
Şifreleme araçlarını kullanmasına izin verilmeyen, ancak gizli bilgileri tehlikeye atma ve abone istasyonlarının çalışmalarını bozma amacını güden kişilerden iletişim kanalında yetkisiz eylemlere karşı koruma;
Gizli verilerin güvenliğini sağlamayı amaçlayan organizasyonel ve teknik önlemler.
2. Ağlardaki bilgileri korumanın temel yöntemleri ve araçları
WRC çerçevesinde bilgileri korumanın tüm yöntemlerini ve araçlarını ayrıntılı olarak analiz etmek imkansızdır. Sadece bazılarını karakterize edeceğim.
Bilginin fiziksel olarak korunmasına yönelik önlemler şunları içerir:
yangın koruması;
suya ve yangın söndürme sıvısına karşı koruma
aşındırıcı gazlara karşı koruma;
elektromanyetik radyasyona karşı koruma;
vandalizm koruması;
hırsızlık ve hırsızlığa karşı koruma;
patlama koruması;
düşen döküntülere karşı koruma;
toz koruması;
tesislere yetkisiz erişime karşı koruma.
Fiziksel güvenliği sağlamak için hangi adımlar atılmalıdır?
Öncelikle sunucuların duracağı odayı hazırlamanız gerekiyor. Zorunlu kural: sunucu, erişimi kesinlikle sınırlı bir insan çevresi olan ayrı bir odada bulunmalıdır. Bu odaya klima ve iyi bir havalandırma sistemi kurulmalıdır. Ayrıca bir mini ATS ve diğer hayati teknik sistemleri de oraya yerleştirebilirsiniz.
Sunucuda kullanılmayan disk sürücülerinin, paralel ve seri bağlantı noktalarının devre dışı bırakılması akıllıca bir harekettir. Vücudunu mühürlemek arzu edilir. Tüm bunlar, saldırgan bir şekilde sunucu odasına girse bile, bilgilerin çalınmasını veya değiştirilmesini zorlaştıracaktır. Demir parmaklıklar ve kapılar, şifreli kilitler ve ofisin önemli alanlarında olan her şeyi sürekli olarak kaydedecek video gözetim kameraları gibi önemsiz güvenlik önlemlerini ihmal etmeyin.
Başka bir tipik hata, yedekleme ile ilgilidir. Herkes bunun gerekliliğini ve yangın durumunda bir yangın söndürücüye sahip olmanın gerekliliğini bilir. Ama nedense yedeklerin sunucuyla aynı odada saklanamayacağını unutuyorlar. Sonuç olarak, bilgi saldırılarına karşı kendilerini savunan firmalar, ihtiyatlı bir şekilde yapılan kopyaların sunucuyla birlikte yok olduğu küçük bir yangın karşısında bile savunmasızdır.
Çoğu zaman, sunucuları koruduktan sonra bile, her türlü kablonun da korumaya ihtiyacı olduğunu unuturlar - ağın kablo sistemi. Üstelik, genellikle davetsiz misafirlerden değil, yerel ağların en kötü düşmanları olarak kabul edilen en sıradan temizlikçilerden korkmanız gerekir. Kabloyu korumanın en iyi yolu bir kutudur, ancak prensip olarak, kabloları gizlemenize ve güvenli bir şekilde sabitlemenize izin veren başka herhangi bir yöntem işe yarayacaktır. Bununla birlikte, bilgileri kesmek veya örneğin akımı boşaltarak parazit oluşturmak için onlara dışarıdan bağlanma olasılığını gözden kaçırmamalısınız. Bununla birlikte, bu seçeneğin yaygın olmadığını ve sadece büyük firmaların iş ihlallerinde görüldüğünü kabul etmek gerekir.
İnternete ek olarak, bilgisayarlar başka bir ağa dahil edilir - normal elektrik. Bununla birlikte, sunucuların fiziksel güvenliği ile ilgili başka bir sorun grubu da ilişkilidir. Modern güç ağlarının kalitesinin ideal olmaktan uzak olduğu bir sır değil. Harici bir anormallik belirtisi olmasa bile, çoğu zaman şebekedeki voltaj normalden daha yüksek veya daha düşüktür. Aynı zamanda, çoğu insan evlerinde veya ofislerinde güç kaynağıyla ilgili bazı sorunlar olduğundan şüphelenmez bile.
Düşük voltaj en yaygın anormalliktir ve çeşitli güç sorunlarının toplam sayısının yaklaşık %85'ini oluşturur. Genel nedeni, özellikle kış aylarında yaygın olan elektrik sıkıntısıdır. Artan voltaj, neredeyse her zaman bir tür kaza veya odadaki kablolama hasarının sonucudur. Genellikle, ortak nötr telin bağlantısının kesilmesinin bir sonucu olarak, bitişik fazlar 380 V'ta enerjilenir. Ayrıca, yanlış kablolama nedeniyle ağda yüksek voltaj meydana gelir.
Darbe ve yüksek frekanslı parazit kaynakları, yıldırım çarpmaları, güçlü elektrik tüketicilerinin açılması veya kapatılması, trafo merkezlerindeki kazalar ve ayrıca bazı elektrikli ev aletlerinin çalışması olabilir. Çoğu zaman, bu tür parazitler büyük şehirlerde ve endüstriyel alanlarda meydana gelir. Nanosaniyeden (10~9 s) mikrosaniyeye (10~6 s) kadar bir süreye sahip voltaj darbeleri, genlik olarak birkaç bin volta ulaşabilir. Bu tür parazitlere karşı en savunmasız olanlar mikroişlemciler ve diğer elektronik bileşenlerdir. Sıklıkla, bastırılmamış dürtü gürültüsü, sunucunun yeniden başlatılmasına veya veri işlemede bir hataya neden olabilir. Bilgisayarın yerleşik güç kaynağı, elbette, voltaj dalgalanmalarını kısmen düzelterek bilgisayarın elektronik bileşenlerini arızadan korur, ancak artık parazit hala ekipmanın ömrünü azaltır ve ayrıca sunucuda sıcaklıkta bir artışa neden olur. güç kaynağı.
Bilgisayarları yüksek frekanslı darbe gürültüsünden korumak için, ekipmanı çoğu parazit ve voltaj dalgalanmasından korumak için aşırı gerilim koruyucular (örneğin Pilot markaları) kullanılır. Ayrıca önemli bilgilere sahip bilgisayarlarda kesintisiz güç kaynağı (UPS) bulunmalıdır. Modern UPS modelleri, yalnızca güç kesildiğinde bilgisayarı çalışır durumda tutmakla kalmaz, aynı zamanda şebeke gücü aralık dışındaysa onu ana şebekeden ayırır.
2.2 CS'de donanım bilgilerinin korunması
Bilgi güvenliği donanımı, CS'nin teknik araçlarına dahil olan ve (bağımsız veya yazılımla tek bir kompleks halinde) bazı bilgi güvenliği işlevlerini yerine getiren elektronik ve elektro-mekanik cihazları içerir. Bir cihazı mühendislik ve teknik koruma aracı olarak değil, donanım olarak sınıflandırma kriteri, COP'nin teknik araçlarının bileşimine zorunlu olarak dahil edilmesidir.
Ana donanım bilgi güvenliği araçları şunları içerir:
Kullanıcı tanımlama bilgilerini girmek için cihazlar (manyetik ve plastik kartlar, parmak izleri vb.);
Bilgileri şifrelemek için cihazlar;
İş istasyonlarının ve sunucuların yetkisiz açılmasını önleyen cihazlar (elektronik kilitler ve ara kilitler).
Yardımcı donanım bilgi güvenliği örnekleri:
Manyetik ortamdaki bilgilerin imhası için cihazlar;
CS kullanıcılarının yetkisiz eylem girişimleri vb. hakkında cihazlara sinyal gönderme.
Donanım, yalnızca hasara ve diğer kazara veya kötü niyetli saldırılara karşı korumanın daha kolay olması nedeniyle değil, aynı zamanda işlevlerin donanım uygulamasının yazılım uygulamasından daha hızlı olması ve maliyetlerinin giderek azalması nedeniyle giderek daha fazla ilgi görmektedir.
Donanım koruma pazarında giderek daha fazla yeni cihaz ortaya çıkıyor. Elektronik kilidin açıklaması aşağıda örnek olarak verilmiştir.
Elektronik kilit "Sobol"
CJSC NIP Informzashchita tarafından geliştirilen ve sağlanan Sobol, aşağıdaki koruma işlevlerini sağlar:
kullanıcıların tanımlanması ve doğrulanması;
sabit diskin dosyalarının ve fiziksel sektörlerinin bütünlüğünün kontrolü;
disket ve CD-ROM'dan işletim sistemi önyüklemesini engelleme;
belirtilen başarısız oturum açma girişimi sayısını aştığında kayıtlı bir kullanıcının oturum açmasını engelleme;
sistem güvenliği ile ilgili olayların kaydı.
Kullanıcılar, 64 KB'ye kadar hafızaya sahip bir Dokunmatik Hafıza tableti şeklindeki bireysel bir anahtarla tanımlanır ve kimlik doğrulama, 16 karaktere kadar bir şifre ile gerçekleştirilir.
Bütünlük denetimi, kullanıcı programlarının ve dosyalarının ve özellikle işletim sistemi sistem dosyalarının bir saldırgan veya onun tarafından tanıtılan bir yazılım sekmesi tarafından değiştirilmediğinden emin olmak için tasarlanmıştır. Bunu yapmak için, her şeyden önce, işletim sistemi dosya sisteminin ayrıştırıcısı devreye girer: referans değerlerinin hesaplanması ve yükleme sırasındaki kontrolleri Sobol'da donanım düzeyinde gerçekleştirilir. Nesne bütünlüğü kontrol listesinin oluşturulması, prensipte önleyici programın bu listeyi değiştirmesine izin veren işletim sistemi yardımcı programı kullanılarak gerçekleştirilir ve sistemin genel güvenlik seviyesinin, en zayıf olanın güvenlik seviyesi tarafından belirlendiği iyi bilinir. bağlantı.
Bilgi koruma yazılımı, yalnızca koruyucu işlevleri yerine getirmek için CS yazılımına dahil edilen özel programlar anlamına gelir.
Ana bilgi güvenliği yazılımı şunları içerir:
CS kullanıcılarının tanımlanması ve doğrulanması için programlar;
CS kaynaklarına kullanıcı erişimini sınırlamak için programlar;
Bilgi şifreleme programları;
Bilgi kaynaklarını (sistem ve uygulama yazılımları, veri tabanları, bilgisayar eğitim araçları vb.) yetkisiz değişiklik, kullanım ve kopyalamaya karşı korumaya yönelik programlar.
CS'nin bilgi güvenliğini sağlamakla ilgili olarak tanımlamanın, CS'nin konusunun benzersiz adının açık bir şekilde tanınması olarak anlaşılmalıdır. Kimlik doğrulama, sunulan adın verilen konuyla eşleştiğini doğrulamak anlamına gelir (konu kimlik doğrulaması).
Bilgi güvenliği yazılımı ayrıca şunları içerir:
Artık bilgilerin yok edilmesi için programlar (RAM bloklarında, geçici dosyalar vb.);
COP'un güvenliği ile ilgili olayların denetim programları (günlük tutma), kurtarma olasılığını sağlamak ve bu olayların meydana geldiğinin kanıtını sağlamak;
Suçluyla çalışmayı taklit eden programlar (sözde gizli bilgileri alması için dikkatini dağıtan);
CS güvenliğinin test kontrolü için programlar vb.
