تُظهر الخبرة المتراكمة لتقنيات حماية المعلومات في شبكات الكمبيوتر أن النهج المتكامل لحماية المعلومات هو وحده القادر على ضمان متطلبات الأمان الحديثة.

ويعني النهج المتكامل التطوير الشامل لجميع أساليب ووسائل الحماية.

دعونا نفكر بإيجاز في الطرق والوسائل الرئيسية لضمان أمن المعلومات في شبكات الكمبيوتر.

تنقسم طرق حماية المعلومات إلى:

عوائق

صلاحية التحكم صلاحية الدخول

· تنكر

· أنظمة

· الإكراه

· تحفيز

يترك- طريقة لعرقلة مسار المهاجم فعليًا إلى المعلومات المحمية (الكمبيوتر، معدات الشبكة)

صلاحية التحكم صلاحية الدخول- طريقة لحماية المعلومات من خلال تنظيم استخدام جميع موارد النظام. يتضمن التحكم في الوصول ميزات الأمان التالية:

تحديد هوية المستخدمين والموظفين وموارد النظام عن طريق تعيين معرف شخصي لكل كائن؛

تحديد كائن أو موضوع بواسطة المعرف المقدم لهم؛

التحقق من صلاحية الموارد المطلوبة؛

تسجيل الطلبات للموارد المحمية؛

رد الفعل على محاولات اتخاذ إجراءات غير مصرح بها

تنكر- طريقة لحماية المعلومات باستخدام إغلاق التشفير (التشفير). حاليا هذه الطريقة هي الأكثر موثوقية.

هناك ثلاث خوارزميات رئيسية: خوارزمية DES، وخوارزمية Clipper (Capston) الحديثة وما يسمى بالمبادرة العامة - خوارزمية PGP.

تم تطوير خوارزمية التشفير DES (معيار تشفير البيانات) في أوائل السبعينيات. تم تنفيذ خوارزمية التشفير كدائرة متكاملة بطول مفتاح يبلغ 64 حرفًا (يتم استخدام 56 حرفًا مباشرة لخوارزمية التشفير و8 حرفًا لاكتشاف الأخطاء).

أظهرت حسابات الخوارزميات في ذلك الوقت أن مفتاح التشفير يمكن أن يحتوي على 72 كوادريليون مجموعة. تم اعتماد خوارزمية DES في الولايات المتحدة كمعيار معالجة المعلومات الفيدرالي في عام 1977، وفي منتصف الثمانينات تمت الموافقة عليها كمعيار دولي، والتي تخضع لإجراءات التأكيد كل خمس سنوات. لتقييم مستوى أمن المعلومات، يستشهد المحللون بالحقيقة التالية: جهاز كمبيوتر حديث بقيمة مليون دولار سيتمكن من فك الكود في 7 ساعات، وجهاز كمبيوتر بقيمة 10 ملايين دولار سيتمكن من فكه في 20 دقيقة، وجهاز كمبيوتر بقيمة 100 مليون دولار سيتمكن من فكه في 20 دقيقة. كسرها في 2 دقيقة. وكالة الأمن القومي الأمريكية لديها مثل هذا الكمبيوتر.

تم تطوير طريقة جديدة لتشفير المعلومات - تقنية Clipper - من قبل وكالة الأمن القومي الأمريكية للحماية من التنصت على المكالمات الهاتفية.

ولحماية البيانات، تسمى هذه الطريقة Capston. تعتمد الطريقة على مبدأ مفتاحين - الدوائر الدقيقة التي توفر تشفير المعلومات بسرعة تصل إلى 1 جيجابت في الثانية. يتلقى المستخدمون المفاتيح في نقطتين تديرهما وكالات حكومية أو مؤسسات خاصة. يتكون نظام المفتاح من دائرتين متكاملتين "Clipper chip" و"Capston chip" وخوارزمية التشفير SKIPJACK. تقوم خوارزمية التشفير بتشفير مجموعات الأحرف من البيانات باستخدام مفتاح مكون من 80 حرفًا في 32 تمريرة. إنها أقوى بـ 16 مليون مرة من خوارزمية DES، ويعتقد أنه في غضون بضعة عقود فقط ستتمكن أجهزة الكمبيوتر التي تبلغ قيمتها 100 مليون دولار من فك التشفير.

المعلومات في دقيقتين. تم تطوير بروتوكول تشفير خاص للإنترنت، SKIP (إدارة المفاتيح البسيطة لبروتوكول الإنترنت)، والذي يتحكم في تشفير تدفقات المعلومات.

لاحظ أن السلطات الفيدرالية الأمريكية حاليًا تحظر تصدير بروتوكول SKIP، لذلك تُبذل محاولات في العديد من البلدان لإنشاء نظيره.

تم تطوير برنامج التشفير PGP (خصوصية جيدة جدًا) في عام 1991 بواسطة المبرمج الأمريكي إف زيمرمان لتشفير رسائل البريد الإلكتروني. برنامج PGP مجاني للوصول إلى الإنترنت ويمكن تثبيته على أي جهاز كمبيوتر. يعتمد مبدأ تشغيل برنامج PGP على استخدام برنامجين رئيسيين: أحدهما للمرسل والآخر للمتلقي. البرامج الرئيسية محمية ليس بكلمات المرور، بل بعبارة التشفير. لا يمكن فك تشفير الرسالة إلا باستخدام مفتاحين. يستخدم برنامج PGP خوارزمية رياضية معقدة، والتي، إلى جانب مبدأ استخدام مفتاحين، تجعل فك التشفير مستحيلًا تقريبًا. تسبب ظهور برامج PGP في فضيحة في دوائر إنفاذ القانون في الولايات المتحدة، لأنها تجعل من المستحيل السيطرة على المعلومات.

لاحظ أن خوارزميات التشفير تستخدم على نطاق واسع لحماية التوقيعات الرقمية الإلكترونية.

يمكن الحصول على مزيد من المعلومات الكاملة حول طرق التشفير على www.cripto.com أو www.confident.ru

أنظمة- طريقة لحماية المعلومات التي تخلق مثل هذه الظروف للمعالجة الآلية وتخزين ونقل المعلومات المحمية، والتي بموجبها يكون احتمال التطفل غير المصرح به

سيتم تقليل الوصول إليها إلى الحد الأدنى.

إكراه- طريقة لحماية المعلومات حيث يضطر المستخدمون ومسؤولو الشبكة إلى الالتزام بقواعد معالجة ونقل واستخدام المعلومات المحمية بموجب

التهديد بالمسؤولية المادية أو الإدارية أو الجنائية.

الإغراء- طريقة حماية تشجع المستخدمين ومسؤولي الشبكة على عدم انتهاك المعايير الأخلاقية الموضوعة من خلال الامتثال.

تنقسم وسائل أمن المعلومات إلى:

· الوسائل التقنية

· برمجة

· الوسائل التنظيمية

· الأخلاقية والأخلاقية

· التشريعية

الأدوات البرمجية هي أشكال موضوعية تمثل مجموعة من البيانات والأوامر المخصصة لتشغيل أجهزة الكمبيوتر وأجهزة الكمبيوتر من أجل الحصول على نتيجة معينة، وكذلك المواد المعدة والمسجلة على وسيط مادي تم الحصول عليه أثناء تطويرها، وشاشات العرض السمعية والبصرية المتولدة عنهم. وتشمل هذه:

البرمجيات (مجموعة من برامج التحكم والمعالجة). مُجَمَّع:

برامج النظام (أنظمة التشغيل، برامج الصيانة)؛

برامج التطبيقات (البرامج المصممة لحل مشاكل من نوع معين، على سبيل المثال برامج تحرير النصوص، وبرامج مكافحة الفيروسات، ونظام إدارة قواعد البيانات، وما إلى ذلك)؛

البرامج الآلية (أنظمة البرمجة التي تتكون من لغات البرمجة: Turbo C، Microsoft Basic، إلخ. والمترجمون - مجموعة من البرامج التي توفر الترجمة التلقائية من اللغات الخوارزمية والرمزية إلى رموز الآلة)؛

معلومات الجهاز للمالك والمالك والمستخدم.

أقوم بإجراء مثل هذه التفاصيل من أجل فهم جوهر القضية قيد النظر بشكل أكثر وضوحًا لاحقًا، من أجل تسليط الضوء بشكل أكثر وضوحًا على أساليب ارتكاب جرائم الكمبيوتر وأشياء وأدوات الاعتداء الإجرامي، وكذلك للقضاء على الخلافات المتعلقة بمصطلحات معدات الحاسوب. بعد دراسة تفصيلية للمكونات الرئيسية التي تمثل معًا محتوى مفهوم الجرائم الحاسوبية، يمكننا الانتقال إلى النظر في القضايا المتعلقة بالعناصر الرئيسية للخصائص الجنائية لجرائم الحاسوب.

تشتمل برامج الأمان على برامج خاصة مصممة لأداء وظائف الأمان ومضمنة في برامج أنظمة معالجة البيانات. حماية البرمجيات هي أكثر أنواع الحماية شيوعًا، والتي يتم تسهيلها من خلال الخصائص الإيجابية لهذه الأداة مثل التنوع والمرونة وسهولة التنفيذ وإمكانيات غير محدودة تقريبًا للتغيير والتطوير، وما إلى ذلك. وفقًا للغرض الوظيفي منها، يمكن تقسيمها إلى المجموعات التالية:

تحديد الوسائل التقنية (المحطات الطرفية، أجهزة التحكم في المدخلات والمخرجات الجماعية، أجهزة الكمبيوتر، وسائط التخزين)، والمهام والمستخدمين؛

تحديد حقوق الوسائل التقنية (أيام وساعات التشغيل، المهام المسموح باستخدامها) والمستخدمين.

مراقبة تشغيل المعدات التقنية والمستخدمين؛

تسجيل تشغيل الوسائل التقنية والمستخدمين عند معالجة المعلومات ذات الاستخدام المحدود؛

تدمير المعلومات الموجودة في المخزن بعد الاستخدام؛

إنذارات بشأن الإجراءات غير المصرح بها؛

برامج مساعدة لأغراض مختلفة: مراقبة عمل الآلية الأمنية، ووضع ختم السرية على الوثائق الصادرة.

الحماية من الفيروسات

يعد أمن المعلومات أحد أهم العوامل في أي نظام كمبيوتر. ولضمان ذلك، تم إنشاء عدد كبير من أدوات البرامج والأجهزة. يشارك بعضهم في تشفير المعلومات، ويشارك البعض في تقييد الوصول إلى البيانات. تشكل فيروسات الكمبيوتر مشكلة خاصة. هذه فئة منفصلة من البرامج تهدف إلى تعطيل النظام وإتلاف البيانات. بين الفيروسات هناك عدد من الأصناف. بعضها موجود باستمرار في ذاكرة الكمبيوتر، وبعضها ينتج إجراءات مدمرة من خلال "ضربات" لمرة واحدة. هناك أيضًا فئة كاملة من البرامج التي تبدو جيدة جدًا من الخارج، ولكنها في الواقع تفسد النظام. تسمى هذه البرامج "أحصنة طروادة". إحدى الخصائص الرئيسية لفيروسات الكمبيوتر هي القدرة على "التكاثر" - أي. التوزيع الذاتي داخل الكمبيوتر وشبكة الكمبيوتر.

نظرًا لأن برامج التطبيقات المكتبية المختلفة كانت قادرة على العمل مع البرامج المكتوبة خصيصًا لها (على سبيل المثال، بالنسبة لـ Microsoft Office، يمكنك كتابة التطبيقات في Visual Basic)، فقد ظهر نوع جديد من البرامج الضارة - ما يسمى. فيروسات ماكرو. يتم توزيع الفيروسات من هذا النوع مع ملفات المستندات العادية، ويتم تضمينها داخلها كإجراءات روتينية عادية.

منذ وقت ليس ببعيد (هذا الربيع) كان هناك وباء فيروس Win95.CIH وأنواعه الفرعية العديدة. لقد دمر هذا الفيروس محتويات نظام BIOS الخاص بالكمبيوتر، مما جعله غير قادر على العمل. في كثير من الأحيان كان علينا التخلص من اللوحات الأم التي تضررت بسبب هذا الفيروس.

مع الأخذ في الاعتبار التطور القوي لأدوات الاتصال والزيادة الحادة في حجم تبادل البيانات، تصبح مشكلة الحماية من الفيروسات ملحة للغاية. من الناحية العملية، مع كل مستند يتم استلامه، على سبيل المثال، عن طريق البريد الإلكتروني، يمكن تلقي فيروس ماكرو، ويمكن لكل برنامج قيد التشغيل (نظريًا) أن يصيب الكمبيوتر ويجعل النظام غير صالح للعمل.

لذلك، فإن المجال الأكثر أهمية بين أنظمة الأمن هو مكافحة الفيروسات. هناك عدد من الأدوات المصممة خصيصًا لحل هذه المشكلة. يعمل بعضها في وضع المسح ويفحص محتويات محركات الأقراص الثابتة وذاكرة الوصول العشوائي بالكمبيوتر بحثًا عن الفيروسات. يجب أن يكون بعضها قيد التشغيل باستمرار وموجودًا في ذاكرة الكمبيوتر. وفي الوقت نفسه، يحاولون مراقبة جميع المهام الجارية.

في سوق البرمجيات الروسية، اكتسبت حزمة AVP، التي طورها مختبر أنظمة مكافحة الفيروسات Kaspersky، أكبر شعبية. هذا منتج عالمي يحتوي على إصدارات لمجموعة واسعة من أنظمة التشغيل.

يستخدم برنامج Kaspersky Anti-Virus (AVP) جميع أنواع الحماية الحديثة من الفيروسات: برامج مكافحة الفيروسات، والشاشات، والحواجز السلوكية، ومدققي التغيير. تدعم الإصدارات المختلفة للمنتج جميع أنظمة التشغيل وبوابات البريد وجدران الحماية وخوادم الويب الشائعة. يتيح لك النظام التحكم بجميع الطرق الممكنة لدخول الفيروسات إلى جهاز الكمبيوتر الخاص بالمستخدم، بما في ذلك الإنترنت والبريد الإلكتروني ووسائط التخزين المحمولة. تتيح لك أدوات إدارة Kaspersky Anti-Virus أتمتة أهم العمليات للتثبيت والإدارة المركزيين، سواء على جهاز كمبيوتر محلي أو في حالة الحماية الشاملة لشبكة المؤسسة. يقدم Kaspersky Lab ثلاثة حلول جاهزة للحماية من الفيروسات ومصممة للفئات الرئيسية من المستخدمين. أولاً، الحماية من الفيروسات للمستخدمين المنزليين (ترخيص واحد لجهاز كمبيوتر واحد). ثانيا، الحماية من الفيروسات للشركات الصغيرة (ما يصل إلى 50 محطة عمل على الشبكة). ثالثًا، الحماية من الفيروسات لمستخدمي الشركات (أكثر من 50 محطة عمل على الشبكة) لقد ولت الأيام التي كان يكفي فيها عدم استخدام الأقراص المرنة "العشوائية" وتشغيل Aidstest، للتأكد تمامًا من السلامة من "العدوى". الأداة المساعدة على الجهاز مرة أو مرتين في الأسبوع R، والتي تقوم بفحص القرص الصلب لجهاز الكمبيوتر الخاص بك بحثًا عن الكائنات المشبوهة. أولا، تم توسيع نطاق المناطق التي يمكن أن تنتهي فيها هذه الأشياء. البريد الإلكتروني المحتوي على الملفات "الضارة" المرفقة، وفيروسات الماكرو في المستندات المكتبية (معظمها من Microsoft Office)، و"أحصنة طروادة" - كل هذا ظهر مؤخرًا نسبيًا. ثانيا، توقف نهج عمليات التدقيق الدورية للقرص الصلب والمحفوظات عن تبرير نفسه - سيتعين إجراء مثل هذه الشيكات في كثير من الأحيان، وسوف يستغرقون الكثير من موارد النظام.

تم استبدال أنظمة الأمان القديمة بجيل جديد قادر على تتبع وتحييد "التهديد" في جميع المجالات المهمة - من البريد الإلكتروني إلى نسخ الملفات بين الأقراص. في الوقت نفسه، تنظم برامج مكافحة الفيروسات الحديثة حماية مستمرة - وهذا يعني أنها موجودة باستمرار في الذاكرة وتحلل المعلومات التي تتم معالجتها.

إحدى حزم الحماية من الفيروسات الأكثر شهرة والأكثر استخدامًا هي AVP من Kaspersky Lab. تأتي هذه الحزمة في العديد من الأشكال المختلفة. تم تصميم كل منها لحل مجموعة معينة من المشكلات الأمنية ولها عدد من الخصائص المحددة.

تنقسم أنظمة الحماية التي توزعها Kaspersky Lab إلى ثلاث فئات رئيسية، اعتمادًا على أنواع المهام التي تحلها. وتشمل هذه الحماية للشركات الصغيرة، وحماية المستخدمين المنزليين، وحماية العملاء من الشركات.

يتضمن AntiViral Toolkit Pro برامج تسمح لك بحماية محطات العمل التي تديرها أنظمة تشغيل مختلفة - ماسحات AVP لأنظمة DOS وWindows 95/98/NT وLinux وشاشات AVP لأنظمة Windows 95/98/NT وLinux وخوادم الملفات - مراقب AVP والماسح الضوئي لـ Novell Netware، والشاشة والماسح الضوئي لخادم NT، وخادم الويب - مفتش القرص، AVP Inspector لنظام التشغيل Windows، وخوادم بريد Microsoft Exchange - AVP لـ Microsoft Exchange والبوابات.

يتضمن AntiViral Toolkit Pro برامج الماسح الضوئي وبرامج المراقبة. تسمح لك الشاشات بتنظيم المزيد من التحكم الكامل اللازم في المناطق الأكثر أهمية في الشبكة.

في شبكات Windows 95/98/NT، يسمح AntiViral Toolkit Pro، باستخدام حزمة برامج AVP Network Control Center، بالإدارة المركزية للشبكة المنطقية بأكملها من محطة عمل المسؤول.

يتيح لك مفهوم AVP تحديث برامج مكافحة الفيروسات بسهولة وبشكل منتظم عن طريق استبدال قواعد بيانات مكافحة الفيروسات - وهي مجموعة من الملفات ذات امتداد .AVC، والتي تتيح لك اليوم اكتشاف وإزالة أكثر من 50000 فيروس. يتم إصدار تحديثات لقواعد بيانات مكافحة الفيروسات وتكون متاحة من خادم Kaspersky Lab يوميًا. حاليًا، تحتوي حزمة برامج مكافحة الفيروسات AntiViral Toolkit Pro (AVP) على واحدة من أكبر قواعد بيانات مكافحة الفيروسات في العالم.

