تُظهر الخبرة المتراكمة لتقنيات حماية المعلومات في شبكات الكمبيوتر أن النهج المتكامل لحماية المعلومات هو وحده القادر على ضمان متطلبات الأمان الحديثة.
ويعني النهج المتكامل التطوير الشامل لجميع أساليب ووسائل الحماية.
دعونا نفكر بإيجاز في الطرق والوسائل الرئيسية لضمان أمن المعلومات في شبكات الكمبيوتر.
تنقسم طرق حماية المعلومات إلى:
عوائق
صلاحية التحكم صلاحية الدخول
· تنكر
· أنظمة
· الإكراه
· تحفيز
يترك- طريقة لعرقلة مسار المهاجم فعليًا إلى المعلومات المحمية (الكمبيوتر، معدات الشبكة)
صلاحية التحكم صلاحية الدخول- طريقة لحماية المعلومات من خلال تنظيم استخدام جميع موارد النظام. يتضمن التحكم في الوصول ميزات الأمان التالية:
تحديد هوية المستخدمين والموظفين وموارد النظام عن طريق تعيين معرف شخصي لكل كائن؛
تحديد كائن أو موضوع بواسطة المعرف المقدم لهم؛
التحقق من صلاحية الموارد المطلوبة؛
تسجيل الطلبات للموارد المحمية؛
رد الفعل على محاولات اتخاذ إجراءات غير مصرح بها
تنكر- طريقة لحماية المعلومات باستخدام إغلاق التشفير (التشفير). حاليا هذه الطريقة هي الأكثر موثوقية.
هناك ثلاث خوارزميات رئيسية: خوارزمية DES، وخوارزمية Clipper (Capston) الحديثة وما يسمى بالمبادرة العامة - خوارزمية PGP.
تم تطوير خوارزمية التشفير DES (معيار تشفير البيانات) في أوائل السبعينيات. تم تنفيذ خوارزمية التشفير كدائرة متكاملة بطول مفتاح يبلغ 64 حرفًا (يتم استخدام 56 حرفًا مباشرة لخوارزمية التشفير و8 حرفًا لاكتشاف الأخطاء).
أظهرت حسابات الخوارزميات في ذلك الوقت أن مفتاح التشفير يمكن أن يحتوي على 72 كوادريليون مجموعة. تم اعتماد خوارزمية DES في الولايات المتحدة كمعيار معالجة المعلومات الفيدرالي في عام 1977، وفي منتصف الثمانينات تمت الموافقة عليها كمعيار دولي، والتي تخضع لإجراءات التأكيد كل خمس سنوات. لتقييم مستوى أمن المعلومات، يستشهد المحللون بالحقيقة التالية: جهاز كمبيوتر حديث بقيمة مليون دولار سيتمكن من فك الكود في 7 ساعات، وجهاز كمبيوتر بقيمة 10 ملايين دولار سيتمكن من فكه في 20 دقيقة، وجهاز كمبيوتر بقيمة 100 مليون دولار سيتمكن من فكه في 20 دقيقة. كسرها في 2 دقيقة. وكالة الأمن القومي الأمريكية لديها مثل هذا الكمبيوتر.
تم تطوير طريقة جديدة لتشفير المعلومات - تقنية Clipper - من قبل وكالة الأمن القومي الأمريكية للحماية من التنصت على المكالمات الهاتفية.
ولحماية البيانات، تسمى هذه الطريقة Capston. تعتمد الطريقة على مبدأ مفتاحين - الدوائر الدقيقة التي توفر تشفير المعلومات بسرعة تصل إلى 1 جيجابت في الثانية. يتلقى المستخدمون المفاتيح في نقطتين تديرهما وكالات حكومية أو مؤسسات خاصة. يتكون نظام المفتاح من دائرتين متكاملتين "Clipper chip" و"Capston chip" وخوارزمية التشفير SKIPJACK. تقوم خوارزمية التشفير بتشفير مجموعات الأحرف من البيانات باستخدام مفتاح مكون من 80 حرفًا في 32 تمريرة. إنها أقوى بـ 16 مليون مرة من خوارزمية DES، ويعتقد أنه في غضون بضعة عقود فقط ستتمكن أجهزة الكمبيوتر التي تبلغ قيمتها 100 مليون دولار من فك التشفير.
المعلومات في دقيقتين. تم تطوير بروتوكول تشفير خاص للإنترنت، SKIP (إدارة المفاتيح البسيطة لبروتوكول الإنترنت)، والذي يتحكم في تشفير تدفقات المعلومات.
لاحظ أن السلطات الفيدرالية الأمريكية حاليًا تحظر تصدير بروتوكول SKIP، لذلك تُبذل محاولات في العديد من البلدان لإنشاء نظيره.
تم تطوير برنامج التشفير PGP (خصوصية جيدة جدًا) في عام 1991 بواسطة المبرمج الأمريكي إف زيمرمان لتشفير رسائل البريد الإلكتروني. برنامج PGP مجاني للوصول إلى الإنترنت ويمكن تثبيته على أي جهاز كمبيوتر. يعتمد مبدأ تشغيل برنامج PGP على استخدام برنامجين رئيسيين: أحدهما للمرسل والآخر للمتلقي. البرامج الرئيسية محمية ليس بكلمات المرور، بل بعبارة التشفير. لا يمكن فك تشفير الرسالة إلا باستخدام مفتاحين. يستخدم برنامج PGP خوارزمية رياضية معقدة، والتي، إلى جانب مبدأ استخدام مفتاحين، تجعل فك التشفير مستحيلًا تقريبًا. تسبب ظهور برامج PGP في فضيحة في دوائر إنفاذ القانون في الولايات المتحدة، لأنها تجعل من المستحيل السيطرة على المعلومات.
لاحظ أن خوارزميات التشفير تستخدم على نطاق واسع لحماية التوقيعات الرقمية الإلكترونية.
يمكن الحصول على مزيد من المعلومات الكاملة حول طرق التشفير على www.cripto.com أو www.confident.ru
أنظمة- طريقة لحماية المعلومات التي تخلق مثل هذه الظروف للمعالجة الآلية وتخزين ونقل المعلومات المحمية، والتي بموجبها يكون احتمال التطفل غير المصرح به
سيتم تقليل الوصول إليها إلى الحد الأدنى.
إكراه- طريقة لحماية المعلومات حيث يضطر المستخدمون ومسؤولو الشبكة إلى الالتزام بقواعد معالجة ونقل واستخدام المعلومات المحمية بموجب
التهديد بالمسؤولية المادية أو الإدارية أو الجنائية.
الإغراء- طريقة حماية تشجع المستخدمين ومسؤولي الشبكة على عدم انتهاك المعايير الأخلاقية الموضوعة من خلال الامتثال.
تنقسم وسائل أمن المعلومات إلى:
· الوسائل التقنية
· برمجة
· الوسائل التنظيمية
· الأخلاقية والأخلاقية
· التشريعية
الأدوات البرمجية هي أشكال موضوعية تمثل مجموعة من البيانات والأوامر المخصصة لتشغيل أجهزة الكمبيوتر وأجهزة الكمبيوتر من أجل الحصول على نتيجة معينة، وكذلك المواد المعدة والمسجلة على وسيط مادي تم الحصول عليه أثناء تطويرها، وشاشات العرض السمعية والبصرية المتولدة عنهم. وتشمل هذه:
البرمجيات (مجموعة من برامج التحكم والمعالجة). مُجَمَّع:
برامج النظام (أنظمة التشغيل، برامج الصيانة)؛
برامج التطبيقات (البرامج المصممة لحل مشاكل من نوع معين، على سبيل المثال برامج تحرير النصوص، وبرامج مكافحة الفيروسات، ونظام إدارة قواعد البيانات، وما إلى ذلك)؛
البرامج الآلية (أنظمة البرمجة التي تتكون من لغات البرمجة: Turbo C، Microsoft Basic، إلخ. والمترجمون - مجموعة من البرامج التي توفر الترجمة التلقائية من اللغات الخوارزمية والرمزية إلى رموز الآلة)؛
معلومات الجهاز للمالك والمالك والمستخدم.
أقوم بإجراء مثل هذه التفاصيل من أجل فهم جوهر القضية قيد النظر بشكل أكثر وضوحًا لاحقًا، من أجل تسليط الضوء بشكل أكثر وضوحًا على أساليب ارتكاب جرائم الكمبيوتر وأشياء وأدوات الاعتداء الإجرامي، وكذلك للقضاء على الخلافات المتعلقة بمصطلحات معدات الحاسوب. بعد دراسة تفصيلية للمكونات الرئيسية التي تمثل معًا محتوى مفهوم الجرائم الحاسوبية، يمكننا الانتقال إلى النظر في القضايا المتعلقة بالعناصر الرئيسية للخصائص الجنائية لجرائم الحاسوب.
تشتمل برامج الأمان على برامج خاصة مصممة لأداء وظائف الأمان ومضمنة في برامج أنظمة معالجة البيانات. حماية البرمجيات هي أكثر أنواع الحماية شيوعًا، والتي يتم تسهيلها من خلال الخصائص الإيجابية لهذه الأداة مثل التنوع والمرونة وسهولة التنفيذ وإمكانيات غير محدودة تقريبًا للتغيير والتطوير، وما إلى ذلك. وفقًا للغرض الوظيفي منها، يمكن تقسيمها إلى المجموعات التالية:
تحديد الوسائل التقنية (المحطات الطرفية، أجهزة التحكم في المدخلات والمخرجات الجماعية، أجهزة الكمبيوتر، وسائط التخزين)، والمهام والمستخدمين؛
تحديد حقوق الوسائل التقنية (أيام وساعات التشغيل، المهام المسموح باستخدامها) والمستخدمين.
مراقبة تشغيل المعدات التقنية والمستخدمين؛
تسجيل تشغيل الوسائل التقنية والمستخدمين عند معالجة المعلومات ذات الاستخدام المحدود؛
تدمير المعلومات الموجودة في المخزن بعد الاستخدام؛
إنذارات بشأن الإجراءات غير المصرح بها؛
برامج مساعدة لأغراض مختلفة: مراقبة عمل الآلية الأمنية، ووضع ختم السرية على الوثائق الصادرة.
الحماية من الفيروسات
يعد أمن المعلومات أحد أهم العوامل في أي نظام كمبيوتر. ولضمان ذلك، تم إنشاء عدد كبير من أدوات البرامج والأجهزة. يشارك بعضهم في تشفير المعلومات، ويشارك البعض في تقييد الوصول إلى البيانات. تشكل فيروسات الكمبيوتر مشكلة خاصة. هذه فئة منفصلة من البرامج تهدف إلى تعطيل النظام وإتلاف البيانات. بين الفيروسات هناك عدد من الأصناف. بعضها موجود باستمرار في ذاكرة الكمبيوتر، وبعضها ينتج إجراءات مدمرة من خلال "ضربات" لمرة واحدة. هناك أيضًا فئة كاملة من البرامج التي تبدو جيدة جدًا من الخارج، ولكنها في الواقع تفسد النظام. تسمى هذه البرامج "أحصنة طروادة". إحدى الخصائص الرئيسية لفيروسات الكمبيوتر هي القدرة على "التكاثر" - أي. التوزيع الذاتي داخل الكمبيوتر وشبكة الكمبيوتر.