Bilgi güvenliği yazılımının faydaları şunları içerir:
Çoğaltma kolaylığı;
Esneklik (belirli CS'nin bilgi güvenliğine yönelik tehditlerin özelliklerini dikkate alarak çeşitli kullanım koşullarına uyum sağlama yeteneği);
Kullanım kolaylığı - şifreleme gibi bazı yazılım araçları "şeffaf" (kullanıcı tarafından görülmez) modda çalışır, diğerleri ise kullanıcının (diğer programlara kıyasla) yeni becerilere sahip olmasını gerektirmez;
Bilgi güvenliğine yönelik yeni tehditleri hesaba katmak için değişiklikler yaparak geliştirmeleri için neredeyse sınırsız olanaklar.
Pirinç. 4. Yerleştirilmiş bir güvenlik aracı örneği.
Pirinç. 5. Yerleşik bir yazılım koruma aracı örneği.
Bilgi güvenliği yazılımının dezavantajları şunları içerir:
Koruma programlarının işleyişi için gerekli olan kaynakların tüketimi nedeniyle CS'nin etkinliğinin azaltılması;
Daha düşük performans (şifreleme gibi benzer donanım korumalarına kıyasla);
Birçok yazılım koruma aracının yerleştirilmesi (ve bunların CS yazılımında yerleşik olmaması, Şekil 4 ve 5), davetsiz misafirin bunları atlaması için temel bir olasılık yaratır;
CS işlemi sırasında yazılım koruma araçlarının kötü niyetli olarak değiştirilmesi olasılığı.
İşletim sistemi, herhangi bir bilgisayarın en önemli yazılım bileşenidir, bu nedenle, bilgi sisteminin genel güvenliği, büyük ölçüde, her bir işletim sisteminde güvenlik politikasının uygulanma düzeyine bağlıdır.
MS-DOS işletim sistemi, Intel mikroişlemcisinin gerçek kipteki işletim sistemidir ve bu nedenle işlemler arasında RAM paylaşımından söz edilemez. Tüm yerleşik programlar ve ana program aynı RAM alanını kullanır. Dosya koruması yok, ağ güvenliği hakkında kesin bir şey söylemek zor, çünkü yazılımın geliştirilmesinin o aşamasında ağ sürücüleri MicroSoft tarafından değil, üçüncü taraf geliştiriciler tarafından geliştirildi.
Windows 95, 98, Millenium işletim sistemleri ailesi, orijinal olarak ev bilgisayarlarında çalışmaya yönelik klonlardır. Bu işletim sistemleri, korumalı mod ayrıcalık düzeylerini kullanır, ancak herhangi bir ek kontrol yapmaz ve güvenlik tanımlayıcı sistemlerini desteklemez. Sonuç olarak, herhangi bir uygulama hem okuma hem de yazma erişimiyle kullanılabilir RAM'in tamamına erişebilir. Ağ güvenlik önlemleri mevcuttur, ancak bunların uygulanması eşit değildir. Ayrıca, Windows 95 sürümünde, bilgisayarın yalnızca birkaç pakette uzaktan “donmasına” neden olan ve işletim sisteminin itibarını önemli ölçüde baltalayan temel bir hata yapıldı; sonraki sürümlerde, bu klonun ağ güvenliğini geliştirmek için birçok adım atıldı.
İşletim sistemlerinin nesli Windows NT, 2000, MicroSoft tarafından zaten çok daha güvenilir bir gelişmedir. Bunlar, sabit diskteki çeşitli kullanıcıların dosyalarını güvenilir bir şekilde koruyan gerçekten çok kullanıcılı sistemlerdir (ancak, veri şifreleme hala gerçekleştirilmez ve dosyalar başka bir işletim sisteminin diskinden önyüklenerek sorunsuz bir şekilde okunabilir - örneğin, MS -DOS). Bu işletim sistemleri, Intel işlemcilerin korumalı mod özelliklerini etkin bir şekilde kullanır ve süreç dışından ek erişim sağlamak istemediği sürece, diğer programlardan verileri ve işlem kodunu güvenilir bir şekilde koruyabilir.
Uzun bir geliştirme dönemi boyunca, birçok farklı ağ saldırısı ve güvenlik hatası dikkate alınmıştır. Onlara yapılan düzeltmeler, güncelleme blokları şeklinde ortaya çıktı (İngilizce hizmet paketi).
UNIX işletim sisteminden başka bir klon dalı büyür. Bu işletim sistemi başlangıçta bir ağ ve çok kullanıcılı olarak geliştirildi ve bu nedenle hemen bilgi güvenliği araçlarını içeriyordu. Hemen hemen tüm yaygın UNIX klonları geliştirmede uzun bir yol kat etti ve değiştirildikleri için bu süre zarfında keşfedilen tüm saldırı yöntemlerini dikkate aldılar. Yeterince kendilerini kanıtladılar: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Doğal olarak, yukarıdakilerin tümü bu işletim sistemlerinin en son sürümleri için geçerlidir. Bu sistemlerdeki temel hatalar artık kusursuz çalışan çekirdekle değil, sistem ve uygulama yardımcı programlarıyla ilgilidir. İçlerinde hataların varlığı, genellikle sistemin tüm güvenlik marjının kaybolmasına neden olur.
Ana bileşenler:
Yerel güvenlik yöneticisi - yetkisiz erişimden sorumludur, kullanıcının sistemde oturum açma yetkisini kontrol eder, şunları destekler:
Denetim - kullanıcının eylemlerinin doğruluğunu kontrol etme
Hesap Yöneticisi - Kullanıcıların eylemlerinin veri tabanı ve sistemle etkileşimi için destek.
Güvenlik izleyicisi - kullanıcının nesneye yeterli erişim haklarına sahip olup olmadığını kontrol eder
Denetim günlüğü - kullanıcı oturum açma bilgileri, dosya ve klasörlerle ilgili kayıtlar hakkında bilgi içerir.
Kimlik Doğrulama Paketi - Değiştirilip değiştirilmediklerini görmek için sistem dosyalarını analiz eder. MSV10 varsayılan pakettir.
Windows XP eklendi:
arşivlenmiş kopyalar için şifreler atayabilirsiniz
dosya değiştirme koruması
farklılaşma sistemi ... bir şifre girerek ve bir kullanıcı hesabı oluşturarak. Arşivleme, bu haklara sahip bir kullanıcı tarafından gerçekleştirilebilir.
NTFS: Dosya ve Klasör Erişim Kontrolü
XP ve 2000'de - kullanıcı erişim haklarının daha eksiksiz ve derin bir farklılaşması.
EFS - verilere erişimi kısıtlamak için bilgilerin (dosyalar ve klasörler) şifrelenmesini ve şifresinin çözülmesini sağlar.
Kriptografi, verilerin güvenliğini sağlama bilimidir. Etkileşimdeki katılımcıların gizliliği, kimlik doğrulaması, bütünlüğü ve kontrolü olmak üzere dört önemli güvenlik sorununa çözüm arıyor. Şifreleme, verilerin şifreleme-şifre çözme anahtarları kullanılarak okunamaz bir forma dönüştürülmesidir. Şifreleme, bilgileri amaçlamadığı kişilerden gizli tutarak gizliliği korumanıza olanak tanır.
Kriptografi, bilgiyi dönüştürmek için matematiksel yöntemlerin araştırılması ve incelenmesi ile ilgilenir.
Modern kriptografi dört ana bölümden oluşur:
simetrik kriptosistemler;
açık anahtar şifreleme sistemleri;
elektronik imza sistemleri;
anahtar yönetimi.
Kriptografik yöntemleri kullanmanın ana yönleri, gizli bilgilerin iletişim kanalları (örneğin e-posta) aracılığıyla iletilmesi, iletilen mesajların doğrulanması, bilgilerin (belgeler, veritabanları) şifreli ortamda saklanmasıdır.
Şifreli disk, diğer dosyaları veya programları içerebilen bir kapsayıcı dosyasıdır (doğrudan bu şifreli dosyadan yüklenebilir ve çalıştırılabilirler). Bu disk, yalnızca kapsayıcı dosyası için parola girildikten sonra kullanılabilir - daha sonra bilgisayarda, sistem tarafından mantıksal olarak tanınan ve onunla çalışmanın başka herhangi bir diskle çalışmaktan farklı olmayan başka bir disk belirir. Sürücünün bağlantısını kestikten sonra mantıksal sürücü kaybolur, sadece "görünmez" hale gelir.
Bugüne kadar, şifreli diskler oluşturmak için en yaygın programlar DriveCrypt, BestCrypt ve PGPdisk'tir. Her biri uzaktan bilgisayar korsanlığına karşı güvenilir bir şekilde korunmaktadır.
Kapsayıcı dosyasındaki bilgilerdeki tüm değişiklikler önce RAM'de gerçekleşir, yani. sabit sürücü her zaman şifreli kalır. Bilgisayar donsa bile, gizli veriler şifrelenmiş olarak kalır;
Programlar, belirli bir süre sonra gizli bir mantıksal sürücüyü engelleyebilir;
Hepsi geçici dosyalara (takas dosyaları) güvenmiyor. Takas dosyasına girebilecek tüm gizli bilgileri şifrelemek mümkündür. Bir takas dosyasında saklanan bilgileri gizlemenin çok etkili bir yöntemi, bilgisayarın RAM'ini artırmayı unutmadan onu tamamen kapatmaktır;
Bir sabit diskin fiziği öyledir ki, bazı verilerin üzerine başkalarıyla yazsanız bile, önceki kayıt tamamen silinmeyecektir. Modern manyetik mikroskopi (Manyetik Kuvvet Mikroskobu - MFM) yardımıyla hala geri yüklenebilirler. Bu programlarla, sabit sürücünüzdeki dosyaları, varlıklarına dair hiçbir iz bırakmadan güvenli bir şekilde silebilirsiniz;
Her üç program da hassas verileri yüksek düzeyde şifrelenmiş biçimde sabit sürücüde depolar ve herhangi bir uygulama programından bu verilere şeffaf erişim sağlar;
Şifreli kapsayıcı dosyalarını yanlışlıkla silinmeye karşı korurlar;
Truva atları ve virüslerle mükemmel bir iş çıkarıyorlar.
VS'ye erişmeden önce, kullanıcı kendini tanımlamalı ve ağ güvenlik mekanizmaları daha sonra kullanıcının kimliğini doğrulamalı, yani kullanıcının gerçekten iddia ettiği kişi olup olmadığını kontrol etmelidir. Koruma mekanizmasının mantıksal modeline göre, uçak, kullanıcının terminali aracılığıyla veya başka bir şekilde bağlı olduğu çalışan bir bilgisayarda bulunur. Bu nedenle, yerel iş istasyonunda bir oturumun başlangıcında tanımlama, kimlik doğrulama ve yetkilendirme prosedürleri gerçekleştirilir.
Daha sonra, çeşitli ağ protokolleri oluşturulduğunda ve ağ kaynaklarına erişim elde edilmeden önce, gerekli kaynakları veya ağ hizmetlerini barındırmak için bazı uzak iş istasyonlarında tanımlama, doğrulama ve yetkilendirme prosedürleri yeniden etkinleştirilebilir.
Bir kullanıcı bir terminal kullanarak bir bilgisayar sisteminde oturum açtığında, sistem onun adını ve kimlik numarasını sorar. Kullanıcının verdiği yanıtlara göre bilgisayar sistemi kullanıcıyı tanımlar. Bir ağda, karşılıklı bağlantı kuran nesnelerin birbirini tanımlaması daha doğaldır.
Parolalar, kimlik doğrulamanın yalnızca bir yoludur. Başka yollar da var:
1. Kullanıcının emrinde önceden tanımlanmış bilgiler: şifre, kişisel kimlik numarası, özel kodlanmış ifadelerin kullanımına ilişkin anlaşma.
