Bilgi sistemlerinin tasarımında bilgi güvenliği gereksinimleri, uygulanan bilgi güvenliği araçlarını karakterize eden işaretleri gösterir. Bilgi güvenliği alanında, özellikle Rusya'nın FSTEC ve FSB'si alanındaki çeşitli düzenleyici eylemler tarafından belirlenirler. Güvenlik sınıflarının ne olduğu, koruma türleri ve türleri ve bununla ilgili daha fazla bilginin nereden öğrenileceği makaleye yansıtılmıştır.
Tanıtım
Bilgi güvenliği olmadan her yerde tanıtılan teknolojiler yeni ciddi sorunların kaynağı haline geldiğinden, günümüzde bilgi güvenliği konuları yakından ilgi görmektedir.
Durumun ciddiyeti Rusya FSB'si tarafından bildiriliyor: siber suçluların birkaç yıl boyunca dünya çapında verdiği zararın miktarı 300 milyar dolardan 1 trilyon dolara kadar değişiyordu. Rusya Federasyonu Başsavcılığının verdiği bilgiye göre, sadece 2017 yılının ilk yarısında Rusya'da yüksek teknolojiler alanındaki suçların sayısı altı kat arttı, toplam hasar miktarı 18 milyon doları aştı. 2017 yılında sanayi sektöründe hedefli saldırıların sayısı tüm dünyada kaydedildi... Özellikle Rusya'da 2016 yılına göre saldırı sayısındaki artış %22 oldu.
Bilgi teknolojisi, askeri-politik, terörist amaçlar için, egemen devletlerin iç işlerine müdahale etmek ve diğer suçları işlemek için bir silah olarak kullanılmaya başlandı. Rusya Federasyonu, uluslararası bir bilgi güvenliği sisteminin oluşturulmasını temsil eder.
Rusya Federasyonu topraklarında, bilgi sahipleri ve bilgi sistemleri operatörleri, bilgilere yetkisiz erişim girişimlerini engellemek ve ayrıca BT altyapısının güvenlik durumunu sürekli olarak izlemekle yükümlüdür. Aynı zamanda, teknik olanlar da dahil olmak üzere çeşitli önlemlerin alınması yoluyla bilgi koruması sağlanır.
Bilgi güvenliği araçları veya SZI, aslında veritabanlarında saklanan bir bilgi topluluğu olan bilgi sistemlerinde, işlenmesini sağlayan bilgi teknolojilerinde ve teknik araçlarda bilgilerin korunmasını sağlar.
Modern bilgi sistemleri, çeşitli donanım ve yazılım platformlarının kullanımı, bileşenlerin bölgesel dağılımı ve açık veri iletim ağlarıyla etkileşim ile karakterize edilir.
Bu gibi durumlarda bilgi nasıl korunur? İlgili gereklilikler, yetkili kuruluşlar, özellikle Rusya'nın FSTEC ve FSB'si tarafından yapılır. Yazımız çerçevesinde bu düzenleyicilerin gerekliliklerini dikkate alarak bilgi güvenliği sistemlerinin sınıflandırılmasına yönelik temel yaklaşımları yansıtmaya çalışacağız. Rus departmanlarının düzenleyici belgelerinin yanı sıra yabancı kuruluşlar ve ajanslara yansıyan bilgi güvenliği sistemlerinin sınıflandırılmasını tanımlamanın diğer yolları bu makalenin kapsamı dışındadır ve daha fazla ele alınmamaktadır.
Makale, bilgi güvenliği alanındaki yeni başlayanlar için, bilgi güvenliği sistemlerinin Rusya'nın FSTEC'inin (büyük ölçüde) ve kısacası Rusya'nın FSB'sinin gereksinimlerine göre nasıl sınıflandırılacağına dair yapılandırılmış bir bilgi kaynağı olarak yararlı olabilir. .
Rusya'nın FSTEC'i (eski adıyla Rusya Federasyonu Başkanı altında Devlet Teknik Komisyonu, Devlet Teknik Komisyonu), kriptografik olmayan yöntemlerle bilgi güvenliğini sağlamaya yönelik prosedürü belirleyen ve eylemleri koordine eden yapıdır.
Okuyucu, Rusya'nın FSTEC'i tarafından oluşturulan Devlet Sertifikalı Bilgi Güvenliği Araçları Devlet Sicilini görmek zorunda kaldıysa, şüphesiz, bilgi güvenliği sisteminin amacının açıklayıcı kısmında "sınıf RD" gibi ifadelerin varlığına dikkat çekti. SVT", "NDV yokluk seviyesi" vb. (Şekil 1) ...
Şekil 1. Sertifikalı ISS kaydının parçası
Kriptografik bilgi güvenliği araçlarının sınıflandırılması
Rusya'nın FSB'si, kriptografik bilgi güvenliği sistemlerinin sınıflarını tanımlar: KS1, KS2, KS3, KV ve KA.
KS1 sınıfı bilgi güvenliği cihazlarının temel özellikleri, kontrol edilen alan dışından gerçekleştirilen saldırılara karşı koyabilmeleridir. Bu, saldırı yöntemlerinin oluşturulmasının, hazırlanmasının ve uygulanmasının, kriptografik bilgi güvenliği sistemlerinin geliştirilmesi ve analizine uzmanların katılımı olmadan gerçekleştirildiği anlamına gelir. Belirtilen bilgi güvenlik sistemlerinin kullanıldığı sistemle ilgili bilgilerin açık kaynaklardan elde edilebileceği varsayılmaktadır.