نظرًا لأن برامج التطبيقات المكتبية المختلفة كانت قادرة على العمل مع البرامج المكتوبة خصيصًا لها (على سبيل المثال، بالنسبة لـ Microsoft Office، يمكنك كتابة التطبيقات في Visual Basic)، فقد ظهر نوع جديد من البرامج الضارة - ما يسمى. فيروسات ماكرو. يتم توزيع الفيروسات من هذا النوع مع ملفات المستندات العادية، ويتم تضمينها داخلها كإجراءات روتينية عادية.
منذ وقت ليس ببعيد (هذا الربيع) كان هناك وباء فيروس Win95.CIH وأنواعه الفرعية العديدة. لقد دمر هذا الفيروس محتويات نظام BIOS الخاص بالكمبيوتر، مما جعله غير قادر على العمل. في كثير من الأحيان كان علينا التخلص من اللوحات الأم التي تضررت بسبب هذا الفيروس.
مع الأخذ في الاعتبار التطور القوي لأدوات الاتصال والزيادة الحادة في حجم تبادل البيانات، تصبح مشكلة الحماية من الفيروسات ملحة للغاية. من الناحية العملية، مع كل مستند يتم استلامه، على سبيل المثال، عن طريق البريد الإلكتروني، يمكن تلقي فيروس ماكرو، ويمكن لكل برنامج قيد التشغيل (نظريًا) أن يصيب الكمبيوتر ويجعل النظام غير صالح للعمل.
لذلك، فإن المجال الأكثر أهمية بين أنظمة الأمن هو مكافحة الفيروسات. هناك عدد من الأدوات المصممة خصيصًا لحل هذه المشكلة. يعمل بعضها في وضع المسح ويفحص محتويات محركات الأقراص الثابتة وذاكرة الوصول العشوائي بالكمبيوتر بحثًا عن الفيروسات. يجب أن يكون بعضها قيد التشغيل باستمرار وموجودًا في ذاكرة الكمبيوتر. وفي الوقت نفسه، يحاولون مراقبة جميع المهام الجارية.
في سوق البرمجيات الروسية، اكتسبت حزمة AVP، التي طورها مختبر أنظمة مكافحة الفيروسات Kaspersky، أكبر شعبية. هذا منتج عالمي يحتوي على إصدارات لمجموعة واسعة من أنظمة التشغيل.
يستخدم برنامج Kaspersky Anti-Virus (AVP) جميع أنواع الحماية الحديثة من الفيروسات: برامج مكافحة الفيروسات، والشاشات، والحواجز السلوكية، ومدققي التغيير. تدعم الإصدارات المختلفة للمنتج جميع أنظمة التشغيل وبوابات البريد وجدران الحماية وخوادم الويب الشائعة. يتيح لك النظام التحكم بجميع الطرق الممكنة لدخول الفيروسات إلى جهاز الكمبيوتر الخاص بالمستخدم، بما في ذلك الإنترنت والبريد الإلكتروني ووسائط التخزين المحمولة. تتيح لك أدوات إدارة Kaspersky Anti-Virus أتمتة أهم العمليات للتثبيت والإدارة المركزيين، سواء على جهاز كمبيوتر محلي أو في حالة الحماية الشاملة لشبكة المؤسسة. يقدم Kaspersky Lab ثلاثة حلول جاهزة للحماية من الفيروسات ومصممة للفئات الرئيسية من المستخدمين. أولاً، الحماية من الفيروسات للمستخدمين المنزليين (ترخيص واحد لجهاز كمبيوتر واحد). ثانيا، الحماية من الفيروسات للشركات الصغيرة (ما يصل إلى 50 محطة عمل على الشبكة). ثالثًا، الحماية من الفيروسات لمستخدمي الشركات (أكثر من 50 محطة عمل على الشبكة) لقد ولت الأيام التي كان يكفي فيها عدم استخدام الأقراص المرنة "العشوائية" وتشغيل Aidstest، للتأكد تمامًا من السلامة من "العدوى". الأداة المساعدة على الجهاز مرة أو مرتين في الأسبوع R، والتي تقوم بفحص القرص الصلب لجهاز الكمبيوتر الخاص بك بحثًا عن الكائنات المشبوهة. أولا، تم توسيع نطاق المناطق التي يمكن أن تنتهي فيها هذه الأشياء. البريد الإلكتروني المحتوي على الملفات "الضارة" المرفقة، وفيروسات الماكرو في المستندات المكتبية (معظمها من Microsoft Office)، و"أحصنة طروادة" - كل هذا ظهر مؤخرًا نسبيًا. ثانيا، توقف نهج عمليات التدقيق الدورية للقرص الصلب والمحفوظات عن تبرير نفسه - سيتعين إجراء مثل هذه الشيكات في كثير من الأحيان، وسوف يستغرقون الكثير من موارد النظام.
تم استبدال أنظمة الأمان القديمة بجيل جديد قادر على تتبع وتحييد "التهديد" في جميع المجالات المهمة - من البريد الإلكتروني إلى نسخ الملفات بين الأقراص. في الوقت نفسه، تنظم برامج مكافحة الفيروسات الحديثة حماية مستمرة - وهذا يعني أنها موجودة باستمرار في الذاكرة وتحلل المعلومات التي تتم معالجتها.
إحدى حزم الحماية من الفيروسات الأكثر شهرة والأكثر استخدامًا هي AVP من Kaspersky Lab. تأتي هذه الحزمة في العديد من الأشكال المختلفة. تم تصميم كل منها لحل مجموعة معينة من المشكلات الأمنية ولها عدد من الخصائص المحددة.
تنقسم أنظمة الحماية التي توزعها Kaspersky Lab إلى ثلاث فئات رئيسية، اعتمادًا على أنواع المهام التي تحلها. وتشمل هذه الحماية للشركات الصغيرة، وحماية المستخدمين المنزليين، وحماية العملاء من الشركات.
يتضمن AntiViral Toolkit Pro برامج تسمح لك بحماية محطات العمل التي تديرها أنظمة تشغيل مختلفة - ماسحات AVP لأنظمة DOS وWindows 95/98/NT وLinux وشاشات AVP لأنظمة Windows 95/98/NT وLinux وخوادم الملفات - مراقب AVP والماسح الضوئي لـ Novell Netware، والشاشة والماسح الضوئي لخادم NT، وخادم الويب - مفتش القرص، AVP Inspector لنظام التشغيل Windows، وخوادم بريد Microsoft Exchange - AVP لـ Microsoft Exchange والبوابات.
يتضمن AntiViral Toolkit Pro برامج الماسح الضوئي وبرامج المراقبة. تسمح لك الشاشات بتنظيم المزيد من التحكم الكامل اللازم في المناطق الأكثر أهمية في الشبكة.
في شبكات Windows 95/98/NT، يسمح AntiViral Toolkit Pro، باستخدام حزمة برامج AVP Network Control Center، بالإدارة المركزية للشبكة المنطقية بأكملها من محطة عمل المسؤول.
يتيح لك مفهوم AVP تحديث برامج مكافحة الفيروسات بسهولة وبشكل منتظم عن طريق استبدال قواعد بيانات مكافحة الفيروسات - وهي مجموعة من الملفات ذات امتداد .AVC، والتي تتيح لك اليوم اكتشاف وإزالة أكثر من 50000 فيروس. يتم إصدار تحديثات لقواعد بيانات مكافحة الفيروسات وتكون متاحة من خادم Kaspersky Lab يوميًا. حاليًا، تحتوي حزمة برامج مكافحة الفيروسات AntiViral Toolkit Pro (AVP) على واحدة من أكبر قواعد بيانات مكافحة الفيروسات في العالم.
معلومات ذات صله.
تتمتع حماية المعلومات في أنظمة الكمبيوتر بعدد من الميزات المحددة المتعلقة بحقيقة أن المعلومات ليست مرتبطة بشكل صارم بالوسيط ويمكن نسخها ونقلها بسهولة وسرعة عبر قنوات الاتصال. هناك عدد كبير جدًا من التهديدات التي تتعرض لها المعلومات والتي يمكن تنفيذها من قبل المخالفين الخارجيين والداخليين. يمكن تقسيم المشاكل الناشئة عن أمن نقل المعلومات عند العمل في شبكات الكمبيوتر إلى ثلاثة أنواع رئيسية: - اعتراض المعلومات - يتم الحفاظ على سلامة المعلومات، ولكن يتم انتهاك سريتها؛ - تعديل المعلومات – يتم تغيير الرسالة الأصلية أو استبدالها بالكامل بأخرى وإرسالها إلى المرسل إليه؛ - استبدال تأليف المعلومات. هذه المشكلة يمكن أن يكون لها عواقب وخيمة. على سبيل المثال، يمكن لشخص ما إرسال بريد إلكتروني نيابة عنك (يسمى هذا النوع من الخداع عادة بالانتحال) أو يمكن لخادم الويب أن يتظاهر بأنه متجر إلكتروني، ويقبل الطلبات، وأرقام بطاقات الائتمان، ولكن لا يرسل أي بضائع. أظهرت الدراسات التي أجريت حول ممارسة تشغيل أنظمة معالجة البيانات والحوسبة أن هناك العديد من الاتجاهات المحتملة لتسرب المعلومات وطرق الوصول غير المصرح به إلى الأنظمة والشبكات. فيما بينها:
قراءة المعلومات المتبقية في ذاكرة النظام بعد تنفيذ الطلبات المصرح بها؛
نسخ وسائط التخزين وملفات المعلومات من خلال التغلب على التدابير الأمنية؛
الإخفاء كمستخدم مسجل؛
الإخفاء كطلب نظام؛
استخدام مصائد البرامج؛
استغلال عيوب نظام التشغيل؛
الاتصال غير القانوني بالمعدات وخطوط الاتصالات؛
التعطيل الخبيث لآليات الحماية؛
مقدمة واستخدام فيروسات الكمبيوتر.