معلومات ذات صله.

تتمتع حماية المعلومات في أنظمة الكمبيوتر بعدد من الميزات المحددة المتعلقة بحقيقة أن المعلومات ليست مرتبطة بشكل صارم بالوسيط ويمكن نسخها ونقلها بسهولة وسرعة عبر قنوات الاتصال. هناك عدد كبير جدًا من التهديدات التي تتعرض لها المعلومات والتي يمكن تنفيذها من قبل المخالفين الخارجيين والداخليين. يمكن تقسيم المشاكل الناشئة عن أمن نقل المعلومات عند العمل في شبكات الكمبيوتر إلى ثلاثة أنواع رئيسية: - اعتراض المعلومات - يتم الحفاظ على سلامة المعلومات، ولكن يتم انتهاك سريتها؛ - تعديل المعلومات – يتم تغيير الرسالة الأصلية أو استبدالها بالكامل بأخرى وإرسالها إلى المرسل إليه؛ - استبدال تأليف المعلومات. هذه المشكلة يمكن أن يكون لها عواقب وخيمة. على سبيل المثال، يمكن لشخص ما إرسال بريد إلكتروني نيابة عنك (يسمى هذا النوع من الخداع عادة بالانتحال) أو يمكن لخادم الويب أن يتظاهر بأنه متجر إلكتروني، ويقبل الطلبات، وأرقام بطاقات الائتمان، ولكن لا يرسل أي بضائع. أظهرت الدراسات التي أجريت حول ممارسة تشغيل أنظمة معالجة البيانات والحوسبة أن هناك العديد من الاتجاهات المحتملة لتسرب المعلومات وطرق الوصول غير المصرح به إلى الأنظمة والشبكات. فيما بينها:

قراءة المعلومات المتبقية في ذاكرة النظام بعد تنفيذ الطلبات المصرح بها؛

نسخ وسائط التخزين وملفات المعلومات من خلال التغلب على التدابير الأمنية؛

الإخفاء كمستخدم مسجل؛

الإخفاء كطلب نظام؛

استخدام مصائد البرامج؛

استغلال عيوب نظام التشغيل؛

الاتصال غير القانوني بالمعدات وخطوط الاتصالات؛

التعطيل الخبيث لآليات الحماية؛

مقدمة واستخدام فيروسات الكمبيوتر.

يتم ضمان أمن المعلومات في الطائرات وأجهزة الكمبيوتر التي تعمل بشكل مستقل من خلال مجموعة من التدابير التنظيمية والتنظيمية والتقنية والتقنية والبرنامجية. تشمل تدابير أمن المعلومات التنظيمية ما يلي:

تقييد الوصول إلى الأماكن التي يتم فيها إعداد المعلومات ومعالجتها؛

السماح فقط للمسؤولين المعتمدين بمعالجة ونقل المعلومات السرية؛

تخزين الوسائط الإلكترونية ودفاتر السجلات في خزائن مغلقة أمام الأشخاص غير المصرح لهم؛

منع الأشخاص غير المصرح لهم من الاطلاع على محتويات المواد المعالجة من خلال شاشة العرض أو الطابعة أو ما إلى ذلك؛

استخدام رموز التشفير عند نقل معلومات قيمة عبر قنوات الاتصال؛

تدمير أشرطة الحبر والورق والمواد الأخرى التي تحتوي على أجزاء من المعلومات القيمة.

1. حماية معلومات التشفير.

لطرق التشفير لحماية المعلومات هي طرق خاصة لتشفير المعلومات أو تشفيرها أو تحويلها بطريقة أخرى، ونتيجة لذلك يصبح محتواها غير قابل للوصول دون تقديم مفتاح التشفير والتحويل العكسي. تعد طريقة التشفير للحماية، بالطبع، الطريقة الأكثر موثوقية للحماية، حيث أن المعلومات نفسها محمية، ولا يمكن الوصول إليها (على سبيل المثال، لا يمكن قراءة الملف المشفر حتى لو سُرقت الوسائط). يتم تنفيذ طريقة الحماية هذه في شكل برامج أو حزم برامج.

يتضمن التشفير الحديث أربعة أقسام رئيسية:

أنظمة التشفير المتناظرة. في أنظمة التشفير المتماثلة، يتم استخدام نفس المفتاح لكل من التشفير وفك التشفير. (التشفير هو عملية تحويل: يتم استبدال النص الأصلي، والذي يسمى أيضًا بالنص العادي، بنص مشفر، وفك التشفير هو عملية عكسية للتشفير. بناءً على المفتاح، يتم تحويل النص المشفر إلى النص الأصلي)؛

أنظمة تشفير المفتاح العام. تستخدم أنظمة المفاتيح العامة مفتاحين، مفتاح عام ومفتاح خاص، يرتبطان ببعضهما رياضيًا. يتم تشفير المعلومات باستخدام مفتاح عام، وهو متاح للجميع، ويتم فك تشفيرها باستخدام مفتاح خاص، معروف فقط لمتلقي الرسالة (المفتاح هو المعلومات اللازمة للتشفير وفك تشفير النصوص بشكل سلس).

التوقيع الإلكتروني. نظام التوقيع الإلكتروني. يسمى تحويل التشفير المرفق بالنص، والذي يسمح، عند استلام النص من قبل مستخدم آخر، بالتحقق من مؤلف الرسالة وصحتها.

ادارة المفاتيح. هذه هي عملية أنظمة معالجة المعلومات، ومحتواها هو تجميع وتوزيع المفاتيح بين المستخدمين.

عنالمجالات الرئيسية لاستخدام أساليب التشفير هي نقل المعلومات السرية من خلال قنوات الاتصال (على سبيل المثال، البريد الإلكتروني)، وإثبات صحة الرسائل المرسلة، وتخزين المعلومات (المستندات وقواعد البيانات) على الوسائط في شكل مشفر.

تشمل التهديدات النموذجية لأمن المعلومات عند استخدام شبكات الكمبيوتر العالمية ما يلي:

• تحليل حركة مرور الشبكة ("الاعتراض")؛
• استبدال موضوع أو كائن الشبكة ("حفلة تنكرية")؛
• حقن كائن شبكة زائف ("رجل في المنتصف"، "Map-in-Middle" - MiM)؛
• رفض الخدمة (DoS) أو رفض الخدمة "الموزعة" (DDoS).

التهديدات غير المباشرة لأمن المعلومات عند العمل على الإنترنت، والتي تنشأ من التهديدات النموذجية المذكورة أعلاه، هي:

• تنفيذ تعليمات برمجية غير آمنة (من المحتمل أن تكون ضارة) على جهاز الكمبيوتر الخاص بالمستخدم؛
• تسرب معلومات المستخدم السرية (البيانات الشخصية، الأسرار التجارية)؛
• حظر تشغيل خدمة الشبكة (خادم الويب، خادم البريد، خادم الوصول إلى مزود الإنترنت، وما إلى ذلك).

الأسباب الرئيسية التي تسهل على المهاجم تنفيذ التهديدات لأمن المعلومات في أنظمة الكمبيوتر الموزعة:

• عدم وجود قناة اتصال مخصصة بين كائنات الشبكة الموزعة (وجود وسيلة نقل بيانات البث، على سبيل المثال، بيئة الإنترنت، والتي تسمح للمهاجم بتحليل حركة مرور الشبكة في مثل هذه الأنظمة؛
• القدرة على التفاعل بين كائنات CS الموزعة دون إنشاء قناة افتراضية بينهما، مما لا يسمح بتحديد كائن أو موضوع CS الموزع بشكل موثوق وتنظيم حماية المعلومات المرسلة؛
• استخدام بروتوكولات مصادقة غير موثوقة بشكل كافٍ لكائنات CS الموزعة قبل إنشاء قناة افتراضية بينها، مما يسمح للمتطفل بانتحال شخصية أحد أطراف الاتصال عند اعتراض الرسائل المرسلة؛
• عدم القدرة على التحكم في إنشاء واستخدام القنوات الافتراضية بين كائنات CS الموزعة، مما يسمح للمهاجم بالتهديد عن بعد برفض الخدمة في CS (على سبيل المثال، يمكن لأي كائن في CS الموزع إرسال أي عدد من الرسائل بشكل مجهول رسائل نيابة عن كائنات CS الأخرى)؛
• عدم القدرة على التحكم في مسار الرسائل المستلمة، مما لا يسمح بتأكيد عنوان مرسل البيانات وتحديد البادئ بالهجوم عن بعد على CS؛
• نقص المعلومات الكاملة حول كائنات CS التي يجب إنشاء اتصال بها، مما يؤدي إلى الحاجة إلى إرسال طلب بث أو الاتصال بخادم بحث (يتمتع الجاني بالقدرة على إدخال كائن زائف في CS الموزع وتمريره من أحد كائناته إلى كائن آخر)؛
• عدم وجود تشفير للرسائل المرسلة، مما يسمح للمتطفل بالوصول غير المصرح به إلى المعلومات في CS الموزعة.

تتضمن الطرق الرئيسية لإنشاء CS الموزع الآمن ما يلي:

استخدام قنوات اتصال مخصصة عن طريق توصيل كل زوج من الكائنات الموزعة فعليًا

CS أو استخدام طوبولوجيا "النجمة" ومحول الشبكة الذي يتم من خلاله الاتصال بين الكائنات؛

• تطوير وسائل إضافية لتحديد كائنات CS الموزعة قبل إنشاء قناة اتصال افتراضية بينها واستخدام وسائل التشفير للمعلومات المنقولة عبر هذه القناة؛
• التحكم في مسار الرسائل الواردة؛
• التحكم في إنشاء واستخدام اتصال افتراضي بين كائنات الشبكة الموزعة (على سبيل المثال، الحد من عدد طلبات إنشاء اتصال من أحد كائنات الشبكة وقطع الاتصال الذي تم إنشاؤه بالفعل بعد فترة زمنية معينة)؛
• تطوير CS موزع بمعلومات كاملة عن كائناته، إن أمكن، أو تنظيم التفاعل بين كائن CS وخادم البحث فقط من خلال إنشاء قناة افتراضية.

إحدى طرق الحماية من التهديدات المذكورة أعلاه هي تقنية الشبكة الافتراضية الخاصة (VPN). على غرار إنشاء قناة اتصال مخصصة، تسمح لك شبكات VPN بإنشاء اتصال رقمي آمن بين طرفين (أو شبكتين) وإنشاء شبكة عالمية من الشبكات المحلية الموجودة. يتم نقل حركة مرور VPN عبر حركة مرور IP وتستخدم مخططات البيانات كبروتوكول طبقة نقل، مما يسمح لها بالتدفق بسلاسة عبر الإنترنت. لإخفاء البيانات المرسلة، تقوم شبكة VPN بتشفيرها. هناك حلول VPN للأجهزة التي توفر أقصى قدر من الحماية، بالإضافة إلى التطبيقات القائمة على البرامج أو البروتوكول.

أحد الأمثلة على حلول الأجهزة عند إنشاء شبكة VPN بين شبكتين محليتين (LAN) لمؤسسة ما هو استخدام أجهزة توجيه التشفير (الشكل 1.24).

خصائص أداة أمان البرامج والأجهزة - جهاز توجيه التشفير:

• الفصل المادي للواجهات الخارجية (مع الإنترنت) والداخلية (مع مضيفي الشبكة الفرعية المخدومة) (على سبيل المثال، باستخدام بطاقتي شبكة مختلفتين)؛
• القدرة على تشفير جميع حزم البيانات الصادرة (إلى الشبكات المحلية الأخرى التابعة للمؤسسة) وفك تشفير جميع حزم البيانات الواردة (من هذه الشبكات المحلية).

أرز. 1.24.

دعونا نشير بواسطة سي آر إكسو سي آر 2موجهات التشفير 1 و2 على التوالي، ومن خلال م(أ)، م(X)، م(كر X)و إعلان(كر 2) -عناوين IP لمحطات العمل أو Xوأجهزة توجيه التشفير. خوارزمية لتشغيل جهاز توجيه التشفير سي آر إكسعند إرسال حزمة بيانات من محطة عمل أإلى محطة العمل Xسيكون على النحو التالي:

• 1) باستخدام جدول التوجيه، يتم البحث عن عنوان جهاز توجيه التشفير، الذي يخدم الشبكة الفرعية التي تحتوي على مستلم الحزمة (. إعلان (كر 2))
• 2) يتم تحديد الواجهة التي يمكن الوصول من خلالها إلى الشبكة الفرعية التي تحتوي عليها السجل التجاري 2؛
• 3) يتم تشفير الحزمة بأكملها من أ(مع رأسه) على مفتاح اتصال الجلسة سي آر إكسو سي آر 2مستخرج من جدول الطريق؛
• 4) رأس يحتوي على إعلان (CR X)،كعنوان المرسل، و إعلان (كر 2)كعنوان مستلم الحزمة؛
• 5) يتم إرسال الحزمة التي تم إنشاؤها عبر الإنترنت.

خوارزمية لتشغيل جهاز توجيه التشفير سي آر 2عند الاستلام

حزمة محطة العمل العاشر:

• 1) يتم استرداد مفتاح اتصال الجلسة من جدول التوجيه سي آر إكسو السجل التجاري 2؛
• 2) يتم فك تشفير بيانات الحزمة المستلمة؛
• 3) إذا كان هيكل الحزمة "المتداخلة" بعد فك التشفير غير صحيح أو أن عنوان المستلم لا يتوافق مع العنوان الذي يتم تقديمه سي آر 2الشبكة الفرعية (غير متطابقة إعلان (X))،ثم يتم تدمير الحزمة المستلمة؛
• 4) حزمة تحتوي على فك التشفير م (أ)في حقل المرسل و إعلان (X)في حقل المتلقي، يتم إرسالها Xعبر واجهة LAN الداخلية.

في الإصدار المدروس من الحماية ضد الوصول غير المصرح به، يتم تحقيق الشفافية الكاملة لتشغيل أجهزة توجيه التشفير لتشغيل أي برنامج شبكة يستخدم مكدس بروتوكول TCP/IP. يتم ضمان سرية مساحة العنوان للشبكات الفرعية للمؤسسة واستقلالها عن العناوين الموجودة على الإنترنت (على غرار تقنية ترجمة عنوان الشبكة - NAT). يتم تحديد درجة حماية المعلومات المرسلة بالكامل من خلال مقاومة "اختراق" وظيفة التشفير المستخدمة. لا يلاحظ مستخدمو الشبكات الفرعية المحمية أي تغيير في تشغيل الشبكة، باستثناء بعض التباطؤ بسبب تشفير وفك تشفير الحزم المرسلة.

عند العمل مع عدد كبير من الشبكات الفرعية المحمية، من الضروري تخصيص جهاز توجيه تشفير خاص بوظائف مركز توزيع مفتاح التشفير للاتصال بين أزواج أجهزة توجيه التشفير، والتي يمكن أن تعمل في هذه الحالة في وضعين - تحميل التكوين والوضع الرئيسي - ويكون لديك مسار واحد ومفتاح تشفير واحد على الوسائط المحمية (المفتاح الرئيسي) للتواصل مع مركز توزيع المفاتيح.

بعد إنشاء اتصال بنجاح بين مركز توزيع المفاتيح وأحد أجهزة توجيه التشفير، يتم إرسال جدول التوجيه إليه، مشفرًا بمفتاح رئيسي مشترك مع المركز. بعد استلام جدول التوجيه وفك تشفيره، يدخل جهاز توجيه التشفير في وضع التشغيل الرئيسي.

يمكن أن توفر أدوات برامج VPN اتصالاً آمنًا بين كائنين في الشبكة على مستويات مختلفة من نموذج الاتصال البيني للأنظمة المفتوحة (OSI):

• القناة - باستخدام بروتوكولات PPTP (بروتوكول النفق من نقطة إلى نقطة)، وL2TP (بروتوكول نفق الطبقة الثانية)، وبروتوكولات L2F (إعادة توجيه الطبقة الثانية)؛ عادةً ما يتم استخدام VPN على مستوى الارتباط لتوصيل جهاز كمبيوتر بعيد بأحد خوادم LAN؛
• الشبكة - باستخدام بروتوكولات SKIP (إدارة المفاتيح البسيطة لبروتوكول الإنترنت)، وIPSec (أمان بروتوكول الإنترنت)؛ يمكن استخدام شبكات VPN على مستوى الشبكة لتوصيل كمبيوتر بعيد وخادم، ولتوصيل شبكتي LAN؛
• الجلسة - بروتوكولات SSL (انظر الفقرة 1.3)، TLS (أمان طبقة النقل)، SOCKS؛ يمكن إنشاء شبكة VPN لطبقة الجلسة فوق طبقة الارتباط وطبقة الشبكة VPN.

يقوم برنامج VPN بإنشاء ما يسمى بالنفق الذي يتم من خلاله نقل البيانات المشفرة. دعونا نفكر في إنشاء شبكة VPN بناءً على بروتوكول SKIP. رأس حزمة SKIP هو رأس IP قياسي، وبالتالي سيتم توزيع الحزمة المحمية باستخدام بروتوكول SKIP وتوجيهها بواسطة الأجهزة القياسية على أي شبكة TCP/1P.

يقوم SKIP بتشفير حزم IP دون معرفة أي شيء عن التطبيقات أو المستخدمين أو العمليات التي تولدها؛ فهو يتعامل مع كل حركة المرور دون فرض أي قيود على البرنامج الأساسي. SKIP مستقل عن الجلسة: لتنظيم تفاعل آمن بين زوج من المشتركين، لا يلزم تبادل معلومات إضافية أو نقل أي معلومات مفتوحة عبر قنوات الاتصال.

يعتمد SKIP على تشفير المفتاح العام Diffie-Hellman، والذي لا يوجد له بديل حاليًا داخل شبكة مثل الإنترنت. يوفر نظام التشفير هذا الفرصة لكل مشارك في تفاعل آمن لضمان السرية الكاملة للمعلومات من خلال عدم الكشف عن مفتاحه الخاص وفي نفس الوقت يسمح لهم بالتفاعل مع أي شريك، حتى لو كان غير مألوف، من خلال تبادل المفتاح العام بشكل آمن معه. ميزة أخرى لـ SKIP هي استقلالها عن نظام التشفير المتماثل. يمكن للمستخدم اختيار أي من خوارزميات التشفير التي يقدمها المورد أو استخدام خوارزمية التشفير الخاصة به.