2. Kullanıcının emrinde olan donanım elemanları: anahtarlar, manyetik kartlar, mikro devreler, vb.
3. Kullanıcının karakteristik kişisel özellikleri: parmak izleri, retina yapısı, vücut ölçüsü, ses tınısı ve diğer daha karmaşık tıbbi ve biyokimyasal özellikler.
4. Gerçek zamanlı kullanıcı davranışının karakteristik teknikleri ve özellikleri: dinamiklerin özellikleri, klavyede çalışma tarzı, okuma hızı, manipülatör kullanma yeteneği vb.
5. Alışkanlıklar: belirli bilgisayar boşluklarının kullanımı.
6. Kullanıcının eğitim, kültür, eğitim, geçmiş, yetiştirilme, alışkanlıklar vb. nedeniyle bilgi ve becerileri.
Birisi bir terminal aracılığıyla bilgi işlem sisteminde oturum açmak veya bir toplu iş yürütmek isterse, bilgi işlem sistemi kullanıcının kimliğini doğrulamalıdır. Kullanıcı, kural olarak, bilgi işlem sisteminin gerçekliğini doğrulamaz. Kimlik doğrulama prosedürü tek yönlü ise, böyle bir prosedüre tek yönlü nesne kimlik doğrulama prosedürü denir.
Bilgileri yetkisiz erişimden korumaya yönelik özel yazılım araçları, genellikle yerleşik ağ işletim sistemi araçlarından daha iyi yeteneklere ve özelliklere sahiptir. Şifreleme programlarına ek olarak, birçok başka harici bilgi güvenliği aracı da mevcuttur. En sık bahsedilenlerden, bilgi akışlarının sınırlandırılmasına izin veren aşağıdaki iki sistem not edilmelidir.
Güvenlik duvarları - güvenlik duvarları (kelimenin tam anlamıyla güvenlik duvarı - ateşli bir duvar). Yerel ve küresel ağlar arasında, içinden geçen tüm ağ / taşıma katmanı trafiğini denetleyen ve filtreleyen özel ara sunucular oluşturulur. Bu, dışarıdan kurumsal ağlara yetkisiz erişim tehdidini önemli ölçüde azaltmanıza olanak tanır, ancak bu tehlikeyi tamamen ortadan kaldırmaz. Yöntemin daha güvenli bir versiyonu, yerel ağdan gelen tüm trafik güvenlik duvarı sunucusu adına gönderildiğinde, yerel ağı neredeyse görünmez hale getiren maskeleme yöntemidir.
Vekil sunucular (vekil - vekaletname, yetkili kişi). Yerel ve küresel ağlar arasındaki tüm ağ/taşıma katmanı trafiği tamamen yasaktır - böyle bir yönlendirme yoktur ve yerel ağdan küresel ağa çağrılar özel aracı sunucular aracılığıyla gerçekleşir. Açıkçası, bu yöntemle küresel ağdan yerel ağa erişim prensipte imkansız hale geliyor. Bu yöntemin daha üst düzeylerdeki saldırılara karşı yeterli koruma sağlamadığı da açıktır - örneğin uygulama düzeyinde (virüsler, Java ve JavaScript kodu).
Güvenlik duvarının nasıl çalıştığına daha yakından bakalım. Donanım ve yazılım aracılığıyla ağa erişimi merkezileştirerek ve kontrol ederek bir ağı diğer sistemlerden ve ağlardan gelen güvenlik tehditlerinden koruma yöntemidir. Güvenlik duvarı, birkaç bileşenden oluşan bir güvenlik bariyeridir (örneğin, güvenlik duvarı yazılımını çalıştıran bir yönlendirici veya ağ geçidi). Güvenlik duvarı, kuruluşun dahili ağ erişim denetimi ilkesine göre yapılandırılır. Tüm gelen ve giden paketler, yalnızca yetkili paketlerin geçmesine izin veren bir güvenlik duvarından geçmelidir.
Paket filtreleme güvenlik duvarı, belirli türdeki gelen ve giden paketleri reddetmek üzere yapılandırılmış bir yönlendirici veya bilgisayar çalıştıran yazılımdır. Paket filtreleme, TCP ve IP paket başlıklarında (gönderen ve hedef adresleri, port numaraları vb.) bulunan bilgilere dayanır.
Uzman düzeyinde güvenlik duvarı - alınan paketlerin içeriğini OSI modelinin ağ, oturum ve uygulama olmak üzere üç düzeyinde kontrol eder. Bu görevi gerçekleştirmek için, her paketi bilinen bir yetkili paket modeliyle karşılaştırmak için özel paket filtreleme algoritmaları kullanılır.
Güvenlik duvarı oluşturmak, koruma sorununun çözülmesi anlamına gelir. Tarama probleminin resmi ifadesi aşağıdaki gibidir. İki grup bilgi sistemi olsun. Ekran, bir kümedeki istemcilerin başka bir kümedeki sunuculara erişimini sınırlandırmanın bir yoludur. Ekran, iki sistem grubu arasındaki tüm bilgi akışlarını kontrol ederek işlevlerini yerine getirir (Şekil 6). Akış kontrolü, muhtemelen bazı dönüşümlerle onları filtrelemekten ibarettir.
Pirinç. 6. Erişim kontrolü aracı olarak ekran.
Bir sonraki ayrıntı düzeyinde, ekran (yarı geçirgen zar) uygun bir şekilde bir dizi filtre olarak gösterilebilir. Filtrelerin her biri, verileri analiz ettikten sonra, onları geciktirebilir (kaçırmaz) veya hemen ekrandan "atabilir". Ek olarak, verileri dönüştürmek, daha fazla analiz için verilerin bir kısmını bir sonraki filtreye aktarmak veya muhatap adına verileri işlemek ve sonucu gönderene döndürmek mümkündür (Şekil 7).
Pirinç. 7. Bir dizi filtre olarak ekran.
Erişim kontrol işlevlerine ek olarak, ekranlar bilgi alışverişini günlüğe kaydeder.
Genellikle ekran simetrik değildir, bunun için "iç" ve "dış" kavramları tanımlanır. Bu durumda, koruma görevi, iç alanı potansiyel olarak düşmanca bir dış alandan korumak olarak formüle edilir. Bu nedenle, güvenlik duvarları (ME) çoğunlukla İnternet erişimi olan bir kuruluşun kurumsal ağını korumak için kurulur.
Koruma, dış faaliyetlerin neden olduğu ek yükü azaltarak veya ortadan kaldırarak iç alandaki hizmetlerin kullanılabilirliğini korumaya yardımcı olur. Saldırganın öncelikle koruma mekanizmalarının özellikle dikkatli bir şekilde yapılandırıldığı ekrandan geçmesi gerektiğinden, iç güvenlik hizmetlerinin güvenlik açığı azaltılır. Ek olarak, ekranlama sistemi, evrensel olanın aksine, daha basit ve dolayısıyla daha güvenli bir şekilde düzenlenebilir.
Koruma ayrıca, kuruluşun IS'sindeki gizlilik rejiminin korunmasına yardımcı olan, dış alana yönlendirilen bilgi akışlarını kontrol etmeyi mümkün kılar.
Koruma, belirli bilgi hizmetlerini (örn. e-posta koruması) koruyarak kısmi olabilir.
Sınırlayıcı bir arayüz, bir tür kaçış olarak da düşünülebilir. Görünmez bir nesneye, özellikle sabit bir takım araçlarla saldırmak zordur. Bu anlamda, Web arayüzü, özellikle hiper metin belgeleri dinamik olarak oluşturulduğunda doğal olarak güvenlidir. Her kullanıcı yalnızca görmesi gerekeni görür. Dinamik olarak oluşturulmuş hipermetin belgeleri ile ilişkisel veritabanlarındaki temsiller arasında bir benzetme yapmak mümkündür, ancak Web durumunda olasılıkların çok daha geniş olduğu önemli bir uyarıdır.
Bir Web hizmetinin koruyucu rolü, bu hizmet, veritabanı tabloları gibi diğer kaynaklara erişirken aracı (daha doğrusu tümleştirme) işlevlerini yerine getirdiğinde de açıkça ortaya çıkar. Sadece isteklerin akışını kontrol etmekle kalmaz, aynı zamanda verilerin gerçek organizasyonunu da gizler.
Ağ ortamının doğasında var olan tehditlerle evrensel işletim sistemlerini kullanarak mücadele etmek mümkün değildir. Universal OS, bariz hatalara ek olarak, muhtemelen yasadışı olarak ayrıcalıklar elde etmek için kullanılabilecek bazı özellikler içeren devasa bir yazılım parçasıdır. Modern programlama teknolojisi, bu kadar büyük programların güvenli hale getirilmesine izin vermez. Ayrıca, karmaşık bir sistemle uğraşan bir yönetici, yapılan değişikliklerin tüm sonuçlarını her zaman hesaba katamaz. Son olarak, evrensel bir çok kullanıcılı sistemde, kullanıcıların kendileri tarafından sürekli olarak güvenlik açıkları oluşturulur (zayıf ve/veya nadiren değiştirilen parolalar, kötü ayarlanmış erişim hakları, gözetimsiz bir terminal vb.). Tek umut verici yol, basitlikleri nedeniyle resmi veya gayri resmi doğrulamaya izin veren özel güvenlik hizmetlerinin geliştirilmesi ile ilişkilidir. Güvenlik duvarı, çeşitli ağ protokollerinin bakımıyla ilişkili daha fazla ayrıştırmaya izin veren bir araçtır.
Güvenlik duvarı, korunan (dahili) ağ ile harici ortam (harici ağlar veya şirket ağının diğer bölümleri) arasında bulunur. İlk durumda, biri harici bir ME'den, ikincisinde ise dahili bir ME'den bahseder. Kişinin bakış açısına bağlı olarak, harici bir güvenlik duvarı ilk veya son (ancak hiçbir şekilde tek değil) savunma hattı olarak kabul edilebilir. Birincisi - dünyaya dışarıdan bir davetsiz misafirin gözünden bakarsanız. Sonuncusu - şirket ağının tüm bileşenlerini korumaya ve dahili kullanıcıların yasa dışı eylemlerini önlemeye çalışıyorsanız.
Güvenlik duvarı, aktif denetim araçlarını yerleştirmek için ideal bir yerdir. Bir yandan, hem ilk hem de son savunma hattında, şüpheli faaliyetin tespiti kendi yolunda önemlidir. Öte yandan, ME, dış ortamla bağlantıyı kesmeye kadar, şüpheli etkinliğe keyfi olarak güçlü bir tepki uygulayabilir. Doğru, iki güvenlik hizmetinin bağlantısının prensipte erişilebilirlik saldırılarını kolaylaştıran bir boşluk yaratabileceğinin farkında olunmalıdır.
Kurumsal kaynaklara erişmesi gereken harici kullanıcıların kimlik / kimlik doğrulamasını güvenlik duvarına atamanız önerilir (tek oturum açma konsepti desteği ile).
Derinlemesine savunma ilkeleri nedeniyle, dış bağlantıları korumak için yaygın olarak iki parçalı ekranlama kullanılır (bkz. Şekil 8). Birincil filtreleme (örneğin, erişilebilirlik saldırıları için tehlikeli olan SNMP yönetim protokolü paketlerinin veya "kara listede" bulunan belirli IP adreslerine sahip paketlerin engellenmesi) sınır yönlendiricisi tarafından gerçekleştirilir (ayrıca bir sonraki bölüme bakın), bunun arkasında sözde askerden arındırılmış bölge ( kuruluşun dış bilgi hizmetlerinin yerleştirildiği orta düzeyde güvenlik güvenine sahip bir ağ - Web, e-posta vb.) ve şirket ağının iç kısmını koruyan ana güvenlik duvarı.
