データへの不正アクセスに対する保護。不正アクセスからの情報の保護

09.10.2023

不正アクセス (UA) は、保護された情報にアクセスする権利を持たない人による、意図的に不法に機密情報を取得することです。情報への最も一般的な ND パスは次のとおりです。

盗聴装置の使用。
リモート撮影。
記憶媒体および文書廃棄物の盗難。
許可されたリクエストを実行した後、システムメモリ内の残りの情報を読み取る。
情報へのアクセスを提供する特別に設計されたハードウェアの機器および通信回線への違法な接続。
悪意による保護メカニズムの無効化。
セキュリティ対策を乗り越えて記憶メディアをコピーする。
登録ユーザーを偽装する。
暗号化された情報の復号化。
情報感染など

リストされている ND の方法の中には、非常に多くの技術的知識と適切なハードウェアまたはソフトウェアの開発が必要なものもあれば、非常に原始的なものもあります。情報漏洩は経路を問わず、組織や利用者に多大な損害を与える可能性があります。

リストされている技術的な ND パスのほとんどは、適切に設計および実装されたセキュリティシステムによって確実にブロックできます。ただし、多くの場合、被害は「悪意」によって引き起こされるのではなく、重要なデータを誤って損傷したり削除したりする単純なユーザーのミスによって引き起こされます。

引き起こされる物質的損害の額には大きな違いがありますが、情報保護の問題は法人だけに関係するものではないことに注意する必要があります。すべてのユーザーが職場でも家庭でもこの問題に遭遇する可能性があります。この点において、すべてのユーザーは自らの責任を認識し、情報の処理、転送、使用に関する基本ルールに従う必要があります。

情報に関するNDの問題を解決することを目的とした防御メカニズムには次のものがあります。

アクセス制御 - 情報システムのすべてのリソースの使用を規制することによって情報を保護する方法。
登録とアカウンティング - 保護されたリソースへのアクセスのログと統計を維持します。
さまざまな暗号化メカニズムの使用 (暗号化情報の閉鎖) - これらの保護方法は、磁気メディア上の情報の処理と保存、および長距離通信チャネルでの送信の際に広く使用されています。
立法措置 - 国の立法によって決定され、アクセスが制限された情報の使用、処理、送信に関する規則を規制し、これらの規則に違反した場合の罰則を確立します。
物理的対策 - 物理的な障害を防ぐさまざまな工学的装置や構造が含まれます。

保護対象への攻撃者の侵入を防ぎ、人員、物的リソース、情報を違法行為から保護します。

アクセス制御

データへのアクセスを制御するための 3 つの一般的なメカニズムは、ユーザーの識別、直接 (物理) データ保護、および転送機能を備えたデータへのユーザーアクセス権のサポートです。

ユーザー識別は、さまざまなデータベースまたはデータベースの一部 (関係または属性) へのアクセスの規模を定義します。これは本質的にはランクの情報テーブルです。物理的なデータ保護は組織的な問題ですが、コーディングなど、データに直接関係する問題もあります。そして最後に、アクセス権をサポートおよび譲渡する手段は、データとの差別化された通信の性質を厳密に定義する必要があります。

ソフトウェアパスワードによる保護方式。ソフトウェアによって実現されるこの方法では、ユーザーと PC 間の通信手順は、パスワードが入力されるまでオペレーティングシステムや特定のファイルへのアクセスが禁止されるように構成されています。パスワードはユーザーの機密として保管され、不正使用を防ぐために定期的に変更されます。

パスワードによる方法は最もシンプルで安価ですが、信頼できる保護は提供されません。試行錯誤や特別なプログラムを使用してパスワードが盗み見されたり推測されたり、データにアクセスされたりする可能性があることは周知の事実です。さらに、パスワード方式の主な脆弱性は、ユーザーが長期間変更されず、ユーザーが変わっても同じままになる非常にシンプルで覚えやすい (したがって解決しやすい) パスワードを選択することが多いことです。これらの欠点にもかかわらず、たとえ他のハードウェアおよびソフトウェアの保護方法が利用可能であっても、多くの場合、パスワード方式の使用は合理的であると考えられるべきです。通常、ソフトウェアパスワード方式は、アクセスの種類とオブジェクトの制限を定義する他のソフトウェア方式と組み合わせられます。

不正アクセスから情報を保護するという問題は、ローカル、特にグローバルなコンピュータネットワークの普及に伴い、特に深刻になってきています。この点において、アクセス制御に加えて、コンピュータネットワークにおける情報保護に必要な要素は、ユーザー権限の制限です。

コンピュータネットワークでは、アクセス制御を組織化し、ユーザーの権限を制限するときに、ネットワークオペレーティングシステム (OS) の組み込みツールが最もよく使用されます。安全なオペレーティングシステムの使用は、最新の情報システムを構築するための最も重要な条件の 1 つです。たとえば、UNIX では、ファイル所有者が他のユーザーにファイルごとに読み取り専用または書き込み専用のアクセス許可を与えることができます。我が国で最も普及しているオペレーティングシステムは Windows NT であり、情報への不正アクセスから真に保護されたネットワークを構築する機会がますます増えています。 NetWare OS には、パスワードシステムや権限の制限などのアクセスを制限する標準的な手段に加えて、第一級のデータ保護を提供する多数の新機能があり、「公開キー」原理 ( RSA アルゴリズム）を使用して、ネットワーク上で送信されるパケットの電子署名を作成します。

同時に、このようなセキュリティシステムには依然として弱点があります。アクセスレベルとシステムへのログイン機能がパスワードによって決定されるということです。コンピュータネットワークへの不正侵入の可能性を排除するために、最近では、パスワードと個人の「キー」を使用したユーザー識別という組み合わせのアプローチが使用されています。プラスチックカード（磁気カード、またはマイクロ回路が組み込まれたスマートカード）、または虹彩や指紋、手の大きさなどの生体情報を使用して個人を識別するためのさまざまなデバイスを「キー」として使用できます。

磁気ストライプ付きのプラスチックカードは簡単に偽造される可能性があります。スマートカード、いわゆるマイクロプロセッサカード (MP カード) によって、より高度な信頼性が提供されます。その信頼性の主な理由は、自家製の方法ではコピーや偽造が不可能であることです。さらに、カードの製造中に、各チップに固有のコードが入力され、複製することはできません。カードがユーザーに発行されると、カードの所有者のみが知る 1 つ以上のパスワードがカードに書き込まれます。一部のタイプの MP カードでは、不正使用の試みは自動的に「閉鎖」されます。このようなカードの機能を復元するには、適切な当局にカードを提示する必要があります。さらに、MP カード受信テクノロジーにより、DES 標準に従ってカードに記録されたデータが暗号化されます。特別な MP カードリーダーの設置は、コンピューターが設置されている敷地の入り口だけでなく、ワークステーションやネットワークサーバーにも直接設置できます。

このアプローチは、パスワードを使用するよりもはるかに安全です。パスワードが盗まれた場合、ユーザーはそのことを知らない可能性がありますが、カードが紛失した場合はすぐに対処できるからです。