Bir kriptografik bilgi güvenlik sistemi, KC1 sınıfı vasıtasıyla bloke edilen ve kontrol edilen alan içerisinde gerçekleştirilen saldırılara karşı koyabiliyorsa, böyle bir bilgi güvenliği sistemi KC2 sınıfına tekabül etmektedir. Bu durumda, örneğin, bir saldırının hazırlanması sırasında, bilgi sistemlerini korumak, kontrollü bir alan sağlamak vb. için fiziksel önlemler hakkında bilgilerin mevcut olabileceği varsayılır.
Kurulu kriptografik bilgi güvenlik sistemlerine sahip bilgisayar ekipmanına fiziksel erişim varlığında saldırılara direnmek mümkünse, bu tür araçların KC3 sınıfına uygunluğundan bahsederler.
Kriptografik bilgi güvenliği sistemi, araştırma merkezleri de dahil olmak üzere bu araçların geliştirilmesi ve analizinde uzmanların katılımıyla oluşturulan saldırılara direniyorsa, güvenlik araçlarının laboratuvar çalışmalarını yapmak mümkündü, o zaman HF ile uyumluluktan bahsediyoruz. sınıf.
NDV sistem yazılımını kullanma alanındaki uzmanlar saldırı yöntemlerinin geliştirilmesinde yer aldıysa, ilgili tasarım dokümantasyonu mevcutsa ve kriptografik bilgi güvenlik sistemlerinin herhangi bir donanım bileşenine erişim varsa, bu tür saldırılara karşı koruma şu yollarla sağlanabilir: CA sınıfının.
Elektronik imza koruma araçlarının sınıflandırılması
Elektronik imza araçları, saldırılara direnme yeteneğine bağlı olarak genellikle şu sınıflarla karşılaştırılır: КС1, КС2, КС3, КВ1, КВ2 ve КА1. Bu sınıflandırma, yukarıda kriptografik bilgi güvenliği sistemleri için tartışılana benzer.
sonuçlar
Makale, bilgi güvenliği alanındaki düzenleyicilerin düzenleyici çerçevesine dayanan Rusya'daki bilgi güvenliği sistemlerinin bazı sınıflandırma yöntemlerini ele aldı. Dikkate alınan sınıflandırma seçenekleri ayrıntılı değildir. Bununla birlikte, sunulan özet bilgilerin, bilgi güvenliği alanında yeni başlayan bir uzmanın hızlı bir şekilde gezinmesine izin vereceğini umuyoruz.
Bilgilerin yasal olarak korunması (düzenleyici yasal düzenlemeler, vb.).
Bilgilerin organizasyonel olarak korunması (belgeler, personel, çalışma saatleri vb.).
Bilginin mühendislik ve teknik koruması ("hatalardan", iletişim kanallarından sızıntılar).
Yazılım.
Donanım.
kriptografik.
Karmaşık.
A. Yasal koruma. Hukuki koruma tedbirleri, bilgilerin işlenmesi ve kullanılması sürecinde bilgi ilişkilerine katılanların hak ve yükümlülüklerinin güvence altına alınmasına ilişkin kuralları düzenleyen, ülkede yürürlükte olan kanun, kararname ve yönetmelikleri içerir. Ayrıca, bu kuralların ihlali için sorumluluk oluştururlar, böylece bilgilerin kötüye kullanılmasını önler ve olası ihlalciler için caydırıcı olur. Yasal koruma önlemleri esas olarak proaktif, önleyici niteliktedir ve sistemin kullanıcıları ve servis personeli ile sürekli açıklayıcı çalışmayı gerektirir.
B. Kurumsal koruma- bu, gizli bilgilerin yasa dışı edinilmesini ve iç ve dış tehditlerin tezahürünü hariç tutan veya önemli ölçüde karmaşıklaştıran, düzenleyici ve yasal bir temelde üretim faaliyetlerinin ve icracıların ilişkisinin düzenlenmesidir.
Kurumsal koruma şunları sağlar:
güvenlik organizasyonu, rejim, personelle çalışma, belgelerle;
İşe yönelik iç ve dış tehditleri belirlemek için teknik güvenlik araçlarının ve bilgilerin ve analitik faaliyetlerin kullanılması.
Organizasyonel faaliyetler şunları içerir:
Rejimin organizasyonu ve koruma... Amaçları, yetkisiz kişilerin topraklarına ve binalarına gizlice girme olasılığını ortadan kaldırmaktır; çalışanların ve ziyaretçilerin geçişini ve hareketini kontrol etme rahatlığını sağlamak; bağımsız erişim sistemleri ile gizli çalışma türüne göre ayrı üretim bölgelerinin oluşturulması; geçici çalışma rejiminin kontrolü ve gözetilmesi ve şirket personelinin topraklarında kalması; çalışanların ve ziyaretçilerin vb. güvenilir erişim kontrolünün ve kontrolünün organizasyonu ve bakımı;
Çalışanlarla çalışma organizasyonuçalışanlarla tanışma, gizli bilgilerle çalışma kuralları konusunda eğitim, bilgi koruma kurallarının ihlali için sorumluluk önlemlerine aşina olma vb. dahil olmak üzere personelin seçimini ve yerleştirilmesini sağlayan;
Belgeler ve belgelenmiş bilgilerle çalışmanın organizasyonu Gizli bilgi içeren belgelerin ve ortamların geliştirilmesi ve kullanılması, bunların muhasebeleştirilmesi, yürütülmesi, iade edilmesi, depolanması ve imha edilmesi dahil.