Teoride, bir güvenlik duvarı (özellikle dahili bir güvenlik duvarı) çok protokollü olmalıdır, ancak pratikte TCP/IP protokol ailesi o kadar baskındır ki, diğer protokolleri desteklemek, güvenliğe zarar veren bir aşırılık gibi görünmektedir (hizmet ne kadar karmaşıksa, o kadar savunmasızdır).
Pirinç. 8. Askerden arındırılmış bölge ile iki bileşenli koruma.
Genel olarak konuşursak, ağ trafiği miktarı hızla artma eğiliminde olduğundan hem harici hem de dahili güvenlik duvarı bir darboğaz haline gelebilir. Bu sorunu çözmeye yönelik yaklaşımlardan biri, ME'yi birkaç donanım parçasına bölmeyi ve özel aracı sunucuları organize etmeyi içerir. Ana güvenlik duvarı, gelen trafiği türe göre kabaca sınıflandırabilir ve uygun aracılara (örneğin, HTTP trafiğini analiz eden bir aracıya) filtreleme yetkisi verebilir. Giden trafik ilk olarak, harici Web sunucularının sayfalarını önbelleğe almak gibi işlevsel olarak yararlı eylemleri de gerçekleştirebilen ve genel olarak ağ üzerindeki yükü ve özel olarak ana güvenlik duvarı üzerindeki yükü azaltan bir aracı sunucu tarafından işlenir.
Şirket ağının yalnızca bir harici kanal içerdiği durumlar kuraldan çok istisnadır. Aksine, tipik bir durum, bir şirket ağının, her biri İnternet'e bağlı, coğrafi olarak dağılmış birkaç bölümden oluşmasıdır. Bu durumda, her bağlantı kendi kalkanıyla korunmalıdır. Daha doğrusu, kurumsal harici güvenlik duvarının bileşik bir güvenlik duvarı olduğunu ve tüm bileşenlerin koordineli yönetimi (yönetim ve denetim) sorununu çözmek için gerekli olduğunu düşünebiliriz.
Bileşik kurumsal güvenlik duvarlarının (veya bileşenlerinin) tersi, kişisel güvenlik duvarları ve kişisel koruma cihazlarıdır. İlki, kişisel bilgisayarlara yüklenen ve yalnızca onları koruyan yazılım ürünleridir. İkincisi, bireysel cihazlarda uygulanır ve ev ofis ağı gibi küçük bir yerel alan ağını korur.
Güvenlik duvarlarını dağıtırken, öncelikle basitlik ve yönetilebilirlik, derinlemesine savunma ve ayrıca güvensiz bir duruma geçişin imkansızlığına dikkat ederek daha önce tartıştığımız mimari güvenlik ilkelerini izlemelisiniz. Ayrıca, sadece dış tehditleri değil, aynı zamanda iç tehditleri de hesaba katmak gerekir.
Bilgilerin arşivlenmesi ve çoğaltılması sistemleri
Güvenilir ve verimli bir veri arşivleme sisteminin organizasyonu, ağdaki bilgilerin güvenliğini sağlamak için en önemli görevlerden biridir. Bir veya iki sunucunun kurulu olduğu küçük ağlarda, arşivleme sisteminin doğrudan sunucuların boş yuvalarına kurulması en sık kullanılır. Büyük kurumsal ağlarda, özel bir özel arşivleme sunucusu düzenlemek en çok tercih edilenidir.
Böyle bir sunucu, yerel alan ağının yöneticisi tarafından belirtilen zamanda sunucuların ve iş istasyonlarının sabit disklerindeki bilgileri otomatik olarak arşivler ve yedekleme hakkında bir rapor yayınlar.
Belirli bir değere sahip arşiv bilgilerinin saklanması, özel bir güvenli odada düzenlenmelidir. Uzmanlar, yangın veya doğal afet durumunda başka bir binada en değerli verilerin kopya arşivlerinin saklanmasını tavsiye ediyor. Manyetik disklerin arızalanması durumunda veri kurtarmayı sağlamak için, son zamanlarda en sık kullanılan disk dizisi sistemleri - RAID (Yedekli Ucuz Disk Dizileri) standardına uygun tek bir cihaz olarak çalışan disk grupları. Bu diziler, en yüksek veri yazma/okuma hızını, "sıcak" modda (dizideki diğer diskleri kapatmadan) verileri tamamen geri yükleme ve arızalı diskleri değiştirme yeteneği sağlar.
Disk dizilerinin organizasyonu, çeşitli seviyelerde uygulanan çeşitli teknik çözümler sağlar:
RAID seviye 0, veri akışını iki veya daha fazla sürücü arasında basitçe böler. Bu çözümün avantajı, dizide kullanılan disk sayısıyla orantılı olarak G/Ç hızının artmasıdır.
RAID seviye 1, sözde "ayna" disklerin organizasyonundan oluşur. Veri kaydı sırasında, sistemin ana diskinin bilgileri ayna diskte çoğaltılır ve ana disk arızalanırsa, "ayna" hemen açılır.
RAID düzey 2 ve 3, verilerin diskler arasında bir bit düzeyinde dağıtıldığı yazıldığında paralel disk dizilerinin oluşturulmasını sağlar.
RAID seviyeleri 4 ve 5, veri akışının dizinin diskleri arasında dağıtıldığı sıfır seviyesinin bir modifikasyonudur. Aradaki fark, 4. seviyede, fazlalık bilgileri depolamak için özel bir diskin tahsis edilmesi ve 5. seviyede, fazlalık bilgilerin dizinin tüm disklerine dağıtılmasıdır.
Yedekli bilgilerin kullanımına dayalı olarak ağdaki güvenilirliğin ve veri korumanın arttırılması, yalnızca disk dizileri gibi bireysel ağ öğeleri düzeyinde değil, aynı zamanda ağ işletim sistemleri düzeyinde de uygulanmaktadır. Örneğin Novell, Netware işletim sisteminin - SFT'nin (Sistem Hata Toleransı) hataya dayanıklı sürümlerini uygular:
SFT Düzey I. İlk düzey, FAT ve Dizin Giriş Tablolarının ek kopyalarının oluşturulmasını, dosya sunucusunda yeni yazılan her veri bloğunun anında doğrulanmasını ve her bir sabit diskte disk hacminin yaklaşık %2'sinin rezerve edilmesini sağlar. .
SFT Düzey II ayrıca "ayna" diskler oluşturma yeteneğinin yanı sıra disk denetleyicilerinin, güç kaynaklarının ve arabirim kablolarının çoğaltılmasını da içeriyordu.
SFT Seviye III versiyonu, biri "ana" olan ve ikincisi, "ana" arıza durumunda tüm bilgilerin bir kopyasını içeren yerel ağda çoğaltılmış sunucuların kullanılmasına izin verir. sunucu.
Güvenlik analizi hizmeti, hızlı bir şekilde ortadan kaldırmak için güvenlik açıklarını belirlemek üzere tasarlanmıştır. Bu hizmet kendi başına hiçbir şeye karşı koruma sağlamaz, ancak bir saldırganın bunları kullanmasından önce güvenlik açıklarını tespit etmeye (ve düzeltmeye) yardımcı olur. Her şeyden önce, mimari olanları değil (onları ortadan kaldırmak zordur), ancak yönetim hataları veya yazılım sürümlerinin güncellenmesine dikkat edilmemesi nedeniyle ortaya çıkan "operasyonel" boşlukları kastediyorum.
Yukarıda tartışılan aktif denetim araçları gibi güvenlik analiz sistemleri (güvenlik tarayıcıları olarak da adlandırılır), bilgi birikimine ve kullanımına dayanır. Bu durumda, güvenlik açıkları hakkında bilgi kastediyoruz: bunların nasıl aranacağı, ne kadar ciddi oldukları ve nasıl düzeltileceği.
Buna göre, bu tür sistemlerin özü, mevcut yetenek aralığını belirleyen ve neredeyse sürekli güncelleme gerektiren güvenlik açıklarının temelidir.
Prensip olarak, çok farklı nitelikteki boşluklar tespit edilebilir: kötü amaçlı yazılımların varlığı (özellikle virüsler), zayıf kullanıcı parolaları, kötü yapılandırılmış işletim sistemleri, güvenli olmayan ağ hizmetleri, kaldırılan yamalar, uygulamalardaki güvenlik açıkları vb. Bununla birlikte, en etkili olanı ağ tarayıcıları (tabii ki, TCP / IP protokol ailesinin baskınlığı nedeniyle) ve ayrıca antivirüs araçlarıdır. Anti-virüs korumasını ayrı bir güvenlik hizmeti olarak değil, bir güvenlik analiz aracı olarak sınıflandırıyoruz.
Tarayıcılar, hem pasif analiz yoluyla, yani yapılandırma dosyalarını, ilgili bağlantı noktalarını vb. inceleyerek hem de bir saldırganın eylemlerini simüle ederek güvenlik açıklarını tespit edebilir. Bulunan bazı güvenlik açıkları otomatik olarak onarılabilir (örneğin, virüslü dosyaların temizlenmesi), diğerleri yöneticiye bildirilir.
Güvenlik analiz sistemlerinin sağladığı kontrol reaktif, gecikmeli bir yapıya sahiptir, yeni saldırılara karşı koruma sağlamaz, ancak savunmanın katmanlı olması gerektiği ve sınırlardan biri olarak güvenlik kontrolünün oldukça yeterli olduğu unutulmamalıdır. Saldırıların büyük çoğunluğunun rutin olduğu biliniyor; bunlar yalnızca, bilinen güvenlik açıklarının yıllarca yamasız kalması nedeniyle mümkündür.
3.1 İşletmenin ve kurumsal ağın özellikleri
Vestel şirketler grubu, tüketici elektroniği, küçük ve büyük ev aletlerinin geliştirilmesi, üretimi, pazarlaması ve dağıtımı konusunda uzmanlaşmış 19 şirketi birleştiriyor. Avrupa'da elektronik ve beyaz eşya pazarının liderlerinden biri olan şirketin Fransa, İspanya, Almanya, Belçika, Lüksemburg, İtalya, İngiltere, Hollanda, Romanya, Tayvan, Hong Kong, Finlandiya ve ABD'de temsilcilikleri bulunmaktadır. . Üretim ve araştırma geliştirme tesisleri de dünyanın birçok bölgesinde yoğunlaşmıştır. Şu anda Vestel Grubu, merkezi İstanbul'da (Türkiye) bulunan büyük ulusötesi holding Zorlu'nun bir parçasıdır.
Alexandrov'daki tesis Kasım 2002'de kuruldu ve Kasım 2003'te TV setlerinin üretimi başladı. 2006 yılında çamaşır makinesi ve buzdolabı üretimi için bir atölye kuruldu. Şu anda Rusya pazarında kineskop, likit kristal ve plazma TV'ler, çamaşır makineleri, buzdolapları, sobalar sunulmaktadır. Tesis, en modern montaj teknolojilerini ve tam otomatik kalite kontrol sistemlerini kullanır.
Çalışan sayısı 700'den fazla kişidir (yaklaşık 500'ü işçidir).
İşletmede devlet sırrı teşkil eden bilgiler bulunmamakta olup, ticari ve resmi sırlarla ilgili çalışmalar devam etmektedir.
Şirketin, yalnızca Vestel çalışanlarının erişebildiği kendi yerel ağı vardır. Çoğu durumda, bu ağın yalnızca çalışma sırasında gerekli olan sınırlı sayıda sitesine erişim vardır. Ağa her erişimle ilgili bilgiler sistem yöneticisi tarafından kaydedilir. Bu internet için de geçerlidir.