スマートアクセスコントロールカードを使用すると、特に入室制御、パーソナルコンピュータデバイスへのアクセス、プログラム、ファイル、コマンドへのアクセスなどの機能を実装できます。さらに、制御機能、特にリソースへのアクセス、禁止されたユーティリティ、プログラム、DOS コマンドの使用を侵害する試みの登録を実行することもできます。

企業が活動を拡大し、スタッフ数が増加し、新しい支店が誕生するにつれて、リモートユーザー (またはユーザーグループ) が会社の本社のコンピューティングおよび情報リソースにアクセスする必要があります。ほとんどの場合、リモートアクセスを組織するために、ケーブル回線 (通常の電話または専用電話) と無線チャネルが使用されます。この点に関して、リモートアクセスチャネルを介して送信される情報を保護するには、特別なアプローチが必要です。

特に、リモートアクセスブリッジとルーターはパケットセグメンテーションを使用しており、パケットを分割して 2 つの回線に沿って並行して送信します。これにより、「ハッカー」が回線の 1 つに不正に接続したときにデータを「傍受」することが不可能になります。さらに、データ送信中に使用される送信パケットの圧縮手順により、「傍受された」データの復号化が不可能になります。さらに、リモートアクセスブリッジとルーターは、リモートユーザーがホスト端末上の特定のネットワークリソースにアクセスすることを制限するようにプログラムできます。

自動コールバック方式は、単純なソフトウェアパスワードよりもシステムへの不正アクセスに対して優れたセキュリティを提供できます。この場合、ユーザーはパスワードを覚えたり、その秘密を監視したりする必要がありません。コールバックシステムの背後にある考え方は非常にシンプルです。中央データベースから離れているユーザーは、中央データベースに直接アクセスできません。まず、適切な識別コードが提供された特別なプログラムにアクセスします。その後、接続が終了し、識別コードがチェックされます。通信チャネル経由で送信されたコードが正しければ、日付、時刻、電話番号を同時に記録しながら、ユーザーに折り返し電話します。検討中の方法の欠点は、交換速度が遅いことであり、平均遅延時間が数十秒になる可能性があります。

データ暗号化方式

ギリシャ語から翻訳された暗号という言葉は、秘密の書き込みを意味します。これは最も効果的な保護方法の 1 つです。従来のセキュリティ対策がバイパスされた場合でも、不正アクセス手順を複雑にする場合に特に役立ちます。上で説明した方法とは異なり、暗号化は送信されたメッセージを隠すのではなく、メッセージへのアクセス権を持たない人が理解できない形式に変換し、情報のやりとりの過程で情報の完全性と信頼性を保証します。

送信可能な情報は、何らかの暗号化アルゴリズムと暗号化キーを使用して暗号化されます。これらのアクションの結果、暗号文、つまりクローズドテキストまたはグラフィックイメージに変換され、この形式で通信チャネル上に送信されます。結果として得られる暗号化された出力は、キーの所有者以外は理解できません。

暗号は通常、可逆変換のグループとして理解され、それぞれの変換はキーと呼ばれるパラメーターと、暗号化モードと呼ばれるこの変換が適用される順序によって決定されます。通常、キーはアルファベットまたは数字のシーケンスです。

各変換はキーによって一意に決定され、何らかの暗号化アルゴリズムによって記述されます。たとえば、暗号化アルゴリズムではアルファベットの各文字を数字に置き換えることができ、キーはこのアルファベットの文字の番号の順序になる場合があります。暗号化されたデータ交換を成功させるには、送信者と受信者が正しいキーを知っており、それを秘密にしておく必要があります。

同じアルゴリズムを異なるモードの暗号化に使用できます。各暗号化モードには長所と短所があります。したがって、モードの選択は特定の状況によって異なります。復号化の際には、暗号化アルゴリズムが使用されますが、通常、このアルゴリズムは暗号化に使用されるアルゴリズムとは異なる場合があるため、対応するキーも異なる場合があります。暗号化アルゴリズムと復号化アルゴリズムのペアを暗号システム（暗号システム）と呼び、それを実現する装置を暗号技術と呼びます。

対称暗号システムと非対称暗号システムがあります。対称暗号システムでは、暗号化と復号化に同じ秘密キーが使用されます。非対称暗号システムでは、暗号化と復号化のキーは異なり、一方はプライベート、もう一方はオープン (パブリック) になります。

暗号化情報保護には、DES、RSA、GOST 28147-89 など、非常に多くの異なるアルゴリズムがあります。暗号化方式の選択は、送信される情報の特性、その量、必要な送信速度、さらには送信される情報によって異なります。所有者の能力（使用される技術機器のコスト、動作の信頼性など）。

データ暗号化は従来、政府機関や国防省で使用されてきましたが、ニーズの変化に伴い、最も確立された企業の一部は、情報プライバシーを確保するために暗号化が提供する機能を採用し始めています。企業金融サービス (主に米国) は重要かつ大規模なユーザーベースを占めており、多くの場合、暗号化プロセスで使用されるアルゴリズムに特定の要件があります。

放浪中。 DES (Data Encryption Standard) データ暗号化標準は、1970 年代初頭に IBM によって開発されました。現在、デジタル情報を暗号化するための政府標準です。これは米国銀行協会によって推奨されています。複雑な DES アルゴリズムは 56 ビットキーと 8 パリティビットを使用し、攻撃者は 72,000 兆通りの可能なキーの組み合わせを試行する必要があるため、低コストで高いセキュリティが実現します。キーが頻繁に変更される場合、このアルゴリズムは機密情報にアクセスできなくなる問題を十分に解決します。一方、商用システム市場では政府機関や防衛機関のような厳格なセキュリティが必ずしも要求されるわけではないため、PGP (Pretty Good Privacy) などの他の種類の製品を使用することもできます。データ暗号化は、オンライン (情報受信速度) モードとオフライン (自律) モードで実行できます。

RSA アルゴリズムは R.L. によって発明されました。 1978 年に Rivest、A. Shamir、L. Aldeman によって開発され、暗号化における重要な一歩となりました。このアルゴリズムは国家標準局によって標準としても採用されています。

DES は技術的には対称アルゴリズムですが、RSA は非対称アルゴリズムです。これは、各ユーザーが 2 つのキーを持ち、秘密が 1 つだけある共有システムです。公開キーはユーザーによるメッセージの暗号化に使用されますが、秘密キーを使用してメッセージを復号化できるのは指定された受信者だけです。これには公開キーは役に立ちません。これにより、通信者間の秘密鍵転送合意が不要になります。 DES はデータとキーの長さをビット単位で指定しますが、RSA は任意のキー長で実装できます。キーが長いほど、セキュリティのレベルは高くなります (ただし、暗号化と復号化のプロセスにも時間がかかります)。 DES キーがマイクロ秒で生成できる場合、RSA キーの生成にかかる時間はおよそ数十秒になります。したがって、ソフトウェア開発者には RSA 公開キーが好まれ、ハードウェア開発者には DES 秘密キーが好まれます。