وفقًا لبروتوكول SKIP، يتم تحديد رقم أولي كبير للشبكة الآمنة بأكملها روعدد صحيح أ(1 ). شروط الاختيار ص:الطول لا يقل عن 512 بت، وتحلل الأرقام ر- 1 إلى العوامل يجب أن تحتوي على عامل أولي كبير واحد على الأقل.

الخطوات الأساسية لبروتوكول SKIP:

.ل:يولد مفتاح خاص عشوائي س أويحسب المفتاح العام ص أ = أها (نموذج ر}.

• 2. أ -» في(ولجميع مشتركي الشبكة الآخرين): عند أ(يتم وضع المفاتيح العامة للمشتركين في دليل عام).
• 3. في: ينشئ مفتاحًا خاصًا عشوائيًا × فيويحسب المفتاح العام ص في ​​= أالخامس عشر (نموذج ص).
• 4. في -> ج: عند الخامس.
• 5. أ: K AB = y B XA (mod p) = = الجهد العالي HA(عصري ص).
• 6. في:يحسب المفتاح السري المشترك ك أب =ص / ص (توب ر} = = HA" الخامس عشر| موك ي ص)

المفتاح السري المشترك إلى أبلا تستخدم مباشرة لتشفير حركة المرور بين المشتركين أو فيولا يمكن اختراقها (ليس لدى محلل الشفرات ما يكفي من المواد للكشف عنها). لتسريع تبادل البيانات، يمكن حساب المفاتيح السرية المشتركة على كل عقدة من الشبكة الآمنة مسبقًا وتخزينها في شكل مشفر إلى جانب مفاتيح التشفير الخاصة غير المتماثلة.

استمرار بروتوكول SKIP:

7. أ(المرسل): يقوم بإنشاء مفتاح حزمة (جلسة) عشوائي ك ص،يقوم بتشفير حزمة IP الأصلية باستخدام هذا المفتاح P C = E KR (P)،يضعها (تغلفها) في كتلة بيانات حزمة SKIP، وتقوم بتشفيرها ك رباستخدام مفتاح سري مشترك EK=E كاف (K ص)،يضعها في رأس حزمة SKIP (يتم حجز المساحة في الرأس لقيمة التحكم /)، ويغلف حزمة SKIP المستلمة في كتلة بيانات حزمة IP الجديدة ص"(عنوانه هو نفس العنوان ص)،يحسب /= ن(ك ر، ر")والأماكن أنافي رأس الحزمة SKIP.

نظرًا لأن مفتاح الحزمة مشفر على المفتاح السري المشترك لمشتركين في الشبكة، يتم استبعاد إمكانية استبدال الإدراج المقلد / وفك تشفير حزمة IP الأصلية C.

• 8. أ->متلقي ب: ر."
• 9. في:مقتطفات المفوضية الأوروبيةويفك تشفير مفتاح الحزمة ك ص - دkab(EK)، يستخرج /، ويحسب قيمة التحكم ن(ك ر، ر")ويقارنها مع / مقتطفات مع،يقوم بفك تشفير حزمة IP الأصلية ف = د كب (ج).

يؤدي تغيير مفتاح الحزمة إلى زيادة أمان التبادل، نظرًا لأن الكشف عنه سيسمح بفك تشفير حزمة واحدة فقط (أو جزء صغير) من حزم IP. في التطبيقات الجديدة لـ SKIP EK = E SK (K P)،أين هو مفتاح الجلسة SK= N(K AB, N)، N -رقم عشوائي يتم إنشاؤه بواسطة المرسل ويتم تضمينه في رأس SKIP معه المفوضية الأوروبيةو في-الوقت بالساعات من 0 ساعة 01/01/95). إذا كان الوقت الحالي مختلفًا عن نبأكثر من 1، فإن المستلم لا يقبل الحزمة.

يعتمد بروتوكول SKIP على المفاتيح العامة، لذا يمكن استخدام الشهادات الرقمية الموضحة في توصية الاتحاد الدولي للاتصالات X.509 للتأكد من صحتها. تحدد مواصفات البروتوكول الإضافية الإجراء الخاص بتبادل المعلومات حول خوارزميات التشفير المدعومة لعقدة معينة على شبكة آمنة.

تظهر بنية بروتوكول IPSec في الشكل. 1.25. تم تصميم بروتوكول رأس المصادقة (AH) للحماية من الهجمات المرتبطة بالتغييرات غير المصرح بها لمحتويات الحزمة، بما في ذلك انتحال عنوان مرسل طبقة الشبكة. تم تصميم بروتوكول حمولة الأمان المغلف (ESP) لضمان سرية البيانات. يمكن أن يوفر خيار المصادقة الاختياري في هذا البروتوكول أيضًا التحكم في سلامة البيانات المشفرة.

أرز. 1.25.

يستخدم IPSec رابطة أمان الإنترنت وبروتوكول إدارة المفاتيح (ISAKMP) وبروتوكول Oakley، الذي يُسمى أحيانًا Internet Key Exchange (IKE)، لإدارة إعدادات الاتصالات الآمنة ومفاتيح التشفير.

تنقسم عملية اتصال IPSec إلى مرحلتين (الشكل 1.26). في المرحلة الأولى، يقوم مضيف IPSec بإنشاء اتصال بمضيف أو شبكة بعيدة. يتحقق المضيف/الشبكة البعيدة من بيانات اعتماد المضيف الطالب ويتفق الطرفان على طريقة المصادقة المستخدمة للاتصال.

حاسوب أحاسوب في

مؤسسة

أرز. 1.26.

في المرحلة الثانية من اتصال IPSec، يتم إنشاء اقتران أمان (SA) بين أقران IPSec. في الوقت نفسه، يتم إدخال معلومات التكوين في قاعدة بيانات SA (مجال التفسير - DOI)، على وجه الخصوص، خوارزمية التشفير، ومعلمات تبادل مفاتيح الجلسة، وما إلى ذلك. وتدير هذه المرحلة فعليًا اتصال IPSec بين المضيفين والشبكات البعيدة.

يحدد ISAKMP الأساس لإنشاء SAs ولا يرتبط بأي خوارزمية أو بروتوكول تشفير محدد. بروتوكول Oakley هو بروتوكول تحديد المفاتيح الذي يستخدم خوارزمية تبادل المفاتيح Diffie-Hellman (DH).

تم تصميم بروتوكول Oakley لمعالجة أوجه القصور في بروتوكول DH المرتبط بهجمات الانسداد (ينتحل المهاجم عنوان IP الخاص بالمرسل ويرسل مفتاحه العام إلى المستلم، مما يجبره على إجراء عمليات modulo غير المجدية بشكل متكرر) ورجل في- هجمات الوسط.

يجب على كل طرف في بروتوكول أوكلي إرسال رقم عشوائي (وصفة) في الرسالة الأولية ص،والتي يجب على الطرف الآخر الاعتراف بها في رسالة الرد الخاصة به (رسالة تبادل المفاتيح الأولى التي تحتوي على المفتاح العام). إذا تم انتحال عنوان IP الخاص بالمرسل، فلن يتلقى المهاجم رسالة تأكيد، ولن يتمكن من كتابة التأكيد بشكل صحيح، وسيقوم بتحميل العقدة الأخرى بعمل غير مفيد.

متطلبات الوصفة:

• 1) يجب أن يعتمد على معلمات جانب التوليد؛
• 2) يجب على العقدة التي تولد الوصفة أن تستخدم المعلومات السرية المحلية دون الحاجة إلى تخزين نسخ من الوصفات المرسلة؛
• 3) يجب إنشاء الوصفات والتحقق منها في التأكيدات بسرعة لمنع هجمات DoS.

يدعم بروتوكول أوكلي أيضًا استخدام المجموعات زلبروتوكول DH. في كل مجموعة، تم تحديد معلمتين عالميتين (أجزاء من المفتاح العام) وخوارزمية تشفير (Diffie-Hellman أو تعتمد على المنحنيات الإهليلجية). يتم استخدام الأرقام العشوائية (التكرارات) للحماية من هجمات إعادة التشغيل ن،التي تظهر في رسائل الرد ويتم تشفيرها في خطوات معينة.

للمصادقة المتبادلة للأطراف في بروتوكول أوكلي، يمكن استخدام ما يلي:

• 1) آلية التوقيع الرقمي الإلكتروني لتوقيع قيمة التجزئة المتاحة لكلا الطرفين؛
• 2) التشفير غير المتماثل للمعرفات والمناسبات باستخدام المفتاح الشخصي (الخاص) للمشارك؛
• 3) التشفير المتماثل باستخدام مفتاح الجلسة الذي تم إنشاؤه باستخدام خوارزمية إضافية.

مثال على التبادل النشط باستخدام بروتوكول أوكلي (يتكون الإصدار الأساسي من أربع خطوات - في الخطوتين الأولى والثانية يتم الاتفاق على معلمات الاتصال الآمن فقط دون حساب المفاتيح العامة ومفتاح الجلسة):

• 1. أ -> ب: ر أ، نوع الرسالة، ز، ذ أ،خوارزميات التشفير المقترحة ج أ، أ، ب، ن أ، هسكا (ح(أ، ب، ن أ، ز، ي أ،س).
• 2. في -> أ: ر ب، ر أ، نوع الرسالة، ز، ذ في،خوارزميات التشفير المحددة ج في، ب، أ، ن ب، ن أ، هskb (ح(ب، أ، ن ب، ن أ، ز، ذ ب، ذ أ،س).
• 3. أ -> ب: أنا أ، أنا مشترك،نوع الرسالة، (؟، ذ أ، ج في، أ، ب، ص في، V، م أ، ن في، (7, ذ أ، ذ ج، ج ج)).

في الخطوة 2 فييتحقق من التوقيع الرقمي باستخدام ر.ك أ,يؤكد استلام الرسالة مع الوصفة لا،يضيف وصفته وحادثتين إلى رسالة الرد. في الخطوة 3 أيتحقق من التوقيع الرقمي باستخدام آر كيه الخامس,الوصفة والمناسبة الخاصة بك، تقوم بإنشاء وإرسال رسالة رد.

يظهر تنسيق رأس بروتوكول AH في الشكل. 1.27.

أرز. 1.27.

يعد حقل فهرس معلمات الأمان (SPI) مؤشرًا لاقتران الأمان. يتم إنشاء قيمة حقل رقم تسلسل الحزمة بواسطة المرسل وتعمل على الحماية من الهجمات المتعلقة بإعادة استخدام بيانات عملية المصادقة. في عملية إنشاء بيانات المصادقة، يتم حساب دالة التجزئة بشكل تسلسلي من مجموعة الحزمة الأصلية وبعض المفاتيح المتفق عليها مسبقًا، ثم من مجموعة النتيجة الناتجة والمفتاح المحول.

تمنع مصادقة NA معالجة حقول رأس IP أثناء رحلة الحزمة، ولكن لهذا السبب لا يمكن استخدام البروتوكول في بيئة تستخدم ترجمة عنوان الشبكة (NAT) لأن معالجة رأس IP ضرورية لكي يعمل.

يظهر تنسيق رأس بروتوكول ESP في الشكل. 1.28. نظرًا لأن الغرض الأساسي من ESP هو ضمان سرية البيانات، فقد تتطلب الأنواع المختلفة من المعلومات خوارزميات تشفير مختلفة، وقد يختلف تنسيق ESP بشكل كبير اعتمادًا على خوارزميات التشفير المستخدمة. يعد حقل بيانات المصادقة اختياريًا في رأس ESP. يقوم مستلم حزمة ESP بفك تشفير رأس ESP ويستخدم المعلمات والبيانات الخاصة بخوارزمية التشفير المطبقة لفك تشفير معلومات طبقة النقل.

أرز. 1.28.

هناك وضعان لاستخدام ESP وAN (بالإضافة إلى مجموعاتهما) - النقل والنفق:

• يتم استخدام وضع النقل لحماية حقل البيانات لحزمة IP التي تحتوي على بروتوكولات طبقة النقل (TCP، UDP، ICMP)، والتي تحتوي بدورها على معلومات خدمة التطبيق. مثال على استخدام وضع النقل هو إرسال البريد الإلكتروني. جميع العقد الوسيطة على طول مسار الحزمة من المرسل إلى المتلقي تستخدم فقط معلومات طبقة الشبكة العامة وربما بعض رؤوس الحزمة الاختيارية. عيب وضع النقل هو عدم وجود آليات لإخفاء المرسل والمتلقي المحددين للحزمة، فضلاً عن القدرة على تحليل حركة المرور. يمكن أن تكون نتيجة هذا التحليل معلومات حول أحجام واتجاهات نقل المعلومات، ومجالات اهتمام المشتركين، ومعلومات حول المديرين؛
• يحمي وضع النفق الحزمة بأكملها، بما في ذلك رأس طبقة الشبكة. يتم استخدام وضع النفق إذا كان من الضروري إخفاء تبادل معلومات المنظمة مع العالم الخارجي. في هذه الحالة، تتم تعبئة حقول العناوين الخاصة برأس طبقة الشبكة لحزمة تستخدم وضع النفق بواسطة خادم VPN (على سبيل المثال، جدار الحماية الخاص بالمؤسسة) ولا تحتوي على معلومات حول مرسل الحزمة المحدد. عند نقل المعلومات من العالم الخارجي إلى الشبكة المحلية للمؤسسة، يتم استخدام عنوان الشبكة الخاص بجدار الحماية كعنوان الوجهة. بعد أن يقوم جدار الحماية بفك تشفير رأس طبقة الشبكة الأولي، تتم إعادة توجيه الحزمة الأصلية إلى المستلم.

في الجدول 1.3 يوفر مقارنة بين بروتوكولي IPSec وSSL.

الجدول 1.3.مقارنة بين بروتوكولات IPSec وSSL

صفة مميزة
استقلال الأجهزة
تغيير الكود	لا توجد تغييرات التطبيق المطلوبة. قد يتطلب الوصول إلى التعليمات البرمجية المصدر لمكدس بروتوكول TCP/IP	تغييرات التطبيق المطلوبة. قد تكون هناك حاجة إلى ملفات DLL جديدة أو الوصول إلى التعليمات البرمجية المصدرية للتطبيق
	حزمة IP كاملة. يتضمن حماية لبروتوكولات الطبقة العليا	طبقة التطبيق فقط
تصفية الحزمة	استنادًا إلى العناوين المعتمدة وعناوين المصدر والوجهة وما إلى ذلك. مناسب لأجهزة التوجيه	بناءً على محتوى ودلالات عالية المستوى. أكثر ذكاءً وتعقيدًا
أداء	عدد أقل من مفاتيح السياق وحركة البيانات	المزيد من مفاتيح السياق وحركة البيانات. يمكن للكتل الكبيرة من البيانات تسريع عمليات التشفير وتوفير ضغط أفضل
المنصات	أي أنظمة، بما في ذلك أجهزة التوجيه	الأنظمة النهائية بشكل أساسي (العملاء/الخوادم) وكذلك جدران الحماية
جدار الحمايةL/RI	كل حركة المرور محمية	تتم حماية حركة المرور على مستوى التطبيق فقط. قد لا تكون رسائل ICMP أو RSVP أو QoS وما إلى ذلك آمنة
الشفافية	للمستخدمين والتطبيقات	فقط للمستخدمين

ومن بين أدوات الأجهزة والبرامج لضمان أمن المعلومات عند العمل على الإنترنت، يمكن تسليط الضوء على جدران الحماية وأدوات تحليل الأمان (ماسحات الثغرات الأمنية) وأنظمة كشف الهجمات وأنظمة التحكم في المحتوى (تحليل المحتوى وتصفية المحتوى).

تقوم جدران الحماية (جدران الحماية) بتنفيذ مجموعة من القواعد التي تحدد شروط مرور حزم البيانات من جزء من الشبكة الموزعة (المفتوحة) إلى جزء آخر (محمي). عادة، يتم تثبيت جدران الحماية (FWs) بين الإنترنت وشبكة الكمبيوتر المحلية للمؤسسة (الشكل 1.29)، على الرغم من أنه يمكن أيضًا وضعها داخل شبكة الشركة (بما في ذلك جدران الحماية الشخصية على كل كمبيوتر). اعتمادًا على مستوى تفاعل كائنات الشبكة، فإن الأنواع الرئيسية للمعدات المتنقلة هي موجهات التصفية وبوابات مستوى الجلسة وبوابات مستوى التطبيق. يشتمل ME على مستوى الخبراء على مكونات تتوافق مع اثنين أو ثلاثة من هذه الأصناف.

أرز. 1.29.

تتمثل الوظيفة الأساسية لتصفية أجهزة التوجيه العاملة في طبقة الشبكة للنموذج المرجعي في تصفية حزم البيانات التي تدخل أو تخرج من الجزء الآمن من الشبكة. عند التصفية، يتم استخدام المعلومات من رؤوس الحزمة:

• عنوان 1P لمرسل الطرد؛
• عنوان 1P لمستلم الحزمة؛
• منفذ مرسل الحزمة؛
• منفذ متلقي الحزمة؛
• نوع البروتوكول
• علامة تجزئة الحزمة

تذكر أن المنفذ هو معرف رقمي (من 0 إلى 65.535) يستخدمه برامج العميل والخادم لإرسال واستقبال الرسائل.

تحدد قواعد التصفية ما إذا كانت الحزمة ذات المعلمات المحددة بواسطة هذه القواعد مسموحًا بها أو محظورة بالمرور عبر المعدات المتنقلة. في التين. يقدم 1.30 و1.31 مثالاً على إنشاء مثل هذه القاعدة. المزايا الرئيسية للمرشحات

• 1.6. طرق ووسائل حماية المعلومات على شبكة الإنترنت

أرز. 1.30.

أرز. 1.31.تتضمن إضافة معلومات البروتوكول والمنفذ إلى قاعدة تصفية جهاز التوجيه سهولة الإنشاء والتثبيت والتكوين، والشفافية للتطبيقات ومستخدمي الشبكة، والحد الأدنى من التأثير على أدائها، والتكلفة المنخفضة. عيوب أجهزة التوجيه التصفية:

• الافتقار إلى المصادقة على مستوى مستخدمي CS؛
• ثغرة أمنية في انتحال عنوان IP في رأس الحزمة؛
• التعرض لتهديدات انتهاك سرية وسلامة المعلومات المرسلة؛
• الاعتماد القوي لفعالية مجموعة قواعد التصفية على مستوى معرفة مسؤول ME ببروتوكولات محددة؛
• انفتاح عناوين 1P لأجهزة الكمبيوتر في الجزء المحمي من الشبكة.