Ağdaki iş istasyonlarının sayısı 27'dir. Bunlar birkaç çalışma grubuna ayrılmıştır:
işletmenin yöneticisi - 1 iş istasyonu;
Bölüm No. 1 - 2 iş istasyonu;
sekreter - 1 iş istasyonu;
sırasıyla 3, 2 ve 4 iş istasyonu ile 2 No'lu bölümün 1, 2 ve 3 numaralı bölümleri;
3 numaralı bölümün 4 ve 5 numaralı bölümleri, her biri 3 ve 4 iş istasyonu;
4 numaralı bölümün 6 numaralı bölümü - 3 iş istasyonu;
Bölüm No. 5 - 4 iş istasyonu;
Departman No. 6 - 4 iş istasyonu.
Tüm ağ, idari binanın bir katında yer almaktadır.
İş istasyonlarının ve sunucunun bulunduğu binaların planı Ek B'de sunulmaktadır.
Şebeke, Şek. 9 bir yıldız topolojisine sahiptir.
Yıldız topolojisi daha üretken bir yapıdır, sunucu dahil her bilgisayar ayrı bir kablo segmenti ile merkezi bir hub'a (HAB) bağlanır.
Böyle bir ağın ana avantajı, bireysel PC'lerdeki arızalardan veya ağ kablosunun hasar görmesinden kaynaklanan arızalara karşı direncidir.
Kullanılan erişim yöntemi CSMA/CD'dir. İşletmede kullanılan Ethernet ağ mimarisinin kullandığı bu erişim yöntemidir. Ağ, uluslararası Kablolama Sistemi standardı olan Siemon'un UTP (Korumasız Bükümlü Çift) kategori 5 kablosunu kullanan bükümlü çifti (10Base-T) temel alır.
Kullanılan işletim sistemleri Windows 2000 (iş istasyonlarında) ve Windows 2003 Server'dır.
Pirinç. 9. Kurumsal ağ topolojisi.
Şirket, bilgileri korumak için aşağıdaki önlemleri geliştirmiştir:
Tesislerin ve bölgenin korunmasına ilişkin bir anlaşma imzalandı (erişim rejimi yürürlükte);
Yangın güvenliği rejimi ve kuralları geliştirildi;
Kat video gözetim modu;
Çalışanların görev tanımları, hak ve görevlerini sınırlandırarak geliştirilmiştir;
Çalışanların iş sözleşmelerine, gizli bilgilerin ifşa edilmemesine ilişkin ek anlaşmalar, bilgi koruma alanındaki sorumlulukları düzenler;
Güvenlik alarm sisteminin çalışması ve video gözetimi için çevrenin korunmasına ilişkin talimatlar;
Gizli belge akışı yönetmeliği;
CI işlemenin teknolojik sürecinin tanımı;
İş istasyonlarında kurulu anti-virüs koruma sistemi;
AWP'ye erişim parolalarla sınırlıdır.
Gizli bilgi koruma sisteminin yasal desteği, aşağıdaki gibi kurumsal belgeleri içeren bir dizi dahili düzenleyici ve organizasyonel belgeyi içerir:
Toplu iş sözleşmesi;
işletmenin çalışanları ile iş sözleşmeleri;
İşletme çalışanlarının iç düzenlemeleri;
İşletme yöneticilerinin, uzmanlarının ve çalışanlarının iş sorumlulukları.
Bilgi işlem ağları ve veri tabanlarının kullanıcıları için talimatlar;
Bilgi korumasından sorumlu çalışanların talimatları;
Çalışana ticari veya diğer sırların korunmasına ilişkin bir not;
Sözleşme yükümlülükleri.
Listelenen belgelerin içeriğine girmeden, ana düzenleyici veya yasal amaçlarına bağlı olarak hepsinin, öncelikle personele yönelik, işletmenin gerekli bilgi güvenliği seviyesini sağlamak için gereklilikleri, normları veya kuralları belirttiğini söyleyebiliriz. Ve yönetim.
Hukuki destek, ses iletişiminden bilgisayar ağlarında veri iletimine kadar çeşitli düzeylerde bilgi alışverişi sürecinde kaçınılmaz olarak ortaya çıkan birçok tartışmalı sorunun çözülmesini mümkün kılmaktadır. Ek olarak, iç güvenlik politikasını ihlal edenlere ceza veya yaptırım uygulanmasını ve ayrıca kursta kullanılan veya oluşturulan bilgilerin gizliliğini sağlamak için oldukça açık koşullar oluşturmayı mümkün kılan yasal olarak resmi bir idari önlemler sistemi oluşturulmaktadır. ekonomik kuruluşlar arasındaki işbirliği, sözleşmeden doğan yükümlülüklerin yerine getirilmesi, ortak faaliyetlerin uygulanması vb. Aynı zamanda, bu koşullara uymayan taraflar, hem taraflar arası belgelerin (sözleşmeler, anlaşmalar, sözleşmeler vb.) ilgili maddelerinin hem de Rus hukukunun öngördüğü çerçevede sorumludur.
Korumanın ana nesneleri şunlardır:
Çalışanların iş istasyonu;
LAN sunucusu;
Gizli bilgiler (belgeler);
Genel müdür, baş mühendis ve baş teknoloji uzmanının ofisleri;
Gizli belgeler içeren dolaplar.
Windows 2003 Server, işletim sisteminde yerleşik güvenlik özelliklerine sahiptir. Bunlardan en önemlileri aşağıda tartışılmaktadır.
Ağ etkinliğini izleyin.
Windows 2003 Server, ağ etkinliğini ve ağ kullanımını izlemek için birçok araç sağlar. İşletim sistemi şunları sağlar:
sunucuyu görüntüleyin ve hangi kaynakları kullandığını görün;
şu anda sunucuya bağlı olan kullanıcıları görün ve hangi dosyaları açtıklarını görün;
güvenlik günlüğündeki verileri kontrol edin;
olay günlüğündeki girişleri kontrol edin;
Yöneticinin hangi hatalar oluştuğunda uyarılması gerektiğini belirtin.
Bir iş istasyonunda oturum başlatma
Bir kullanıcı bir iş istasyonunda bir oturum başlattığında, oturum açma ekranı bir kullanıcı adı, parola ve etki alanı ister. İş istasyonu daha sonra kimlik doğrulama için kullanıcı adını ve parolayı etki alanına gönderir. Etki alanındaki sunucu, etki alanının kullanıcı kimlik kartı veritabanına göre kullanıcı adını ve parolayı kontrol eder. Kullanıcı adı ve parola oturum açma kartıyla aynıysa, sunucu oturumun başladığını iş istasyonuna bildirir. Sunucu, bir kullanıcı oturumu başladığında, kullanıcının ayarları, dizini ve ortam değişkenleri gibi diğer bilgileri de yükler.
Varsayılan olarak, bir etki alanındaki tüm hesap kartları oturum açmanıza izin vermez. Yalnızca Yöneticiler, Sunucu Operatörleri, Baskı Kontrol Operatörleri, Hesap Kartı Kontrol Operatörleri ve Yedekleme Kontrol Operatörleri grupları için kartların bunu yapmasına izin verilir.
Kurumsal ağın tüm kullanıcılarının kendi adları ve şifreleri vardır (bununla ilgili daha fazla bilgi WRC'nin sonraki bölümünde).
Kullanıcı kimlik kartları
Ağı kullanan her istemcinin ağ etki alanında bir kullanıcı hesabı vardır. Kullanıcı kimlik kartı, kullanıcıya konulan ad, parola ve ağ kullanım kısıtlamaları dahil olmak üzere kullanıcı hakkında bilgiler içerir. Dizin kartları, benzer kaynaklara sahip kullanıcıları gruplar halinde gruplandırmanıza olanak tanır; gruplar, kaynaklara hak ve izin vermeyi kolaylaştırır, tüm gruba haklar veya izinler vermek için yalnızca bir eylem yeterlidir.
Ek B, kullanıcının hesap kartının içeriğini gösterir.
Güvenlik olay günlüğü
Windows 2003 Server, belirli eylemler gerçekleştirildiğinde veya dosyalara erişildiğinde nelerin revize edileceğini ve güvenlik olay günlüğüne yazılacağını tanımlamanıza olanak tanır. Revizyon öğesi, gerçekleştirilen eylemi, onu gerçekleştiren kullanıcıyı ve eylemin tarih ve saatini gösterir. Bu, herhangi bir eylemin hem başarılı hem de başarısız girişimlerini kontrol etmenizi sağlar.
Kurumsal ortamlar için güvenlik olay günlüğü bir zorunluluktur, sanki bir ağ ihlali denenmiş gibi, kaynak geriye doğru izlenebilir.
Aslında, yalnızca şüpheli kullanıcılar ve olaylar günlüğe kaydedilir. Tüm olaylar kaydedilirse, kayıt bilgisinin hacmi büyük olasılıkla çok hızlı büyüyecek ve etkili analizi imkansız hale gelecektir. Gözetim öncelikle önleyici bir önlem olarak önemlidir. Pek çoğunun, eylemlerinin kaydedildiğini bilerek güvenlik ihlallerinden kaçınacağı umulmaktadır.
Kullanıcı hakları
Kullanıcı hakları, o kullanıcı için izin verilen eylem türlerini tanımlar. Hak odaklı eylemler, yerel bilgisayarda oturum açmayı, kapatmayı, saati ayarlamayı, sunucu dosyalarını kopyalamayı ve geri yüklemeyi ve diğer görevleri gerçekleştirmeyi içerir.
Windows 2003 Server etki alanında, etki alanı düzeyinde haklar verilir ve kısıtlanır; grup doğrudan bir etki alanındaysa, üyelerin tüm birincil ve yedek etki alanı denetleyicilerinde hakları vardır.
İşletmenin her kullanıcısı için, bilgilere kendi erişim hakları, dosyaları kopyalama ve geri yükleme izni gereklidir.
Parola ayarı ve dizin kartı politikası
Etki alanı, parola ilkesinin tüm yönlerini tanımlar: minimum 6 karakterlik bir parola uzunluğu, minimum ve maksimum parola yaşı ve bir kullanıcının parolasını kullanıcının yakın zamanda kullandığı bir parolayla değiştirmesini engelleyen parola münhasırlığı.
Dizin kartı politikasının diğer yönlerini de tanımlamak mümkündür:
Hesap kartının bloke olması durumunda;
Oturum başlangıç saatlerinden sonra kullanıcıların sunucuyla bağlantısının zorla kesilip kesilmeyeceği;
Kullanıcıların şifrelerini değiştirmek için giriş yapıp yapamayacakları.
Hesap kartı kilidi etkinleştirildiğinde, bir kullanıcı oturumu başlatmak için birden fazla başarısız girişimde bulunulması ve bir oturum başlatmak için herhangi iki başarısız girişim arasında belirli bir süreyi aşmaması durumunda hesap kartı kilitlenir. Bloke olan hesap kartları giriş yapmak için kullanılamaz.
Kullanıcıların oturumları zaman aşımına uğradığında sunuculardan zorla bağlantısı kesilirse, ayarlanan oturum süresinin bitiminden hemen önce bir uyarı alırlar. Kullanıcılar ağ bağlantısını kesmezlerse, sunucu bağlantıyı kesmeye zorlar. Ancak, kullanıcının iş istasyonuyla bağlantısı kesilmeyecektir. İşletmedeki seans saatleri belirlenmemiştir, çünkü tüm çalışanlar başarılı faaliyetlerle ilgilenir ve çoğu zaman bazıları fazla mesai veya hafta sonları çalışmaya devam eder.