電子文書を交換する場合、当事者の一方がその義務を拒否したり（作成者の拒否）、送信者から受け取ったメッセージが改ざんされたり（作成者の帰属）する状況が発生する可能性があります。この問題を解決するための主なメカニズムは、手書き署名の類似物である電子デジタル署名 (DS) を作成することです。 CPU には主に 2 つの要件があります。それは、改ざんの複雑性と検証の容易さです。

対称暗号システムと非対称暗号システムの両方を使用して CPU を作成できます。最初のケースでは、秘密キーで暗号化されたメッセージ自体が署名として機能します。ただし、チェックするたびに秘密キーが判明します。この状況から抜け出すには、第三者、つまりどの当事者からも信頼されている仲介者を導入する必要があります。仲介者は、ある加入者の鍵から別の加入者の鍵にメッセージを再暗号化します。

非対称暗号システムには、CPU に必要なすべてのプロパティが備わっています。 CPU を構築するには 2 つのアプローチが考えられます。

1. メッセージ自体を再構築できる形式にメッセージを変換し、それによって署名自体の正確性を検証します。
2. 署名が計算され、元のメッセージとともに送信されます。

したがって、暗号が異なると、復号化のタスク (キーが不明な場合にメッセージを復号化する) の複雑さも異なります。このタスクの複雑さのレベルによって、暗号の主な特性、つまり保護された情報を強奪しようとする敵の試みに抵抗する能力が決まります。これに関して、彼らは暗号の暗号強度について話し、より強力な暗号とそれほど強力でない暗号を区別します。最も一般的な暗号化方式の特徴を表に示します。 10.1.

表10.1。最も一般的な暗号化方式の特徴

導入

不正アクセスの種類と手法の概念と分類。攻撃者の定義とモデル

情報セキュリティの組織。コンピュータシステムにおける情報を保護する方法の分類

結論

導入

現代社会の生活は、最新の情報技術なしには考えられません。コンピュータは銀行システムにサービスを提供し、原子炉の運転を制御し、エネルギーを分配し、列車のスケジュールを監視し、飛行機や宇宙船を制御します。

コンピュータネットワークと電気通信は、国の防衛およびセキュリティシステムの信頼性と能力を決定します。コンピュータは情報の保存、処理、消費者への提供を提供し、情報技術を実現します。

しかし、高度な自動化こそが、セキュリティ (個人、情報、状態など) の低下のリスクを生み出します。情報技術とコンピュータが利用可能になり、広く普及したことにより、それらは破壊的な影響に対して非常に脆弱になっています。

この例はたくさんあります。したがって、米国では 20 秒ごとにソフトウェアを使用した犯罪が発生しており、FBI が捜査するこれらの犯罪の 80% はインターネット経由で発生しています。コンピュータネットワークの盗難や損傷による損失は年間 1 億ドルを超えています。

生産と経済関係の主体は、生産、経済、経済的任務を遂行するために、相互に情報関係（情報の受領、保管、処理、配布、使用に関する関係）を結びます。

したがって、情報セキュリティを確保することは、情報関係の主体の正当な権利と利益を満たすことを保証することになります。

以上を踏まえ、本研究では以下のような問題を考察する。

.不正アクセスの種類と方法の概念と分類。

.コンピュータシステム内の情報を偶発的および意図的な脅威から保護するための方法の分類。

.不正アクセスからの情報の保護。

不正アクセスの種類と手法の概念と分類。攻撃者の定義とモデル

不正アクセスによるコンピュータの保護

不正アクセス - 従業員の公的な権限に違反した情報へのアクセス、この情報へのアクセス許可を持たない者による一般アクセスが公開されていない情報へのアクセス。また、不正アクセスとは、情報にアクセスする権利を有する者が、公務の遂行に必要な量を超えて情報にアクセスすることを指す場合もあります。

情報への不正アクセス (UAI) - コンピューターテクノロジーまたは自動システムによって提供される標準的な手段を使用した、アクセス制御の規則に違反する情報へのアクセス。

情報への不正アクセスの理由:

· 構成エラー

· 認証手段のセキュリティが不十分（パスワード、スマートカードの盗難、保護が不十分な機器への物理的アクセス、従業員不在時のロックされていない従業員ワークステーションへのアクセス）

· ソフトウェアエラー

· 公権力の乱用（バックアップコピーの盗難、情報にアクセスする権利を伴う外部メディアへの情報のコピー）

· LAN 内で安全でない接続を使用する場合に通信チャネルをリッスンする

· なりすましのために従業員のコンピュータ上でキーロガー、ウイルス、トロイの木馬を使用する。

不正なアクセス方法。情報処理技術の発展に伴い、情報への不正アクセスの手法が蔓延しています。最も広く使用されている方法は次のとおりです。

· 回線間の作業 - 通信回線に接続し、正規のユーザーのアクションの隙間を利用してコンピュータシステムに挿入します。

· 「サービス拒否」とは、自分自身の目的 (無料で問題を解決するなど) でコンピュータシステムを不正に使用すること、またはシステムをブロックして他のユーザーへのサービスを拒否することです。このような悪用を実行するには、いわゆる「貪欲プログラム」、つまり特定のシステムリソースを排他的に占有することができるプログラムが使用されます。

· オブジェクトの再利用 - 削除されたシステムオブジェクトの復元と再利用で構成されます。このような悪用の例としては、オペレーティングシステムによるファイルの削除が挙げられます。 OS が特定のファイルが削除されたというメッセージを表示しても、そのファイルに含まれる情報が文字通りの意味で破壊されるわけではありません。このブロックにあった情報は、他の情報がこの場所に書き込まれるまでどこにも消えません。オブジェクトの再利用の 1 つのタイプは、コンピュータの「ゴミ」を扱うことです。

· マスカレード - 侵入者は、知られている正規ユーザーの ID を使用してシステムにログインします。

· 「豚の植え付け」――侵入者が通信回線に接続し、システムの動作を模倣して不正操作を行う。たとえば、通信セッションを模倣し、正規のユーザーを装ってデータを取得する可能性があります。

· トラフィック分析 - 侵入者はシステム内のユーザーの頻度と連絡方法を分析します。この場合、通信を開始するためのルールを見つけることができ、その後、正規のユーザーのサブタイプとの接続が試行されます。

· 「Undressers」は、不正アクセスに対するソフトウェア製品の保護メカニズムを研究し、それを克服することを目的として、特別に開発されたソフトウェアツールのセットです。

通信と電子メールの発達により、文献では「ping」と呼ばれる不正行為が浮き彫りになっています。この悪用の本質は、攻撃者が標準ソフトウェアまたは特別に開発されたソフトウェアを使用して、電子メールアドレスに多数の電子メールメッセージを送り込み、電子メールアドレスを無効にすることができることです。キックすると問題が発生したり、受信した電子メールを誤って無視してしまう可能性があります。

不正行為を計画および開発する場合、違反者はこの分類にリストされていない新しい不正行為を作成したり、記載されている不正行為を組み合わせて使用したりする可能性があることに注意してください。