Teknik araçların kullanımının organizasyonu gizli bilgilerin toplanması, işlenmesi, biriktirilmesi ve saklanması.
İç ve dış tehditlerin analizine yönelik çalışmaların organizasyonu gizli bilgiler ve bunları korumak için önlemlerin geliştirilmesi.
Personelin çalışmaları üzerinde sistematik kontrol yapmak için iş organizasyonu gizli bilgiler, muhasebe prosedürü, belgelerin saklanması ve teknik medya ile.
En önemli organizasyonel önlemlerden biri, kapalı bilgi sistemlerinde bilgilerin korunması için bir ağ güvenlik yöneticisi ve dağıtılmış veri tabanlarının ve gizli bilgileri içeren veri bankalarının yöneticisi şeklinde özel düzenli hizmetlerin oluşturulmasıdır.
Kurumsal önlemler, kapsamlı bilgi korumasının oluşturulmasında ve uygulanmasında ve bir kurumsal güvenlik sisteminin oluşturulmasında belirleyici bir bağlantıdır.
B. Mühendislik koruması Gizli bilgilerin korunması amacıyla kullanımları için bir dizi özel organ, teknik araç ve önlemdir.
D. Yazılımçeşitli amaçlar ve işleme, depolama, biriktirme ve iletme, veri toplama araçları için bilgi sistemlerindeki özel programları, yazılım komplekslerini ve bilgi güvenliği sistemlerini kapsar.
E. Donanım
Buna cihazlar, cihazlar, demirbaşlar ve diğer teknik çözümler dahildir.
Donanımın ana görevi, üretim faaliyetlerini sağlamak için teknik araçlar aracılığıyla bilgilerin ifşa, sızıntı ve yetkisiz erişime karşı güvenilir bir şekilde korunmasını sağlamaktır.
E. Şifreleme AraçlarıÇeşitli şifreleme yöntemleri kullanılarak bir bilgisayarda depolanan ve işlenen, iletişim sistemleri ve ağlar aracılığıyla iletilen bilgileri korumanın özel matematiksel ve algoritmik araçlarıdır.
G. Karmaşık çözümler
Yazılım ve donanımın toplu olarak uygulanması ve bilgi korumanın kriptografik yöntemleri.
Bilgi güvenliği tehditlerinin sınıflandırılması ve bunların uygulanma yöntemleri
Bir tehdit (genel olarak) genellikle, birinin çıkarlarına zarar verebilecek potansiyel olarak olası bir olay, eylem (etki), süreç veya fenomen olarak anlaşılır. Bilgi güvenliği tehdidi - bu, bilgilerin bütünlüğü, kullanılabilirliği veya gizliliğinin çeşitli nedenlerle ihlal edilme olasılığıdır. Tehditlerin kapsamlı bir analizi olmadan, onları önlemek veya uygulamak, yani bilgi güvenliğini sağlamak için en etkili önlemleri belirlemenin imkansız olduğu oldukça açıktır.
Bilgi güvenliğine yönelik olası tüm tehditler bir dizi temel kritere göre sınıflandırılabilir.
Oluşun doğası gereği:
Doğal tehditler - bilgi sistemi üzerindeki etkilerin ve nesnel fiziksel süreçlerin bileşenlerinin veya insandan bağımsız doğal afetlerin (teknik arızalar, doğal afetler) neden olduğu tehditler;
Yapay tehditler - insan faaliyetlerinden kaynaklanan bilgi güvenliğine yönelik tehditler:
Tezahürün kasıtlılık derecesine göre:
Personel hatası veya ihmalinden kaynaklanan tesadüfi tehditler veya tehditler. Örneğin: bilgi taşıyıcılarına kasıtsız zarar verilmesi veya bunların kaybı; yanlış abonenin adresine veri gönderme; iletişim kanallarına kasıtsız hasar; hatalı veri girme vb.;
Kasıtlı tehditler. Örneğin: veritabanlarından gizli bilgileri çalma yeteneği; istihbarat servisleri vb. tarafından bu tür bilgilerin sızdırılması için teknik kanalları kullanma olasılığı:
Bilgi üzerindeki etki derecesine göre:
Uygulandığında bilgi sisteminin yapısında ve içeriğinde hiçbir şeyi değiştirmeyen pasif tehditler. Örneğin: sınıflandırılmış verilerin kopyalanması tehdidi.