Bir kullanıcının şifresini değiştirmesi gerekiyorsa, süresi dolmuş bir şifre ile bunu yapmadığında, şifresini değiştiremez. Parolanın süresi dolarsa, kullanıcının ağda tekrar oturum açabilmesi için parolayı değiştirme konusunda yardım almak için sistem yöneticisine başvurması gerekir. Kullanıcı giriş yapmadıysa ve şifre değiştirme zamanı geldiyse, giriş yaptığı anda şifreyi değiştirmesi için uyarılır.
EFS Şifreli Dosya Sistemi
Windows 2000, Şifreleme Dosya Sistemini (EFS) kullanarak NTFS birimlerindeki şifrelenmiş dosya ve klasörleri daha fazla koruma yeteneği sağlar. Windows 2000 ortamında çalışırken, yalnızca erişim haklarına sahip olduğunuz birimlerle çalışabilirsiniz.
EFS Şifreli Dosya Sistemini kullanırken, verileri bir anahtar çifti kullanılarak şifrelenecek dosya ve klasörleriniz olabilir. Belirli bir dosyaya erişmek isteyen herhangi bir kullanıcı, dosya verilerinin şifresinin çözüleceği özel bir anahtara sahip olmalıdır. EFS sistemi ayrıca Windows 2000 ortamında bir dosya koruma şeması sağlar.Ancak, şifreleme kullanıldığında sistem performansı düştüğü için kuruluş bu özelliği kullanmaz.
Bilgileri yetkisiz erişimden korumanın organizasyonel ve yasal yönleri ve Windows 2000'in bu konudaki yetenekleri yukarıda zaten belirtilmiştir. Şimdi diğer yönler üzerinde biraz daha duracağım.
Kurumsal ağda dolaşan bilgiler çok çeşitlidir. Tüm bilgi kaynakları üç gruba ayrılır:
Paylaşılan ağ kaynakları;
Dosya sunucusunun bilgi kaynakları;
DBMS'nin bilgi kaynakları.
Her grup, sırayla bireysel bir koda, erişim düzeyine, ağ konumuna, sahibine vb. sahip olan bir dizi bilgi kaynağı adını içerir.
Bu bilgiler işletme ve müşterileri için önemlidir, bu nedenle iyi korunmalıdır.
elektronik anahtarlar
Ticari sır niteliğindeki bilgilerle çalışan tüm bilgisayarlar ek yazılım ve donanım sistemleriyle donatılmıştır.
Bu tür kompleksler, bilgileri yetkisiz erişimden korumak için bir yazılım ve donanım kombinasyonudur.
Elektronik kilit adı verilen bu tür komplekslerin donanım kısmı, bilgisayar yuvalarından birine yerleştirilmiş ve aşağıdaki türlerde bir elektronik anahtar okuyucuyu bağlamak için bir arayüz ile donatılmış bir elektronik karttır: Akıllı Kart, Dokunmatik Bellek, Yakınlık Kartı, eToken. Bu tür elektronik kilitler tarafından sağlanan tipik bir dizi fonksiyon:
Bilgisayar kullanıcılarının kaydı ve sisteme girmeleri için kişisel tanımlayıcıların (isimler ve/veya elektronik anahtarlar) ve şifrelerin atanması;
Bilgisayar önyüklendiğinde bir kullanıcının kişisel kimliğini ve parolasını isteme. İstek, işletim sistemi yüklenmeden önce donanım tarafından yapılır;
Kayıtlı bir kullanıcının girişini engelleme yeteneği;
Sistem güvenliği ile ilgili olayları kaydeden bir sistem günlüğünün tutulması;
Sabit sürücüdeki dosyaların bütünlüğünü kontrol edin;
Sabit diskin fiziksel sektörlerinin bütünlüğünün kontrolü;
Disket, CD-ROM veya USB bağlantı noktalarından işletim sisteminin yetkisiz yüklenmesine karşı donanım koruması;
Yetkisiz erişime karşı koruma sağlayan yazılım araçlarıyla ortak çalışma imkanı.
Guardian veri koruması
Kuruluş, güvenilir veri koruması gibi bir tür bilgi koruması kullanır. Bir mütevelli, dosya bilgi kaynaklarına yönelik ayrıcalıklara veya erişim haklarına sahip olan bir kullanıcıdır.
Her çalışan sekiz hak türünden birine sahiptir:
Okuma - açık dosyaları okuma hakkı;
Yaz - dosyaları açmak için Yazma hakkı;
Aç - mevcut bir dosyayı açma hakkı;
Oluştur - yeni dosyalar oluşturma (ve aynı anda açma) hakkı;
Sil - mevcut dosyaları silme hakkı;
Ebeveyn - Ebeveyn hakları:
Dizin alt dizinlerini Oluşturma, Yeniden Adlandırma, Silme hakkı;
Mütevelli kurma hakkı ve rehberde haklar;
Bir alt dizinde mütevelli ve haklar kurma hakkı;
Arama - dizini arama hakkı;
Değiştir - dosya özniteliklerini değiştirme hakkı.
Tek tek dosyaların yanlışlıkla değiştirilmesini veya silinmesini önlemek için tüm çalışanlar dosya öznitelik korumasını kullanır. Bu koruma, genellikle birçok kullanıcı tarafından okunan genel bilgi dosyaları için geçerlidir. Veri korumasında dört dosya özniteliği kullanılır:
Yaz oku,
sadece okumak,
paylaşılan,
Ayrılmaz.
Daha önce de belirttiğim gibi işletmedeki tüm bilgisayarlar parolalarla korunmaktadır.
Kuruluştaki tüm bilgisayarlarda Microsoft Windows 2000 ve Windows Server 2003 kurulu olduğundan, bilgisayar verilerine yetkisiz erişimin önlenmesinde en önemli rolü BIOS koruması oynadığından, BIOS'ta yönetici tarafından belirlenen işletim sistemi parola koruması kullanılır.
Kişisel bilgisayarın BIOS'unun değiştirilmesi, imha edilmesi, yetkisiz sıfırlama veya kötü amaçlı programların, virüslerin çalıştırılması sonucu mümkündür.
Bilgisayar modeline bağlı olarak BIOS koruması şu şekilde sağlanır:
Anakart üzerinde bulunan anahtarın BIOS modifikasyonunu içermeyen bir konuma ayarlanması (otomasyon departmanının teknik destek servisi tarafından gerçekleştirilir);
KURULUM yazılımında bir yönetici şifresi ayarlayarak.
Bilgisayar kasası koruyucu bir holografik etiketle kapatılarak BIOS yetkisiz sıfırlamaya karşı korunur.
İki tür erişim parolası kullanılır: yönetici ve kullanıcı.
Yönetici ve kullanıcı parolalarını ayarlarken şu kuralları izleyin:
Kullanıcı parolası yalnızca bilgisayar kullanıcısı tarafından seçilir ve girilir (en az 6 karakter). Bilgi güvenliği yöneticisinin kullanıcının şifresini bilmesi yasaktır.
Yönetici şifresi (8 karakterden az olmamak kaydıyla) bilgi güvenliği yöneticisi tarafından girilir. Bilgi güvenliği yöneticisinin kullanıcıya yönetici parolasını iletmesi yasaktır.
Bilgisayarın, kullanıcının kişisel tanımlayıcısı sunulmadan işletim sisteminin yüklenmesini yasaklayan yetkisiz erişime karşı donanım ve yazılım korumasına sahip olması durumunda, kullanıcının parolası ayarlanamaz.
Kullanıcı tarafından sunulan şifrenin geçerliliğinin kontrol edilmesi sonucu olumlu ise:
Erişim kontrol sistemi, kullanıcıya kendisine atanan erişim haklarını sağlar;
Kullanıcı, yerleşik kayıt araçlarıyla (varsa) kaydedilir.
İnternet erişim kontrolü
İşletme çalışanlarının internete erişimine özellikle dikkat edilmelidir.
Daha önce, İnternet'e erişim, İnternet kiosku adı verilen özel bir işyerinden gerçekleştiriliyordu. İnternet kiosku şirketin kurumsal ağına bağlı değildi.
İnternet kioskunu işleten alt bölümde şu işlemler yapılmıştır:
Yansıtılan İnternetteki çalışmaların muhasebe günlüğü: kullanıcının tam adı, tarihi, işe başlama saati, çalışma süresi, çalışmanın amacı, kullanılan kaynaklar, imza;
Yansıyan erişim günlüğü: kullanıcının tam adı, İnternette çalışmasına izin verilen görevler, çalışma süresi ve maksimum süre, başın imzası.
Ancak bu uygulama daha sonra terk edildi. Artık şirket ağındaki tüm bilgisayarların internete erişimi var.
Departmanların dış kuruluşlarla bilgi alışverişi yapma ihtiyacının yanı sıra halka açık iletişim kanalları aracılığıyla bilgiye uzaktan erişim sağlama ihtiyacını da beraberinde getiren hizmet yelpazesindeki ve hacmindeki büyüme, yetkisiz erişim, virüs saldırıları, vb.
3.5 Antivirüs koruması
Dikkate alınan risk faktörleri
Virüsler bir makineye çeşitli şekillerde girebilir (küresel ağ aracılığıyla, virüslü bir disket veya flash sürücü aracılığıyla). Penetrasyonlarının sonuçları çok tatsız: dosyanın yok edilmesinden tüm bilgisayarın bozulmasına kadar. Yalnızca bir virüslü dosya, bilgisayardaki tüm bilgilere ve ardından tüm şirket ağına bulaşmak için yeterlidir.
İşletmede anti-virüs koruma sistemi düzenlenirken aşağıdaki risk faktörleri dikkate alınmıştır:
Antivirüs programlarının sınırlı özellikleri
Belirli anti-virüs paketlerine ve koruma mekanizmalarına karşı koymaya odaklanarak yeni virüsler oluşturma yeteneği, sistem ve uygulama yazılımındaki güvenlik açıklarının kullanımı, güncel anti-virüs ile anti-virüs araçlarının toplam kullanımının bile olmasına yol açar. -virüs veritabanları, virüs bulaşma tehdidine karşı garantili koruma sağlamaz, çünkü bir virüs ortaya çıkabilir, buna karşı koruma prosedürleri henüz en son anti-virüs veritabanlarına eklenmemiştir.
Sistem yazılımındaki kritik güvenlik açıklarının tespitinde yüksek yoğunluk
Sistem yazılımında onarılmamış yeni kritik güvenlik açıklarının varlığı, yeni virüslerin yerel ve küresel ağlar üzerinden toplu dağıtımı için kanallar oluşturur. Bir bilgisayarı maksimum ayrıcalıklarla uzaktan kontrol etme yeteneği sağlayan virüslere Truva atı modüllerinin dahil edilmesi, yalnızca toplu hizmet reddi riskini değil, aynı zamanda otomatik bankacılık sistemlerine yetkisiz erişim yoluyla doğrudan hırsızlık riskini de yaratır.
Sistem ve anti-virüs yazılımı güncellemelerini önceden test etme ihtiyacı
Güncellemelerin önceden test edilmeden yüklenmesi, sistem, uygulama ve virüsten koruma yazılımı arasında uyumsuzluk riskleri oluşturur ve arızalara neden olabilir. Aynı zamanda, test, güncellemelerin yüklenmesinde ek gecikmelere yol açar ve buna bağlı olarak virüs bulaşma riskini artırır.
Otomatikleştirilmiş donanım ve yazılım sistemlerinde kullanılan çeşitlilik ve çoklu platform
Belirli virüs türlerinin farklı platformlarda çalışabilmesi, virüslerin kurumsal posta sistemleri veya bilgisayar ağları kullanarak çoğalabilmesi, belirli platformlar için virüsten koruma ürünlerinin bulunmaması, virüsten koruma yazılımının bilgisayarlarda kullanılmasını imkansız veya verimsiz kılmaktadır. bazı durumlar.