不正アクセスの種類

情報に対する脅威 - 情報システムにとって危険であると考えられる影響を実行する方法。発生の性質に基づいて、次の 2 つのタイプに分類できます。

· 意図的と非意図的。

意図しない脅威とは、保護メカニズムのサポートが不十分であったり、管理上のミスによって表される偶発的な行為です。そして、意図的なものは、情報の不正受信、データ、リソース、システム自体の不正操作です。

脅威の実装のタイプに基づいて、次のことを区別できます。

· ソフトウェア

· 非プログラム

ソフトウェアには、別個のソフトウェアモジュールとして実装されるもの、またはソフトウェアの一部としてのモジュールとして実装されるものが含まれます。非ソフトウェアには、コンピュータ犯罪の準備および実行のための情報システム (IS) の技術的手段の使用に基づく悪用 (たとえば、通信ネットワークへの不正な接続、特殊な機器を使用した情報の削除など) が含まれます。

コンピューター攻撃者はさまざまな目的を追求して、さまざまなソフトウェアツールを使用します。これに基づいて、ソフトウェアを 2 つのグループに組み合わせることが可能であると考えられます。

· 戦術的な

· 戦略的。

戦術的なものには、当面の目標の達成を追求するもの (パスワードの取得、データの破壊など) が含まれます。これらは通常、遠大な目標を達成することを目的とした戦略的手段を準備および実行するために使用され、知的財産にとって多大な経済的損失を伴います。戦略グループには、情報変換の技術的操作を制御し、IS コンポーネントの機能に影響を与える機能 (システム監視、ハードウェアおよびソフトウェア環境の無効化など) を実現する手段が含まれます。

ソフトウェア悪用の可能性があるものとしては、次の機能を持つソフトウェアが考えられます。

· 任意の方法での歪み、アプリケーションプログラムの動作または外部メモリに既に配置されているデータ配列から生じる、外部メモリまたは通信チャネルに出力される情報配列のブロックおよび/または置換。

· コンピューターソフトウェア環境で自分の存在の兆候を隠すこと。

· RAM内のプログラムコードの破壊（任意の方法での歪み）。

· RAM からの情報の断片を外部直接アクセスメモリ (ローカルまたはリモート) の一部の領域に保存します。

· 自己複製、他のプログラムとの関連付け、および/またはそのフラグメントをRAMまたは外部メモリの他の領域に転送する機能を備えています。

不正アクセスの主な方法と種類を検討したところで、上記の行為を行う侵入者のモデルの定義に移りましょう。

違反者モデルを開発するときは、次のことが決定されます。1) 違反者が属する可能性のある人のカテゴリに関する仮定。 2) 違反者の行動の動機（違反者が追求する目標）についての仮定。 3) 違反者の資格およびその技術的機器 (違反を犯すために使用された方法および手段) に関する仮定。 4) 違反者の考えられる行動の性質に関する制限と仮定。

自動情報管理テクノロジ (AICT) に関しては、違反者は内部 (システム担当者) または外部 (部外者) である可能性があります。内部違反者には、次のカテゴリの人物が含まれる場合があります。

· システムのユーザー（オペレーター）。

· 技術機器を整備する人員（エンジニア、技術者）。

· ソフトウェア開発および保守部門の従業員 (アプリケーションプログラマーおよびシステムプログラマー)。

· 建物を保守する技術者（清掃員、電気技師、配管工、および AITU コンポーネントが設置されている建物および敷地内にアクセスできるその他の従業員）。

· AITUの治安担当者。

· 公式階層のさまざまなレベルのマネージャー。

· 外部侵入者である可能性のある部外者:

· クライアント（組織の代表者、市民）。

· 訪問者（何らかの理由で招待される）。

· 組織の存続を確保する問題（エネルギー、水、熱供給など）について対話する組織の代表者。

· 競合する組織（外国諜報機関）の代表者、またはその指示に従って行動する人物。

· 管理領域外にいる人。

違反の主な動機は次の 3 つに分類できます。 a) 無責任。 b) 自己肯定。 c) 私利私欲。無責任による違反の場合、ユーザーは故意または偶然に破壊的な行為を実行しますが、これには悪意は関係ありません。ほとんどの場合、これは無能または過失の結果です。

一部のユーザーは、システムデータセットへのアクセスを獲得することが大きな成功であると考えており、自分自身の目から見ても、同僚の目から見ても、自己拡大を目的とした一種のユーザー対システムのゲームに参加しています。

AITU のセキュリティの侵害は、システムユーザーの利己的な利益によって引き起こされる場合もあります。この場合、彼は AITU 内で保存、送信、処理される情報にアクセスするためのセキュリティシステムを意図的に突破しようとするでしょう。たとえ AITU がそのような侵入を極めて困難にする手段を持っていたとしても、侵入から完全に守ることはほぼ不可能です。すべての違反者は、4 つのパラメータ (AITU に関する知識レベル、能力レベル、時間と行動方法) に従って分類できます。 1. AITU に関する知識レベルに基づいて、違反者は次のように区別されます。

· AITU の機能的特徴、AITU 内のデータ配列の形成の基本パターンとそれらへのリクエストの流れを知っている人、標準ツールの使用方法を知っている人。

· システムの技術的手段とそのメンテナンスに関して高度な知識と経験を持っていること。

· プログラミングとコンピュータ技術、自動情報システムの設計と運用の分野で高度な知識を持っている。

· 保護具の構造、機能、作用機序、長所と短所を理解している人。

能力のレベル (使用される方法と手段) に応じて、違反者は次のようになります。

· 情報を入手するための純粋に秘密の方法を使用する。

· 受動的手段（システムコンポーネントを変更せずに傍受する技術的手段）を使用する。

· 標準的な手段のみを使用し、それを克服するための保護システムの欠陥（許可された手段を使用した許可されていない行為）、および監視所を密かに持ち運ぶことができるコンパクトな磁気記憶媒体を使用します。

· 積極的な影響を与える方法や手段を使用する（追加の機械的手段の変更と接続、データ伝送チャネルへの接続、ソフトウェア「ブックマーク」の実装、および特別な機器および技術プログラムの使用）。

行動の時間に基づいて、違反者が区別されます。

· AITUの運営中（システムコンポーネントの運営中）。

· システムコンポーネントの非アクティブ期間中（営業時間外、計画的な運用休止中、メンテナンスや修理のための休憩中など）。

· AITU の機能中とシステムコンポーネントの非アクティブ期間の両方で実行されます。

行為の場所に応じて、違反者は次のとおりです。

· 管理領域にアクセスできない組織。

· 建物や構造物にアクセスせずに管理された領域から活動する。

· 屋内で活動しているが、AITU の技術的手段を利用できない。

· AITUのエンドユーザー（オペレーター）の職場から操作する。

· データゾーン (データベース、アーカイブなど) にアクセスできること。

· AITU保安施設の管理区域へのアクセスを有すること。

この場合、違反者の可能性のある行為の性質に関する次の制限と仮定が考慮される場合があります。

· 募集活動や特別なイベントにより、犯罪者の連合を結成することが困難になります。二人以上の犯罪者の保護サブシステムを打破するための共謀（陰謀）と標的を絞った行動。