Bilgi sisteminin yapısında ve içeriğinde değişiklik yapan aktif tehditler. Örneğin: "yer imleri" ve "virüsler" yazılımının tanıtımı; bilgilerin kasıtlı olarak değiştirilmesi veya yok edilmesi tehdidi;
Bilgi sisteminin kaynaklarına erişim yöntemiyle:
Bilgi sisteminin kaynaklarına doğrudan erişim kullanımına dayalı tehditler. Örneğin: saklanmalarındaki ihmal nedeniyle belgelerin çalınması; şifrelerin ve diğer erişim kontrol detaylarının çeşitli şekillerde yasa dışı olarak alınması;
Bilgi sistemi kaynaklarına gizli bir erişim yolu kullanmayı amaçlayan tehditler. Örneğin: güvenlik önlemlerini atlayarak sisteme giriş yapmak; gizli bilgi alma araçlarının kullanımı, vb.
Bilgi güvenliği tehditlerinin sınıflandırılabileceği bir dizi başka kriter vardır. Ancak listelenenler başlıcalarıdır ve tehdit türlerinin oldukça eksiksiz bir resmini verir.
Bilgi güvenliğine yönelik tehditleri uygulamanın ana yöntemleri şunları içerir:
· Gizli veriler içeren kağıt veya makine bilgi taşıyıcılarının çalınması (kopyalanması);
· Sahte elektromanyetik radyasyon ve paraziti (PEMIN) engellemek için özel teknik araçların kullanılması;
· İletişim kanalları üzerinden iletilen verilerin ele geçirilmesi;
· Görsel gözlem yöntemi (terminal ekranlarından okuma, baskı sırasında çıktılar vb.);
· Özel teknik araçlar kullanılarak gizli bilgilerin kaldırılması;
· Bilgi sunumunun ifşası (veri şifre çözme);
· Yazılım virüslerinin bulaşmasından bilgisayar ekipmanının ve bilgi taşıyıcılarının yok edilmesine kadar bilgilerin depolanması ve işlenmesi için otomatik sistemlerde bilgi güvenliğini ihlal etmek için bir dizi yazılım ve donanım yöntemi.
Korunan bilgi kavramı, önceki kavram ve kategori çalışmalarının sonuçlarına dayanarak kolayca belirlenir. Açıktır ki:
korunan bilgi- bu, mülkiyete konu olan ve yasal belgelerin gereklilikleri veya bilgi sahipleri tarafından Ukrayna mevzuatına dayalı olarak oluşturulan gereklilikler uyarınca korumaya tabi olan bilgilerdir. Daha önce de vurgulandığı gibi, bilgi sahiplerinin rolü devlet, tüzel kişiler veya bireyler tarafından oynanabilir.
Bilginin korunması- bilgi güvenliğini sağlamaya yönelik faaliyetler.
Koruma türleri aşağıdaki gibi sınıflandırılabilir:
· bilgi sızıntısı koruması- Korunan bilgilerin ifşası veya yetkisiz erişim yoluyla kontrolsüz dağıtımını önleme faaliyetleri. Yani bilgilerin gizliliğini sağlamaktan bahsediyoruz;
· bilgilerin yetkisiz etkilerden korunması(kasıtlı veya kasıtsız) - bilgileri değiştirme, bilgilerin bozulmasına, yok edilmesine veya değiştirilmesine ve ayrıca erişim kurallarının ihlaline yol açan yerleşik hak veya kuralları ihlal ederek korunan bilgiler üzerindeki etkiyi önleme faaliyetleri (bütünlüğün korunması) ve kullanılabilirlik);
· bilgilerin ve destekleyici altyapısının tesadüfi etkilerden korunması- bilgi sistemlerinin donanım ve yazılımlarının arızalanmasının yanı sıra doğal olayların bir sonucu olarak korunan bilgiler üzerindeki etkiyi önleme faaliyetleri. Bu faktörler, her üç bilgi güvenliği kategorisinin de (ayrı ayrı veya birlikte) kaybolmasına neden olabilir.
Bilgi işleyen otomatik sistemler karmaşık teknik sistemlerdir. Bu tür sistemlerin işleyişinin yetersiz güvenilirliği, bazı işlevsel cihazların çalışmasındaki arızalar ve arızalar, bilgi kaybına neden olabilir.
Bazı durumlarda, işlenen bilgilerin maliyeti, otomatik sistemin parçası olan ekipmanın maliyetini önemli ölçüde aşmaktadır. Bu gibi durumlarda görev, endüstriyel felaketler ve doğal afetler koşullarında bile bilgileri korumaktır.
Bilgiyi davetsiz misafirlerden koruma görevlerini formüle etmek için, bu hedeflere ulaşmak için amaçlarını ve fırsatlarını hayal etmek gerekir.
Genellikle, suçlunun aşağıdaki hedefleri ayırt edilir:
Gizli bilgilerin yasa dışı olarak ele geçirilmesi;
Bilgilerin değiştirilmesi;
Bilginin yok edilmesi;
AU'nun işleyişinin bozulması;
Programların (ve diğer değerli bilgilerin) yasa dışı kopyalanması;
Bilgi reddi
Altında kesin bilgi Kanuna göre erişimi sınırlı olan bilgi anlamına gelir. Bu tür bilgilerin bir saldırganın eline geçmesine denir. bilgi sızıntısı ve hakkında konuşmak bilgilerin sızıntıdan korunması. Bilgi sızıntısının farklı sonuçları olabilir. Bu nedenle, örneğin, bir ortamın veya hatta genel olarak bir bilgisayarın çalınmasıyla ilgili bilgi sızıntısı çok hızlı bir şekilde tespit edilir. Aynı zamanda hak sahibine söylenmeyen bir bilgi sızıntısı daha çok zarar verir.