يتم ضمان أمن المعلومات في الطائرات وأجهزة الكمبيوتر التي تعمل بشكل مستقل من خلال مجموعة من التدابير التنظيمية والتنظيمية والتقنية والتقنية والبرنامجية. تشمل تدابير أمن المعلومات التنظيمية ما يلي:
تقييد الوصول إلى الأماكن التي يتم فيها إعداد المعلومات ومعالجتها؛
السماح فقط للمسؤولين المعتمدين بمعالجة ونقل المعلومات السرية؛
تخزين الوسائط الإلكترونية ودفاتر السجلات في خزائن مغلقة أمام الأشخاص غير المصرح لهم؛
منع الأشخاص غير المصرح لهم من الاطلاع على محتويات المواد المعالجة من خلال شاشة العرض أو الطابعة أو ما إلى ذلك؛
استخدام رموز التشفير عند نقل معلومات قيمة عبر قنوات الاتصال؛
تدمير أشرطة الحبر والورق والمواد الأخرى التي تحتوي على أجزاء من المعلومات القيمة.
لطرق التشفير لحماية المعلومات هي طرق خاصة لتشفير المعلومات أو تشفيرها أو تحويلها بطريقة أخرى، ونتيجة لذلك يصبح محتواها غير قابل للوصول دون تقديم مفتاح التشفير والتحويل العكسي. تعد طريقة التشفير للحماية، بالطبع، الطريقة الأكثر موثوقية للحماية، حيث أن المعلومات نفسها محمية، ولا يمكن الوصول إليها (على سبيل المثال، لا يمكن قراءة الملف المشفر حتى لو سُرقت الوسائط). يتم تنفيذ طريقة الحماية هذه في شكل برامج أو حزم برامج.
يتضمن التشفير الحديث أربعة أقسام رئيسية:
أنظمة التشفير المتناظرة. في أنظمة التشفير المتماثلة، يتم استخدام نفس المفتاح لكل من التشفير وفك التشفير. (التشفير هو عملية تحويل: يتم استبدال النص الأصلي، والذي يسمى أيضًا بالنص العادي، بنص مشفر، وفك التشفير هو عملية عكسية للتشفير. بناءً على المفتاح، يتم تحويل النص المشفر إلى النص الأصلي)؛
أنظمة تشفير المفتاح العام. تستخدم أنظمة المفاتيح العامة مفتاحين، مفتاح عام ومفتاح خاص، يرتبطان ببعضهما رياضيًا. يتم تشفير المعلومات باستخدام مفتاح عام، وهو متاح للجميع، ويتم فك تشفيرها باستخدام مفتاح خاص، معروف فقط لمتلقي الرسالة (المفتاح هو المعلومات اللازمة للتشفير وفك تشفير النصوص بشكل سلس).
التوقيع الإلكتروني. نظام التوقيع الإلكتروني. يسمى تحويل التشفير المرفق بالنص، والذي يسمح، عند استلام النص من قبل مستخدم آخر، بالتحقق من مؤلف الرسالة وصحتها.
ادارة المفاتيح. هذه هي عملية أنظمة معالجة المعلومات، ومحتواها هو تجميع وتوزيع المفاتيح بين المستخدمين.
عنالمجالات الرئيسية لاستخدام أساليب التشفير هي نقل المعلومات السرية من خلال قنوات الاتصال (على سبيل المثال، البريد الإلكتروني)، وإثبات صحة الرسائل المرسلة، وتخزين المعلومات (المستندات وقواعد البيانات) على الوسائط في شكل مشفر.
تشمل التهديدات النموذجية لأمن المعلومات عند استخدام شبكات الكمبيوتر العالمية ما يلي:
التهديدات غير المباشرة لأمن المعلومات عند العمل على الإنترنت، والتي تنشأ من التهديدات النموذجية المذكورة أعلاه، هي:
الأسباب الرئيسية التي تسهل على المهاجم تنفيذ التهديدات لأمن المعلومات في أنظمة الكمبيوتر الموزعة:
تتضمن الطرق الرئيسية لإنشاء CS الموزع الآمن ما يلي:
استخدام قنوات اتصال مخصصة عن طريق توصيل كل زوج من الكائنات الموزعة فعليًا
CS أو استخدام طوبولوجيا "النجمة" ومحول الشبكة الذي يتم من خلاله الاتصال بين الكائنات؛
إحدى طرق الحماية من التهديدات المذكورة أعلاه هي تقنية الشبكة الافتراضية الخاصة (VPN). على غرار إنشاء قناة اتصال مخصصة، تسمح لك شبكات VPN بإنشاء اتصال رقمي آمن بين طرفين (أو شبكتين) وإنشاء شبكة عالمية من الشبكات المحلية الموجودة. يتم نقل حركة مرور VPN عبر حركة مرور IP وتستخدم مخططات البيانات كبروتوكول طبقة نقل، مما يسمح لها بالتدفق بسلاسة عبر الإنترنت. لإخفاء البيانات المرسلة، تقوم شبكة VPN بتشفيرها. هناك حلول VPN للأجهزة التي توفر أقصى قدر من الحماية، بالإضافة إلى التطبيقات القائمة على البرامج أو البروتوكول.
أحد الأمثلة على حلول الأجهزة عند إنشاء شبكة VPN بين شبكتين محليتين (LAN) لمؤسسة ما هو استخدام أجهزة توجيه التشفير (الشكل 1.24).
خصائص أداة أمان البرامج والأجهزة - جهاز توجيه التشفير:
أرز. 1.24.
دعونا نشير بواسطة سي آر إكسو سي آر 2موجهات التشفير 1 و2 على التوالي، ومن خلال م(أ)، م(X)، م(كر X)و إعلان(كر 2) -عناوين IP لمحطات العمل أو Xوأجهزة توجيه التشفير. خوارزمية لتشغيل جهاز توجيه التشفير سي آر إكسعند إرسال حزمة بيانات من محطة عمل أإلى محطة العمل Xسيكون على النحو التالي:
خوارزمية لتشغيل جهاز توجيه التشفير سي آر 2عند الاستلام
حزمة محطة العمل العاشر:
في الإصدار المدروس من الحماية ضد الوصول غير المصرح به، يتم تحقيق الشفافية الكاملة لتشغيل أجهزة توجيه التشفير لتشغيل أي برنامج شبكة يستخدم مكدس بروتوكول TCP/IP. يتم ضمان سرية مساحة العنوان للشبكات الفرعية للمؤسسة واستقلالها عن العناوين الموجودة على الإنترنت (على غرار تقنية ترجمة عنوان الشبكة - NAT). يتم تحديد درجة حماية المعلومات المرسلة بالكامل من خلال مقاومة "اختراق" وظيفة التشفير المستخدمة. لا يلاحظ مستخدمو الشبكات الفرعية المحمية أي تغيير في تشغيل الشبكة، باستثناء بعض التباطؤ بسبب تشفير وفك تشفير الحزم المرسلة.
عند العمل مع عدد كبير من الشبكات الفرعية المحمية، من الضروري تخصيص جهاز توجيه تشفير خاص بوظائف مركز توزيع مفتاح التشفير للاتصال بين أزواج أجهزة توجيه التشفير، والتي يمكن أن تعمل في هذه الحالة في وضعين - تحميل التكوين والوضع الرئيسي - ويكون لديك مسار واحد ومفتاح تشفير واحد على الوسائط المحمية (المفتاح الرئيسي) للتواصل مع مركز توزيع المفاتيح.
بعد إنشاء اتصال بنجاح بين مركز توزيع المفاتيح وأحد أجهزة توجيه التشفير، يتم إرسال جدول التوجيه إليه، مشفرًا بمفتاح رئيسي مشترك مع المركز. بعد استلام جدول التوجيه وفك تشفيره، يدخل جهاز توجيه التشفير في وضع التشغيل الرئيسي.
يمكن أن توفر أدوات برامج VPN اتصالاً آمنًا بين كائنين في الشبكة على مستويات مختلفة من نموذج الاتصال البيني للأنظمة المفتوحة (OSI):
يقوم برنامج VPN بإنشاء ما يسمى بالنفق الذي يتم من خلاله نقل البيانات المشفرة. دعونا نفكر في إنشاء شبكة VPN بناءً على بروتوكول SKIP. رأس حزمة SKIP هو رأس IP قياسي، وبالتالي سيتم توزيع الحزمة المحمية باستخدام بروتوكول SKIP وتوجيهها بواسطة الأجهزة القياسية على أي شبكة TCP/1P.
يقوم SKIP بتشفير حزم IP دون معرفة أي شيء عن التطبيقات أو المستخدمين أو العمليات التي تولدها؛ فهو يتعامل مع كل حركة المرور دون فرض أي قيود على البرنامج الأساسي. SKIP مستقل عن الجلسة: لتنظيم تفاعل آمن بين زوج من المشتركين، لا يلزم تبادل معلومات إضافية أو نقل أي معلومات مفتوحة عبر قنوات الاتصال.
يعتمد SKIP على تشفير المفتاح العام Diffie-Hellman، والذي لا يوجد له بديل حاليًا داخل شبكة مثل الإنترنت. يوفر نظام التشفير هذا الفرصة لكل مشارك في تفاعل آمن لضمان السرية الكاملة للمعلومات من خلال عدم الكشف عن مفتاحه الخاص وفي نفس الوقت يسمح لهم بالتفاعل مع أي شريك، حتى لو كان غير مألوف، من خلال تبادل المفتاح العام بشكل آمن معه. ميزة أخرى لـ SKIP هي استقلالها عن نظام التشفير المتماثل. يمكن للمستخدم اختيار أي من خوارزميات التشفير التي يقدمها المورد أو استخدام خوارزمية التشفير الخاصة به.
وفقًا لبروتوكول SKIP، يتم تحديد رقم أولي كبير للشبكة الآمنة بأكملها روعدد صحيح أ(1 ). شروط الاختيار ص:الطول لا يقل عن 512 بت، وتحلل الأرقام ر- 1 إلى العوامل يجب أن تحتوي على عامل أولي كبير واحد على الأقل.
الخطوات الأساسية لبروتوكول SKIP:
.ل:يولد مفتاح خاص عشوائي س أويحسب المفتاح العام ص أ = أها (نموذج ر}.
المفتاح السري المشترك إلى أبلا تستخدم مباشرة لتشفير حركة المرور بين المشتركين أو فيولا يمكن اختراقها (ليس لدى محلل الشفرات ما يكفي من المواد للكشف عنها). لتسريع تبادل البيانات، يمكن حساب المفاتيح السرية المشتركة على كل عقدة من الشبكة الآمنة مسبقًا وتخزينها في شكل مشفر إلى جانب مفاتيح التشفير الخاصة غير المتماثلة.
استمرار بروتوكول SKIP:
7. أ(المرسل): يقوم بإنشاء مفتاح حزمة (جلسة) عشوائي ك ص،يقوم بتشفير حزمة IP الأصلية باستخدام هذا المفتاح P C = E KR (P)،يضعها (تغلفها) في كتلة بيانات حزمة SKIP، وتقوم بتشفيرها ك رباستخدام مفتاح سري مشترك EK=E كاف (K ص)،يضعها في رأس حزمة SKIP (يتم حجز المساحة في الرأس لقيمة التحكم /)، ويغلف حزمة SKIP المستلمة في كتلة بيانات حزمة IP الجديدة ص"(عنوانه هو نفس العنوان ص)،يحسب /= ن(ك ر، ر")والأماكن أنافي رأس الحزمة SKIP.