· 違反者は、情報への不正アクセスを計画し、違法行為を他の従業員から隠します。

· 情報への不正アクセスは、ユーザー、管理者、運用および保守担当者によるエラー、および一般に認められた情報処理技術の欠如などの結果として発生する可能性があります。犯罪者となる可能性のある人の具体的な特徴を判断することは、主に主観的なものです。特定の対象領域と情報処理技術の特性を考慮して構築された侵入者のモデルは、その外観のいくつかのオプションを列挙することで表現できます。侵入者の各タイプは、上記の特性の値によって特徴付けられる必要があります。

情報セキュリティの組織。コンピュータシステムにおける情報を保護する方法の分類

情報セキュリティシステムを構築するという問題には、次の 2 つの補完的なタスクが含まれます。

）情報セキュリティシステムの開発（その総合）。

）開発された情報セキュリティシステムの評価。

2 番目の問題は、情報保護システムがこれらのシステムの一連の要件を満たしているかどうかを判断するために、その技術的特性を分析することによって解決されます。現在、この課題は、情報セキュリティツールの認定とその導入過程における情報セキュリティシステムの認定を通じて、専門家によってほぼ独占的に解決されています。

情報セキュリティを確保する方法と手段を図に示します。セキュリティの仕組みの根幹となる、今回紹介した情報セキュリティ手法の主な内容を考えてみましょう。

米。情報セキュリティを確保する方法および手段

障害物は、保護された情報 (機器、記憶媒体など) への攻撃者の経路を物理的にブロックする方法です。

アクセス制御は、コンピュータ情報システムのすべてのリソース (データベース要素、ソフトウェア、およびハードウェア) の使用を規制することによって情報を保護する方法です。アクセス制御には次のセキュリティ機能が含まれます。

· ユーザー、人員、およびシステムリソースの識別 (各オブジェクトに個人識別子を割り当てる)。

· オブジェクトまたはサブジェクトによって提示される識別子によるオブジェクトまたはサブジェクトの識別 (認証)。

· 権限の確認（曜日、時間帯、要求されたリソースおよび手順が確立された規制に準拠していることを確認する）。

· 確立された規制内での労働条件の許可と創設。

· 保護されたリソースへのリクエストの登録 (ログ)。

· 不正な行為が試みられた場合の登録（警報、シャットダウン、作業の遅延、要求の拒否）。

マスキングは、情報を暗号的に閉じることで情報を保護する方法です。この方法は、フロッピーディスクなどの情報の処理と保存の両方で海外で広く使用されています。長距離通信チャネルを介して情報を送信する場合、この方法が唯一信頼できる方法です。

規制とは、保護された情報への不正アクセスの可能性を最小限に抑える、保護された情報の自動処理、保管、送信の条件を作り出す情報保護の方法です。

強制は、重大な責任、管理責任、または刑事責任の脅威の下で、ユーザーとシステム担当者が保護された情報の処理、転送、および使用に関する規則に従うことを強制する保護方法です。

誘導は、確立された道徳的および倫理的基準 (規制されているものと不文律の両方) を遵守することによって、ユーザーとシステム担当者が確立された秩序に違反しないように奨励する保護方法です。

セキュリティを確保するために検討された方法は、技術的、ソフトウェア、組織的、立法的、道徳的、倫理的など、さまざまな保護手段を使用して実際に実装されます。セキュリティメカニズムの作成に使用される主な保護には次のものがあります。

技術的手段は、電気、電気機械、および電子デバイスの形で販売されます。技術的手段全体は、ハードウェアと物理的な手段に分けられます。ハードウェアは通常、標準インターフェースを介して同様の機器とインターフェースする機器またはデバイスとして理解されます。たとえば、情報へのアクセスを識別および制限するためのシステム（パスワード、コードおよびその他の情報をさまざまなカードに記録することによって）。物理的手段は、自律的なデバイスおよびシステムの形で実装されます。たとえば、機器が設置されているドアのロック、窓のバー、無停電電源装置、電気機械式防犯警報装置などです。したがって、外部セキュリティシステム (Raven、GUARDWIR、FPS など)、超音波システム (Cyclops など)、ビーム遮断システム (パルサー 30V など)、テレビシステム (VM216 など)、レーダーシステム ( 「VITIM」など）、機器改ざん検知システムなど

ソフトウェアツールは、情報セキュリティ機能を実行するために特別に設計されたソフトウェアです。この資金グループには次のものが含まれます。

· 暗号化メカニズム (暗号化は、通常暗号化キーと呼ばれる固有の番号またはビットシーケンスによってトリガーされる特別なアルゴリズムです。その後、暗号化されたテキストが通信チャネルを介して送信され、受信者は情報を復号化するための独自のキーを持ちます)。

· デジタル署名メカニズム。

· アクセス制御メカニズム。

· データの整合性を確保するためのメカニズム。

· スケジューリングメカニズム、ルーティング制御メカニズム。

· 仲裁メカニズム、ウイルス対策プログラム。

· プログラムのアーカイブ (zip、rar、arj など)。

· 情報の入出力時の保護など

組織的保護手段とは、情報セキュリティを確保するために、コンピューター技術や電気通信機器の開発と運用の過程で実行される組織的、技術的、および組織的法的措置です。組織的な対策は、ライフサイクルのすべての段階（施設の建設、銀行業務用のコンピュータ情報システムの設計、機器の設置と試運転、使用、運用）における機器のすべての構造要素をカバーします。

道徳的および倫理的な保護手段は、伝統的に発展してきた、または社会に普及するコンピューター技術や通信に伴って発展しつつあるあらゆる種類の規範の形で実装されています。これらの規範はほとんどの場合、立法措置として強制ではありませんが、遵守しない場合は通常、個人の権威と威信の喪失につながります。このような標準の最も重要な例は、米国コンピュータユーザー協会の会員向けの職業行動規範です。

法的救済は国の立法によって決定され、制限された情報の使用、処理、送信に関する規則が規制され、これらの規則に違反した場合の罰則が定められています。

考えられるすべての保護手段は、公式（人間の直接の参加を伴わず、あらかじめ決められた手順に厳密に従って保護機能を実行する）と非公式（人間の意図的な活動またはこの活動の規制によって決定される）に分けられます。

現在、最も差し迫ったセキュリティ問題は (機密情報を保存する必要がないシステムや家庭用コンピュータであっても) ウイルスです。したがって、ここではそれらについて詳しく説明します。コンピュータウイルスは、他のプログラムに「感染」することができ、またコンピュータ上でさまざまな望ましくないアクション (たとえば、ディスク上のファイルやファイルアロケーションテーブルの破損、 RAM の「詰まり」など）。

ウイルスから保護する主な手段はアーカイブです。他の方法でこれを置き換えることはできませんが、全体的な保護レベルは向上します。

アーカイブは毎日行う必要があります。アーカイブには、使用したファイルのコピーを作成し、変更されたファイルを体系的に更新することが含まれます。これにより、特別なアーカイブディスクのスペースを節約できるだけでなく、共有ファイルのグループを 1 つのアーカイブファイルに結合することもできるため、ファイルの一般的なアーカイブを理解しやすくなります。