Bilgilerin değiştirilmesi her zaman zımnen bilginin hak sahibine zımnen ima edilir. Bilginin değiştirilmesi kendini farklı şekillerde gösterebilir. Örneğin bir mali belgede, paranın gönderilmesi gereken hesap numarasının veya belirtilen adrese aktarılacak tutarın tutarının "düzeltilmesi"nden oluşabilir. Paket anahtarlamalı ağlarda, değişiklik, mesajın bir bölümünün iletişim kanalından çıkarılmasını, mesajın bölümlerinin sırasını değiştirmeyi içerebilir. Nihayet,
Örneğin bankaya para transferi talimatı vermek gibi sahte bir mesajı tekrarlamak veya göndermek mümkündür.
Bilginin yok edilmesi bilgilerin yedeklenmesine yönelik önleyici tedbirler alınmadığında bilgi işlem sisteminin çökmesine ve yedekler varsa sistemin geçici olarak arızalanmasına neden olabilir.
Altında arızalı otomatik sistemler (bilginin yok edilmesinin aksine) sistemin normal işleyişine müdahale eden gizli eylemleri ifade eder. Bu tür eylemler, kaynakları ele geçirerek, gereksiz görevleri çözmek için başlatarak veya acil çözüm gerektirmeyen görevlerin önceliğini artırarak gerçekleştirilebilir. Gerçek zamanlı veya operasyonel karar verme modunda çalışan bilgi sistemleri, işteki bu müdahalelere karşı en hassas olanlardır.
Hakkında konuşmak programların yasa dışı kopyalanması, gizli bilgilerin kopyalanması değil, ticari veya diğer sözleşmelere dayalı olarak dağıtılan bilgilerin kopyalanması anlamına gelir. Programların ve diğer değerli bilgilerin yasa dışı kopyalanması, yazılım ürünü ve veritabanlarının geliştiricilerinin telif hakkının ihlali olarak kabul edilir.
Bilgi reddi bir telekomünikasyon ağındaki iki uzak abonenin aşağıdaki etkileşim durumları için tipiktir. A abonesi B abonesine bir mesaj gönderir ve daha sonra böyle bir mesajı göndermeyi reddederse, o zaman hakkında konuşurlar. mesajın iletildiği gerçeğinin reddedilmesi... Abone A'dan bir mesaj alan B abonesi daha sonra mesajı almayı reddederse, reddetmeden bahsederler. mesajı alma gerçeğinden... İlk durum, örneğin gönderilen mesaj gönderenin alıcıya karşı bazı yükümlülüklerini içeriyorsa ve ikincisi - alınan mesaj alıcı için bazı talimatlar içeriyorsa gerçektir. Bilginin reddedilmesi, uzak abonelerin gelişmiş bilgisayar ve ağ teknolojilerinin kullanımıyla etkileşime girmesini neredeyse imkansız hale getirir.
Uygulamada, aşağıdaki ana bilgi koruma türleri ayırt edilir:
- bilgilerin yetkisiz erişime karşı korunması:
- iletişim sistemlerinde bilginin ele geçirilmesinden korunması.
- elektronik belgelerin yasal öneminin korunması.
- gizli bilgilerin sahte elektromanyetik radyasyon ve parazit kanalları yoluyla sızıntıya karşı korunması.
- programların dağıtım kanalları aracılığıyla bilgilerin bilgisayar virüslerinden ve diğer tehlikeli etkilerden korunması.
- programların ve değerli bilgisayar bilgilerinin yetkisiz kopyalanması ve dağıtılmasına karşı koruma.
Erişim denetimi kurallarını formüle etmenin iki ilkesi vardır: isteğe bağlı ve zorunlu.
İlki esas alınır üzerinde matris modelleri.
Bir dizi adlandırılmış erişim nesnesi (dosyalar, dizinler, cihazlar ve benzerleri) ve bir dizi erişim konusu (kullanıcılar, süreçleri) olsun. Erişim kontrol kuralları daha sonra, sütunlarının her biri bir erişim nesnesine ve her satır bir erişim öznesine karşılık gelen bir matris biçiminde yazılır. kavşakta ben sütun ve J-inci satır, erişim hakları kaydedilir J erişim konusu ben th erişim nesnesi (okuma, yazma, silme ve benzeri).
Uygulamada, matris modellerine dayalı erişim kontrol sistemleri, genellikle evrensel işletim sistemi veya DBMS'nin özel bileşenleri veya bağımsız yazılım ürünleri şeklinde uygulanır. En çok kullanılan evrensel işletim sistemleri için erişimi farklılaştıran matris araçlarının temel bir özelliği, erişim yöneticisi mekanizmalarının temelden merkezden uzaklaştırılmasıdır; bu, bu mekanizmaların doğrulanabilirliği, güvenliği ve eksiksizliği gereksinimlerine tam olarak uymanın imkansızlığına yol açar.