تؤدي بوابات طبقة الجلسة وظيفتين رئيسيتين:

• التحكم في الاتصال الافتراضي بين محطة عمل الجزء المحمي من الشبكة ومضيف الجزء غير المحمي؛
• ترجمة عناوين 1P لأجهزة الكمبيوتر في الجزء المحمي من الشبكة.

تقوم البوابة على مستوى الجلسة بإنشاء اتصال مع مضيف خارجي نيابة عن عميل معتمد من جزء آمن من الشبكة، وإنشاء قناة افتراضية باستخدام بروتوكول TCP، ثم نسخ حزم البيانات في كلا الاتجاهين دون تصفيتها. عندما تنتهي جلسة الاتصال، ينهي المعدات المتنقلة الاتصال القائم مع المضيف الخارجي.

أثناء عملية ترجمة عناوين 1P لأجهزة الكمبيوتر الموجودة في الجزء المحمي من الشبكة، والتي تتم بواسطة بوابة مستوى الجلسة، يتم تحويلها إلى عنوان 1P واحد مرتبط بجدار الحماية. وهذا يلغي التفاعل المباشر بين المضيفين على الشبكات المحمية والمفتوحة ولا يسمح للمهاجم بتنفيذ هجوم عن طريق انتحال عناوين IP.

تشمل مزايا بوابات مستوى الجلسة أيضًا بساطتها وموثوقيتها في تنفيذ البرنامج. تتمثل العيوب في عدم القدرة على التحقق من محتويات المعلومات المرسلة، مما يسمح للمهاجم بمحاولة إرسال حزم تحتوي على تعليمات برمجية ضارة من خلال هذا ME ثم الاتصال مباشرة بأحد الخوادم (على سبيل المثال، Veb-cepBepy) الخاصة بـ CS المهاجم .

لا تستبعد بوابات مستوى التطبيق التفاعل المباشر بين العميل المعتمد من الجزء المحمي من الشبكة والمضيف من الجزء المفتوح فحسب، بل تقوم أيضًا بتصفية جميع حزم البيانات الواردة والصادرة على مستوى التطبيق (أي بناءً على تحليل محتوى الشبكة). البيانات المرسلة). تشمل الوظائف الرئيسية لبوابات طبقة التطبيق ما يلي:

• تحديد هوية مستخدم CS والمصادقة عليه عند محاولة إنشاء اتصال؛
• التحقق من سلامة البيانات المرسلة؛
• التمييز بين الوصول إلى موارد الأجزاء المحمية والمفتوحة من CS الموزعة؛
• تصفية الرسائل المرسلة وتحويلها (الكشف عن أكواد البرامج الضارة، والتشفير وفك التشفير، وما إلى ذلك)؛
• تسجيل الأحداث في سجل خاص؛
• التخزين المؤقت للبيانات المطلوبة خارجيًا والموجودة على أجهزة كمبيوتر الشبكة الداخلية (لتحسين أداء CS).

تتيح بوابات مستوى التطبيق توفير أعلى درجة من الحماية لنظام الكمبيوتر من الهجمات عن بعد، حيث يتم تنفيذ أي تفاعل مع مضيفي الجزء المفتوح من الشبكة من خلال برامج وسيطة تتحكم بشكل كامل في جميع حركة المرور الواردة والصادرة. تشمل المزايا الأخرى لبوابات طبقة التطبيق ما يلي:

• إخفاء بنية الجزء المحمي من الشبكة بالنسبة للمضيفين الآخرين (قد يكون اسم مجال الكمبيوتر المزود ببوابة مستوى التطبيق هو الاسم الوحيد المعروف للخوادم الخارجية)؛
• المصادقة الموثوقة وتسجيل الرسائل المارة؛
• قواعد أبسط لتصفية الحزم في طبقة الشبكة، والتي بموجبها يجب على جهاز التوجيه أن يسمح فقط بحركة المرور المخصصة لبوابة طبقة التطبيق ويمنع كل حركة المرور الأخرى؛
• القدرة على تنفيذ فحوصات إضافية، مما يقلل من احتمالية استخدام الأخطاء في البرامج القياسية لتنفيذ التهديدات لأمن المعلومات في CS.

تتمثل العيوب الرئيسية للبوابات على مستوى التطبيق في ارتفاع التكلفة، وتعقيد التطوير والتثبيت والتكوين، وانخفاض أداء CS، والافتقار إلى الشفافية للتطبيقات ومستخدمي CS.

يمكن استخدام جدران الحماية لإنشاء شبكات خاصة افتراضية.

من العيوب الشائعة لأي نوع من أنواع المعدات المتنقلة أن وسائل حماية البرامج والأجهزة، من حيث المبدأ، لا يمكنها منع العديد من أنواع الهجمات (على سبيل المثال، تهديدات الوصول غير المصرح به إلى المعلومات باستخدام خادم خدمة اسم مجال إنترنت زائف، والتهديدات بتحليل حركة مرور الشبكة في غياب VPN والتهديدات برفض الخدمة). قد يكون من الأسهل على المهاجم تنفيذ تهديد لتوفر المعلومات في CS الذي يستخدم ME، نظرًا لأنه يكفي مهاجمة المضيف فقط باستخدام ME لفصل جميع أجهزة الكمبيوتر الموجودة في الجزء المحمي من الشبكة من الشبكة الخارجية. شبكة.

في الوثيقة التوجيهية لـ FSTEC في روسيا "معدات الكمبيوتر. جدران الحماية. الحماية ضد الوصول غير المصرح به إلى المعلومات. مؤشرات الأمان ضد الوصول غير المصرح به إلى المعلومات" تم إنشاء خمس فئات من أمان ME (الأكثر أمانًا هي الدرجة الأولى). على سبيل المثال، تتطلب فئة الأمان الخامسة تصفية الحزم على مستوى الشبكة بناءً على عناوين IP الخاصة بالمرسل والمستلم، وتتطلب الفئة الثانية التصفية على مستويات الشبكة والنقل والتطبيق مع إخفاء الموضوعات والكائنات الخاصة بالشبكة والشبكة المحمية ترجمة العنوان.

المخططات الأكثر شيوعًا لوضع جدران الحماية في شبكة الكمبيوتر المحلية الخاصة بالمؤسسة هي:

• 1) جدار الحماية المقدم كجهاز توجيه للتصفية؛
• 2) جدار حماية يعتمد على بوابة ذات منفذين؛
• 3) جدار الحماية القائم على بوابة محمية؛
• 4) جدار الحماية مع شبكة فرعية محمية.

قواعد الوصول إلى الموارد الداخلية لشبكة الكمبيوتر

يجب أن تعتمد المنظمات التي تطبق جدار الحماية على أحد المبادئ التالية:

• رفض كافة محاولات الوصول غير المسموح بها صراحة؛
• السماح بجميع محاولات الوصول التي لم يتم رفضها بشكل صريح.

يمكن لجهاز توجيه التصفية الموجود بين الشبكة المحمية والإنترنت تنفيذ أي من سياسات الأمان المحددة.

يعد جدار الحماية لبوابة التطبيقات ثنائي المنفذ مضيفًا مزودًا بواجهتين للشبكة.

عند نقل المعلومات بين هذه الواجهات، يتم تنفيذ التصفية الرئيسية. لتوفير أمان إضافي، يتم وضع جهاز توجيه مرشح بين بوابة التطبيق والإنترنت. ونتيجة لذلك، يتم تشكيل شبكة فرعية محمية داخلية بين بوابة التطبيق وجهاز التوجيه. يمكن استخدامه لاستضافة خادم معلومات يمكن الوصول إليه خارجيًا. يؤدي وضع خادم معلومات إلى زيادة أمان الشبكة، لأنه حتى لو اخترقها متسلل، فلن يتمكن من الوصول إلى خدمات شبكة الشركة من خلال بوابة ذات واجهتين.

على عكس جدار الحماية المزود بموجه تصفية، تعمل بوابة التطبيق على حظر حركة مرور IP بشكل كامل بين الإنترنت والشبكة المحمية. يمكن فقط للتطبيقات المعتمدة الموجودة على بوابة التطبيق توفير الخدمات والوصول إلى المستخدمين.

يطبق هذا الإصدار من جدار الحماية سياسة أمنية تعتمد على مبدأ "كل ما هو غير مسموح به صراحةً محظور"، ولا يتمتع المستخدم بحق الوصول إلا إلى خدمات الشبكة التي تم تحديد الأذونات المناسبة لها. يوفر هذا الأسلوب مستوى عالٍ من الأمان، نظرًا لأن المسارات إلى الشبكة الفرعية المحمية معروفة فقط لجدار الحماية وتكون مخفية عن الأنظمة الخارجية.

يعد مخطط تنظيم جدار الحماية قيد النظر بسيطًا نسبيًا وفعالًا للغاية. نظرًا لأن جدار الحماية يستخدم مضيفًا منفصلاً، فيمكن تثبيت برامج مصادقة المستخدم المحسنة عليه. يمكن لجدار الحماية أيضًا تسجيل الوصول ومحاولات التحقيق والهجمات على النظام، مما يمكن أن يساعد في تحديد تصرفات المتسللين.

يوفر جدار الحماية المعتمد على البوابة مرونة أكبر من جدار الحماية المعتمد على البوابة المزدوجة، ولكن هذه المرونة تأتي على حساب بعض التخفيض في الأمان. يتكون جدار الحماية من جهاز توجيه تصفية وبوابة تطبيق موجودة على جانب الشبكة الداخلية. يتم تنفيذ بوابة التطبيق على مضيف منفصل ولها واجهة شبكة واحدة فقط.

في هذا التصميم، يتم توفير الأمان أولاً عن طريق جهاز توجيه التصفية، الذي يقوم بتصفية أو حظر البروتوكولات التي يحتمل أن تكون خطرة لمنعها من الوصول إلى بوابة التطبيق والأنظمة الداخلية لشبكة الشركة. يمكن تنفيذ تصفية الحزم في موجه التصفية بناءً على إحدى القواعد التالية:

• يُسمح للمضيفين الداخليين بفتح اتصالات بالمضيفين على الإنترنت لخدمات معينة؛
• تم رفض جميع الاتصالات من المضيفين الداخليين (يجب عليهم استخدام التطبيقات المعتمدة على بوابة التطبيق).

في هذا التكوين، يمكن لجدار الحماية استخدام مجموعة من سياستين، تعتمد العلاقة بينهما على سياسة الأمان المحددة المعتمدة على الشبكة الداخلية. على وجه الخصوص، يمكن تنظيم تصفية الحزم على جهاز توجيه التصفية بحيث توفر بوابة التطبيق، باستخدام تطبيقاتها المعتمدة، خدمات مثل Telnet وFTP وSMTP للأنظمة الموجودة في الشبكة المحمية.

العيب الرئيسي لجدار الحماية ذو البوابة المحمية هو أنه إذا تمكن متسلل من اختراق هذا المضيف، فإن أنظمة الشبكة الداخلية ستكون غير محمية أمامه. هناك عيب آخر يتعلق بالتسوية المحتملة لجهاز التوجيه، الأمر الذي سيؤدي إلى حقيقة أن الشبكة الداخلية تصبح متاحة للمهاجم.

يعد جدار حماية الشبكة الفرعية المحمية بمثابة تطور لتصميم جدار حماية البوابة المحمية. لإنشاء شبكة فرعية محمية، يتم استخدام جهازي توجيه محميين. يقع جهاز التوجيه الخارجي بين الإنترنت والشبكة الفرعية المحمية، ويقع جهاز التوجيه الداخلي بين الشبكة الفرعية المحمية والشبكة الداخلية المحمية.

تتضمن الشبكة الفرعية المحمية بوابة تطبيق، وقد تتضمن أيضًا خوادم معلومات وأنظمة أخرى تتطلب وصولاً متحكمًا فيه. يوفر تصميم جدار الحماية هذا مستوى عالٍ من الأمان عن طريق إنشاء شبكة فرعية محمية تعمل على عزل الشبكة الداخلية المحمية عن الإنترنت.

يقوم جهاز التوجيه الخارجي بحماية كل من الشبكة الفرعية المحمية والشبكة الداخلية من عمليات التطفل من الإنترنت. يرفض جهاز التوجيه الخارجي الوصول من شبكة WAN إلى الأنظمة الموجودة على شبكة الشركة ويحظر كل حركة المرور إلى الإنترنت القادمة من الأنظمة التي لا ينبغي لها بدء الاتصالات. يمكن أيضًا استخدام جهاز التوجيه هذا لحظر البروتوكولات الضعيفة الأخرى التي لا ينبغي استخدامها بواسطة أو من أجهزة الكمبيوتر الموجودة على الشبكة الداخلية.

يقوم جهاز التوجيه الداخلي بحماية الشبكة الداخلية من الوصول غير المصرح به سواء من الإنترنت أو من خلال شبكة فرعية محمية. بالإضافة إلى ذلك، فهو يقوم بمعظم تصفية الحزم ويدير أيضًا حركة المرور من وإلى أنظمة الشبكة الداخلية.

يعد جدار حماية الشبكة الفرعية المفحوصة مناسبًا تمامًا لحماية الشبكات ذات الكميات الكبيرة من حركة المرور أو معدلات البيانات العالية. وتشمل عيوبه حقيقة أن زوجًا من أجهزة توجيه التصفية يحتاج إلى الكثير من الاهتمام لضمان المستوى المطلوب من الأمان، نظرًا لأن الأخطاء في تكوينهما يمكن أن تسبب انتهاكات أمنية في الشبكة بأكملها. بالإضافة إلى ذلك، هناك إمكانية أساسية للوصول عبر بوابة التطبيق.

الوظائف الرئيسية للأدوات البرمجية لتحليل أمان CS (أجهزة فحص الثغرات الأمنية، وتقييم الثغرات الأمنية) هي:

• التحقق من أدوات التعريف والتوثيق المستخدمة في النظام والتحكم في الوصول والتدقيق وصحة إعداداتها من وجهة نظر أمن المعلومات في CS؛
• مراقبة سلامة النظام وبرامج التطبيقات الخاصة بـ CS؛
• التحقق من وجود نقاط الضعف المعروفة (على سبيل المثال، المنشورة على موقع الشركة المصنعة إلى جانب توصيات لتصحيح الوضع) التي لم يتم حلها في برامج النظام والتطبيقات المستخدمة في CS، وما إلى ذلك.

تعمل أدوات التحليل الأمني ​​على أساس مسح النصوص البرمجية المخزنة في قواعد بيانات خاصة وإخراج نتائج عملها على شكل تقارير يمكن تحويلها إلى صيغ مختلفة. هناك فئتان من أدوات فحص الثغرات الأمنية:

• الأنظمة على مستوى المضيف المصممة لتحليل أمان الكمبيوتر الذي تعمل عليه؛
• أنظمة مستوى الشبكة مصممة للتحقق من أمان شبكة المنطقة المحلية الخاصة بالشركة من الإنترنت.

تستخدم أدوات فحص الثغرات الأمنية على مستوى الشبكة بنية خادم العميل لإجراء فحوصات الأمان. يقوم الخادم بإجراء عمليات الفحص، ويقوم العميل بتكوين جلسات الفحص وإدارتها على الكمبيوتر الذي يتم فحصه. توفر حقيقة إمكانية الفصل بين العميل والخادم العديد من المزايا. أولاً، يمكن أن يكون خادم الفحص موجودًا خارج شبكتك، ولكن يمكن الوصول إليه من داخل الشبكة من خلال العميل. ثانيًا، قد يدعم العملاء المختلفون أنظمة تشغيل مختلفة.

تشمل عيوب أدوات تحليل أمان CS ما يلي:

• اعتمادهم على أنظمة محددة؛
• موثوقية غير كافية (قد يؤدي استخدامها في بعض الأحيان إلى فشل في تشغيل الأنظمة التي تم تحليلها، على سبيل المثال، عند التحقق من الأمان ضد هجمات رفض الخدمة)؛
• فترة قصيرة من التشغيل الفعال (لا تؤخذ نقاط الضعف المكتشفة حديثًا، والتي تعتبر الأكثر خطورة، في الاعتبار)؛
• إمكانية استخدامها من قبل المخالفين استعدادًا للهجوم على نظام الكمبيوتر (سيحتاج مسؤول الأمن إلى الحصول على إذن خاص من الإدارة لفحص نقاط الضعف في نظام الكمبيوتر الخاص بمؤسسته).

يمكن استخدام أنظمة كشف التسلل (IDS) لحل المشكلات التالية:

• الكشف عن علامات الهجمات بناءً على تحليل سجلات أمان نظام التشغيل، وسجلات جدار الحماية والخدمات الأخرى (الأنظمة على مستوى المضيف)؛
• فحص حزم البيانات مباشرة في قنوات الاتصال (بما في ذلك استخدام أنظمة متعددة الوكلاء) - أنظمة على مستوى الشبكة.

عادةً، تتضمن الأنظمة الحقيقية إمكانات من هاتين الفئتين.

في كلتا الحالتين، تستخدم أدوات الكشف عن الهجوم قواعد بيانات توقيع الهجوم مع أحداث الشبكة المسجلة وأنماط الهجمات المعروفة. تعمل هذه الأدوات في الوقت الفعلي وتستجيب لمحاولات استغلال نقاط ضعف CS المعروفة أو الاستكشاف غير المصرح به لجزء محمي من شبكة المؤسسة، كما تحتفظ أيضًا بسجل للأحداث المسجلة لتحليلها لاحقًا.

توفر أنظمة كشف التسلل طبقات إضافية من الحماية للنظام المحمي لأنها تراقب جدران الحماية، وأجهزة توجيه التشفير، وخوادم الشركات، وملفات البيانات الأكثر أهمية لآليات الأمان الأخرى. غالبًا ما تتضمن إستراتيجية الخصم شن هجمات أو تعطيل الأجهزة الأمنية التي توفر الأمان لهدف محدد. وستكون أنظمة كشف التسلل قادرة على التعرف على هذه العلامات المبكرة للهجوم، ومن حيث المبدأ، الاستجابة لها، مما يقلل من الأضرار المحتملة. بالإضافة إلى ذلك، عندما تفشل هذه الأجهزة بسبب أخطاء التكوين أو الهجوم أو خطأ المستخدم، يمكن لأنظمة كشف التسلل التعرف على المشكلة وإخطار الموظف.

تشمل العيوب الرئيسية لأدوات كشف التسلل ما يلي:

• عدم القدرة على العمل بفعالية في الشبكات عالية السرعة (تقدّر الشركات المصنعة لنظام IDS الحد الأقصى للإنتاجية التي تعمل بها هذه الأنظمة دون خسارة مع تحليل 100% لكل حركة المرور بمعدل 65 ميجابت/ثانية)؛
• القدرة على تفويت هجمات غير معروفة.
• الحاجة إلى تحديث قاعدة البيانات باستمرار بتوقيعات الهجوم؛
• صعوبة تحديد الاستجابة المثلى لهذه الأدوات عند اكتشاف علامات الهجوم.