نظرًا لأن مفتاح الحزمة مشفر على المفتاح السري المشترك لمشتركين في الشبكة، يتم استبعاد إمكانية استبدال الإدراج المقلد / وفك تشفير حزمة IP الأصلية C.
يؤدي تغيير مفتاح الحزمة إلى زيادة أمان التبادل، نظرًا لأن الكشف عنه سيسمح بفك تشفير حزمة واحدة فقط (أو جزء صغير) من حزم IP. في التطبيقات الجديدة لـ SKIP EK = E SK (K P)،أين هو مفتاح الجلسة SK= N(K AB, N)، N -رقم عشوائي يتم إنشاؤه بواسطة المرسل ويتم تضمينه في رأس SKIP معه المفوضية الأوروبيةو في-الوقت بالساعات من 0 ساعة 01/01/95). إذا كان الوقت الحالي مختلفًا عن نبأكثر من 1، فإن المستلم لا يقبل الحزمة.
يعتمد بروتوكول SKIP على المفاتيح العامة، لذا يمكن استخدام الشهادات الرقمية الموضحة في توصية الاتحاد الدولي للاتصالات X.509 للتأكد من صحتها. تحدد مواصفات البروتوكول الإضافية الإجراء الخاص بتبادل المعلومات حول خوارزميات التشفير المدعومة لعقدة معينة على شبكة آمنة.
تظهر بنية بروتوكول IPSec في الشكل. 1.25. تم تصميم بروتوكول رأس المصادقة (AH) للحماية من الهجمات المرتبطة بالتغييرات غير المصرح بها لمحتويات الحزمة، بما في ذلك انتحال عنوان مرسل طبقة الشبكة. تم تصميم بروتوكول حمولة الأمان المغلف (ESP) لضمان سرية البيانات. يمكن أن يوفر خيار المصادقة الاختياري في هذا البروتوكول أيضًا التحكم في سلامة البيانات المشفرة.
أرز. 1.25.
يستخدم IPSec رابطة أمان الإنترنت وبروتوكول إدارة المفاتيح (ISAKMP) وبروتوكول Oakley، الذي يُسمى أحيانًا Internet Key Exchange (IKE)، لإدارة إعدادات الاتصالات الآمنة ومفاتيح التشفير.
تنقسم عملية اتصال IPSec إلى مرحلتين (الشكل 1.26). في المرحلة الأولى، يقوم مضيف IPSec بإنشاء اتصال بمضيف أو شبكة بعيدة. يتحقق المضيف/الشبكة البعيدة من بيانات اعتماد المضيف الطالب ويتفق الطرفان على طريقة المصادقة المستخدمة للاتصال.
حاسوب أحاسوب في
مؤسسة
أرز. 1.26.
في المرحلة الثانية من اتصال IPSec، يتم إنشاء اقتران أمان (SA) بين أقران IPSec. في الوقت نفسه، يتم إدخال معلومات التكوين في قاعدة بيانات SA (مجال التفسير - DOI)، على وجه الخصوص، خوارزمية التشفير، ومعلمات تبادل مفاتيح الجلسة، وما إلى ذلك. وتدير هذه المرحلة فعليًا اتصال IPSec بين المضيفين والشبكات البعيدة.
يحدد ISAKMP الأساس لإنشاء SAs ولا يرتبط بأي خوارزمية أو بروتوكول تشفير محدد. بروتوكول Oakley هو بروتوكول تحديد المفاتيح الذي يستخدم خوارزمية تبادل المفاتيح Diffie-Hellman (DH).
تم تصميم بروتوكول Oakley لمعالجة أوجه القصور في بروتوكول DH المرتبط بهجمات الانسداد (ينتحل المهاجم عنوان IP الخاص بالمرسل ويرسل مفتاحه العام إلى المستلم، مما يجبره على إجراء عمليات modulo غير المجدية بشكل متكرر) ورجل في- هجمات الوسط.
يجب على كل طرف في بروتوكول أوكلي إرسال رقم عشوائي (وصفة) في الرسالة الأولية ص،والتي يجب على الطرف الآخر الاعتراف بها في رسالة الرد الخاصة به (رسالة تبادل المفاتيح الأولى التي تحتوي على المفتاح العام). إذا تم انتحال عنوان IP الخاص بالمرسل، فلن يتلقى المهاجم رسالة تأكيد، ولن يتمكن من كتابة التأكيد بشكل صحيح، وسيقوم بتحميل العقدة الأخرى بعمل غير مفيد.
متطلبات الوصفة:
يدعم بروتوكول أوكلي أيضًا استخدام المجموعات زلبروتوكول DH. في كل مجموعة، تم تحديد معلمتين عالميتين (أجزاء من المفتاح العام) وخوارزمية تشفير (Diffie-Hellman أو تعتمد على المنحنيات الإهليلجية). يتم استخدام الأرقام العشوائية (التكرارات) للحماية من هجمات إعادة التشغيل ن،التي تظهر في رسائل الرد ويتم تشفيرها في خطوات معينة.
للمصادقة المتبادلة للأطراف في بروتوكول أوكلي، يمكن استخدام ما يلي:
مثال على التبادل النشط باستخدام بروتوكول أوكلي (يتكون الإصدار الأساسي من أربع خطوات - في الخطوتين الأولى والثانية يتم الاتفاق على معلمات الاتصال الآمن فقط دون حساب المفاتيح العامة ومفتاح الجلسة):
في الخطوة 2 فييتحقق من التوقيع الرقمي باستخدام ر.ك أ,يؤكد استلام الرسالة مع الوصفة لا،يضيف وصفته وحادثتين إلى رسالة الرد. في الخطوة 3 أيتحقق من التوقيع الرقمي باستخدام آر كيه الخامس,الوصفة والمناسبة الخاصة بك، تقوم بإنشاء وإرسال رسالة رد.
يظهر تنسيق رأس بروتوكول AH في الشكل. 1.27.
أرز. 1.27.
يعد حقل فهرس معلمات الأمان (SPI) مؤشرًا لاقتران الأمان. يتم إنشاء قيمة حقل رقم تسلسل الحزمة بواسطة المرسل وتعمل على الحماية من الهجمات المتعلقة بإعادة استخدام بيانات عملية المصادقة. في عملية إنشاء بيانات المصادقة، يتم حساب دالة التجزئة بشكل تسلسلي من مجموعة الحزمة الأصلية وبعض المفاتيح المتفق عليها مسبقًا، ثم من مجموعة النتيجة الناتجة والمفتاح المحول.
تمنع مصادقة NA معالجة حقول رأس IP أثناء رحلة الحزمة، ولكن لهذا السبب لا يمكن استخدام البروتوكول في بيئة تستخدم ترجمة عنوان الشبكة (NAT) لأن معالجة رأس IP ضرورية لكي يعمل.
يظهر تنسيق رأس بروتوكول ESP في الشكل. 1.28. نظرًا لأن الغرض الأساسي من ESP هو ضمان سرية البيانات، فقد تتطلب الأنواع المختلفة من المعلومات خوارزميات تشفير مختلفة، وقد يختلف تنسيق ESP بشكل كبير اعتمادًا على خوارزميات التشفير المستخدمة. يعد حقل بيانات المصادقة اختياريًا في رأس ESP. يقوم مستلم حزمة ESP بفك تشفير رأس ESP ويستخدم المعلمات والبيانات الخاصة بخوارزمية التشفير المطبقة لفك تشفير معلومات طبقة النقل.
أرز. 1.28.
هناك وضعان لاستخدام ESP وAN (بالإضافة إلى مجموعاتهما) - النقل والنفق:
في الجدول 1.3 يوفر مقارنة بين بروتوكولي IPSec وSSL.
الجدول 1.3.مقارنة بين بروتوكولات IPSec وSSL
صفة مميزة |
||
استقلال الأجهزة |
||
تغيير الكود |
لا توجد تغييرات التطبيق المطلوبة. قد يتطلب الوصول إلى التعليمات البرمجية المصدر لمكدس بروتوكول TCP/IP |
تغييرات التطبيق المطلوبة. قد تكون هناك حاجة إلى ملفات DLL جديدة أو الوصول إلى التعليمات البرمجية المصدرية للتطبيق |
حزمة IP كاملة. يتضمن حماية لبروتوكولات الطبقة العليا |
طبقة التطبيق فقط |
|
تصفية الحزمة |
استنادًا إلى العناوين المعتمدة وعناوين المصدر والوجهة وما إلى ذلك. مناسب لأجهزة التوجيه |
بناءً على محتوى ودلالات عالية المستوى. أكثر ذكاءً وتعقيدًا |
أداء |
عدد أقل من مفاتيح السياق وحركة البيانات |
المزيد من مفاتيح السياق وحركة البيانات. يمكن للكتل الكبيرة من البيانات تسريع عمليات التشفير وتوفير ضغط أفضل |
المنصات |
أي أنظمة، بما في ذلك أجهزة التوجيه |
الأنظمة النهائية بشكل أساسي (العملاء/الخوادم) وكذلك جدران الحماية |
جدار الحمايةL/RI |
كل حركة المرور محمية |
تتم حماية حركة المرور على مستوى التطبيق فقط. قد لا تكون رسائل ICMP أو RSVP أو QoS وما إلى ذلك آمنة |
الشفافية |
للمستخدمين والتطبيقات |
فقط للمستخدمين |
ومن بين أدوات الأجهزة والبرامج لضمان أمن المعلومات عند العمل على الإنترنت، يمكن تسليط الضوء على جدران الحماية وأدوات تحليل الأمان (ماسحات الثغرات الأمنية) وأنظمة كشف الهجمات وأنظمة التحكم في المحتوى (تحليل المحتوى وتصفية المحتوى).
تقوم جدران الحماية (جدران الحماية) بتنفيذ مجموعة من القواعد التي تحدد شروط مرور حزم البيانات من جزء من الشبكة الموزعة (المفتوحة) إلى جزء آخر (محمي). عادة، يتم تثبيت جدران الحماية (FWs) بين الإنترنت وشبكة الكمبيوتر المحلية للمؤسسة (الشكل 1.29)، على الرغم من أنه يمكن أيضًا وضعها داخل شبكة الشركة (بما في ذلك جدران الحماية الشخصية على كل كمبيوتر). اعتمادًا على مستوى تفاعل كائنات الشبكة، فإن الأنواع الرئيسية للمعدات المتنقلة هي موجهات التصفية وبوابات مستوى الجلسة وبوابات مستوى التطبيق. يشتمل ME على مستوى الخبراء على مكونات تتوافق مع اثنين أو ثلاثة من هذه الأصناف.
أرز. 1.29.