Erişim kontrolünün yetki ilkesi, tüm erişim nesnelerinin gizlilik etiketlerine sahip olduğu gerçeğine dayanır (örneğin, gizlilik etiketlerine göre: "" özel öneme sahip "," çok gizli "," gizli "," sınıflandırılmamış ") ve her erişim konusu için erişim seviyesi belirlenir (Örneğin, konunun çalışmasına izin verilen belgelerin gizlilik seviyesi.) Ardından, kullanıcı sistemle iletişim kurduğunda, okumaya yalnızca ilgili olarak izin verilir. ilgili gizlilik düzeyi veya daha düşük bilgi ve bilgilerin yazılmasına yalnızca ilgili gizlilik düzeyi veya daha yüksek bilgiler için izin verilir. mahremiyetini düşürmeden.
En kritik durumlarda, erişim denetimi kurallarını formüle etmenin her iki ilkesinin de kullanıldığını unutmayın.
Kullanıcı erişim prosedürünün kendisi (erişim kontrol kurallarına göre) üç aşamada gerçekleşir: tanımlama, doğrulama ve yetkilendirme.
Kimlik kullanıcı tarafından tanımlayıcısının (adının) sisteme sunulmasından ve bu adın sistem belleğinde varlığının doğrulanmasından oluşur.
kimlik doğrulama kendisi tarafından sunulan tanımlayıcının erişim konusunun kimliğini kontrol etmekten ibarettir (kimlik doğrulama). Kimlik doğrulama prosedürünü uygulamak için, erişim öznesinin ya onun sırrı olan (parola ve benzeri) ya da özne için benzersiz olan ve değiştirilemez olduğu garanti edilen (biyometrik özellikler) tanımlayıcısı kullanılır.
Otomatik bir sistemi yetkisiz kullanıcılar tarafından uzaktan erişimden korumanın en basit yolu, tüm harici ağ bağlantılarından fiziksel koruma sağlamak için ağda çalışmayı reddetmektir. En kritik durumlarda, yaptıkları şey budur.
Bununla birlikte, şu anda çoğu durumda bu tür bir izolasyonun pratik olarak imkansızlığı nedeniyle, çeşitli güvenlik derecelerine sahip yerel ağlar veya hatta korumasız bir ağ ile korunan bir ağ arasındaki iletişimin uygulanması için basit ve net kurallar sağlamak gerekir. Bu durumda, gizliliği koruyan bir çevrenin içinde güvenli bir yerel ağ bulunur. Çevrenin içinde, erişim kontrol hizmeti ve diğer koruyucu mekanizmalar, kimin hangi bilgilere kabul edildiğini belirler. Böyle bir ortamda, bazen bir güvenlik duvarı, yönlendirici veya güvenli arayüz modülü olarak adlandırılan bir ağ geçidi sistemi, güvenli sistemleri veya ağları dışarıdan güvenli olmayan sistem veya ağlardan ayırabilir. Güvenli olmayan bir sistem, korumalı bir sistemle yalnızca güvenli ağ geçidi tarafından kontrol edilen tek bir iletişim kanalı aracılığıyla iletişim kurabilir. Ağ geçidi hem dışarıdaki hem de dışarıdaki trafiği kontrol eder ve güvenli ağı dış dünyadan etkin bir şekilde yalıtır. Güvenlik duvarı çevre içindeki diğer bilgisayarları koruduğu için koruma güvenlik duvarında yoğunlaşabilir.
Bilgi güvenliği tehditleri ve sınıflandırılması
Bilgi işleyen otomatik sistemler karmaşık teknik sistemlerdir. Bu tür sistemlerin işleyişinin yetersiz güvenilirliği, bazı işlevsel cihazların çalışmasındaki arızalar ve arızalar, bilgi kaybına neden olabilir.
Bazı durumlarda, işlenen bilgilerin maliyeti, otomatik sistemin parçası olan ekipmanın maliyetini önemli ölçüde aşmaktadır. Bu gibi durumlarda görev, endüstriyel felaketler ve doğal afetler koşullarında bile bilgileri korumaktır.
Bilgiyi davetsiz misafirlerden koruma görevlerini formüle etmek için, bu hedeflere ulaşmak için amaçlarını ve fırsatlarını hayal etmek gerekir.
Genellikle, suçlunun aşağıdaki hedefleri ayırt edilir:
Gizli bilgilerin yasa dışı olarak ele geçirilmesi;
Bilgilerin değiştirilmesi;
Bilginin yok edilmesi;
AU'nun işleyişinin bozulması;
Programların (ve diğer değerli bilgilerin) yasa dışı kopyalanması;
Bilgi reddi
Altında kesin bilgi Kanuna göre erişimi sınırlı olan bilgi anlamına gelir. Bu tür bilgilerin bir saldırganın eline geçmesine denir. bilgi sızıntısı ve hakkında konuşmak bilgilerin sızıntıdan korunması. Bilgi sızıntısının farklı sonuçları olabilir. Bu nedenle, örneğin, bir ortamın veya hatta genel olarak bir bilgisayarın çalınmasıyla ilgili bilgi sızıntısı çok hızlı bir şekilde tespit edilir. Aynı zamanda hak sahibine söylenmeyen bir bilgi sızıntısı daha çok zarar verir.