Modern mobil iletişim, depolama cihazları ve yüksek kapasiteli medyanın geniş kullanılabilirliği
Modern mobil iletişim, vicdansız çalışanların bir iş istasyonunu İnternet'e yetkisiz bir şekilde bağlamasına izin verir, böylece şirket ağının güvenlik çevresinde bir ihlal oluşturur ve bilgi kaynaklarını yeni bir bilgisayar virüsü tarafından toplu enfeksiyon riskine maruz bırakır. Uygun fiyatlı kompakt depolama cihazlarının mevcudiyeti ve büyük miktarda bilginin aktarılması, bu tür cihazların ve ortamların kişisel, üretken olmayan amaçlarla yetkisiz kullanımı için koşullar yaratır. Doğrulanmamış kaynaklardan elde edilen bilgilerin kurumsal bilgisayarlara yetkisiz olarak kopyalanması, virüs bulaşma riskini önemli ölçüde artırır.
Bir virüs saldırısını püskürtmek için nitelikli eylemlere duyulan ihtiyaç
Bir virüs saldırısını püskürtmek için vasıfsız eylemler, enfeksiyonun sonuçlarının ağırlaşmasına, kritik bilgilerin kısmen veya tamamen kaybolmasına, bir virüs enfeksiyonunun tam olarak ortadan kaldırılmasına ve hatta enfeksiyon kaynağının genişlemesine yol açabilir.
Bir virüs saldırısının sonuçlarını belirlemek ve etkilenen bilgi sistemini geri yüklemek için önlemler planlama ihtiyacı
Virüsün otomatik bankacılık sistemine doğrudan etkisi veya niteliksiz tıbbi önlemler alınması durumunda bilgiler kaybolabilir veya yazılım bozulabilir.
Bu faktörlerin koşulları altında, yalnızca olası tüm tehdit türleri için katı kapsamlı güvenlik önlemlerinin benimsenmesi, virüs enfeksiyonlarının bir sonucu olarak iş süreçlerinin tamamen veya kısmen kapanmasına ilişkin sürekli artan risklerin kontrol edilmesini mümkün kılacaktır.
Dr.Web paketi
Anti-virüs koruması için Dr.Web Enterprise Suite seçilmiştir. Bu paket, her boyuttaki kurumsal ağ için merkezi koruma sağlar. Kurumsal ağlar için Dr.Web teknolojilerine dayalı modern bir çözüm, kurumsal ölçekte anti-virüs korumasının merkezi yönetimi için yerleşik bir sisteme sahip benzersiz bir teknik komplekstir. Dr.Web Enterprise Suite, hem ağ içinde hem de uzak bir bilgisayarda (İnternet aracılığıyla) çalışan bir yöneticinin, kuruluşun anti-virüs korumasını yönetmek için gerekli yönetim görevlerini gerçekleştirmesine olanak tanır.
Ana Özellikler:
Dr.Web Enterprise Suite sunucusu tarafından korunan iş istasyonlarına virüs veritabanı ve program modülü güncellemelerinin hızlı ve verimli dağıtımı.
Minimum, diğer üreticilerin benzer çözümlerine kıyasla, özel sıkıştırma algoritmaları kullanma imkanı ile IP, IPX ve NetBIOS protokolleri temelinde oluşturulan ağ trafiği.
Herhangi bir işletim sistemini çalıştıran hemen hemen her bilgisayara bir yönetici iş istasyonu (anti-virüs koruması yönetim konsolu) kurma yeteneği.
İstemci yazılımının ve sunucunun anahtar dosyası, varsayılan olarak sunucuda depolanır.
Grafik arayüzlü Dr.Web tarayıcı. Kullanıcı tarafından isteğe bağlı olarak disklerde seçilen nesneleri tarar, bellekteki virüsleri algılar ve etkisiz hale getirir, başlangıç dosyalarını ve işlemlerini kontrol eder.
Yerleşik bekçi (monitör) Örümcek Muhafız. Dosyalara tüm erişimi gerçek zamanlı olarak izler, programların şüpheli eylemlerini algılar ve engeller.
Yerleşik posta filtresi SpIDer Mail. POP3 protokolü ile gelen ve SMTP protokolü ile giden tüm mail mesajlarını gerçek zamanlı olarak kontrol eder. Ayrıca IMAP4 ve NNTP protokolleri üzerinden güvenli çalışma sağlar.
Dr.Web konsol tarayıcı. Kullanıcı tarafından isteğe bağlı olarak disklerde seçilen nesneleri tarar, bellekteki virüsleri algılar ve etkisiz hale getirir, başlangıç dosyalarını ve işlemlerini kontrol eder.
Otomatik güncelleme yardımcı programı. Virüs veritabanlarının ve program modüllerinin güncellemelerini indirir, ayrıca bir lisans veya demo anahtar dosyası kaydeder ve sunar.
Görev Zamanlayıcısı. Virüs veritabanlarını güncelleme, bilgisayar disklerini tarama, başlangıç dosyalarını kontrol etme gibi anti-virüs korumasını sağlamak için gereken düzenli eylemleri planlamanıza olanak tanır.
Windows 5.0 için Dr.Web, etkin enfeksiyonları temizleme yeteneği sağlar, bellekteki işlemleri işlemek için teknolojiler içerir ve virüs direnci ile ayırt edilir. Özellikle Dr.Web, MaosBoot, Rustock.C, Sector gibi karmaşık virüsleri etkisiz hale getirebilir. Belirtildiği gibi, Dr.Web'in sadece laboratuvar koleksiyonlarını algılamakla kalmayıp aktif virüslerle etkin bir şekilde başa çıkmasına izin veren teknolojiler yeni sürümde daha da geliştirildi.
Kendini koruma modülü Dr.Web SelfProtect, tam erişim kontrolü ve uygulamanın dosya, işlem, pencere ve kayıt defteri anahtarlarında değişiklik sağlar. Kendini koruma modülünün kendisi sisteme bir sürücü olarak kurulur ve sistem yeniden başlatılıncaya kadar boşaltılması ve yetkisiz olarak durdurulması imkansızdır.
Sürüm 5.0, Dr.Web virüs veritabanındaki özel girişlere ve Dr.Web arama modülünün muhtemelen içinde bulunan kötü amaçlı yazılımlarla ilgili buluşsal varsayımlarına dayalı olarak bilinmeyen Dr.Web paketleyicileri altında gizlenmiş virüsleri algılamanıza olanak tanıyan yeni bir Fly-code evrensel paket açma teknolojisi uygular. paketlenmiş arşiv nesnesi.
Dr.Web'in imzasız arama teknolojisi, yeni sürümde daha da geliştirilmiş olan Origins Tracing, bilinmeyen Dr.Web tehditlerine karşı da yardımcı olur. Geliştiricilere göre, Origins Tracing, geleneksel Dr.Web imza arama ve buluşsal çözümleyiciyi tamamlar ve daha önce bilinmeyen kötü amaçlı yazılımların tespit düzeyini artırır.
Ayrıca, Doctor Web'e göre, Windows için Dr.Web, rootkit teknolojilerini kullanarak virüsleri yalnızca tespit etmekle kalmaz, aynı zamanda etkili bir şekilde etkisiz hale getirir. Sürüm 5.0, yeni nesil rootkit teknolojileriyle bile savaşmanıza olanak tanıyan, Dr.Web Shield sürücüsünün temelde yeni bir sürümünü sunar. Aynı zamanda, Dr.Web herhangi bir yerleştirme seviyesindeki arşivleri tam olarak tarayabilir. Windows sürüm 5.0 için Dr.Web, arşivlerle çalışmaya ek olarak, düzinelerce yeni paketleyici için destek ekler ve paketlenmiş dosyalarla çalışırken, birçok kez ve hatta farklı paketleyiciler tarafından paketlenmiş dosyalar da dahil olmak üzere bir dizi iyileştirme yapar.
Geliştiriciler, yeni Dr.Web for Windows teknolojilerini dahil ederek ve optimize ederek, tarama sürecini hızlandırabildiler. Anti-virüs motorunun artan hızı sayesinde, Dr.Web tarayıcısı, şirkete göre RAM, önyükleme sektörleri, sabit disklerin içeriği ve çıkarılabilir medyanın önceki sürümünden %30 daha hızlıdır.
Yenilikler arasında SpIDer Gate HTTP monitörünü not edebiliriz. SpIDer Gate HTTP monitörü, tüm gelen ve giden HTTP trafiğini kontrol ederken, bilinen tüm tarayıcılarla uyumludur ve çalışmasının bilgisayar performansı, İnternet hızı veya aktarılan veri miktarı üzerinde neredeyse hiçbir etkisi yoktur. İnternetten gelen tüm veriler filtrelenir - yalnızca doğrulanmış içeriği bilgisayarınıza indirmenize izin veren dosyalar, uygulamalar, komut dosyaları.
Dr.Web paket testi
Kurumsal bir anti-virüs paketi olarak seçilen Dr.Web'in gerçekten güvenilir olduğundan emin olmak için, birkaç anti-virüs programı incelemesini inceledim ve birkaç test sonucuyla tanıştım.
Olasılık testinin sonuçları (antivirüs.ru web sitesi) Dr.Web'e ilk sırayı verir (Ek D).
Virus Bulletin dergisi tarafından yürütülen anti-virüs programlarının Şubat ayındaki testinin sonuçlarına göre, yerli polifaj Dr. Web, dünyanın en iyi antivirüsleri arasında 8. sırada yer aldı. Programı Dr. Web, önemli ve prestijli (teknolojik) kategoride - karmaşık polimorfik virüslerin tespit derecesinde %100 mutlak bir sonuç gösterdi. Özellikle belirtilmelidir ki Virus Bulletin dergisinin testlerinde polimorfik virüslerin saptanmasında %100 sonuç veren Dr. Web, art arda üçüncü kez tutarlı bir şekilde (Ocak 2007, Temmuz-Ağustos 2007 ve Ocak 2008) başarı elde etti. Bu kategoride başka hiçbir antivirüs tarayıcısı böyle bir kararlılığa sahip olamaz.
En yüksek %100 düzeyine Dr. Web ayrıca çok alakalı bir kategoridedir - makro virüs algılama.
İlerleme, insanlığa pek çok başarı sağladı, ancak aynı ilerleme birçok sorunu da beraberinde getirdi. İnsan zihni, bazı sorunları çözerken kaçınılmaz olarak başkalarıyla, yenileriyle karşılaşacaktır. Ebedi sorun bilginin korunmasıdır. Gelişiminin çeşitli aşamalarında, insanlık bu sorunu bu çağın doğasında bulunan özgüllükle çözdü. 20. yüzyılın ikinci yarısında bilgisayarın icadı ve bilgi teknolojisinin daha da hızlı gelişmesi, bilgi güvenliği sorununu, bilişimin günümüz toplumunun tamamı için geçerli olduğu kadar alakalı ve akut hale getirdi. Modern bilgi teknolojilerinin gelişimini karakterize eden ana eğilim, bilgisayar suçlarının sayısındaki artış ve bunlarla ilgili gizli ve diğer bilgilerin çalınması ve ayrıca maddi kayıplardır.
Bugün muhtemelen hiç kimse, bilgiye yetkisiz erişimle ilişkili bilgisayar suçlarından kaynaklanan toplam kayıpların tam rakamını kesin olarak söyleyemeyecektir. Bunun başlıca nedeni, etkilenen şirketlerin zararları hakkında bilgi ifşa etme isteksizliği ve bilgi hırsızlığından kaynaklanan kayıpları parasal olarak doğru bir şekilde değerlendirmenin her zaman mümkün olmamasıdır.