تتمثل الوظيفة الأساسية لتصفية أجهزة التوجيه العاملة في طبقة الشبكة للنموذج المرجعي في تصفية حزم البيانات التي تدخل أو تخرج من الجزء الآمن من الشبكة. عند التصفية، يتم استخدام المعلومات من رؤوس الحزمة:
تذكر أن المنفذ هو معرف رقمي (من 0 إلى 65.535) يستخدمه برامج العميل والخادم لإرسال واستقبال الرسائل.
تحدد قواعد التصفية ما إذا كانت الحزمة ذات المعلمات المحددة بواسطة هذه القواعد مسموحًا بها أو محظورة بالمرور عبر المعدات المتنقلة. في التين. يقدم 1.30 و1.31 مثالاً على إنشاء مثل هذه القاعدة. المزايا الرئيسية للمرشحات
أرز. 1.30.
أرز. 1.31.تتضمن إضافة معلومات البروتوكول والمنفذ إلى قاعدة تصفية جهاز التوجيه سهولة الإنشاء والتثبيت والتكوين، والشفافية للتطبيقات ومستخدمي الشبكة، والحد الأدنى من التأثير على أدائها، والتكلفة المنخفضة. عيوب أجهزة التوجيه التصفية:
تؤدي بوابات طبقة الجلسة وظيفتين رئيسيتين:
تقوم البوابة على مستوى الجلسة بإنشاء اتصال مع مضيف خارجي نيابة عن عميل معتمد من جزء آمن من الشبكة، وإنشاء قناة افتراضية باستخدام بروتوكول TCP، ثم نسخ حزم البيانات في كلا الاتجاهين دون تصفيتها. عندما تنتهي جلسة الاتصال، ينهي المعدات المتنقلة الاتصال القائم مع المضيف الخارجي.
أثناء عملية ترجمة عناوين 1P لأجهزة الكمبيوتر الموجودة في الجزء المحمي من الشبكة، والتي تتم بواسطة بوابة مستوى الجلسة، يتم تحويلها إلى عنوان 1P واحد مرتبط بجدار الحماية. وهذا يلغي التفاعل المباشر بين المضيفين على الشبكات المحمية والمفتوحة ولا يسمح للمهاجم بتنفيذ هجوم عن طريق انتحال عناوين IP.
تشمل مزايا بوابات مستوى الجلسة أيضًا بساطتها وموثوقيتها في تنفيذ البرنامج. تتمثل العيوب في عدم القدرة على التحقق من محتويات المعلومات المرسلة، مما يسمح للمهاجم بمحاولة إرسال حزم تحتوي على تعليمات برمجية ضارة من خلال هذا ME ثم الاتصال مباشرة بأحد الخوادم (على سبيل المثال، Veb-cepBepy) الخاصة بـ CS المهاجم .
لا تستبعد بوابات مستوى التطبيق التفاعل المباشر بين العميل المعتمد من الجزء المحمي من الشبكة والمضيف من الجزء المفتوح فحسب، بل تقوم أيضًا بتصفية جميع حزم البيانات الواردة والصادرة على مستوى التطبيق (أي بناءً على تحليل محتوى الشبكة). البيانات المرسلة). تشمل الوظائف الرئيسية لبوابات طبقة التطبيق ما يلي:
تتيح بوابات مستوى التطبيق توفير أعلى درجة من الحماية لنظام الكمبيوتر من الهجمات عن بعد، حيث يتم تنفيذ أي تفاعل مع مضيفي الجزء المفتوح من الشبكة من خلال برامج وسيطة تتحكم بشكل كامل في جميع حركة المرور الواردة والصادرة. تشمل المزايا الأخرى لبوابات طبقة التطبيق ما يلي:
تتمثل العيوب الرئيسية للبوابات على مستوى التطبيق في ارتفاع التكلفة، وتعقيد التطوير والتثبيت والتكوين، وانخفاض أداء CS، والافتقار إلى الشفافية للتطبيقات ومستخدمي CS.
يمكن استخدام جدران الحماية لإنشاء شبكات خاصة افتراضية.
من العيوب الشائعة لأي نوع من أنواع المعدات المتنقلة أن وسائل حماية البرامج والأجهزة، من حيث المبدأ، لا يمكنها منع العديد من أنواع الهجمات (على سبيل المثال، تهديدات الوصول غير المصرح به إلى المعلومات باستخدام خادم خدمة اسم مجال إنترنت زائف، والتهديدات بتحليل حركة مرور الشبكة في غياب VPN والتهديدات برفض الخدمة). قد يكون من الأسهل على المهاجم تنفيذ تهديد لتوفر المعلومات في CS الذي يستخدم ME، نظرًا لأنه يكفي مهاجمة المضيف فقط باستخدام ME لفصل جميع أجهزة الكمبيوتر الموجودة في الجزء المحمي من الشبكة من الشبكة الخارجية. شبكة.
في الوثيقة التوجيهية لـ FSTEC في روسيا "معدات الكمبيوتر. جدران الحماية. الحماية ضد الوصول غير المصرح به إلى المعلومات. مؤشرات الأمان ضد الوصول غير المصرح به إلى المعلومات" تم إنشاء خمس فئات من أمان ME (الأكثر أمانًا هي الدرجة الأولى). على سبيل المثال، تتطلب فئة الأمان الخامسة تصفية الحزم على مستوى الشبكة بناءً على عناوين IP الخاصة بالمرسل والمستلم، وتتطلب الفئة الثانية التصفية على مستويات الشبكة والنقل والتطبيق مع إخفاء الموضوعات والكائنات الخاصة بالشبكة والشبكة المحمية ترجمة العنوان.
المخططات الأكثر شيوعًا لوضع جدران الحماية في شبكة الكمبيوتر المحلية الخاصة بالمؤسسة هي:
قواعد الوصول إلى الموارد الداخلية لشبكة الكمبيوتر
يجب أن تعتمد المنظمات التي تطبق جدار الحماية على أحد المبادئ التالية:
يمكن لجهاز توجيه التصفية الموجود بين الشبكة المحمية والإنترنت تنفيذ أي من سياسات الأمان المحددة.
يعد جدار الحماية لبوابة التطبيقات ثنائي المنفذ مضيفًا مزودًا بواجهتين للشبكة.
عند نقل المعلومات بين هذه الواجهات، يتم تنفيذ التصفية الرئيسية. لتوفير أمان إضافي، يتم وضع جهاز توجيه مرشح بين بوابة التطبيق والإنترنت. ونتيجة لذلك، يتم تشكيل شبكة فرعية محمية داخلية بين بوابة التطبيق وجهاز التوجيه. يمكن استخدامه لاستضافة خادم معلومات يمكن الوصول إليه خارجيًا. يؤدي وضع خادم معلومات إلى زيادة أمان الشبكة، لأنه حتى لو اخترقها متسلل، فلن يتمكن من الوصول إلى خدمات شبكة الشركة من خلال بوابة ذات واجهتين.
على عكس جدار الحماية المزود بموجه تصفية، تعمل بوابة التطبيق على حظر حركة مرور IP بشكل كامل بين الإنترنت والشبكة المحمية. يمكن فقط للتطبيقات المعتمدة الموجودة على بوابة التطبيق توفير الخدمات والوصول إلى المستخدمين.
يطبق هذا الإصدار من جدار الحماية سياسة أمنية تعتمد على مبدأ "كل ما هو غير مسموح به صراحةً محظور"، ولا يتمتع المستخدم بحق الوصول إلا إلى خدمات الشبكة التي تم تحديد الأذونات المناسبة لها. يوفر هذا الأسلوب مستوى عالٍ من الأمان، نظرًا لأن المسارات إلى الشبكة الفرعية المحمية معروفة فقط لجدار الحماية وتكون مخفية عن الأنظمة الخارجية.
يعد مخطط تنظيم جدار الحماية قيد النظر بسيطًا نسبيًا وفعالًا للغاية. نظرًا لأن جدار الحماية يستخدم مضيفًا منفصلاً، فيمكن تثبيت برامج مصادقة المستخدم المحسنة عليه. يمكن لجدار الحماية أيضًا تسجيل الوصول ومحاولات التحقيق والهجمات على النظام، مما يمكن أن يساعد في تحديد تصرفات المتسللين.
يوفر جدار الحماية المعتمد على البوابة مرونة أكبر من جدار الحماية المعتمد على البوابة المزدوجة، ولكن هذه المرونة تأتي على حساب بعض التخفيض في الأمان. يتكون جدار الحماية من جهاز توجيه تصفية وبوابة تطبيق موجودة على جانب الشبكة الداخلية. يتم تنفيذ بوابة التطبيق على مضيف منفصل ولها واجهة شبكة واحدة فقط.
في هذا التصميم، يتم توفير الأمان أولاً عن طريق جهاز توجيه التصفية، الذي يقوم بتصفية أو حظر البروتوكولات التي يحتمل أن تكون خطرة لمنعها من الوصول إلى بوابة التطبيق والأنظمة الداخلية لشبكة الشركة. يمكن تنفيذ تصفية الحزم في موجه التصفية بناءً على إحدى القواعد التالية:
في هذا التكوين، يمكن لجدار الحماية استخدام مجموعة من سياستين، تعتمد العلاقة بينهما على سياسة الأمان المحددة المعتمدة على الشبكة الداخلية. على وجه الخصوص، يمكن تنظيم تصفية الحزم على جهاز توجيه التصفية بحيث توفر بوابة التطبيق، باستخدام تطبيقاتها المعتمدة، خدمات مثل Telnet وFTP وSMTP للأنظمة الموجودة في الشبكة المحمية.
العيب الرئيسي لجدار الحماية ذو البوابة المحمية هو أنه إذا تمكن متسلل من اختراق هذا المضيف، فإن أنظمة الشبكة الداخلية ستكون غير محمية أمامه. هناك عيب آخر يتعلق بالتسوية المحتملة لجهاز التوجيه، الأمر الذي سيؤدي إلى حقيقة أن الشبكة الداخلية تصبح متاحة للمهاجم.
يعد جدار حماية الشبكة الفرعية المحمية بمثابة تطور لتصميم جدار حماية البوابة المحمية. لإنشاء شبكة فرعية محمية، يتم استخدام جهازي توجيه محميين. يقع جهاز التوجيه الخارجي بين الإنترنت والشبكة الفرعية المحمية، ويقع جهاز التوجيه الداخلي بين الشبكة الفرعية المحمية والشبكة الداخلية المحمية.
تتضمن الشبكة الفرعية المحمية بوابة تطبيق، وقد تتضمن أيضًا خوادم معلومات وأنظمة أخرى تتطلب وصولاً متحكمًا فيه. يوفر تصميم جدار الحماية هذا مستوى عالٍ من الأمان عن طريق إنشاء شبكة فرعية محمية تعمل على عزل الشبكة الداخلية المحمية عن الإنترنت.