يعد وضع معرفات IDS على مستوى الشبكة أكثر فاعلية في محيط الشبكة المحلية الخاصة بالشركة على جانبي جدار الحماية. في بعض الأحيان يتم تثبيت IDS أمام الخوادم المهمة (على سبيل المثال، خادم قاعدة البيانات) للتحكم في حركة المرور إلى ذلك الخادم. ومع ذلك، فإن المشكلة في هذه الحالة هي أن حركة المرور على الشبكة الداخلية تنتقل بسرعة أعلى من الشبكة الخارجية، مما يؤدي إلى عدم قدرة IDS على التعامل مع كل حركة المرور، ونتيجة لذلك، انخفاض في إنتاجية الشبكة المحلية. ولهذا السبب يتم وضع معرفات الهوية (IDS) على مستوى الشبكة أمام خادم معين، للتحكم في اتصالات معينة فقط. في مثل هذه الحالات، يُفضل أحيانًا تثبيت نظام كشف الهجمات على مستوى المضيف على كل خادم محمي واكتشاف الهجمات عليه تحديدًا.

إن تمكين موظفي المؤسسة من الوصول إلى الإنترنت في أماكن عملهم له جوانب سلبية. يبدأون في قضاء وقت عملهم في قراءة النكات وممارسة الألعاب والدردشة مع الأصدقاء وما إلى ذلك. وتنخفض إنتاجية شبكة الشركة بسبب حقيقة "تنزيل" الأفلام والموسيقى من الإنترنت وتأخر تدفق المعلومات التجارية. يقوم الموظفون بتجميع كمية هائلة من المواد وإرسالها لبعضهم البعض، والتي يمكن أن يؤدي نشرها بشكل عرضي إلى عملاء المنظمة إلى الإضرار بسمعتها (الصور المثيرة والرسوم الكاريكاتورية وما إلى ذلك). وأخيرًا، قد تتسرب المعلومات السرية عبر خدمات البريد الإلكتروني التي لها واجهة إلكترونية.

تم تصميم أنظمة التحكم في المحتوى للحماية من التهديدات التالية:

• زيادة غير مبررة في نفقات المنظمة لدفع ثمن حركة المرور على الإنترنت؛
• انخفاض إنتاجية موظفي المنظمة.
• وتقليل النطاق الترددي لشبكة الشركات لتلبية احتياجات الأعمال؛
• تسرب المعلومات السرية؛
• الإضرار بسمعة المنظمة.

يمكن تقسيم أنظمة التحكم بالمحتوى إلى

• قم بتحليل الكلمات الرئيسية والعبارات في رسائل البريد الإلكتروني وحركة مرور الويب وصفحات HTTP المطلوبة. تتيح لك هذه الميزة اكتشاف ومنع تسرب المعلومات السرية والموظفين الذين يرسلون السير الذاتية والبريد العشوائي، بالإضافة إلى نقل المواد الأخرى المحظورة بموجب السياسة الأمنية لنظام الكمبيوتر الخاص بالمؤسسة. ومن المثير للاهتمام جدًا القدرة على تحليل صفحات HTTP المطلوبة. بمساعدتها، يمكنك التخلي عن آلية حظر IL التي تستخدمها العديد من جدران الحماية، وبغض النظر عن عنوان الصفحة المطلوبة (بما في ذلك الصفحات التي تم إنشاؤها ديناميكيًا)، قم بتحليل محتواها؛
• التحكم في مرسلي ومستلمي رسائل البريد الإلكتروني، بالإضافة إلى العناوين التي (ومنها) يتم الوصول إلى الخوادم الإلكترونية وموارد الإنترنت الأخرى. بمساعدتها، يمكنك تصفية البريد الإلكتروني أو حركة مرور الويب، وبالتالي تنفيذ بعض وظائف جدار الحماية؛
• الكشف عن انتحال عناوين البريد الإلكتروني، والذي يستخدم في كثير من الأحيان من قبل مرسلي البريد العشوائي وغيرهم من المجرمين؛
• الفحص المضاد للفيروسات لمحتوى البريد الإلكتروني وحركة مرور الويب، والذي يسمح لك باكتشاف أو علاج أو إزالة فيروسات الكمبيوتر والبرامج الضارة الأخرى؛
• التحكم في حجم الرسالة، والذي لا يسمح بإرسال الرسائل الطويلة جدًا أو يتطلب تأجيل إرسالها مؤقتًا حتى اللحظة التي تكون فيها قناة الوصول إلى الإنترنت أقل تحميلًا (على سبيل المثال، خلال غير ساعات العمل)؛
• التحكم في عدد ونوع المرفقات في رسائل البريد الإلكتروني، بالإضافة إلى التحكم في الملفات المنقولة كجزء من حركة مرور الويب. هذه واحدة من الميزات الأكثر إثارة للاهتمام التي تسمح لك بتحليل ليس فقط نص الرسالة، ولكن أيضًا النص الموجود في ملف معين، على سبيل المثال، مستند Microsoft Word أو أرشيف ZIP. بالإضافة إلى هذه التنسيقات، يمكن لبعض الأنظمة أيضًا التعرف على ملفات الفيديو والصوت، والرسومات، وملفات PDF، والملفات القابلة للتنفيذ، وحتى الرسائل المشفرة وتحليلها. هناك أنظمة تتيح لك التعرف على صور محتوى معين بعدد كبير من تنسيقات الرسوم؛
• التحكم في ملفات تعريف الارتباط وحظرها، بالإضافة إلى رمز الهاتف المحمول Java وActiveX وJavaScript وVBScript وما إلى ذلك؛
• تصنيف موارد الإنترنت ("للبالغين"، "الترفيه"، "التمويل"، وما إلى ذلك) والتمييز بين وصول موظفي المنظمة إلى موارد الفئات المختلفة (بما في ذلك اعتمادًا على الوقت من اليوم)؛
• تنفيذ خيارات استجابة متنوعة، بدءًا من حذف رسالة أو حظرها مؤقتًا، وحذف مرفق محظور وتطهير ملف مصاب، إلى إرسال نسخة من الرسالة إلى مسؤول الأمن أو مدير المخالف وإخطار كل من مسؤول الأمن والمرسل ومتلقي الرسالة التي تنتهك السياسة الأمنية.

هناك نوعان من العيوب الرئيسية لأنظمة التحكم في حركة البريد والبريد الإلكتروني. بادئ ذي بدء، هو عدم القدرة على التحكم في الرسائل المشفرة من قبل المستخدمين. ولذلك، تحظر العديد من الشركات النقل غير المنضبط لمثل هذه الرسائل أو تستخدم وسيلة مركزية لتشفير حركة مرور البريد.

العيب الشائع الثاني لأنظمة التحكم في المحتوى هو صعوبة تحديد عناوين صفحات الويب المحظورة. أولا، من الضروري الحفاظ على هذه القائمة محدثة من أجل الكشف الفوري عن طلبات الموارد المحظورة التي تظهر باستمرار، وثانيا، هناك طريقة لتحديد العناوين غير القياسية، والتي غالبا ما تسمح لك بتجاوز آلية الأمان الخاصة نظام التحكم في المحتوى: يمكن للمستخدم استخدام اسم غير المجال، وهو ما يتم في الغالبية العظمى من الحالات، وعنوان 1P الخاص بالخادم الذي يحتاجه. وبدون جدار الحماية، سيكون من الصعب منع هذا الوصول.

أسئلة التحكم

• 1. ما هي طرق الوصول غير المصرح به إلى المعلومات في أنظمة الكمبيوتر؟
• 2. ما هي طرق مصادقة المستخدم التي يمكن استخدامها في أنظمة الكمبيوتر؟
• 3. ما هي العيوب الرئيسية لمصادقة كلمة المرور وكيف يمكن تقويتها؟
• 4. ما هو جوهر ومزايا وعيوب المصادقة على أساس نموذج "المصافحة"؟
• 5. ما هي الخصائص البيومترية للمستخدمين التي يمكن استخدامها للتحقق من هويتهم؟ ما هي مميزات طريقة المصادقة هذه؟
• 6. ما هي قطع الأجهزة التي يمكن استخدامها للتحقق من مستخدمي أنظمة الكمبيوتر؟
• 7. كيف يعمل قفل الأجهزة والبرامج لمنع الوصول غير المصرح به إلى موارد الكمبيوتر؟
• 8. على ماذا يعتمد بروتوكول CHAP؟ ما هي متطلبات الرقم العشوائي المستخدم فيه؟
• 9. ما هو الغرض من بروتوكول Kerberos؟
• 10. ما هي مميزات بروتوكولات المصادقة غير المباشرة مقارنة ببروتوكولات المصادقة المباشرة؟
• 11. ما هو جوهر ومزايا وعيوب التحكم في الوصول التقديري إلى كائنات نظام الكمبيوتر؟
• 12. ما القاعدتان اللتان يتم تطبيقهما عند فرض الوصول إلى الأشياء؟
• 13. ما هي أنواع جدران الحماية المستخدمة؟
• 14. ما هي عناوين URI وما الغرض منها؟
• 15. ما هي العيوب الشائعة لجميع جدران الحماية؟
• 16. ما هي وظائف أدوات تحليل أمن أنظمة الكمبيوتر وأهم عيوبها؟
• 17. ما هو جوهر أنظمة اكتشاف الهجمات على أنظمة الكمبيوتر؟
• 18. ما هي التهديدات التي تحمي منها أنظمة التحكم في المحتوى؟

إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

تم النشر على http://www.allbest.ru/

معلومات أساسية عن العمل

إصدار القالب 1.1

فرع نيجني نوفغورود

نوع العمل دفاع مسبق كتابي إلكتروني

اسم الانضباط

موضوع

أدوات برمجية لحماية المعلومات في الشبكات

لقد أنجزت العمل

إيباتوف ألكسندر سيرجيفيتش

رقم العقد 09200080602012

مقدمة

1. الأحكام الأساسية لنظرية أمن المعلومات

1.1 أمن المعلومات. التعاريف الأساسية

1.2 تهديدات أمن المعلومات

1.3 بناء أنظمة للحماية من التهديدات المتعلقة بانتهاكات سرية المعلومات

1.3.1 نموذج نظام الحماية

1.3.2 التدابير التنظيمية والأمنية

1.3.3 تحديد الهوية والمصادقة

1.3.4 التحكم في الوصول

1.3.5 طرق التشفير لضمان سرية المعلومات

1.3.6 طرق حماية المحيط الخارجي

1.3.7 التسجيل والتدقيق

1.4 بناء أنظمة الحماية ضد تهديدات السلامة

1.4.1 مبادئ النزاهة

1.4.2 طرق التشفير لضمان سلامة المعلومات

1.5 بناء أنظمة الحماية ضد تهديدات إمكانية الوصول

2. برامج أمن المعلومات في CS

2.1 الأمن على مستوى نظام التشغيل

2.2 طرق حماية التشفير

2.3 تشفير القرص

2.4 برامج أمن المعلومات المتخصصة

2.5 اعتبارات الأمن المعماري

2.6 أنظمة الأرشفة والنسخ

2.7 التحليل الأمني

خاتمة

قائمة المصطلحات

قائمة المصادر المستخدمة

قائمة الاختصارات

مقدمة

لقد أعطى التقدم للإنسانية الكثير من الإنجازات، ولكن نفس التقدم أدى أيضًا إلى ظهور الكثير من المشكلات. العقل البشري، الذي يحل بعض المشاكل، يواجه حتما مشاكل أخرى جديدة. المشكلة الأبدية هي أمن المعلومات. في مراحل مختلفة من تطورها، قامت البشرية بحل هذه المشكلة بالخصوصية المتأصلة في عصر معين. إن اختراع الكمبيوتر والتطور السريع لتكنولوجيا المعلومات في النصف الثاني من القرن العشرين جعل مشكلة حماية المعلومات ذات أهمية وحادة مثل المعلوماتية ذات الصلة اليوم بالمجتمع بأكمله.

حتى يوليوس قيصر قرر حماية المعلومات القيمة أثناء عملية النقل. اخترع شفرة قيصر. جعل هذا التشفير من الممكن إرسال رسائل لا يمكن لأحد قراءتها إذا تم اعتراضها.

تم تطوير هذا المفهوم خلال الحرب العالمية الثانية. استخدمت ألمانيا آلة تسمى إنجما لتشفير الرسائل المرسلة إلى الوحدات العسكرية.

وبطبيعة الحال، فإن الطريقة التي نحمي بها المعلومات تتغير باستمرار، مع تغير مجتمعنا والتكنولوجيا. أدى ظهور أجهزة الكمبيوتر واستخدامها على نطاق واسع إلى حقيقة أن معظم الأشخاص والمنظمات بدأوا في تخزين المعلومات في شكل إلكتروني. هناك حاجة لحماية مثل هذه المعلومات.

في أوائل السبعينيات. في القرن العشرين، طور ديفيد بيل وليونارد لا بادولا نموذجًا أمنيًا للعمليات التي يتم إجراؤها على الكمبيوتر. وقد اعتمد هذا النموذج على المفهوم الحكومي لمستويات تصنيف المعلومات (غير مصنفة، سرية، سرية، سرية للغاية) ومستويات التخليص. إذا كان لدى شخص (موضوع) مستوى تصفية أعلى من مستوى تصنيف الملف (الكائن)، فقد تم منحه حق الوصول إلى الملف، وإلا تم رفض الوصول. تم تنفيذ هذا المفهوم في معيار معايير تقييم نظام الحوسبة الموثوقة (TCSEC) رقم 5200.28، الذي تم تطويره في عام 1983 من قبل وزارة الدفاع الأمريكية. وبسبب لون الغلاف أطلق عليه اسم "الكتاب البرتقالي".

يحدد الكتاب البرتقالي المتطلبات الوظيفية ومتطلبات الضمان لكل قسم. وكان على النظام أن يلبي هذه المتطلبات من أجل تلبية مستوى معين من الشهادات.

كان الامتثال لمتطلبات الضمان لمعظم شهادات الأمان يستغرق وقتًا طويلاً ومكلفًا. ونتيجة لذلك، تم اعتماد عدد قليل جدًا من الأنظمة أعلى من المستوى C2 (في الواقع، تم اعتماد نظام واحد فقط للمستوى A1 - Honeywell SCOMP) Cole E. دليل للحماية من المتسللين. - م: دار ويليامز للنشر، 2002 – ص25.

وقد حاولت معايير أخرى الفصل بين المتطلبات الوظيفية ومتطلبات الضمان. تم تضمين هذه التطورات في الكتاب الأخضر الألماني في عام 1989، والمعايير الكندية في عام 1990، ومعايير تقييم أمن تكنولوجيا المعلومات (ITSEC) في عام 1991، والمعايير الفيدرالية (المعروفة باسم "المعايير العامة") في عام 1992. يقدم كل معيار طريقة مختلفة للمصادقة على أمان أنظمة الكمبيوتر.

GOST 28147-89 هو معيار تشفير متماثل سوفيتي وروسي تم تقديمه في عام 1990، وهو أيضًا معيار لرابطة الدول المستقلة. الاسم الكامل - "GOST 28147-89 أنظمة معالجة المعلومات. حماية التشفير. خوارزمية تحويل التشفير." خوارزمية تشفير الكتلة. عند استخدام طريقة تشفير جاما، يمكنها أداء وظائف خوارزمية تشفير الدفق.

وفقا لبعض المعلومات، أ. فينوكوروف. خوارزمية التشفير GOST 28147-89 واستخدامها وتنفيذها لأجهزة الكمبيوتر الأساسية Intel x86 (http://www.enlight.ru)، تاريخ هذا التشفير أقدم بكثير. من المفترض أن الخوارزمية، التي شكلت فيما بعد أساس المعيار، قد ولدت في أحشاء المديرية الرئيسية الثامنة للكي جي بي في اتحاد الجمهوريات الاشتراكية السوفياتية (الآن ضمن هيكل FSB)، على الأرجح، في إحدى الأبحاث المغلقة المعاهد التابعة لها، ربما يعود تاريخها إلى السبعينيات كجزء من مشاريع لإنشاء تطبيقات البرامج والأجهزة للتشفير لمنصات الكمبيوتر المختلفة.

منذ نشر GOST، تم وضع علامة عليه بختم مقيد "للاستخدام الرسمي"، وتم إعلان التشفير رسميًا "مفتوحًا بالكامل" فقط في مايو 1994. لم يتم نشر تاريخ إنشاء التشفير ومعايير المطورين اعتبارًا من عام 2010.

إحدى المشاكل المرتبطة بمعايير تقييم أمان النظام هي عدم فهم آليات الشبكات. عند دمج أجهزة الكمبيوتر، تتم إضافة مشكلات أمنية جديدة إلى المشكلات القديمة. لم يعالج الكتاب البرتقالي المشاكل التي تنشأ عند توصيل أجهزة الكمبيوتر بشبكة مشتركة، لذلك في عام 1987 ظهر TNI (تفسير الشبكة الموثوقة)، أو الكتاب الأحمر. يحتفظ "الكتاب الأحمر" بجميع متطلبات الأمان من "الكتاب البرتقالي" ويحاول معالجة مساحة الشبكة وإنشاء مفهوم أمان الشبكة. ولسوء الحظ، ربط الكتاب الأحمر أيضًا بين الوظيفة والضمان. تم تقييم عدد قليل فقط من الأنظمة بواسطة TNI، ولم ينجح أي منها تجاريًا.

وفي هذه الأيام أصبحت المشاكل أكثر خطورة. بدأت المنظمات في استخدام الشبكات اللاسلكية، والتي لم يكن من الممكن أن يتوقع الكتاب الأحمر ظهورها. بالنسبة للشبكات اللاسلكية، تعتبر شهادة الكتاب الأحمر قديمة.

تتطور أنظمة الكمبيوتر وتقنيات الشبكات بسرعة كبيرة. وبناءً على ذلك، تظهر بسرعة أيضًا طرق جديدة لحماية المعلومات. لذلك، فإن موضوع عملي التأهيلي "برامج أمن المعلومات في الشبكات" وثيق الصلة بالموضوع.

الهدف من الدراسة هو المعلومات المنقولة عبر شبكات الاتصالات.

موضوع الدراسة هو أمن المعلومات للشبكات.