Bilgilerin değiştirilmesi her zaman zımnen bilginin hak sahibine zımnen ima edilir. Bilginin değiştirilmesi kendini farklı şekillerde gösterebilir. Örneğin bir mali belgede, paranın gönderilmesi gereken hesap numarasının veya belirtilen adrese aktarılacak tutarın tutarının "düzeltilmesi"nden oluşabilir. Paket anahtarlamalı ağlarda, değişiklik, mesajın bir bölümünün iletişim kanalından çıkarılmasını, mesajın bölümlerinin sırasını değiştirmeyi içerebilir. Nihayet,
Örneğin bankaya para transferi talimatı vermek gibi sahte bir mesajı tekrarlamak veya göndermek mümkündür.
Bilginin yok edilmesi bilgilerin yedeklenmesine yönelik önleyici tedbirler alınmadığında bilgi işlem sisteminin çökmesine ve yedekler varsa sistemin geçici olarak arızalanmasına neden olabilir.
Altında arızalı otomatik sistemler (bilginin yok edilmesinin aksine) sistemin normal işleyişine müdahale eden gizli eylemleri ifade eder. Bu tür eylemler, kaynakları ele geçirerek, gereksiz görevleri çözmek için başlatarak veya acil çözüm gerektirmeyen görevlerin önceliğini artırarak gerçekleştirilebilir. Gerçek zamanlı veya operasyonel karar verme modunda çalışan bilgi sistemleri, işteki bu müdahalelere karşı en hassas olanlardır.
Hakkında konuşmak programların yasa dışı kopyalanması, gizli bilgilerin kopyalanması değil, ticari veya diğer sözleşmelere dayalı olarak dağıtılan bilgilerin kopyalanması anlamına gelir. Programların ve diğer değerli bilgilerin yasa dışı kopyalanması, yazılım ürünü ve veritabanlarının geliştiricilerinin telif hakkının ihlali olarak kabul edilir.
Bilgi reddi bir telekomünikasyon ağındaki iki uzak abonenin aşağıdaki etkileşim durumları için tipiktir. A abonesi B abonesine bir mesaj gönderir ve daha sonra böyle bir mesajı göndermeyi reddederse, o zaman hakkında konuşurlar. mesajın iletildiği gerçeğinin reddedilmesi... Abone A'dan bir mesaj alan B abonesi daha sonra mesajı almayı reddederse, reddetmeden bahsederler. mesajı alma gerçeğinden... İlk durum, örneğin gönderilen mesaj gönderenin alıcıya karşı bazı yükümlülüklerini içeriyorsa ve ikincisi - alınan mesaj alıcı için bazı talimatlar içeriyorsa gerçektir. Bilginin reddedilmesi, uzak abonelerin gelişmiş bilgisayar ve ağ teknolojilerinin kullanımıyla etkileşime girmesini neredeyse imkansız hale getirir.
Hücum oyuncusunun amaçları düşünülürken aşağıdaki duruma dikkat edilmelidir. Otomatik bir sistemde veya ağda bir veya daha fazla bilgi koruma sistemi oluştururken, bir saldırgan en basit ve erişilebilir (koruma yokluğunda olduğu gibi) araçları kullanarak hedeflerine ulaşma fırsatından mahrum bırakılır. Yeni koşullar altında, bir saldırgan uygulanan koruma sistemini araştırmaya ve bunun üstesinden gelmenin yollarını bulmaya çalışacaktır. Aynı zamanda yeni hedefleri var: anahtarları veya şifreleri bulmak, bilgi koruma sisteminin yazılımını değiştirmek ve böylece koruyucu mekanizmayı tamamen veya kısmen etkisiz hale getirmek, atlamak. Bu tür hedefler, yukarıda formüle edilenlere kıyasla doğada orta düzeydedir. Ancak bilgi güvenliği araçları tasarlanırken ve uygulanırken bu hedefler dikkate alınmalıdır.
Uygulamada, aşağıdaki ana bilgi koruma türleri ayırt edilir:
- bilgilerin yetkisiz erişime karşı korunması:
- iletişim sistemlerinde bilginin ele geçirilmesinden korunması.
- elektronik belgelerin yasal öneminin korunması.
- gizli bilgilerin sahte elektromanyetik radyasyon ve parazit kanalları yoluyla sızıntıya karşı korunması.
- programların dağıtım kanalları aracılığıyla bilgilerin bilgisayar virüslerinden ve diğer tehlikeli etkilerden korunması.
- programların ve değerli bilgisayar bilgilerinin yetkisiz kopyalanması ve dağıtılmasına karşı koruma.
Gizli ve değerli bilgilerin yetkisiz erişime karşı korunması (NSD), bilgisayar sahiplerinin ve kullanıcılarının mülkiyet haklarını korumanın en önemli iki görevinden birinin çözümünü sağlamak için tasarlanmıştır - işlenen bilgilerde yer alan mülkiyetin her türlü korunması. Önemli ekonomik ve diğer maddi ve manevi zararlara neden olabilecek kötü niyetli saldırıların yanında, devletin bilgi sahibi olarak hareket ettiği durumlarda devlet sırlarının korunması görevi vardır. Bu tür korumanın temel amacı, gizliliğin sağlanmasıdır. bilginin bütünlüğü ve kullanılabilirliği. Teknik uygulama açısından, yetkisiz erişime karşı koruma, işlevsel yetkilerin sınırlandırılması ve bilgiye erişim görevine indirgenir.