يقوم جهاز التوجيه الخارجي بحماية كل من الشبكة الفرعية المحمية والشبكة الداخلية من عمليات التطفل من الإنترنت. يرفض جهاز التوجيه الخارجي الوصول من شبكة WAN إلى الأنظمة الموجودة على شبكة الشركة ويحظر كل حركة المرور إلى الإنترنت القادمة من الأنظمة التي لا ينبغي لها بدء الاتصالات. يمكن أيضًا استخدام جهاز التوجيه هذا لحظر البروتوكولات الضعيفة الأخرى التي لا ينبغي استخدامها بواسطة أو من أجهزة الكمبيوتر الموجودة على الشبكة الداخلية.
يقوم جهاز التوجيه الداخلي بحماية الشبكة الداخلية من الوصول غير المصرح به سواء من الإنترنت أو من خلال شبكة فرعية محمية. بالإضافة إلى ذلك، فهو يقوم بمعظم تصفية الحزم ويدير أيضًا حركة المرور من وإلى أنظمة الشبكة الداخلية.
يعد جدار حماية الشبكة الفرعية المفحوصة مناسبًا تمامًا لحماية الشبكات ذات الكميات الكبيرة من حركة المرور أو معدلات البيانات العالية. وتشمل عيوبه حقيقة أن زوجًا من أجهزة توجيه التصفية يحتاج إلى الكثير من الاهتمام لضمان المستوى المطلوب من الأمان، نظرًا لأن الأخطاء في تكوينهما يمكن أن تسبب انتهاكات أمنية في الشبكة بأكملها. بالإضافة إلى ذلك، هناك إمكانية أساسية للوصول عبر بوابة التطبيق.
الوظائف الرئيسية للأدوات البرمجية لتحليل أمان CS (أجهزة فحص الثغرات الأمنية، وتقييم الثغرات الأمنية) هي:
تعمل أدوات التحليل الأمني على أساس مسح النصوص البرمجية المخزنة في قواعد بيانات خاصة وإخراج نتائج عملها على شكل تقارير يمكن تحويلها إلى صيغ مختلفة. هناك فئتان من أدوات فحص الثغرات الأمنية:
تستخدم أدوات فحص الثغرات الأمنية على مستوى الشبكة بنية خادم العميل لإجراء فحوصات الأمان. يقوم الخادم بإجراء عمليات الفحص، ويقوم العميل بتكوين جلسات الفحص وإدارتها على الكمبيوتر الذي يتم فحصه. توفر حقيقة إمكانية الفصل بين العميل والخادم العديد من المزايا. أولاً، يمكن أن يكون خادم الفحص موجودًا خارج شبكتك، ولكن يمكن الوصول إليه من داخل الشبكة من خلال العميل. ثانيًا، قد يدعم العملاء المختلفون أنظمة تشغيل مختلفة.
تشمل عيوب أدوات تحليل أمان CS ما يلي:
يمكن استخدام أنظمة كشف التسلل (IDS) لحل المشكلات التالية:
عادةً، تتضمن الأنظمة الحقيقية إمكانات من هاتين الفئتين.
في كلتا الحالتين، تستخدم أدوات الكشف عن الهجوم قواعد بيانات توقيع الهجوم مع أحداث الشبكة المسجلة وأنماط الهجمات المعروفة. تعمل هذه الأدوات في الوقت الفعلي وتستجيب لمحاولات استغلال نقاط ضعف CS المعروفة أو الاستكشاف غير المصرح به لجزء محمي من شبكة المؤسسة، كما تحتفظ أيضًا بسجل للأحداث المسجلة لتحليلها لاحقًا.
توفر أنظمة كشف التسلل طبقات إضافية من الحماية للنظام المحمي لأنها تراقب جدران الحماية، وأجهزة توجيه التشفير، وخوادم الشركات، وملفات البيانات الأكثر أهمية لآليات الأمان الأخرى. غالبًا ما تتضمن إستراتيجية الخصم شن هجمات أو تعطيل الأجهزة الأمنية التي توفر الأمان لهدف محدد. وستكون أنظمة كشف التسلل قادرة على التعرف على هذه العلامات المبكرة للهجوم، ومن حيث المبدأ، الاستجابة لها، مما يقلل من الأضرار المحتملة. بالإضافة إلى ذلك، عندما تفشل هذه الأجهزة بسبب أخطاء التكوين أو الهجوم أو خطأ المستخدم، يمكن لأنظمة كشف التسلل التعرف على المشكلة وإخطار الموظف.
تشمل العيوب الرئيسية لأدوات كشف التسلل ما يلي:
يعد وضع معرفات IDS على مستوى الشبكة أكثر فاعلية في محيط الشبكة المحلية الخاصة بالشركة على جانبي جدار الحماية. في بعض الأحيان يتم تثبيت IDS أمام الخوادم المهمة (على سبيل المثال، خادم قاعدة البيانات) للتحكم في حركة المرور إلى ذلك الخادم. ومع ذلك، فإن المشكلة في هذه الحالة هي أن حركة المرور على الشبكة الداخلية تنتقل بسرعة أعلى من الشبكة الخارجية، مما يؤدي إلى عدم قدرة IDS على التعامل مع كل حركة المرور، ونتيجة لذلك، انخفاض في إنتاجية الشبكة المحلية. ولهذا السبب يتم وضع معرفات الهوية (IDS) على مستوى الشبكة أمام خادم معين، للتحكم في اتصالات معينة فقط. في مثل هذه الحالات، يُفضل أحيانًا تثبيت نظام كشف الهجمات على مستوى المضيف على كل خادم محمي واكتشاف الهجمات عليه تحديدًا.
إن تمكين موظفي المؤسسة من الوصول إلى الإنترنت في أماكن عملهم له جوانب سلبية. يبدأون في قضاء وقت عملهم في قراءة النكات وممارسة الألعاب والدردشة مع الأصدقاء وما إلى ذلك. وتنخفض إنتاجية شبكة الشركة بسبب حقيقة "تنزيل" الأفلام والموسيقى من الإنترنت وتأخر تدفق المعلومات التجارية. يقوم الموظفون بتجميع كمية هائلة من المواد وإرسالها لبعضهم البعض، والتي يمكن أن يؤدي نشرها بشكل عرضي إلى عملاء المنظمة إلى الإضرار بسمعتها (الصور المثيرة والرسوم الكاريكاتورية وما إلى ذلك). وأخيرًا، قد تتسرب المعلومات السرية عبر خدمات البريد الإلكتروني التي لها واجهة إلكترونية.
تم تصميم أنظمة التحكم في المحتوى للحماية من التهديدات التالية:
يمكن تقسيم أنظمة التحكم بالمحتوى إلى
هناك نوعان من العيوب الرئيسية لأنظمة التحكم في حركة البريد والبريد الإلكتروني. بادئ ذي بدء، هو عدم القدرة على التحكم في الرسائل المشفرة من قبل المستخدمين. ولذلك، تحظر العديد من الشركات النقل غير المنضبط لمثل هذه الرسائل أو تستخدم وسيلة مركزية لتشفير حركة مرور البريد.
العيب الشائع الثاني لأنظمة التحكم في المحتوى هو صعوبة تحديد عناوين صفحات الويب المحظورة. أولا، من الضروري الحفاظ على هذه القائمة محدثة من أجل الكشف الفوري عن طلبات الموارد المحظورة التي تظهر باستمرار، وثانيا، هناك طريقة لتحديد العناوين غير القياسية، والتي غالبا ما تسمح لك بتجاوز آلية الأمان الخاصة نظام التحكم في المحتوى: يمكن للمستخدم استخدام اسم غير المجال، وهو ما يتم في الغالبية العظمى من الحالات، وعنوان 1P الخاص بالخادم الذي يحتاجه. وبدون جدار الحماية، سيكون من الصعب منع هذا الوصول.
أسئلة التحكم
سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.
تم النشر على http://www.allbest.ru/
مقدمة
1. الأحكام الأساسية لنظرية أمن المعلومات
1.1 أمن المعلومات. التعاريف الأساسية
1.2 تهديدات أمن المعلومات
1.3 بناء أنظمة للحماية من التهديدات المتعلقة بانتهاكات سرية المعلومات
1.3.1 نموذج نظام الحماية
1.3.2 التدابير التنظيمية والأمنية
1.3.3 تحديد الهوية والمصادقة
1.3.4 التحكم في الوصول
1.3.5 طرق التشفير لضمان سرية المعلومات
1.3.6 طرق حماية المحيط الخارجي
1.3.7 التسجيل والتدقيق
1.4 بناء أنظمة الحماية ضد تهديدات السلامة
1.4.1 مبادئ النزاهة
1.4.2 طرق التشفير لضمان سلامة المعلومات
1.5 بناء أنظمة الحماية ضد تهديدات إمكانية الوصول
2. برامج أمن المعلومات في CS
2.1 الأمن على مستوى نظام التشغيل
2.2 طرق حماية التشفير
2.3 تشفير القرص
2.4 برامج أمن المعلومات المتخصصة
2.5 اعتبارات الأمن المعماري
2.6 أنظمة الأرشفة والنسخ
2.7 التحليل الأمني
خاتمة
قائمة المصطلحات
قائمة المصادر المستخدمة
قائمة الاختصارات
لقد أعطى التقدم للإنسانية الكثير من الإنجازات، ولكن نفس التقدم أدى أيضًا إلى ظهور الكثير من المشكلات. العقل البشري، الذي يحل بعض المشاكل، يواجه حتما مشاكل أخرى جديدة. المشكلة الأبدية هي أمن المعلومات. في مراحل مختلفة من تطورها، قامت البشرية بحل هذه المشكلة بالخصوصية المتأصلة في عصر معين. إن اختراع الكمبيوتر والتطور السريع لتكنولوجيا المعلومات في النصف الثاني من القرن العشرين جعل مشكلة حماية المعلومات ذات أهمية وحادة مثل المعلوماتية ذات الصلة اليوم بالمجتمع بأكمله.
حتى يوليوس قيصر قرر حماية المعلومات القيمة أثناء عملية النقل. اخترع شفرة قيصر. جعل هذا التشفير من الممكن إرسال رسائل لا يمكن لأحد قراءتها إذا تم اعتراضها.
تم تطوير هذا المفهوم خلال الحرب العالمية الثانية. استخدمت ألمانيا آلة تسمى إنجما لتشفير الرسائل المرسلة إلى الوحدات العسكرية.
وبطبيعة الحال، فإن الطريقة التي نحمي بها المعلومات تتغير باستمرار، مع تغير مجتمعنا والتكنولوجيا. أدى ظهور أجهزة الكمبيوتر واستخدامها على نطاق واسع إلى حقيقة أن معظم الأشخاص والمنظمات بدأوا في تخزين المعلومات في شكل إلكتروني. هناك حاجة لحماية مثل هذه المعلومات.