الهدف الرئيسي من العمل التأهيلي هو دراسة وتحليل برمجيات أمن المعلومات في الشبكات. ولتحقيق هذا الهدف لا بد من حل عدد من المشاكل:

النظر في التهديدات الأمنية وتصنيفها؛

وصف طرق ووسائل حماية المعلومات على الشبكة وتصنيفها وميزات تطبيقها؛

الكشف عن قدرات الوسائل المادية والأجهزة والبرامج لحماية المعلومات في شبكات الكمبيوتر (CN)، وتحديد مزاياها وعيوبها.

1. الأحكام الأساسية لنظرية أمن المعلومات

1.1 أمن المعلومات. التعاريف الأساسية

يتم تعريف مصطلح "المعلومات" بطرق مختلفة حسب العلوم المختلفة. لذلك، على سبيل المثال، في الفلسفة، تعتبر المعلومات ملكًا للأشياء والعمليات المادية للحفاظ على حالة معينة وتوليدها، والتي يمكن نقلها في أشكال مختلفة من المواد والطاقة من كائن إلى آخر. في علم التحكم الآلي، تسمى المعلومات عادةً مقياسًا لإزالة عدم اليقين. في المستقبل، من خلال المعلومات، سوف نفهم كل ما يمكن تمثيله في رموز الأبجدية المحدودة (على سبيل المثال، الثنائية).

قد يبدو هذا التعريف غير عادي إلى حد ما. وفي الوقت نفسه، فإنه يتبع بشكل طبيعي المبادئ المعمارية الأساسية للحوسبة الحديثة. في الواقع، نحن يقتصرون على قضايا أمن المعلومات للأنظمة الآلية - وكل ما تتم معالجته باستخدام تكنولوجيا الكمبيوتر الحديثة يتم تمثيله في شكل ثنائي. أساسيات أمن المعلومات للأنظمة الآلية - "فينيكس"، 2008 - ص 8

موضوع نظرنا هو الأنظمة الآلية. من خلال نظام معالجة المعلومات الآلي (AS) سوف نفهم مجموعة من الكائنات التالية:

1. معدات الكمبيوتر.

2. البرمجيات؛

3. قنوات الاتصال.

4. معلومات عن وسائل الإعلام المختلفة.

5. العاملين ومستخدمي النظام.

يعتبر أمن المعلومات في AS بمثابة حالة من النظام حيث:

1. النظام قادر على تحمل التأثيرات المزعزعة للاستقرار للتهديدات الداخلية والخارجية.

2. لا يشكل أداء النظام وحقيقة وجوده تهديدات للبيئة الخارجية ولعناصر النظام نفسه.

ومن الناحية العملية، عادة ما يتم اعتبار أمن المعلومات على أنه مزيج من الخصائص الأساسية الثلاثة التالية للمعلومات المحمية:

؟ السرية، مما يعني أن المستخدمين القانونيين فقط هم الذين يمكنهم الوصول إلى المعلومات؛

؟ النزاهة، مما يضمن، أولاً، أنه لا يمكن تغيير المعلومات المحمية إلا من قبل المستخدمين القانونيين والمصرح لهم، وثانيًا، أن تكون المعلومات متسقة داخليًا وتعكس (إذا كانت هذه الخاصية قابلة للتطبيق) الوضع الحقيقي للأمور؛

؟ إمكانية الوصول، مما يضمن الوصول دون عوائق إلى المعلومات المحمية للمستخدمين الشرعيين.

تسمى الأنشطة التي تهدف إلى ضمان أمن المعلومات عادة بحماية المعلومات.

طرق ضمان أمن المعلومات (الملحق أ) متنوعة للغاية.

خدمات أمن الشبكات هي آليات لحماية المعلومات التي تتم معالجتها في أنظمة وشبكات الحوسبة الموزعة.

تهدف الأساليب الهندسية والتقنية إلى ضمان حماية المعلومات من التسرب عبر القنوات التقنية - على سبيل المثال، عن طريق اعتراض الإشعاع الكهرومغناطيسي أو معلومات الكلام. تعمل الأساليب القانونية والتنظيمية لحماية المعلومات على إنشاء إطار تنظيمي لتنظيم أنواع مختلفة من الأنشطة المتعلقة بضمان أمن المعلومات.

الأساليب النظرية لضمان أمن المعلومات بدورها تحل مشكلتين رئيسيتين. أولها هو إضفاء الطابع الرسمي على أنواع مختلفة من العمليات المتعلقة بضمان أمن المعلومات. على سبيل المثال، تتيح نماذج التحكم في الوصول الرسمية الوصف الدقيق لجميع تدفقات المعلومات الممكنة في النظام - وبالتالي ضمان استيفاء خصائص الأمان المطلوبة. وهذا يؤدي مباشرة إلى المهمة الثانية - الإثبات الصارم لصحة وكفاية أداء أنظمة أمن المعلومات عند تحليل أمنها. وتنشأ هذه المشكلة، على سبيل المثال، عند اعتماد الأنظمة الآلية وفقًا لمتطلبات أمن المعلومات.

1.2 تهديدات أمن المعلومات

عند صياغة تعريف أمن المعلومات AS، ذكرنا مفهوم التهديد. دعونا ننظر إليها بمزيد من التفصيل.

لاحظ أنه بشكل عام، يُفهم التهديد عادةً على أنه حدث أو إجراء أو عملية أو ظاهرة محتملة يمكن أن تؤدي إلى الإضرار بمصالح شخص ما. بدوره، فإن التهديد الذي يهدد أمن المعلومات في النظام الآلي هو إمكانية التأثير على المعلومات التي تتم معالجتها في نظام التشغيل، مما يؤدي إلى انتهاك سرية هذه المعلومات أو سلامتها أو توفرها، فضلاً عن إمكانية التأثير على مكونات نظام التشغيل. مما يؤدي إلى فقدانها أو تدميرها أو تعطلها.

ويمكن تصنيف التهديدات وفقا لمعايير عديدة. وهنا الأكثر شيوعا منهم. تسيرلوف ف. أساسيات أمن المعلومات للأنظمة الآلية - "فينيكس"، 2008 - ص 10

1. بناءً على طبيعة حدوثها، جرت العادة على التمييز بين التهديدات الطبيعية والاصطناعية.

تسمى التهديدات الطبيعية عادةً التهديدات التي تنشأ نتيجة تأثير العمليات الفيزيائية الموضوعية أو الظواهر الطبيعية التي لا تعتمد على البشر على AS. وفي المقابل، فإن التهديدات الاصطناعية سببها العامل البشري.

تشمل أمثلة المخاطر الطبيعية الحرائق والفيضانات وأمواج التسونامي والزلازل وما إلى ذلك. ومن السمات غير السارة لمثل هذه التهديدات الصعوبة الشديدة أو حتى استحالة التنبؤ بها.

2. حسب درجة القصد يتم التمييز بين التهديدات العرضية والمتعمدة.

تحدث التهديدات العرضية بسبب الإهمال أو الأخطاء غير المقصودة من جانب الموظفين. عادةً ما تنتج التهديدات المتعمدة عن نشاط مستهدف من قبل مهاجم.

تتضمن أمثلة التهديدات العرضية الإدخال غير المقصود للبيانات الخاطئة والأضرار غير المقصودة للمعدات. مثال على التهديد المتعمد هو اختراق المهاجم لمنطقة محمية في انتهاك لقواعد الوصول المادي المعمول بها.

3. اعتمادا على مصدر التهديد، من المعتاد التمييز بين:

- التهديدات الناشئة عن البيئة الطبيعية. ومن أمثلة هذه التهديدات الحرائق والفيضانات والكوارث الطبيعية الأخرى.

- التهديدات التي مصدرها البشر. ومن الأمثلة على هذا التهديد إدخال عملاء في صفوف أفراد AS من قبل منظمة منافسة.

- التهديدات التي تنشأ من البرامج والأجهزة المعتمدة. مثال على هذا التهديد هو الاستخدام غير الكفء لأدوات النظام المساعدة.

- التهديدات الناشئة عن البرامج والأجهزة غير المصرح بها. وتشمل هذه التهديدات، على سبيل المثال، إدخال برامج تسجيل المفاتيح في النظام.

4. بناءً على موقع مصدر التهديد يمكن تمييز ما يلي:

- التهديدات التي يقع مصدرها خارج المنطقة الخاضعة للسيطرة. ومن أمثلة هذه التهديدات اعتراض الإشعاع الكهرومغناطيسي الزائف (PEMIN) أو اعتراض البيانات المنقولة عبر قنوات الاتصال؛ التقاط الصور والفيديو عن بعد؛

اعتراض المعلومات الصوتية باستخدام الميكروفونات الاتجاهية.

- التهديدات التي يقع مصدرها ضمن المنطقة الخاضعة للسيطرة.

ومن أمثلة هذه التهديدات استخدام أجهزة الاستماع أو سرقة الوسائط التي تحتوي على معلومات سرية.

5. حسب درجة التأثير على AS، يتم التمييز بين التهديدات السلبية والإيجابية. التهديدات السلبية، عند تنفيذها، لا تؤدي إلى أي تغييرات في تكوين وهيكل AS.

على العكس من ذلك، يؤدي تنفيذ التهديدات النشطة إلى تعطيل بنية النظام الآلي.

ومن الأمثلة على التهديد السلبي النسخ غير المصرح به لملفات البيانات.

6. وفقا لطريقة الوصول إلى موارد AS، يتم تمييزها:

- التهديدات باستخدام الوصول القياسي. ومن الأمثلة على هذا التهديد الحصول غير المصرح به على كلمة المرور من خلال الرشوة أو الابتزاز أو التهديد أو العنف الجسدي ضد المالك الشرعي.

- التهديدات التي تستخدم مسار وصول غير قياسي. مثال على هذا التهديد هو استخدام قدرات غير معلنة للتدابير الأمنية.

يمكن الاستمرار في معايير تصنيف التهديدات، ولكن في الممارسة العملية يتم استخدام التصنيف الأساسي التالي للتهديدات في أغلب الأحيان، استنادًا إلى الخصائص الأساسية الثلاثة التي تم تقديمها مسبقًا للمعلومات المحمية:

1. التهديدات بانتهاك سرية المعلومات، والتي تصبح نتيجة لذلك المعلومات متاحة لجهة لا تملك صلاحية الاطلاع عليها.

2. التهديدات بانتهاك سلامة المعلومات، والتي تشمل أي تشويه ضار للمعلومات التي تتم معالجتها باستخدام النظام الآلي.

3. تهديدات انقطاع توافر المعلومات التي تنشأ في الحالات التي يتم فيها حظر الوصول إلى بعض موارد AS للمستخدمين القانونيين.

دعونا نلاحظ أن التهديدات الحقيقية لأمن المعلومات لا يمكن دائمًا تصنيفها بشكل صارم ضمن إحدى الفئات المدرجة. على سبيل المثال، يمكن تصنيف التهديد بسرقة وسائط التخزين، في ظل ظروف معينة، إلى الفئات الثلاث.

لاحظ أن إدراج التهديدات الخاصة بنظام آلي معين يعد مرحلة مهمة في تحليل نقاط الضعف في AS، والتي يتم تنفيذها، على سبيل المثال، كجزء من تدقيق أمن المعلومات، ويخلق الأساس لتحليل المخاطر لاحقًا. هناك طريقتان رئيسيتان لإدراج التهديدات:

1. بناء قوائم تعسفية للتهديدات. يتم تحديد التهديدات المحتملة من قبل الخبراء وتسجيلها بطريقة عشوائية وغير منظمة.

ويتميز هذا النهج بعدم الاكتمال وعدم اتساق النتائج التي تم الحصول عليها.

2. بناء أشجار التهديد. توصف التهديدات بأنها شجرة واحدة أو أكثر. يتم تنفيذ تفاصيل التهديد من الأعلى إلى الأسفل، وفي النهاية توفر كل ورقة من الشجرة وصفًا لتهديد محدد. يمكن تنظيم الاتصالات المنطقية بين الأشجار الفرعية إذا لزم الأمر.

لنأخذ كمثال شجرة التهديد الخاصة بحظر الوصول إلى تطبيق الشبكة (الملحق ب).

كما نرى، يمكن أن يحدث حظر الوصول إلى أحد التطبيقات إما نتيجة لهجوم DoS على واجهة الشبكة، أو نتيجة لإيقاف تشغيل الكمبيوتر. في المقابل، يمكن أن يحدث إيقاف تشغيل الكمبيوتر إما نتيجة للوصول الفعلي غير المصرح به للمهاجم إلى الكمبيوتر، أو نتيجة لاستخدام المهاجم لثغرة أمنية تنفذ هجوم تجاوز سعة المخزن المؤقت.

1.3 بناء أنظمة للحماية من التهديدات المتعلقة بانتهاكات سرية المعلومات

1.3.1 نموذج نظام الحماية

عند بناء أنظمة للحماية من تهديدات انتهاك سرية المعلومات في الأنظمة الآلية، يتم استخدام نهج متكامل. (ملحق ب).

كما يتبين من الرسم البياني أعلاه، يتم تنفيذ الحماية الأولية من خلال التدابير والآليات التنظيمية المطبقة للتحكم في الوصول المادي إلى AS. بعد ذلك، في مرحلة التحكم في الوصول المنطقي، يتم تنفيذ الحماية باستخدام خدمات أمان الشبكة المختلفة. وفي جميع الأحوال، يجب نشر مجموعة من الوسائل الهندسية والتقنية لحماية المعلومات بالتوازي، بما يحول دون إمكانية تسربها عبر القنوات التقنية.

دعونا نتناول المزيد من التفاصيل حول كل من الأنظمة الفرعية المشاركة في تنفيذ الحماية.

1.3.2 التدابير التنظيمية والأمنية

وتشمل هذه الآليات بشكل عام ما يلي:

- نشر نظام لمراقبة وتحديد الوصول المادي إلى عناصر النظام الآلي.

- إنشاء خدمة الأمن والأمن المادي.

- تنظيم آليات لمراقبة حركة الموظفين والزوار (باستخدام أنظمة المراقبة بالفيديو، وبطاقات القرب، وما إلى ذلك)؛

- تطوير وتنفيذ اللوائح والوصف الوظيفي والوثائق التنظيمية المماثلة؛

- تنظيم إجراءات العمل مع الوسائط التي تحتوي على معلومات سرية.

وبدون التأثير على منطق تشغيل AS، فإن هذه التدابير، عند تنفيذها بشكل صحيح وكاف، تشكل آلية حماية فعالة للغاية وحيوية لضمان سلامة أي نظام حقيقي.

1.3.3 تحديد الهوية والمصادقة

دعونا نتذكر أن تحديد الهوية يُفهم عادةً على أنه تعيين معرفات فريدة للوصول إلى الموضوعات ومقارنة هذه المعرفات بقائمة من المعرفات المحتملة. وفي المقابل، تُفهم المصادقة على أنها التحقق من أن موضوع الوصول يمتلك المعرف الذي قدمه وتأكيد صحته.

وبالتالي فإن مهمة التعريف هي الإجابة على سؤال «من هذا؟»، والتوثيق هو «هل هو حقًا؟»

يمكن تقسيم مجموعة طرق المصادقة المستخدمة حاليًا إلى 4 مجموعات كبيرة:

1. الأساليب المعتمدة على معرفة بعض المعلومات السرية.

من الأمثلة الكلاسيكية على هذه الأساليب حماية كلمة المرور، عندما يُطلب من المستخدم إدخال كلمة مرور - تسلسل معين من الأحرف - كوسيلة للمصادقة. طرق المصادقة هذه هي الأكثر شيوعًا.

2. الأساليب القائمة على استخدام كائن فريد. يمكن استخدام البطاقة الذكية أو الرمز المميز أو المفتاح الإلكتروني وما إلى ذلك كعنصر من هذا القبيل.

3. الأساليب المعتمدة على استخدام الخصائص البيومترية البشرية. من الناحية العملية، يتم استخدام واحدة أو أكثر من الخصائص البيومترية التالية في أغلب الأحيان:

- بصمات الأصابع؛

- رسم شبكية العين أو قزحية العين؛

- الرسم الحراري لليد؛

- صورة فوتوغرافية أو رسم حراري للوجه؛

- الكتابة اليدوية (الرسم)؛

- صوت.

الماسحات الضوئية الأكثر استخدامًا هي الماسحات الضوئية لبصمات الأصابع والماسحات الضوئية لشبكية العين والقزحية.

4. الأساليب المعتمدة على المعلومات المرتبطة بالمستخدم.

مثال على هذه المعلومات هو إحداثيات المستخدم المحددة باستخدام نظام تحديد المواقع العالمي (GPS). من غير المرجح أن يتم استخدام هذا النهج كآلية مصادقة واحدة، ولكنه مقبول تمامًا كواحدة من عدة آليات مشتركة.

هناك ممارسة واسعة النطاق تتمثل في استخدام العديد من الآليات المذكورة أعلاه معًا - وفي مثل هذه الحالات يتم الحديث عن المصادقة متعددة العوامل.

مميزات أنظمة التحقق من كلمة المرور

مع كل مجموعة متنوعة من آليات المصادقة الحالية، تظل الحماية بكلمة مرور هي الأكثر شيوعًا. وهناك عدة أسباب لذلك نذكر منها ما يلي:

- السهولة النسبية في التنفيذ. في الواقع، تنفيذ آلية الحماية بكلمة مرور لا يتطلب عادةً أجهزة إضافية.

- التقليد. إن آليات حماية كلمة المرور مألوفة لدى معظم مستخدمي الأنظمة الآلية ولا تسبب رفضًا نفسيًا - على عكس ماسحات الصور الشبكية على سبيل المثال.

في الوقت نفسه، تتميز أنظمة حماية كلمة المرور بمفارقة تزيد من تعقيد تنفيذها الفعال: كلمات المرور القوية ليست مناسبة جدًا للاستخدام البشري.

وفي الواقع، تزداد قوة كلمة المرور كلما أصبحت أكثر تعقيدًا؛ ولكن كلما كانت كلمة المرور أكثر تعقيدًا، كلما زادت صعوبة تذكرها، ويميل المستخدم إلى كتابة كلمة مرور غير ملائمة، مما يخلق قنوات إضافية لتشويه سمعتها.

دعونا نتناول المزيد من التفاصيل حول التهديدات الرئيسية لأمن أنظمة كلمات المرور. بشكل عام، يمكن للمهاجم الحصول على كلمة المرور بإحدى الطرق الثلاث الرئيسية:

1. من خلال استغلال نقاط الضعف في العامل البشري. يمكن أن تكون طرق الحصول على كلمات المرور هنا مختلفة تمامًا: التجسس، والتنصت، والابتزاز، والتهديدات، وأخيرًا، استخدام حسابات الآخرين بإذن أصحابها الشرعيين.