最も脆弱なテーブルは、ファイルアロケーションテーブル、メインディレクトリ、およびブートセクタです。定期的にファイルを専用のフロッピーディスクにコピーすることをお勧めします。

予約は、ウイルスから身を守るためだけでなく、緊急事態や自分のミスを含む他人の行為に備えた保険としても重要です。

予防目的で、ウイルスから保護するために、次のことをお勧めします。

· 書き込み保護されたフロッピーディスクを使用する場合。

· 特定の責任あるユーザー間でフロッピーディスクを分割する。

· 送信されたフロッピーディスクと受信されたフロッピーディスクの分離。

· 新たに受信した番組と以前に使用した番組のストレージを分離する。

· テストプログラムを使用して、新しく受け取ったソフトウェアにウイルスが存在するかどうかを確認します。

· プログラムをアーカイブ形式でハードドライブに保存します。

コンピュータウイルスの出現を回避するには、まず次の対策を順守する必要があります。

· 他のコンピュータからソフトウェアを書き換えないでください。必要な場合は、上記の措置を講じる必要があります。

· 特に自分のフロッピーディスクを使用して作業する場合は、権限のない人がコンピュータで作業することを許可しないでください。

· 特にコンピュータゲームでは、外国のフロッピーディスクを使用しないでください。

ウイルス感染につながる一般的なユーザーエラーは次のとおりです。

· 適切な情報アーカイブシステムの欠如。

· 最初に感染をチェックせず、アクセス制御システムを使用してハードドライブの最大保護モードを設定せず、常駐ガードを起動せずに、結果として得られたプログラムを起動する。

· ドライブ A にフロッピーディスクが取り付けられている場合はシステムを再起動します (この場合、BIOS はハードドライブからではなく、このフロッピーディスクから起動しようとします。その結果、フロッピーディスクがブートウイルスに感染している場合、ハードドライブが感染します);

· 異なるウイルス対策プログラムによる同じウイルスの診断の種類を知らずに、あらゆる種類のウイルス対策プログラムを実行する。

· 感染したオペレーティングシステム上のプログラムの分析と回復。

現在、ロシアで DialogScience JSC によって最も人気のあるウイルス対策製品は次のとおりです。

· Polyphage Aidstest (ポリファージは、ウイルスがファイルに感染するときに実行する動作とは逆の動作を実行するプログラムです。つまり、ファイルを復元しようとします)。

· 監査人 Adinf;

· 回復ブロックAdinfExt;

· 「多態性」のポリファージ Doctor Web。

(ユーザー指定のディスク上の) ファイルに、特定のウイルスに特有のバイトの組み合わせが含まれているかどうかをチェックするフィルタープログラムがあります。ファイル、ディスク、ディレクトリの特別な処理も使用されます - ワクチン接種: 特定の種類のウイルスが機能し始め、発現する条件の組み合わせをシミュレートするワクチンプログラムを起動します。常駐ウイルス保護プログラムの例としては、Carmel Central Point Software の VSAFF プログラムがあります。コンピュータウイルスの早期診断プログラムとして、CRCLIST および CRCTEST プログラムをお勧めします。

結論として、情報セキュリティを組織する場合、情報セキュリティシステムの構築と運用のプロセスは複雑で責任が伴うと言えます。保護システムは十分で、信頼性があり、効果的で、管理しやすいものでなければなりません。情報保護の有効性は、情報への不正アクセスのあらゆる試みに適切に対応する能力によって実現されます。不正アクセスから情報を保護するための対策は包括的でなければなりません。脅威に対抗するためにさまざまな対策を組み合わせます (法的、組織的、ソフトウェアおよびハードウェア)。コンピュータシステムの情報セキュリティに対する主な脅威は、従業員から直接発生します。このことを考慮すると、機密情報にアクセスできる従業員の範囲と、アクセスを許可される情報の範囲（セキュリティシステムに関する情報も含む）を可能な限り制限する必要があります。同時に、各従業員は機密情報にアクセスするための最小限の権限を持たなければなりません。

結論

結論として、80 年代後半から 90 年代初頭にかけて、情報セキュリティに関連する問題は、コンピュータセキュリティ分野の専門家とパーソナルコンピュータの多くの一般ユーザーの両方を悩ませてきたと言えます。これは、コンピューター技術が私たちの生活にもたらした大きな変化によるものです。コンセプトへのアプローチが変わりました情報。この用語は現在、購入、販売、何か他のものと交換できる特別な製品を指すために使用されています。さらに、そのような製品のコストは、それが動作するコンピュータ技術自体のコストの数十倍、さらには数百倍を超えることがよくあります。

当然のことながら、不正アクセス、盗難、破壊、その他の犯罪行為から情報を保護する必要があります。しかし、ほとんどのユーザーは、自分たちのセキュリティと個人の秘密が常に危険にさらされていることに気づいていません。そして、何らかの方法でデータを保護している人はほんのわずかです。コンピュータユーザーは、税金や銀行情報、ビジネス通信、スプレッドシートなどのデータさえも完全に保護されていない状態で放置することがよくあります。オンラインで仕事や遊びを始めると、現時点ではハッカーがコンピュータ上の情報を入手したり破壊したりすることが非常に簡単になるため、問題はさらに複雑になります。

現時点では、テクノロジーの発展に伴い、情報への不正アクセス、その改ざん、削除を目的とした多数の脅威が存在しています。たとえば、ウイルスは日常のコンピュータ生活に侵入し、予測可能な範囲でそれを放置することはありません。未来。ハードウェア、ソフトウェア、その他のソリューションは情報システム内のデータの絶対的な信頼性とセキュリティを保証できないことを明確に理解する必要があります。しかし、情報システムに保護装置が集中すると、システムが非常に高価になるだけでなく、可用性係数が大幅に低下するという事実にもつながる可能性があることも忘れてはなりません。たとえば、CPU 時間などのシステムリソースがウイルス対策プログラム、暗号化、バックアップアーカイブなどに常に費やされている場合、そのようなシステムでのユーザーの速度はゼロに低下する可能性があります。

したがって、情報保護の手段と原則を決定する際に重要なことは、一方では合理的なセキュリティと保護手段のコストの境界を、他方ではシステムを正常に動作し許容可能なリスクに維持することの境界を巧みに決定することです。

使用したソースのリスト

1.1995 年 6 月 26 日のロシア連邦政府令 N 608「情報セキュリティ手段の認証について」。

2.2006 年 8 月 15 日のロシア連邦政府令 N 504「機密情報の技術的保護のためのライセンス活動について」。

3.2010 年 2 月 5 日付けの命令第 58 号「個人データ情報システムにおける情報保護の方法および手段に関する規制の承認について」

4.ベズボゴフ A.A.、ヤコブレフ A.V.、シャムキン V.N. コンピュータ情報を保護する方法と手段: 教科書。 - タンボフ: TSTU 出版社、2006 年。