في أوائل السبعينيات. في القرن العشرين، طور ديفيد بيل وليونارد لا بادولا نموذجًا أمنيًا للعمليات التي يتم إجراؤها على الكمبيوتر. وقد اعتمد هذا النموذج على المفهوم الحكومي لمستويات تصنيف المعلومات (غير مصنفة، سرية، سرية، سرية للغاية) ومستويات التخليص. إذا كان لدى شخص (موضوع) مستوى تصفية أعلى من مستوى تصنيف الملف (الكائن)، فقد تم منحه حق الوصول إلى الملف، وإلا تم رفض الوصول. تم تنفيذ هذا المفهوم في معيار معايير تقييم نظام الحوسبة الموثوقة (TCSEC) رقم 5200.28، الذي تم تطويره في عام 1983 من قبل وزارة الدفاع الأمريكية. وبسبب لون الغلاف أطلق عليه اسم "الكتاب البرتقالي".
يحدد الكتاب البرتقالي المتطلبات الوظيفية ومتطلبات الضمان لكل قسم. وكان على النظام أن يلبي هذه المتطلبات من أجل تلبية مستوى معين من الشهادات.
كان الامتثال لمتطلبات الضمان لمعظم شهادات الأمان يستغرق وقتًا طويلاً ومكلفًا. ونتيجة لذلك، تم اعتماد عدد قليل جدًا من الأنظمة أعلى من المستوى C2 (في الواقع، تم اعتماد نظام واحد فقط للمستوى A1 - Honeywell SCOMP) Cole E. دليل للحماية من المتسللين. - م: دار ويليامز للنشر، 2002 – ص25.
وقد حاولت معايير أخرى الفصل بين المتطلبات الوظيفية ومتطلبات الضمان. تم تضمين هذه التطورات في الكتاب الأخضر الألماني في عام 1989، والمعايير الكندية في عام 1990، ومعايير تقييم أمن تكنولوجيا المعلومات (ITSEC) في عام 1991، والمعايير الفيدرالية (المعروفة باسم "المعايير العامة") في عام 1992. يقدم كل معيار طريقة مختلفة للمصادقة على أمان أنظمة الكمبيوتر.
GOST 28147-89 هو معيار تشفير متماثل سوفيتي وروسي تم تقديمه في عام 1990، وهو أيضًا معيار لرابطة الدول المستقلة. الاسم الكامل - "GOST 28147-89 أنظمة معالجة المعلومات. حماية التشفير. خوارزمية تحويل التشفير." خوارزمية تشفير الكتلة. عند استخدام طريقة تشفير جاما، يمكنها أداء وظائف خوارزمية تشفير الدفق.
وفقا لبعض المعلومات، أ. فينوكوروف. خوارزمية التشفير GOST 28147-89 واستخدامها وتنفيذها لأجهزة الكمبيوتر الأساسية Intel x86 (http://www.enlight.ru)، تاريخ هذا التشفير أقدم بكثير. من المفترض أن الخوارزمية، التي شكلت فيما بعد أساس المعيار، قد ولدت في أحشاء المديرية الرئيسية الثامنة للكي جي بي في اتحاد الجمهوريات الاشتراكية السوفياتية (الآن ضمن هيكل FSB)، على الأرجح، في إحدى الأبحاث المغلقة المعاهد التابعة لها، ربما يعود تاريخها إلى السبعينيات كجزء من مشاريع لإنشاء تطبيقات البرامج والأجهزة للتشفير لمنصات الكمبيوتر المختلفة.
منذ نشر GOST، تم وضع علامة عليه بختم مقيد "للاستخدام الرسمي"، وتم إعلان التشفير رسميًا "مفتوحًا بالكامل" فقط في مايو 1994. لم يتم نشر تاريخ إنشاء التشفير ومعايير المطورين اعتبارًا من عام 2010.
إحدى المشاكل المرتبطة بمعايير تقييم أمان النظام هي عدم فهم آليات الشبكات. عند دمج أجهزة الكمبيوتر، تتم إضافة مشكلات أمنية جديدة إلى المشكلات القديمة. لم يعالج الكتاب البرتقالي المشاكل التي تنشأ عند توصيل أجهزة الكمبيوتر بشبكة مشتركة، لذلك في عام 1987 ظهر TNI (تفسير الشبكة الموثوقة)، أو الكتاب الأحمر. يحتفظ "الكتاب الأحمر" بجميع متطلبات الأمان من "الكتاب البرتقالي" ويحاول معالجة مساحة الشبكة وإنشاء مفهوم أمان الشبكة. ولسوء الحظ، ربط الكتاب الأحمر أيضًا بين الوظيفة والضمان. تم تقييم عدد قليل فقط من الأنظمة بواسطة TNI، ولم ينجح أي منها تجاريًا.
وفي هذه الأيام أصبحت المشاكل أكثر خطورة. بدأت المنظمات في استخدام الشبكات اللاسلكية، والتي لم يكن من الممكن أن يتوقع الكتاب الأحمر ظهورها. بالنسبة للشبكات اللاسلكية، تعتبر شهادة الكتاب الأحمر قديمة.
تتطور أنظمة الكمبيوتر وتقنيات الشبكات بسرعة كبيرة. وبناءً على ذلك، تظهر بسرعة أيضًا طرق جديدة لحماية المعلومات. لذلك، فإن موضوع عملي التأهيلي "برامج أمن المعلومات في الشبكات" وثيق الصلة بالموضوع.
الهدف من الدراسة هو المعلومات المنقولة عبر شبكات الاتصالات.
موضوع الدراسة هو أمن المعلومات للشبكات.
الهدف الرئيسي من العمل التأهيلي هو دراسة وتحليل برمجيات أمن المعلومات في الشبكات. ولتحقيق هذا الهدف لا بد من حل عدد من المشاكل:
النظر في التهديدات الأمنية وتصنيفها؛
وصف طرق ووسائل حماية المعلومات على الشبكة وتصنيفها وميزات تطبيقها؛
الكشف عن قدرات الوسائل المادية والأجهزة والبرامج لحماية المعلومات في شبكات الكمبيوتر (CN)، وتحديد مزاياها وعيوبها.
يتم تعريف مصطلح "المعلومات" بطرق مختلفة حسب العلوم المختلفة. لذلك، على سبيل المثال، في الفلسفة، تعتبر المعلومات ملكًا للأشياء والعمليات المادية للحفاظ على حالة معينة وتوليدها، والتي يمكن نقلها في أشكال مختلفة من المواد والطاقة من كائن إلى آخر. في علم التحكم الآلي، تسمى المعلومات عادةً مقياسًا لإزالة عدم اليقين. في المستقبل، من خلال المعلومات، سوف نفهم كل ما يمكن تمثيله في رموز الأبجدية المحدودة (على سبيل المثال، الثنائية).
قد يبدو هذا التعريف غير عادي إلى حد ما. وفي الوقت نفسه، فإنه يتبع بشكل طبيعي المبادئ المعمارية الأساسية للحوسبة الحديثة. في الواقع، نحن يقتصرون على قضايا أمن المعلومات للأنظمة الآلية - وكل ما تتم معالجته باستخدام تكنولوجيا الكمبيوتر الحديثة يتم تمثيله في شكل ثنائي. أساسيات أمن المعلومات للأنظمة الآلية - "فينيكس"، 2008 - ص 8
تهدف الأساليب الهندسية والتقنية إلى ضمان حماية المعلومات من التسرب عبر القنوات التقنية - على سبيل المثال، عن طريق اعتراض الإشعاع الكهرومغناطيسي أو معلومات الكلام. تعمل الأساليب القانونية والتنظيمية لحماية المعلومات على إنشاء إطار تنظيمي لتنظيم أنواع مختلفة من الأنشطة المتعلقة بضمان أمن المعلومات.
الأساليب النظرية لضمان أمن المعلومات بدورها تحل مشكلتين رئيسيتين. أولها هو إضفاء الطابع الرسمي على أنواع مختلفة من العمليات المتعلقة بضمان أمن المعلومات. على سبيل المثال، تتيح نماذج التحكم في الوصول الرسمية الوصف الدقيق لجميع تدفقات المعلومات الممكنة في النظام - وبالتالي ضمان استيفاء خصائص الأمان المطلوبة. وهذا يؤدي مباشرة إلى المهمة الثانية - الإثبات الصارم لصحة وكفاية أداء أنظمة أمن المعلومات عند تحليل أمنها. وتنشأ هذه المشكلة، على سبيل المثال، عند اعتماد الأنظمة الآلية وفقًا لمتطلبات أمن المعلومات.
لاحظ أنه بشكل عام، يُفهم التهديد عادةً على أنه حدث أو إجراء أو عملية أو ظاهرة محتملة يمكن أن تؤدي إلى الإضرار بمصالح شخص ما. بدوره، فإن التهديد الذي يهدد أمن المعلومات في النظام الآلي هو إمكانية التأثير على المعلومات التي تتم معالجتها في نظام التشغيل، مما يؤدي إلى انتهاك سرية هذه المعلومات أو سلامتها أو توفرها، فضلاً عن إمكانية التأثير على مكونات نظام التشغيل. مما يؤدي إلى فقدانها أو تدميرها أو تعطلها.
كما نرى، يمكن أن يحدث حظر الوصول إلى أحد التطبيقات إما نتيجة لهجوم DoS على واجهة الشبكة، أو نتيجة لإيقاف تشغيل الكمبيوتر. في المقابل، يمكن أن يحدث إيقاف تشغيل الكمبيوتر إما نتيجة للوصول الفعلي غير المصرح به للمهاجم إلى الكمبيوتر، أو نتيجة لاستخدام المهاجم لثغرة أمنية تنفذ هجوم تجاوز سعة المخزن المؤقت.
كما يتبين من الرسم البياني أعلاه، يتم تنفيذ الحماية الأولية من خلال التدابير والآليات التنظيمية المطبقة للتحكم في الوصول المادي إلى AS. بعد ذلك، في مرحلة التحكم في الوصول المنطقي، يتم تنفيذ الحماية باستخدام خدمات أمان الشبكة المختلفة. وفي جميع الأحوال، يجب نشر مجموعة من الوسائل الهندسية والتقنية لحماية المعلومات بالتوازي، بما يحول دون إمكانية تسربها عبر القنوات التقنية.
الاختيار باستخدام معلومات المستخدم. تعتمد هذه الطريقة الذكية لاختيار كلمات المرور على حقيقة أنه إذا كانت سياسة أمان النظام تنص على التعيين المستقل لكلمات المرور من قبل المستخدمين، ففي الغالبية العظمى من الحالات، سيتم تحديد بعض المعلومات الشخصية المرتبطة بمستخدم AS ككلمة مرور. وعلى الرغم من أن هذه المعلومات يمكن أن تكون أي شيء بدءًا من عيد ميلاد حماتك وحتى لقب كلبك المفضل، فإن الحصول على معلومات حول المستخدم يسمح لك بالتحقق من الخيارات الأكثر شيوعًا (أعياد الميلاد، وأسماء الأطفال، وما إلى ذلك).