Erişim denetimi kurallarını formüle etmenin iki ilkesi vardır: isteğe bağlı ve zorunlu.
İlki esas alınır üzerinde matris modelleri.
Bir dizi adlandırılmış erişim nesnesi (dosyalar, dizinler, cihazlar ve benzerleri) ve bir dizi erişim konusu (kullanıcılar, süreçleri) olsun. Erişim kontrol kuralları daha sonra, sütunlarının her biri bir erişim nesnesine ve her satır bir erişim öznesine karşılık gelen bir matris biçiminde yazılır. kavşakta ben sütun ve J-inci satır, erişim hakları kaydedilir J erişim konusu ben th erişim nesnesi (okuma, yazma, silme ve benzeri).
Uygulamada, matris modellerine dayalı erişim kontrol sistemleri, genellikle evrensel işletim sistemi veya DBMS'nin özel bileşenleri veya bağımsız yazılım ürünleri şeklinde uygulanır. En çok kullanılan evrensel işletim sistemleri için erişimi farklılaştıran matris araçlarının temel bir özelliği, erişim yöneticisi mekanizmalarının temelden merkezden uzaklaştırılmasıdır; bu, bu mekanizmaların doğrulanabilirliği, güvenliği ve eksiksizliği gereksinimlerine tam olarak uymanın imkansızlığına yol açar.
Erişim kontrolünün yetki ilkesi, tüm erişim nesnelerinin gizlilik etiketlerine sahip olduğu gerçeğine dayanır (örneğin, gizlilik etiketlerine göre: "" özel öneme sahip "," çok gizli "," gizli "," sınıflandırılmamış ") ve her erişim konusu için erişim seviyesi belirlenir (Örneğin, konunun çalışmasına izin verilen belgelerin gizlilik seviyesi.) Ardından, kullanıcı sistemle iletişim kurduğunda, okumaya yalnızca ilgili olarak izin verilir. ilgili gizlilik düzeyi veya daha düşük bilgi ve bilgilerin yazılmasına yalnızca ilgili gizlilik düzeyi veya daha yüksek bilgiler için izin verilir. mahremiyetini düşürmeden.
En kritik durumlarda, erişim denetimi kurallarını formüle etmenin her iki ilkesinin de kullanıldığını unutmayın.
Kullanıcı erişim prosedürünün kendisi (erişim kontrol kurallarına göre) üç aşamada gerçekleşir: tanımlama, doğrulama ve yetkilendirme.
Kimlik kullanıcı tarafından tanımlayıcısının (adının) sisteme sunulmasından ve bu adın sistem belleğinde varlığının doğrulanmasından oluşur.
kimlik doğrulama kendisi tarafından sunulan tanımlayıcının erişim konusunun kimliğini kontrol etmekten ibarettir (kimlik doğrulama). Kimlik doğrulama prosedürünü uygulamak için, erişim öznesinin ya onun sırrı olan (parola ve benzeri) ya da özne için benzersiz olan ve değiştirilemez olduğu garanti edilen (biyometrik özellikler) tanımlayıcısı kullanılır.
Otomatik bir sistemi yetkisiz kullanıcılar tarafından uzaktan erişimden korumanın en basit yolu, tüm harici ağ bağlantılarından fiziksel koruma sağlamak için ağda çalışmayı reddetmektir. En kritik durumlarda, yaptıkları şey budur.
Bununla birlikte, şu anda çoğu durumda bu tür bir izolasyonun pratik olarak imkansızlığı nedeniyle, çeşitli güvenlik derecelerine sahip yerel ağlar veya hatta korumasız bir ağ ile korunan bir ağ arasındaki iletişimin uygulanması için basit ve net kurallar sağlamak gerekir. Bu durumda, gizliliği koruyan bir çevrenin içinde güvenli bir yerel ağ bulunur. Çevrenin içinde, erişim kontrol hizmeti ve diğer koruyucu mekanizmalar, kimin hangi bilgilere kabul edildiğini belirler. Böyle bir ortamda, bazen bir güvenlik duvarı, yönlendirici veya güvenli arayüz modülü olarak adlandırılan bir ağ geçidi sistemi, güvenli sistemleri veya ağları dışarıdan güvenli olmayan sistem veya ağlardan ayırabilir. Güvenli olmayan bir sistem, korumalı bir sistemle yalnızca güvenli ağ geçidi tarafından kontrol edilen tek bir iletişim kanalı aracılığıyla iletişim kurabilir. Ağ geçidi hem dışarıdaki hem de dışarıdaki trafiği kontrol eder ve güvenli ağı dış dünyadan etkin bir şekilde yalıtır. Güvenlik duvarı çevre içindeki diğer bilgisayarları koruduğu için koruma güvenlik duvarında yoğunlaşabilir.
Taramalı Atomik Kuvvet Mikroskobu Laboratuvar raporu şunları içermelidir:
İletişim ağının destek raflarının seçimi
AC katener tasarımı ve hesaplanması
Mikroişlemci sistemlerinin geliştirilmesi Mikroişlemci sistemlerinin tasarım aşamaları
mcs51 ailesinin mikrodenetleyicileri