2. عن طريق الاختيار. يتم استخدام الطرق التالية:

- المبالغة الكاملة. تتيح لك هذه الطريقة تخمين أي كلمة مرور، بغض النظر عن مدى تعقيدها، ومع ذلك، بالنسبة لكلمة مرور قوية، يجب أن يتجاوز الوقت المطلوب لهذا الهجوم بشكل كبير موارد الوقت المسموح بها للمهاجم.

- الاختيار وفقا للقاموس. جزء كبير من كلمات المرور المستخدمة عمليًا عبارة عن كلمات أو تعبيرات ذات معنى. توجد قواميس لكلمات المرور الأكثر شيوعًا، والتي تتيح لك في كثير من الحالات الاستغناء عن القوة الغاشمة.

الاختيار باستخدام معلومات المستخدم. تعتمد هذه الطريقة الذكية لاختيار كلمات المرور على حقيقة أنه إذا كانت سياسة أمان النظام تنص على التعيين المستقل لكلمات المرور من قبل المستخدمين، ففي الغالبية العظمى من الحالات، سيتم تحديد بعض المعلومات الشخصية المرتبطة بمستخدم AS ككلمة مرور. وعلى الرغم من أن هذه المعلومات يمكن أن تكون أي شيء بدءًا من عيد ميلاد حماتك وحتى لقب كلبك المفضل، فإن الحصول على معلومات حول المستخدم يسمح لك بالتحقق من الخيارات الأكثر شيوعًا (أعياد الميلاد، وأسماء الأطفال، وما إلى ذلك).

3. من خلال الاستفادة من أوجه القصور في تنفيذ أنظمة كلمة المرور. تتضمن عيوب التنفيذ هذه نقاط ضعف قابلة للاستغلال في خدمات الشبكة التي تنفذ مكونات معينة من نظام حماية كلمة المرور، أو القدرات غير المعلنة للبرنامج أو الجهاز المقابل.

عند إنشاء نظام حماية بكلمة مرور، من الضروري مراعاة تفاصيل AS والاسترشاد بنتائج تحليل المخاطر الذي تم إجراؤه. وفي الوقت نفسه يمكن تقديم التوصيات العملية التالية:

- تحديد الحد الأدنى لطول كلمة المرور. من الواضح أن تنظيم الحد الأدنى المسموح به لطول كلمة المرور يجعل من الصعب على المهاجم تخمين كلمة المرور من خلال القوة الغاشمة.

- زيادة قوة الأبجدية كلمة المرور. من خلال زيادة الطاقة (التي يتم تحقيقها، على سبيل المثال، من خلال الاستخدام الإلزامي للأحرف الخاصة)، من الممكن أيضًا تعقيد البحث الشامل.

- التحقق من كلمات المرور ورفضها باستخدام القاموس. تجعل هذه الآلية من الصعب تخمين كلمات المرور باستخدام القاموس عن طريق رفض كلمات المرور التي من الواضح أنها سهلة التخمين.

- تحديد الحد الأقصى لفترة صلاحية كلمة المرور. انتهاء صلاحية كلمة المرور يحد من مقدار الوقت الذي يمكن أن يقضيه المهاجم في محاولة تخمين كلمة المرور. وبالتالي، فإن تقصير فترة صلاحية كلمة المرور يقلل من احتمالية تخمين كلمة المرور بنجاح.

- تحديد الحد الأدنى لفترة صلاحية كلمة المرور. تمنع هذه الآلية المستخدم من تغيير كلمة المرور الجديدة على الفور إلى كلمة المرور السابقة.

- الرفض بناءً على سجل محفوظات كلمة المرور. تمنع الآلية إعادة استخدام كلمات المرور، التي ربما تكون قد تم اختراقها مسبقًا.

- الحد من عدد محاولات إدخال كلمة المرور. الآلية المقابلة تجعل تخمين كلمة المرور التفاعلية أمرًا صعبًا.

- تغيير كلمة المرور القسرية عند قيام المستخدم بتسجيل الدخول لأول مرة إلى النظام. إذا تم تنفيذ الإنشاء الأولي لكلمات المرور لجميع المستخدمين بواسطة المسؤول، فقد يُطلب من المستخدم تغيير كلمة المرور الأولية عند تسجيل الدخول لأول مرة - وفي هذه الحالة، لن تكون كلمة المرور الجديدة معروفة للمسؤول.

- التأخير عند إدخال كلمة مرور غير صحيحة. تمنع الآلية تخمين كلمة المرور التفاعلية.

- حظر اختيار المستخدم لكلمة المرور وإنشاء كلمة المرور التلقائية. تتيح لك هذه الآلية ضمان قوة كلمات المرور التي تم إنشاؤها - ومع ذلك، لا تنس أنه في هذه الحالة، سيواجه المستخدمون حتماً مشاكل في تذكر كلمات المرور.

تقييم قوة أنظمة كلمات المرور Tsirlov V.L. أساسيات أمن المعلومات للأنظمة الآلية - "فينيكس"، 2008 - ص 16

دعونا نقيم العلاقات الأولية بين المعلمات الرئيسية لأنظمة كلمات المرور. دعونا نقدم التدوين التالي:

- أ - قوة الأبجدية كلمة المرور؛

- L - طول كلمة المرور؛

- S=AL - قوة مساحة كلمة المرور؛

- V - سرعة اختيار كلمة المرور؛

- T - مدة صلاحية كلمة المرور؛

- P - احتمالية تخمين كلمة المرور خلال فترة صلاحيتها.

ومن الواضح أن العلاقة التالية صحيحة:

عادة، يمكن اعتبار سرعة تخمين كلمة المرور V وفترة صلاحية كلمة المرور T معروفة. في هذه الحالة، من خلال تحديد القيمة المقبولة لاحتمال P لتخمين كلمة المرور خلال فترة صلاحيتها، يمكنك تحديد القوة المطلوبة لمساحة كلمة المرور S.

لاحظ أن تقليل سرعة تخمين كلمة المرور V يقلل من احتمالية تخمين كلمة المرور. ويترتب على ذلك، على وجه الخصوص، أنه إذا تم تحديد كلمات المرور عن طريق حساب دالة التجزئة ومقارنة النتيجة بقيمة معينة، فإن استخدام وظيفة التجزئة البطيئة سيضمن قوة أكبر لنظام كلمة المرور.

طرق تخزين كلمة المرور

بشكل عام، هناك ثلاث آليات محتملة لتخزين كلمات المرور في AS:

1. افتح. بالطبع، هذا الخيار ليس الأمثل، لأنه يقوم تلقائيًا بإنشاء العديد من القنوات لتسريب معلومات كلمة المرور. إن الحاجة الحقيقية لتخزين كلمات المرور بنص واضح نادرة للغاية، وعادة ما يكون هذا الحل نتيجة لعدم كفاءة المطور.

2. كقيمة تجزئة. تعتبر هذه الآلية ملائمة للتحقق من كلمات المرور، نظرًا لأن قيم التجزئة مرتبطة بشكل فريد بكلمة المرور، ولكنها ليست في حد ذاتها ذات أهمية للمهاجم.

3. مشفرة. يمكن تشفير كلمات المرور باستخدام بعض خوارزميات التشفير، ويمكن تخزين مفتاح التشفير:

- على أحد العناصر الدائمة للنظام؛

- على بعض الوسائط (المفتاح الإلكتروني، البطاقة الذكية، وما إلى ذلك) المقدمة أثناء تهيئة النظام؛

- يمكن إنشاء المفتاح من بعض معلمات أمان AS الأخرى - على سبيل المثال، من كلمة مرور المسؤول عند تهيئة النظام.

نقل كلمات المرور عبر الشبكة

خيارات التنفيذ الأكثر شيوعًا هي:

1. نقل كلمات المرور بنص واضح. هذا النهج ضعيف للغاية، حيث يمكن اعتراض كلمات المرور في قنوات الاتصال. على الرغم من ذلك، تتطلب العديد من بروتوكولات الشبكة المستخدمة عمليًا (على سبيل المثال، FTP) إرسال كلمات المرور بنص واضح.

2. يتم أحيانًا مواجهة تمرير كلمات المرور في شكل قيم تجزئة في الممارسة العملية، ولكن عادةً ما يكون ذلك غير منطقي - يمكن اعتراض تجزئات كلمة المرور وإعادة إرسالها بواسطة مهاجم عبر قناة اتصال.

3. يعد إرسال كلمات المرور بشكل مشفر في معظم الحالات هو الخيار الأكثر منطقية ومبررًا.

1.3.4 التحكم في الوصول

يُفهم التحكم في الوصول عمومًا على أنه تحديد صلاحيات الأشخاص لمزيد من التحكم في الاستخدام المصرح به للموارد المتاحة في النظام. من المعتاد التمييز بين طريقتين رئيسيتين للتحكم في الوصول: التقديرية والإلزامية.

التقديري هو تحديد الوصول بين الموضوعات المسماة والكائنات المسماة.

من الواضح أنه بدلاً من مصفوفة الوصول، يمكن استخدام قوائم الأذونات: على سبيل المثال، يمكن ربط كل مستخدم بقائمة الموارد المتاحة له مع الحقوق المقابلة، أو يمكن ربط كل مورد بقائمة مستخدمين تشير إلى حقوقهم للوصول إلى مورد معين.

عادةً ما يتم تطبيق التحكم الإلزامي في الوصول كتحكم في الوصول بناءً على مستويات الأمان. يتم تعيين أذونات كل مستخدم وفقًا للحد الأقصى لمستوى الخصوصية المسموح له به. في هذه الحالة، يجب تصنيف جميع موارد AS وفقًا لمستويات الخصوصية.

الفرق الأساسي بين التحكم في الوصول التقديري والإلزامي هو كما يلي: إذا كان في حالة التحكم في الوصول التقديري، يتم تحديد حقوق الوصول إلى مورد للمستخدمين من قبل مالكه، ثم في حالة التحكم في الوصول الإلزامي، يتم تعيين مستويات الخصوصية خارجيًا ولا يمكن لمالك المورد التأثير عليهم. مصطلح "إلزامي" في حد ذاته هو ترجمة غير ناجحة لكلمة إلزامية - "إلزامية". وبالتالي، ينبغي فهم التحكم الإلزامي في الوصول على أنه قسري.

1.3.5 طرق التشفير لضمان سرية المعلومات

لضمان سرية المعلومات، يتم استخدام أساسيات التشفير التالية:

1. أنظمة التشفير المتناظرة.

في أنظمة التشفير المتماثلة، يتم استخدام نفس المفتاح السري المشترك لتشفير وفك تشفير المعلومات، والتي تتبادلها الأطراف المتفاعلة مسبقًا عبر قناة آمنة.

تتضمن أمثلة أنظمة التشفير المتماثلة الخوارزمية المحلية GOST 28147-89، بالإضافة إلى المعايير الدولية DES وAES التي حلت محلها.

2. أنظمة التشفير غير المتماثلة.

تتميز أنظمة التشفير غير المتماثلة بحقيقة أنها تستخدم مفاتيح مختلفة لتشفير المعلومات وفك تشفيرها. يمكن جعل مفتاح التشفير (المفتاح العام) متاحًا للعامة حتى يتمكن أي شخص من تشفير رسالة لبعض المستلمين.

سيكون المستلم، باعتباره المالك الوحيد لمفتاح فك التشفير (المفتاح السري)، هو الشخص الوحيد الذي يمكنه فك تشفير الرسائل المشفرة له.

ومن أمثلة أنظمة التشفير غير المتماثلة RSA ومخطط الجمل.

تُستخدم أنظمة التشفير المتماثلة وغير المتماثلة، بالإضافة إلى مجموعات مختلفة منها، في AS بشكل أساسي لتشفير البيانات الموجودة على الوسائط المختلفة وتشفير حركة المرور.

تهديد شبكة معلومات الحماية

1.3.6 طرق حماية المحيط الخارجي

يتضمن النظام الفرعي لحماية المحيط الخارجي للنظام الآلي عادةً آليتين رئيسيتين: أدوات جدار الحماية وأدوات كشف التسلل. لحل المشكلات ذات الصلة، غالبًا ما يتم تنفيذ هذه الآليات في إطار منتج واحد وتعمل كوحدة واحدة. وفي الوقت نفسه، تتمتع كل آلية بالاكتفاء الذاتي وتستحق دراسة منفصلة.

جدار الحماية http://www.infotecs.ru

يقوم جدار الحماية (FW) بوظائف تحديد تدفقات المعلومات على حدود النظام الآلي المحمي. هذا يسمح:

- زيادة أمان الكائنات في البيئة الداخلية من خلال تجاهل الطلبات غير المصرح بها من البيئة الخارجية؛

- التحكم في تدفق المعلومات إلى البيئة الخارجية؛

- التأكد من تسجيل عمليات تبادل المعلومات.

يتم التحكم في تدفقات المعلومات عن طريق تصفية المعلومات، أي. وتحليلها وفق مجموعة من المعايير واتخاذ القرار بشأن التوزيع من وإلى AS.

اعتمادا على مبادئ التشغيل، هناك عدة فئات من جدران الحماية. ميزة التصنيف الرئيسية هي مستوى نموذج ISO/OSI الذي تعمل به المعدات المتنقلة.

1. مرشحات الحزمة.

أبسط فئة من جدران الحماية التي تعمل على مستويات الشبكة والنقل لنموذج ISO/OSI. تتم تصفية الحزم عادةً وفقًا للمعايير التالية:

- عنوان IP المصدر؛

- عنوان IP للمستلم؛

- منفذ المصدر؛

- منفذ المتلقي؛

- معلمات محددة لرؤوس حزم الشبكة.

يتم تنفيذ التصفية من خلال مقارنة المعلمات المدرجة لرؤوس حزم الشبكة مع قاعدة قواعد التصفية.

2. بوابات مستوى الجلسة

تعمل جدران الحماية هذه على مستوى الجلسة لنموذج ISO/OSI. على عكس مرشحات الحزمة، يمكنها التحكم في صلاحية جلسة الاتصال من خلال تحليل معلمات بروتوكولات طبقة الجلسة.

3. بوابات مستوى التطبيق

تسمح لك جدران الحماية من هذه الفئة بتصفية أنواع معينة من الأوامر أو مجموعات البيانات في بروتوكولات مستوى التطبيق. لهذا، يتم استخدام خدمات الوكيل - برامج الأغراض الخاصة التي تدير حركة المرور من خلال جدار الحماية لبعض البروتوكولات عالية المستوى (http، ftp، telnet، إلخ).

يظهر إجراء استخدام خدمات الوكيل في الملحق د.

إذا تم إنشاء اتصال شبكة بين الأطراف المتفاعلة A و B مباشرة دون استخدام خدمات الوكيل، ففي حالة استخدام خدمة الوكيل، يظهر وسيط - خادم وكيل يتفاعل بشكل مستقل مع المشارك الثاني في تبادل المعلومات. يتيح لك هذا المخطط التحكم في مقبولية استخدام أوامر البروتوكول الفردية عالية المستوى، بالإضافة إلى تصفية البيانات التي يتلقاها الخادم الوكيل من الخارج؛ في هذه الحالة، يمكن للخادم الوكيل، بناءً على السياسات المعمول بها، أن يقرر إمكانية أو استحالة نقل هذه البيانات إلى العميل أ.

4. جدران الحماية على مستوى الخبراء.

جدران الحماية الأكثر تعقيدًا، والتي تجمع بين عناصر الفئات الثلاث المذكورة أعلاه. بدلاً من خدمات الوكيل، تستخدم هذه الشاشات خوارزميات للتعرف على البيانات ومعالجتها على مستوى التطبيق.

يتم تصنيف معظم جدران الحماية المستخدمة حاليًا على أنها جدران حماية متخصصة. جدران الحماية الأكثر شهرة وانتشارًا هي CISCO PIX وCheckPoint FireWall-1.

أنظمة كشف التسلل

كشف التطفل هو عملية تحديد الوصول غير المصرح به (أو محاولة الوصول غير المصرح به) إلى موارد النظام الآلي. نظام كشف التسلل (IDS) بشكل عام هو عبارة عن مجمع من البرامج والأجهزة يعمل على حل هذه المشكلة.

هناك فئتان رئيسيتان لأنظمة IDS:

1. معرفات مستوى الشبكة.

في مثل هذه الأنظمة، يعمل المستشعر على مضيف مخصص لهذه الأغراض في جزء شبكة محمي. عادةً ما يعمل محول الشبكة الخاص بمضيف معين في الوضع المختلط، مما يسمح له بتحليل كل حركة مرور الشبكة التي تمر عبر المقطع.

2. معرفات مستوى المضيف.

إذا كان المستشعر يعمل على مستوى المضيف، فيمكن استخدام المعلومات التالية للتحليل:

- سجلات أدوات تسجيل نظام التشغيل القياسية؛

- معلومات حول الموارد المستخدمة؛

- لمحات عن سلوك المستخدم المتوقع.

كل نوع من IDS له مزاياه وعيوبه. لا تقلل معرفات IDS على مستوى الشبكة من الأداء العام للنظام، ولكن معرفات IDS على مستوى المضيف أكثر فعالية في تحديد الهجمات وتسمح لك بتحليل النشاط المرتبط بمضيف فردي. ومن الناحية العملية، من المستحسن استخدام الأنظمة التي تجمع بين كلا النهجين الموصوفين.

هناك تطورات تهدف إلى استخدام أساليب الذكاء الاصطناعي في أنظمة IDS. ومن الجدير بالذكر أن المنتجات التجارية حاليًا لا تحتوي على مثل هذه الآليات.

1.3.7 التسجيل والتدقيق نشيطمراجعة .narod.ru

يعد النظام الفرعي للتسجيل والتدقيق مكونًا إلزاميًا لأي AS. التسجيل، أو التسجيل، هو آلية مساءلة لنظام أمن المعلومات تسجل جميع الأحداث المتعلقة بالأمن. وفي المقابل، فإن التدقيق هو تحليل للمعلومات المسجلة بهدف تحديد ومنع انتهاكات نظام أمن المعلومات على الفور. يمكن اعتبار أنظمة كشف التسلل على مستوى المضيف بمثابة أنظمة تدقيق نشطة.

الغرض من آلية التسجيل والتدقيق:

- ضمان مساءلة المستخدمين والإداريين؛

- ضمان إمكانية إعادة بناء تسلسل الأحداث (والتي قد تكون ضرورية، على سبيل المثال، عند التحقيق في الحوادث المتعلقة بأمن المعلومات)؛

- الكشف عن محاولات انتهاك أمن المعلومات؛

- توفير المعلومات لتحديد وتحليل المشاكل الفنية غير المتعلقة بالسلامة.