الفرق الأساسي بين التحكم في الوصول التقديري والإلزامي هو كما يلي: إذا كان في حالة التحكم في الوصول التقديري، يتم تحديد حقوق الوصول إلى مورد للمستخدمين من قبل مالكه، ثم في حالة التحكم في الوصول الإلزامي، يتم تعيين مستويات الخصوصية خارجيًا ولا يمكن لمالك المورد التأثير عليهم. مصطلح "إلزامي" في حد ذاته هو ترجمة غير ناجحة لكلمة إلزامية - "إلزامية". وبالتالي، ينبغي فهم التحكم الإلزامي في الوصول على أنه قسري.
يتضمن النظام الفرعي لحماية المحيط الخارجي للنظام الآلي عادةً آليتين رئيسيتين: أدوات جدار الحماية وأدوات كشف التسلل. لحل المشكلات ذات الصلة، غالبًا ما يتم تنفيذ هذه الآليات في إطار منتج واحد وتعمل كوحدة واحدة. وفي الوقت نفسه، تتمتع كل آلية بالاكتفاء الذاتي وتستحق دراسة منفصلة.
إذا تم إنشاء اتصال شبكة بين الأطراف المتفاعلة A و B مباشرة دون استخدام خدمات الوكيل، ففي حالة استخدام خدمة الوكيل، يظهر وسيط - خادم وكيل يتفاعل بشكل مستقل مع المشارك الثاني في تبادل المعلومات. يتيح لك هذا المخطط التحكم في مقبولية استخدام أوامر البروتوكول الفردية عالية المستوى، بالإضافة إلى تصفية البيانات التي يتلقاها الخادم الوكيل من الخارج؛ في هذه الحالة، يمكن للخادم الوكيل، بناءً على السياسات المعمول بها، أن يقرر إمكانية أو استحالة نقل هذه البيانات إلى العميل أ.
يعد النظام الفرعي للتسجيل والتدقيق مكونًا إلزاميًا لأي AS. التسجيل، أو التسجيل، هو آلية مساءلة لنظام أمن المعلومات تسجل جميع الأحداث المتعلقة بالأمن. وفي المقابل، فإن التدقيق هو تحليل للمعلومات المسجلة بهدف تحديد ومنع انتهاكات نظام أمن المعلومات على الفور. يمكن اعتبار أنظمة كشف التسلل على مستوى المضيف بمثابة أنظمة تدقيق نشطة.
نظرًا لأن سجلات النظام هي المصدر الرئيسي للمعلومات لعمليات التدقيق اللاحقة واكتشاف الانتهاكات الأمنية، فيجب إيلاء أقصى قدر من الاهتمام لمسألة حماية سجلات النظام من التعديل غير المصرح به. يجب تصميم نظام التسجيل بحيث لا يتمكن أي مستخدم (بما في ذلك المسؤولين!) من تعديل إدخالات سجل النظام بشكل تعسفي.
تساهم معظم الآليات التي تحمي المعلومات من تهديدات انتهاكات السرية بدرجة أو بأخرى في ضمان سلامة المعلومات. في هذا القسم، سنتناول بمزيد من التفصيل الآليات الخاصة بنظام التكامل الفرعي. دعونا أولاً نقوم بصياغة المبادئ الأساسية لضمان النزاهة التي صاغها كلارك وويلسون:
يجب أن يكون مفهوما أنه من خلال تحديد الهوية، فيما يتعلق بضمان أمن المعلومات لنظام الكمبيوتر، نعني الاعتراف الذي لا لبس فيه بالاسم الفريد لموضوع نظام الكمبيوتر. المصادقة تعني التأكيد على أن الاسم المقدم يتوافق مع موضوع معين (تأكيد صحة الموضوع) 8 Biyachuev T.A. أمن شبكات الشركات. الكتاب المدرسي / إد. إل جي أوسوفيتسكي - سانت بطرسبرغ: جامعة ولاية سانت بطرسبرغ ITMO، 2004، ص 64. .
يعد نظام التشغيل أهم مكون برمجي لأي جهاز كمبيوتر، وبالتالي فإن الأمن العام لنظام المعلومات يعتمد إلى حد كبير على مستوى تنفيذ سياسة الأمان في كل نظام تشغيل محدد.
نظام التشغيل MS-DOS هو نظام تشغيل الوضع الحقيقي لمعالج Intel الدقيق، وبالتالي لا يمكن الحديث عن مشاركة ذاكرة الوصول العشوائي (RAM) بين العمليات. تشترك كافة البرامج المقيمة والبرنامج الرئيسي في نفس مساحة ذاكرة الوصول العشوائي (RAM). لا توجد حماية للملفات؛ من الصعب قول أي شيء محدد حول أمان الشبكة، لأنه في تلك المرحلة من تطوير البرامج، لم يتم تطوير برامج تشغيل تفاعل الشبكة بواسطة MicroSoft، ولكن بواسطة مطوري الطرف الثالث.
إن عائلة أنظمة التشغيل Windows 95 و98 وMillennium عبارة عن نسخ تم تصميمها في الأصل للاستخدام على أجهزة الكمبيوتر المنزلية. تستخدم أنظمة التشغيل هذه مستويات امتياز الوضع المحمي، ولكنها لا تقوم بأية فحوصات إضافية أو تدعم أنظمة واصف الأمان. ونتيجة لذلك، يمكن لأي تطبيق الوصول إلى كامل حجم ذاكرة الوصول العشوائي المتوفرة مع حقوق القراءة والكتابة. تدابير أمن الشبكة موجودة، ولكن تنفيذها ليس على قدم المساواة. علاوة على ذلك، في إصدار نظام التشغيل Windows 95، حدث خطأ أساسي جعل من الممكن التسبب عن بعد في تجميد الكمبيوتر في عدد قليل من الحزم، مما أدى أيضًا إلى تقويض سمعة نظام التشغيل بشكل كبير، وفي الإصدارات اللاحقة تم اتخاذ العديد من الخطوات للتحسين أمان الشبكة لهذا المستنسخ Zima V.، مولدوفا أ.، مولدوفيان ن. أمن تقنيات الشبكات العالمية. مسلسل "ماجستير". - سانت بطرسبورغ: BHV-بطرسبرغ، 2001، ص. 124. .
يعد جيل أنظمة التشغيل Windows NT، 2000 بالفعل تطويرًا أكثر موثوقية لشركة MicroSoft. إنها حقًا أنظمة متعددة المستخدمين تحمي بشكل موثوق ملفات المستخدمين المختلفين على القرص الصلب (ومع ذلك، لا يتم تشفير البيانات ويمكن قراءة الملفات دون مشاكل عن طريق التمهيد من قرص نظام تشغيل آخر - على سبيل المثال، MS-DOS) . تستخدم أنظمة التشغيل هذه بشكل فعال إمكانات الوضع المحمي لمعالجات Intel، ويمكنها حماية البيانات وتعليمات المعالجة البرمجية بشكل موثوق من البرامج الأخرى، ما لم ترغب العملية نفسها في توفير وصول إضافي إليها من خارج العملية.
على مدى فترة طويلة من التطوير، تم أخذ العديد من هجمات الشبكة والأخطاء الأمنية المختلفة في الاعتبار. تم إصدار التصحيحات الخاصة بها في شكل حزم الخدمة.
دراسة الطرق الأساسية للحماية من التهديدات التي تهدد سرية وسلامة وتوافر المعلومات. تشفير الملفات التي تعتبر ملكية سرية. باستخدام التوقيع الرقمي، تجزئة الوثيقة. الحماية ضد هجمات الشبكة على الإنترنت.
تمت إضافة الدورة التدريبية في 13/12/2015
تصنيف المعلومات حسب الأهمية. فئات سرية وسلامة المعلومات المحمية. مفهوم أمن المعلومات، مصادر التهديدات المعلوماتية. مجالات حماية المعلومات. طرق تشفير البرمجيات للحماية.
تمت إضافة الدورة التدريبية في 21/04/2015
مفهوم الحماية من التهديدات المتعمدة لسلامة المعلومات في شبكات الكمبيوتر. خصائص تهديدات أمن المعلومات: التسوية، وتعطيل الخدمة. خصائص شركة NPO Mekhinstrument LLC، الطرق والأساليب الرئيسية لأمن المعلومات.
أطروحة، أضيفت في 16/06/2012
مشكلات أمن المعلومات في شبكات المعلومات والاتصالات. دراسة التهديدات المعلوماتية وطرق تأثيرها على كائنات أمن المعلومات. مفاهيم أمن المعلومات في المؤسسات. طرق التشفير لحماية المعلومات.
أطروحة، أضيفت في 03/08/2013
الحاجة إلى حماية المعلومات. أنواع التهديدات الأمنية IP. الاتجاهات الرئيسية لحماية الأجهزة المستخدمة في تقنيات المعلومات الآلية. تحويلات التشفير: التشفير والترميز. القنوات المباشرة لتسرب البيانات.
تمت إضافة الدورة التدريبية في 22/05/2015
مفهوم أمن المعلومات، المفهوم والتصنيف، أنواع التهديدات. خصائص وسائل وأساليب حماية المعلومات من التهديدات العشوائية وتهديدات التدخل غير المصرح به. طرق التشفير لحماية المعلومات وجدران الحماية.
تمت إضافة الدورة التدريبية في 30/10/2009
أنواع التهديدات المتعمدة لأمن المعلومات. أساليب ووسائل أمن المعلومات. طرق ووسائل ضمان أمن المعلومات. طرق التشفير لحماية المعلومات. وسائل الحماية الشاملة.
الملخص، تمت إضافته في 17/01/2004
تطوير تكنولوجيات المعلومات الجديدة والحوسبة الشاملة. أمن المعلومات. تصنيف التهديدات المتعمدة لأمن المعلومات. أساليب ووسائل أمن المعلومات. طرق التشفير لحماية المعلومات.
تمت إضافة الدورة التدريبية في 17/03/2004
مفهوم ضمان أمن المعلومات في شركة Neurosoft LLC؛ تطوير نظام الحماية الشامل. كائنات المعلومات الخاصة بالشركة، ودرجة سريتها وموثوقيتها ونزاهتها؛ تحديد مصادر التهديدات والمخاطر واختيار وسائل الحماية.
تمت إضافة الدورة التدريبية في 23/05/2013
الأنواع الرئيسية للتهديدات التي تهدد أمن نظم المعلومات الاقتصادية. التعرض للبرامج الضارة. التشفير كوسيلة رئيسية لحماية المعلومات. الأساس القانوني لضمان أمن المعلومات. جوهر أساليب التشفير.