5.Makarenko S.I. 情報セキュリティ: 大学生向けの教科書。 - スタヴロポリ: SF MGGU im。 M.A.ショーロホワ、2009年 - 372ページ

6.Nesterov S. A. 情報セキュリティと情報保護: 教科書。手当。 - サンクトペテルブルク: ポリテクニック出版社。大学、2009 - 126 p。

導入

情報を不正アクセスから保護するための対策は、所属部門や所有形態に関係なく、企業 (機関、会社など) の管理、科学、生産 (商業) 活動の不可欠な部分であり、関連して実行されます。確立された政権のプライバシーを確保するための他の手段と併せて。自動化システムでの処理および保管中に不正アクセスから情報を保護する方法を組織化する際には、情報セキュリティを確保するための次の原則と規則を考慮する必要があります。

現在の法律の下で保護の対象となっている情報を保護するための法規定および規制要件に対する情報セキュリティのレベルの遵守。情報処理の特性（処理技術、プラントの特定の動作条件）とその機密性のレベルに応じて、プラントのセキュリティクラスを選択します。

機密情報を特定し、保護すべき情報のリストの形で文書化し、タイムリーに調整します。

情報保護に関する最も重要な決定は、AS の所有者である企業 (組織、会社) の管理者が行う必要があります。

サブジェクトのアクセス権限レベルと、この権利が付与される人の範囲を設定する手順を決定します。

アクセス制御ルールの確立と実行、つまりオブジェクトにアクセスするためのアクセス主体のアクセス権を管理する一連のルール。

現在の法律の下で保護の対象となる情報を処理する際に、AS のセキュリティレベルを維持するためのユーザーの個人的責任を確立します。

保護された原子力発電所が設置されている施設（領土、建物、敷地、情報記憶媒体）の物理的安全を、コンピュータ機器や情報媒体の盗難を防止または著しく複雑にする適切な支柱、技術的安全装置、またはその他の手段を設置することにより確保する。、NSD から SVT および通信回線も同様です。

情報セキュリティサービスの組織（責任者、AS管理者）、情報媒体、パスワード、キーの記録、保管、発行、情報セキュリティシステムNSDの公式情報の維持（パスワード、キーの生成、アクセス制御ルールの維持）、受付を担当します。 AS に含まれる新しいソフトウェアの開発、機密情報の処理などの技術プロセスの進捗状況の監視などを行います。

保護される情報のセキュリティレベルの体系的かつ運用的な管理、情報セキュリティツールの保護機能の検証。情報セキュリティツールには、情報セキュリティ要件への準拠を証明する証明書が必要です。

情報セキュリティツール- これは、漏洩の防止や保護された情報の安全性の確保など、情報保護のさまざまな問題を解決するために使用される、工学、電気、電子、光学などの装置および装置、機器および技術システム、およびその他の重要な要素のセットです。

一般に、意図的な行為を防止するという観点から情報セキュリティを確保する手段は、実装方法に応じて、技術的 (ハードウェア)、ソフトウェア、ハードウェアとソフトウェアの混合、組織的なグループに分類できます。

技術的（ハードウェア）手段- これらは、情報セキュリティの問題をハードウェアで解決するさまざまなタイプのデバイス (機械式、電気機械式、電子式など) です。これらは物理的な侵入を防ぎ、侵入が発生した場合には情報をマスキングするなどして情報へのアクセスを防ぎます。問題の最初の部分は、ロック、窓のバー、防犯警報装置などによって解決されます。 2 番目の部分は、ノイズ発生器、サージ保護装置、スキャンによって解決されます。

情報漏洩の潜在的なチャネルを「ブロック」したり、情報漏洩の検出を許可したりするラジオやその他の多くのデバイス。技術的手段の利点は、その信頼性、主観的要因からの独立性、および修正に対する高い耐性に関連しています。

ハードウェア保護には、さまざまな電子、電子機械、および電気光学デバイスが含まれます。今頃

時間の経過とともに、さまざまな目的のために多数のハードウェアデバイスが開発されてきましたが、最も普及しているのは次のとおりです。

セキュリティの詳細を保存するための特別なレジスタ: パスワード、識別コード、分類、またはセキュリティレベル。

識別を目的として人の個人的な特徴（音声、指紋）を測定するための装置。

データの出力アドレスを定期的にチェックするために、通信回線上の情報の送信を中断する回路。

情報を暗号化するためのデバイス (暗号化方法)。

ソフトウェアツールには、ユーザー識別、アクセス制御、情報暗号化、残留データの除去のためのプログラムが含まれます。

一時ファイル、システムテスト制御などの(作業)情報

ソフトウェアの利点は、多用途性、柔軟性、信頼性、インストールの容易さ、修正および開発の可能性です。短所 - ネットワーク機能の制限、ファイルサーバーとワークステーションのリソースの一部の使用、偶発的または意図的な変更に対する高い感度、コンピュータの種類（ハードウェア）に依存する可能性。

ハードウェアとソフトウェアの混合は、ハードウェアとソフトウェアと同じ機能を別々に実装し、中間の特性を持ちます。

組織的手段は、組織的技術的手段（コンピュータを備えた施設の準備、ケーブルシステムの敷設、ケーブルシステムへのアクセス制限の要件の考慮など）と組織的法的手段（特定の企業の経営者によって確立された国内法および就業規則）で構成されます。）。組織化ツールの利点は、さまざまな問題を解決できること、実装が簡単であること、ネットワーク上の望ましくないアクションに迅速に対応できること、修正と開発の可能性が無限にあることです。

ソフトウェアツールは、配布と可用性の程度に応じて区別されます。追加レベルの情報保護を提供する必要がある場合には、他の手段が使用されます。

.航空機情報漏洩経路

情報漏洩の経路として考えられるのは、システム要素へのアクセスやそのコンポーネントの構造の変更に関連する経路です。 2 番目のグループには次のものが含まれます。

他のユーザーのファイルから意図的にデータを読み取る。

残留情報、つまりタスク完了後に磁気メディアに残っているデータを読み取る。

記憶メディアのコピー。

情報にアクセスするための端末の意図的な使用

登録ユーザー;

処理システムで使用される情報へのアクセスを制限するためのパスワードやその他の詳細を盗むことにより、登録ユーザーになりすます。

情報にアクセスするためのいわゆる「トラップ」、穴、および「抜け穴」の使用、つまり、システム全体のソフトウェアコンポーネント (オペレーティングシステム、データベース管理システム、など）および自動データ処理システムで使用されるプログラミング言語の曖昧さ。

.軍隊における情報の保護方法

情報を保存および送信する簡単な手段が存在する場合、意図的なアクセスから情報を保護する次の方法が存在し、今日に至るまでその重要性を失っていません。アクセス制御; アクセス (特権) の分離。情報の暗号化変換。アクセス制御とアカウンティング。法的措置。