Bilgisayar suçlarının etkinleştirilmesi ve bunlarla ilişkili mali kayıplar için birçok neden vardır, bunlardan en önemlileri şunlardır:
Geleneksel "kağıt" bilgi depolama ve iletme teknolojisinden elektronik ortama geçiş ve bu tür teknolojilerde bilgi koruma teknolojisinin yetersiz gelişimi;
Bilgisayar sistemlerinin birleştirilmesi, küresel ağların oluşturulması ve bilgi kaynaklarına erişimin genişletilmesi;
Yazılım araçlarının karmaşıklığında artış ve buna bağlı olarak güvenilirliklerinde azalma ve güvenlik açıklarının sayısında artış.
Bilgisayar ağları, özellikleri nedeniyle, bilgi koruma sorunlarını göz ardı ederek normal şekilde çalışamaz ve gelişemez.
Eleme çalışmamın ilk bölümünde çeşitli tehditler ve riskler ele alındı. Güvenlik tehditleri doğal ve yapay olarak değil, yapay olarak da kasıtsız ve kasıtlı olarak ikiye ayrılır.
En yaygın tehditler arasında bilgisayar ağı kullanıcı hataları, dahili ağ veya destekleyici altyapı arızaları, yazılım saldırıları ve kötü amaçlı yazılımlar bulunur.
Bilgisayar ağlarının güvenliğini sağlamaya yönelik önlemler, yasal (yasama), ahlaki ve etik, organizasyonel (idari), fiziksel, teknik (donanım ve yazılım) olarak ayrılır.
WRC'nin ikinci bölümünde, bazı fiziksel, donanım ve yazılım koruma yöntemlerini ayrıntılı olarak tartıştım. Modern bilgi güvenliği yazılımı, kriptografik yöntemler, disk şifreleme, kullanıcı tanımlama ve kimlik doğrulama içerir. Yerel veya kurumsal bir ağı küresel ağdan gelen saldırılara karşı korumak için özel yazılım araçları kullanılır: güvenlik duvarları veya proxy sunucuları. Güvenlik duvarları, içinden geçen tüm ağ/taşıma katmanı trafiğini denetleyen ve filtreleyen özel ara sunuculardır. Bir proxy sunucusu bir aracı sunucudur, yerel ağdan küresel ağa yapılan tüm aramalar bunun üzerinden gerçekleşir.
Güvenilir ve verimli bir veri arşivleme sisteminin organizasyonu da ağdaki bilgilerin güvenliğini sağlamak için en önemli görevlerden biridir. Manyetik disklerin arızalanması durumunda veri kurtarmayı sağlamak için, son zamanlarda en sık kullanılan disk dizisi sistemleri - RAID standardına uygun tek bir cihaz olarak çalışan disk grupları.
Güvenlik açıklarını hızlı bir şekilde ortadan kaldırmak için tespit etmek için güvenlik analizi hizmeti amaçlanmaktadır. Yukarıda tartışılan aktif denetim araçları gibi güvenlik analiz sistemleri (güvenlik tarayıcıları olarak da adlandırılır), bilgi birikimine ve kullanımına dayanır. Bu durumda, güvenlik açıkları hakkında bilgi kastediyoruz: bunların nasıl aranacağı, ne kadar ciddi oldukları ve nasıl düzeltileceği.
WRC'nin üçüncü bölümünde, Vestel işletmesinin telekomünikasyon ağlarındaki bilgileri koruma yöntem ve araçlarını inceledim. Kuruluşu ve kurumsal ağını kısaca tanımladıktan sonra, kuruluşta kullanılan Windows 2003 Server işletim sisteminin koruyucu özelliklerini ayrıntılı olarak inceledim, kurumsal ve yasal korumaya odaklandım. Kurum ağını yetkisiz erişimden korumak çok önemlidir. Bunu yapmak için işletme elektronik anahtarlar kullanır, vesayet veri koruması düzenlenir, şifreler belirlenir ve İnternet erişimi kontrol edilir.
Vestel, bilgisayar virüslerinin şirket ağına bulaşmasını önlemek için Dr.Web Enterprise Suite anti-virüs yazılım paketini kullanır. Bu paketin faydaları şunlardır:
Ölçeklenebilirlik;
Tek kontrol merkezi;
Düşük maliyetli yönetim;
Yerel ağ trafiğini kaydetme;
Geniş protokol desteği yelpazesi.
Buna fiyatın çekiciliği de eklendi.
Kurumsal anti-virüs paketi olarak seçtiğim Dr.Web'in en iyi çözüm olduğundan emin olmak için, birkaç anti-virüs programı incelemesini inceledim ve çeşitli testlerin sonuçlarıyla tanıştım. Olasılık testinin sonuçları (antivirüs.ru web sitesi) Dr.Web'e ilk sırayı verir ve Virüs Bülteni, Dr. Web, dünyanın en iyi antivirüsleri arasında 8. sırada.
Vestel kurumsal ağının korunmasının organizasyonu hakkında bana verilen bilgileri inceledikten sonra şu sonuca vardım:
6. Biyachuev T.A. Kurumsal ağların güvenliği. Ders kitabı / ed. L.G.Osovetsky - St. Petersburg: SPbGU ITMO, 2004. - 161 s.
7. Siyah U. İnternet: güvenlik protokolleri. Eğitim Kursu. - St. Petersburg: Peter, 2001. - 288 s.: hasta.
8. Bozhday A.S., Finogeev A.G. Ağ teknolojileri. Bölüm 1: Eğitim. - Penza: PGU Yayınevi, 2005. - 107 s.
9. Bankalar M. Bilgisayarın bilgi koruması (CD-ROM ile). - Kiev: "Vek", 2001. - 272 s.
10. Vasilenko O.N. Kriptografide sayı-teorik algoritmalar. - M.: Moskova Sürekli Matematik Eğitimi Merkezi, 2003. - 328 s.
11. Vikhorev S. V., Kobtsev R. Yu. Nereye saldırılacağını veya bilgi güvenliği tehdidinin nereden geldiğini nasıl öğrenebilirim // Bilginin korunması. Kendine Güvenen, No. 2, 2002.
12. Bilgisayar sistemleri, ağlar ve telekomünikasyon: Ders kitabı. - 2. baskı, gözden geçirilmiş. ve ek / Ed. AP Pyatibratov. - M.: Finans ve istatistik, 2003.
13. Galatenko V.A. Bilgi güvenliği standartları. - M .: Yayınevi "İnternet Bilgi Teknolojileri Üniversitesi - INTUIT.ru", 2004. - 328 s.: hasta.
14. Goshko S.V. Virüsten korunma ansiklopedisi. - M.: Yayınevi "SOLON-Press", 2004. - 301 s.
15. Denisov A., Belov A., Vikharev I. İnternet. öğretici. - St. Petersburg: Peter, 2000. - 464 s.: hasta.
17. Zima V., Moldovyan A., Moldovyan N. Küresel ağ teknolojilerinin güvenliği. Seri "Usta". - St. Petersburg: BHV-Petersburg, 2001. - 320 s.: hasta.
18. Zubov A.Yu. Mükemmel şifreler. - E.: Helios ARV, 2003. - 160 s., hasta.
19. Kaspersky K. Bir Bilgisayar Virüsü Araştırmacısının Notları. - St. Petersburg: Peter, 2004. - 320 s.: hasta.
20. Kozlov D.A. Bilgisayar virüsleri ansiklopedisi. - M.: Yayınevi "SOLON-Press", 2001. - 457 s.
21. Cole E. Bilgisayar korsanlarından korunma rehberi. - M.: Williams Yayınevi, 2002. - 640 s.
22. Laponina ameliyathanesi Güvenliğin kriptografik temelleri. - M.: Yayınevi "İnternet Bilgi Teknolojileri Üniversitesi - INTUIT.ru", 2004. - 320 s.: hasta.
23. Laponina Ameliyathanesi Ağ güvenliğinin temelleri: kriptografik algoritmalar ve etkileşim protokolleri. - M .: Yayınevi "İnternet Bilgi Teknolojileri Üniversitesi - INTUIT.ru", 2005. - 608 s.: hasta.
24. McClure S., Skembrey J., Kurtz J. Hackerların Sırları. Ağ güvenliği - anahtar teslimi çözümler. 2. Baskı. - M.: Williams Yayınevi, 2001. - 656 s.
25. Mamaev M., Petrenko S. İnternette bilgi güvenliği teknolojileri. Özel rehber. - St. Petersburg: Peter, 2001. - 848 s.: hasta.
26. Medvedovsky kimliği İnternet saldırısı. - M.: Yayınevi "SOLON-Press", 2002. - 368 s.
27. Miklyaev A.P., IBM PC kullanıcısı için masaüstü kitabı 3. baskı M.:, "Solon-R", 2000, 720 s.
28. Northcut S., Novak J. Ağlardaki güvenlik ihlallerinin tespiti. 3. baskı. - M.: Williams Yayınevi, 2003. - 448 s.
29. Oglerty T. Güvenlik Duvarları. Güvenlik duvarlarının pratik uygulaması - M.: DMK, 2003. - 401 s.
30. Olifer V., Olifer N. Bilgisayar ağları. İlkeler, teknolojiler, protokoller: Üniversiteler için bir ders kitabı. 2. baskı. - St. Petersburg: Peter, 2002. - 864 s.: hasta.
31. Partyka T.L., Popov I.I. Bilgi Güvenliği. - M.: "Infra-M", 2002. - 368 s.
32. Parkhomenko P.N., Yakovlev S.A., Parkhomenko N.G. Bilgi güvenliği konularının yasal yönleri. V Uluslararası Bilimsel ve Pratik Konferans "Bilgi Güvenliği" Materyalleri - Taganrog: TRTU, 2003.
33. Kişisel bilgisayar: diyalog ve yazılım. öğretici. Ed. sanal makine Matyushka - M.: UDN Yayınevi, 2001.
34. Pyatibratov A.P. Hesaplama sistemleri, ağlar ve telekomünikasyon: Ders kitabı; Ed. A.P. Pyatibratov. - 2. baskı, gözden geçirilmiş. ve ek - M.: Finans ve istatistik, 2003. - 512 s.:hasta. - Kaynakça: s. 495.
35. Rastorguev S.P. Bilgi savaşı felsefesi - M.: Vuzovskaya kniga, 2001. - 468 s.
36. Simonis D. ve diğerleri Check Point NG. Yönetim Kılavuzu. - M.: DMK Press, 2004. - 544 s.
37. Simonovich S.V., Evseev G.A., Murakhovsky V.I. Bir Bilgisayar Satın Aldınız: Sorular ve Cevaplar için Eksiksiz Başlangıç Kılavuzu. - M.: AST-BASIN KİTABI; Inforkom-Press, 2001, - 544 s.: hasta.
38. Stallings V. Kriptografi ve ağ koruması: ilkeler ve uygulama. 2. Baskı. - M.: Williams Yayınevi, 2001. - 672 s.
39. E. Zwicky, S. Cooper, B. Chapman. Building Security on the Internet (2. baskı). - St. Petersburg: Symbol-Plus, 2002. - 928 s.
40. Yarochkin V.I. Bilgi Güvenliği. - M.: Yayınevi "Akademik proje", 2004. - 640 s.
Sigortalının kişisel hesabı
Otomatik tanımlama sistemi Elektronik harita sistemi ile AIS'nin ortak kullanımı
Wargame: Red Dragon başlamıyor mu?
Üzücü escobar "Ukrayna yargı sisteminin yüzü"
ROME Total War - tüm grupların kilidi nasıl açılır?