يتم وضع البيانات المسجلة في سجل التسجيل، وهو عبارة عن مجموعة سجلات مرتبة ترتيبًا زمنيًا لنتائج أنشطة موضوعات AS، وهي كافية لاستعادة وعرض وتحليل تسلسل الإجراءات من أجل التحكم في النتيجة النهائية.

نظرًا لأن سجلات النظام هي المصدر الرئيسي للمعلومات لعمليات التدقيق اللاحقة واكتشاف الانتهاكات الأمنية، فيجب إيلاء أقصى قدر من الاهتمام لمسألة حماية سجلات النظام من التعديل غير المصرح به. يجب تصميم نظام التسجيل بحيث لا يتمكن أي مستخدم (بما في ذلك المسؤولين!) من تعديل إدخالات سجل النظام بشكل تعسفي.

لا يقل أهمية عن مسألة كيفية تخزين سجلات النظام. نظرًا لأنه يتم تخزين ملفات السجل على بعض أنواع الوسائط، فمن المحتم أن تنشأ مشكلة تجاوز الحد الأقصى المسموح به لحجم سجل النظام. وفي هذه الحالة قد يكون رد فعل النظام مختلفًا، على سبيل المثال:

- قد يتم حظر النظام حتى يتم حل مشكلة المساحة المتوفرة على القرص؛

- يمكن حذف أقدم إدخالات سجل النظام تلقائيًا؛

- يمكن للنظام الاستمرار في العمل عن طريق تعليق تسجيل المعلومات مؤقتًا.

وبطبيعة الحال، فإن الخيار الأخير غير مقبول في معظم الحالات، وينبغي تنظيم إجراءات تخزين سجلات النظام بشكل واضح في السياسة الأمنية للمنظمة.

1.4 بناء أنظمة الحماية ضد تهديدات السلامة

1.4.1 مبادئ النزاهة

تساهم معظم الآليات التي تحمي المعلومات من تهديدات انتهاكات السرية بدرجة أو بأخرى في ضمان سلامة المعلومات. في هذا القسم، سنتناول بمزيد من التفصيل الآليات الخاصة بنظام التكامل الفرعي. دعونا أولاً نقوم بصياغة المبادئ الأساسية لضمان النزاهة التي صاغها كلارك وويلسون:

1. صحة المعاملات.

ويتطلب المبدأ ضمان استحالة التعديل التعسفي للبيانات من قبل المستخدم. يجب تعديل البيانات فقط بطريقة تحافظ على سلامتها.

2. مصادقة المستخدم.

لا يمكن إجراء التغييرات على البيانات إلا بواسطة المستخدمين الذين تمت مصادقتهم لتنفيذ الإجراءات المناسبة.

3. تقليل الامتيازات.

يجب منح العمليات تلك الامتيازات فقط في النظام والتي تكون كافية لتنفيذها بالحد الأدنى.

4. الفصل بين الواجبات.

تتطلب العمليات الحرجة أو التي لا رجعة فيها مشاركة العديد من المستخدمين المستقلين.

ومن الناحية العملية، يمكن تنفيذ الفصل بين الواجبات إما عن طريق الأساليب التنظيمية البحتة أو باستخدام مخططات المشاركة السرية المشفرة.

5. تدقيق الأحداث التي وقعت.

ويتطلب هذا المبدأ إنشاء آلية لمساءلة المستخدمين تسمح بتتبع لحظات انتهاك سلامة المعلومات.

6. السيطرة الموضوعية.

من الضروري تنفيذ التخصيص التشغيلي للبيانات التي يكون التحكم في سلامتها مبررًا.

في الواقع، في معظم الحالات، تكون المراقبة الصارمة لسلامة جميع البيانات الموجودة في النظام غير عملية، ولو لأسباب تتعلق بالأداء فقط: مراقبة السلامة هي عملية كثيفة الاستخدام للموارد للغاية.

7. إدارة نقل الامتيازات.

يجب أن يتوافق إجراء نقل الامتيازات تمامًا مع الهيكل التنظيمي للمؤسسة.

تتيح المبادئ المذكورة تشكيل الهيكل العام لنظام الحماية ضد تهديدات السلامة (الملحق هـ).

وكما يتبين من الملحق هـ، فإن آليات التشفير لضمان السلامة جديدة بشكل أساسي مقارنة بالخدمات المستخدمة لبناء نظام للحماية من تهديدات انتهاكات السرية.

لاحظ أن آليات ضمان صحة المعاملة يمكن أن تتضمن أيضًا أساسيات التشفير في البذرة.

1.4.2 طرق التشفير لضمان سلامة المعلومات

عند بناء أنظمة الحماية ضد التهديدات المتعلقة بانتهاكات سلامة المعلومات، يتم استخدام أساسيات التشفير التالية:

- التوقيعات الرقمية؛

- وظائف التجزئة التشفير.

- رموز المصادقة.

التوقيعات الرقمية

التوقيع الرقمي هو آلية لتأكيد صحة وسلامة المستندات الرقمية. في كثير من النواحي، فهو مماثل للتوقيع المكتوب بخط اليد - على وجه الخصوص، يخضع لمتطلبات مماثلة تقريبًا:

1. يجب أن يتيح التوقيع الرقمي إثبات أن المؤلف الشرعي، وليس أي شخص آخر، هو الذي وقع على الوثيقة بوعي.

2. يجب أن يكون التوقيع الرقمي جزءًا لا يتجزأ من المستند.

يجب أن يكون من المستحيل فصل التوقيع عن المستند واستخدامه لتوقيع مستندات أخرى.

3. يجب أن يضمن التوقيع الرقمي عدم إمكانية تغيير الوثيقة الموقعة (بما في ذلك من قبل المؤلف نفسه!).

4. يجب أن يكون التوقيع على الوثيقة ثابتاً قانوناً. يجب أن يكون من المستحيل رفض تأليف الوثيقة الموقعة.

في أبسط الحالات، يمكن استخدام آلية مشابهة لنظام التشفير غير المتماثل لتنفيذ التوقيع الرقمي. سيكون الفرق هو أنه بالنسبة للتشفير (الذي هو التوقيع في هذه الحالة)، سيتم استخدام مفتاح سري، ولفك التشفير، الذي يلعب دور التحقق من التوقيع، سيتم استخدام مفتاح عام معروف.

سيكون إجراء استخدام التوقيع الرقمي في هذه الحالة كما يلي:

1. يتم تشفير المستند بالمفتاح الخاص للموقع، ويتم توزيع النسخة المشفرة مع المستند الأصلي كتوقيع رقمي.

2. يقوم المستلم، باستخدام المفتاح العام للموقع، بفك تشفير التوقيع ومقارنته بالأصل والتحقق من صحة التوقيع.

من السهل التحقق من أن هذا التنفيذ للتوقيع الرقمي يلبي تمامًا جميع المتطلبات المذكورة أعلاه، ولكن في نفس الوقت له عيب أساسي: حجم الرسالة المرسلة يتضاعف على الأقل. يتيح لك استخدام وظائف التجزئة التخلص من هذا العيب.

وظائف التجزئة التشفير

تسمى دالة النموذج y=f(x) بوظيفة التجزئة المشفرة إذا كانت تفي بالخصائص التالية:

1. يمكن أن يكون إدخال دالة التجزئة عبارة عن سلسلة من البيانات ذات طول عشوائي، ولكن النتيجة (تسمى التجزئة أو الملخص) لها طول ثابت.

2. يتم حساب قيمة y من قيمة x المعطاة في وقت متعدد الحدود، ومن المستحيل حساب قيمة x من قيمة y المعطاة في جميع الحالات تقريبًا.

3. من المستحيل حسابيًا العثور على قيمتي تجزئة إدخال تنتجان تجزئة متطابقة.

4. عند حساب التجزئة، يتم استخدام جميع المعلومات الموجودة في تسلسل الإدخال.

5. وصف الوظيفة مفتوح ومتاح للعامة.

دعونا نوضح كيف يمكن استخدام وظائف التجزئة في أنظمة التوقيع الرقمي. إذا لم تقم بالتوقيع على الرسالة نفسها، ولكن التجزئة الخاصة بها، فيمكنك تقليل كمية البيانات المرسلة بشكل كبير.

ومن خلال التوقيع على تجزئتها بدلاً من الرسالة الأصلية، فإننا ننقل النتيجة مع الرسالة الأصلية. يقوم المستلم بفك تشفير التوقيع ومقارنة النتيجة الناتجة بتجزئة الرسالة. إذا كان هناك تطابق، نستنتج أن التوقيع صحيح.

2 . برامج أمن المعلومات في CS

برنامج أمن المعلومات يعني البرامج الخاصة المضمنة في برنامج CS حصريًا لأداء وظائف الحماية.

تشمل الأدوات البرمجية الرئيسية لأمن المعلومات ما يلي:

* برامج تحديد الهوية والمصادقة لمستخدمي CS.

* برامج لتقييد وصول المستخدم إلى موارد CS؛

* برامج تشفير المعلومات؛

* برامج حماية موارد المعلومات (برامج النظام والتطبيقات، وقواعد البيانات، وأدوات التدريب على الكمبيوتر، وغيرها) من التعديل والاستخدام والنسخ غير المصرح به.

يجب أن يكون مفهوما أنه من خلال تحديد الهوية، فيما يتعلق بضمان أمن المعلومات لنظام الكمبيوتر، نعني الاعتراف الذي لا لبس فيه بالاسم الفريد لموضوع نظام الكمبيوتر. المصادقة تعني التأكيد على أن الاسم المقدم يتوافق مع موضوع معين (تأكيد صحة الموضوع) 8 Biyachuev T.A. أمن شبكات الشركات. الكتاب المدرسي / إد. إل جي أوسوفيتسكي - سانت بطرسبرغ: جامعة ولاية سانت بطرسبرغ ITMO، 2004، ص 64. .

يتضمن برنامج أمن المعلومات أيضًا:

* برامج لتدمير المعلومات المتبقية (في كتل ذاكرة الوصول العشوائي، والملفات المؤقتة، وما إلى ذلك)؛

* برامج التدقيق (الاحتفاظ بسجلات) الأحداث المتعلقة بسلامة محطة الضاغط للتأكد من إمكانية استرجاعها وإثبات حقيقة وقوع هذه الأحداث؛

* برامج محاكاة العمل مع المخالف (إلهائه للحصول على معلومات يفترض أنها سرية)؛

* اختبار برامج التحكم لأمن CS، الخ.

تشمل مزايا برامج أمن المعلومات ما يلي:

* سهولة النسخ.

* المرونة (القدرة على التخصيص لظروف التطبيق المختلفة، مع مراعاة تفاصيل التهديدات التي يتعرض لها أمن المعلومات في CS محددة)؛

* سهولة الاستخدام - تعمل بعض الأدوات البرمجية، مثل التشفير، في الوضع "الشفاف" (غير المرئي للمستخدم)، بينما لا يتطلب البعض الآخر أي مهارات جديدة (مقارنة بالبرامج الأخرى) من المستخدم؛

* إمكانيات غير محدودة تقريبًا لتطويرها من خلال إجراء تغييرات لتأخذ في الاعتبار التهديدات الجديدة لأمن المعلومات.

تشمل عيوب برامج أمن المعلومات ما يلي:

* تقليل فعالية CS بسبب استهلاك مواردها اللازمة لعمل برامج الحماية؛

* أداء أقل (مقارنة بأدوات أمان الأجهزة التي تؤدي وظائف مماثلة، مثل التشفير)؛

* إرساء العديد من أدوات حماية البرامج (وليس دمجها في برنامج CS، الشكل 4 و5)، مما يخلق إمكانية أساسية للمتسلل لتجاوزها؛

* احتمال حدوث تغييرات ضارة في حماية البرامج أثناء تشغيل CS.

2 .1 الأمان على مستوى نظام التشغيل

يعد نظام التشغيل أهم مكون برمجي لأي جهاز كمبيوتر، وبالتالي فإن الأمن العام لنظام المعلومات يعتمد إلى حد كبير على مستوى تنفيذ سياسة الأمان في كل نظام تشغيل محدد.

نظام التشغيل MS-DOS هو نظام تشغيل الوضع الحقيقي لمعالج Intel الدقيق، وبالتالي لا يمكن الحديث عن مشاركة ذاكرة الوصول العشوائي (RAM) بين العمليات. تشترك كافة البرامج المقيمة والبرنامج الرئيسي في نفس مساحة ذاكرة الوصول العشوائي (RAM). لا توجد حماية للملفات؛ من الصعب قول أي شيء محدد حول أمان الشبكة، لأنه في تلك المرحلة من تطوير البرامج، لم يتم تطوير برامج تشغيل تفاعل الشبكة بواسطة MicroSoft، ولكن بواسطة مطوري الطرف الثالث.

إن عائلة أنظمة التشغيل Windows 95 و98 وMillennium عبارة عن نسخ تم تصميمها في الأصل للاستخدام على أجهزة الكمبيوتر المنزلية. تستخدم أنظمة التشغيل هذه مستويات امتياز الوضع المحمي، ولكنها لا تقوم بأية فحوصات إضافية أو تدعم أنظمة واصف الأمان. ونتيجة لذلك، يمكن لأي تطبيق الوصول إلى كامل حجم ذاكرة الوصول العشوائي المتوفرة مع حقوق القراءة والكتابة. تدابير أمن الشبكة موجودة، ولكن تنفيذها ليس على قدم المساواة. علاوة على ذلك، في إصدار نظام التشغيل Windows 95، حدث خطأ أساسي جعل من الممكن التسبب عن بعد في تجميد الكمبيوتر في عدد قليل من الحزم، مما أدى أيضًا إلى تقويض سمعة نظام التشغيل بشكل كبير، وفي الإصدارات اللاحقة تم اتخاذ العديد من الخطوات للتحسين أمان الشبكة لهذا المستنسخ Zima V.، مولدوفا أ.، مولدوفيان ن. أمن تقنيات الشبكات العالمية. مسلسل "ماجستير". - سانت بطرسبورغ: BHV-بطرسبرغ، 2001، ص. 124. .

يعد جيل أنظمة التشغيل Windows NT، 2000 بالفعل تطويرًا أكثر موثوقية لشركة MicroSoft. إنها حقًا أنظمة متعددة المستخدمين تحمي بشكل موثوق ملفات المستخدمين المختلفين على القرص الصلب (ومع ذلك، لا يتم تشفير البيانات ويمكن قراءة الملفات دون مشاكل عن طريق التمهيد من قرص نظام تشغيل آخر - على سبيل المثال، MS-DOS) . تستخدم أنظمة التشغيل هذه بشكل فعال إمكانات الوضع المحمي لمعالجات Intel، ويمكنها حماية البيانات وتعليمات المعالجة البرمجية بشكل موثوق من البرامج الأخرى، ما لم ترغب العملية نفسها في توفير وصول إضافي إليها من خارج العملية.

على مدى فترة طويلة من التطوير، تم أخذ العديد من هجمات الشبكة والأخطاء الأمنية المختلفة في الاعتبار. تم إصدار التصحيحات الخاصة بها في شكل حزم الخدمة.

وثائق مماثلة

دراسة الطرق الأساسية للحماية من التهديدات التي تهدد سرية وسلامة وتوافر المعلومات. تشفير الملفات التي تعتبر ملكية سرية. باستخدام التوقيع الرقمي، تجزئة الوثيقة. الحماية ضد هجمات الشبكة على الإنترنت.

تمت إضافة الدورة التدريبية في 13/12/2015


تصنيف المعلومات حسب الأهمية. فئات سرية وسلامة المعلومات المحمية. مفهوم أمن المعلومات، مصادر التهديدات المعلوماتية. مجالات حماية المعلومات. طرق تشفير البرمجيات للحماية.

تمت إضافة الدورة التدريبية في 21/04/2015


مفهوم الحماية من التهديدات المتعمدة لسلامة المعلومات في شبكات الكمبيوتر. خصائص تهديدات أمن المعلومات: التسوية، وتعطيل الخدمة. خصائص شركة NPO Mekhinstrument LLC، الطرق والأساليب الرئيسية لأمن المعلومات.

أطروحة، أضيفت في 16/06/2012


مشكلات أمن المعلومات في شبكات المعلومات والاتصالات. دراسة التهديدات المعلوماتية وطرق تأثيرها على كائنات أمن المعلومات. مفاهيم أمن المعلومات في المؤسسات. طرق التشفير لحماية المعلومات.

أطروحة، أضيفت في 03/08/2013


الحاجة إلى حماية المعلومات. أنواع التهديدات الأمنية IP. الاتجاهات الرئيسية لحماية الأجهزة المستخدمة في تقنيات المعلومات الآلية. تحويلات التشفير: التشفير والترميز. القنوات المباشرة لتسرب البيانات.

تمت إضافة الدورة التدريبية في 22/05/2015


مفهوم أمن المعلومات، المفهوم والتصنيف، أنواع التهديدات. خصائص وسائل وأساليب حماية المعلومات من التهديدات العشوائية وتهديدات التدخل غير المصرح به. طرق التشفير لحماية المعلومات وجدران الحماية.

تمت إضافة الدورة التدريبية في 30/10/2009


أنواع التهديدات المتعمدة لأمن المعلومات. أساليب ووسائل أمن المعلومات. طرق ووسائل ضمان أمن المعلومات. طرق التشفير لحماية المعلومات. وسائل الحماية الشاملة.

الملخص، تمت إضافته في 17/01/2004


تطوير تكنولوجيات المعلومات الجديدة والحوسبة الشاملة. أمن المعلومات. تصنيف التهديدات المتعمدة لأمن المعلومات. أساليب ووسائل أمن المعلومات. طرق التشفير لحماية المعلومات.

تمت إضافة الدورة التدريبية في 17/03/2004


مفهوم ضمان أمن المعلومات في شركة Neurosoft LLC؛ تطوير نظام الحماية الشامل. كائنات المعلومات الخاصة بالشركة، ودرجة سريتها وموثوقيتها ونزاهتها؛ تحديد مصادر التهديدات والمخاطر واختيار وسائل الحماية.

تمت إضافة الدورة التدريبية في 23/05/2013


الأنواع الرئيسية للتهديدات التي تهدد أمن نظم المعلومات الاقتصادية. التعرض للبرامج الضارة. التشفير كوسيلة رئيسية لحماية المعلومات. الأساس القانوني لضمان أمن المعلومات. جوهر أساليب التشفير.