これらの方法は純粋に組織的に、または技術的手段の助けを借りて実行されました。

自動化された情報処理の出現により、情報の物理的媒体は変化し、新しいタイプが追加され、情報を処理する技術的手段はより複雑になりました。

この点に関して、コンピュータシステム内の情報を保護する古い方法が開発され、新しい方法も登場しています。

ソフトウェアエラーだけでなく、障害、ハードウェア障害、人為的エラーの検出と診断を提供する機能制御方法。

情報の信頼性を高める方法。

緊急事態から情報を保護する方法。

機器の内部設置、通信回線、および技術的制御へのアクセスを制御する方法。

情報へのアクセスを制限および制御する方法。

ユーザーを識別および認証する方法、技術的手段、記憶媒体および文書。

不正アクセスから情報を守る方法は4つに分けられる

2.1 物理的アクセスとデータアクセス

データアクセス制御ルールは、上で説明した個人識別要件を達成するための唯一の既存の方法です。最適なアクセス制御ポリシーは、「最小限の特権」ポリシーです。言い換えれば、ユーザーは仕事に必要な情報のみにアクセスできます。機密（または同等）以上に分類された情報については、アクセスが変更され、定期的に確認される場合があります。

あるレベル (少なくとも登録された機密または同等のレベル) では、チェックとアクセス制御のシステム、および変更のログが必要です。データとプログラムに対するすべての変更に対する責任を定義するルールが必要です。データやプログラムなどのリソースへの不正アクセスの試みを検出するメカニズムを導入する必要があります。共謀の可能性を防ぐために、リソース所有者、部門マネージャー、およびセキュリティ担当者に違反の可能性を通知する必要があります。

2 機器へのアクセス制御

内部設備、通信回線、技術的制御へのアクセスを制御するために、改ざん防止装置が使用されます。これは、機器や技術要素、制御パネルの内部設置が、センサーが取り付けられたカバー、ドア、またはケーシングで閉じられていることを意味します。機器が開かれるとセンサーが作動して電気信号を生成し、収集回路を介して集中制御装置に送信されます。ソフトウェアダウンロードツール、コンピュータコントロールパネル、コンピュータシステムに含まれるハードウェアの外部ケーブルコネクタなど、機器へのすべての技術的アプローチがより完全にカバーされている場合、そのようなシステムを導入することは意味があります。理想的には、情報セキュリティの有効性に対する要件が高まっているシステムの場合、センサー付きの機械的ロックでカバーを閉じるか、システムにログインするための標準的な手段であるユーザー端末の組み込みを制御することをお勧めします。

機器の開放を制御することは、情報を不正アクセスから保護するためだけでなく、主な問題の解決と並行して運用中に行われることが多いため、コンピュータシステムの正常な機能を確保するために技術規律を維持するためにも必要です。機器の修理やメンテナンスを行う際、うっかりケーブルの接続を忘れたり、コンピュータコンソールの情報処理プログラムを変更したりすることが判明する場合があります。機器改ざん防止は、不正アクセスから情報を守る観点から、以下の行為を防止します。

コンピュータシステムおよび機器の概略図の変更および破壊。

サードパーティ製デバイスの接続。

技術的なコンソールや制御装置を使用してコンピュータシステムのアルゴリズムを変更する。

サードパーティプログラムをダウンロードし、システムにソフトウェア「ウイルス」を導入する。

不正な者による端末の使用等

機器改ざん制御システムの主なタスクは、稼働期間中の機器に対するすべての異常な技術的アプローチをカバーすることです。システムの運用中に後者が必要な場合、修理やメンテナンスのために持ち出された機器は、作業を開始する前に保護すべき情報を交換するために現用回線から切り離され、人の監督と管理の下で現用回線に導入されます。情報セキュリティの責任者。

2.3 情報の暗号化変換

暗号化を使用してデータを保護することは、データセキュリティの問題に対する可能な解決策の 1 つです。暗号化されたデータには、復号化する方法を知っている人だけがアクセスできるため、権限のないユーザーが暗号化されたデータを盗むことはまったく無意味になります。暗号化により、情報の機密性だけでなく、その信頼性も保証されます。機密性は、個々のメッセージまたはファイル全体を暗号化することによって維持されます。情報の信頼性は、すべての情報を含む特別なコードによる暗号化によって確認され、受信者はこのコードを検証して作成者の身元を確認します。情報の出所を証明するだけでなく、その不変性も保証します。情報の単純な変換であっても、ほとんどの未熟な違反者からその意味を隠す非常に効果的な手段です。

今日、暗号化は、衛星から送信される情報の機密性を確保し、信頼性を確認する唯一の既知の方法です。 DES データ暗号化標準の性質上、そのアルゴリズムは公開されており、キーのみが秘密である必要があります。さらに、情報の暗号化と復号化には同じキーを使用する必要があり、そうでないと情報を読み取ることができなくなります。

暗号化の原理は、キーを使用してテキストをエンコードすることです。従来の暗号化システムは、エンコードとデコードに同じキーを使用していました。新しい公開キーまたは非対称暗号化システムでは、キーはペアになっており、一方は情報のエンコードに使用され、もう一方は情報のデコードに使用されます。このようなシステムでは、各ユーザーは一意のキーのペアを所有します。 1 つのキー、いわゆる「公開」キーは誰もが知っており、メッセージの暗号化に使用されます。「秘密」キーと呼ばれる別のキーは厳重に秘密に保たれ、受信メッセージを復号化するために使用されます。このようなシステムを実装する場合、あるユーザーが別のユーザーにメッセージを送信する必要がある場合、そのユーザーの公開キーを使用してメッセージを暗号化できます。個人秘密キーの所有者のみがそれを復号できるため、傍受される危険はありません。このシステムは、デジタル署名の偽造に対する保護を作成するためにも使用できます。

インターネットおよびイントラネットのセキュリティ暗号化を実際に使用するには、従来の対称スキームと新しい非対称スキームを組み合わせます。公開キー暗号化は、秘密対称キーをネゴシエートするために使用され、その後、実際のデータの暗号化に使用されます。暗号化により、最高レベルのデータセキュリティが提供されます。ハードウェアとソフトウェアは両方とも異なる暗号化アルゴリズムを使用します。

4 アクセス制御と制限

PC 情報への不正アクセスチャネルの可能性をブロックするために、前述したものに加えて、他の方法や保護手段を適用することもできます。 PCをマルチユーザーモードで使用する場合は、アクセスを制御・制限するプログラムが必要です。同様のプログラムが多数あり、多くの場合、ユーザー自身が開発します。ただし、PC ソフトウェアの操作の特殊な性質により、十分な資格を持った侵入者プログラマがそのキーボードを使用すると、この種の保護を簡単に回避できます。したがって、この措置は資格のない違反者を保護する場合にのみ有効です。専門的な侵入者から身を守るには、一連のソフトウェアおよびハードウェアツールが役に立ちます。たとえば、空き PC スロットに挿入された特別な電子キー、およびユーザーのみが知っているアルゴリズムに従って電子キーと対話する PC アプリケーションプログラムに埋め込まれた特別なプログラムフラグメントなどです。キーがないと、これらのプログラムは動作しません。しかし、そのようなキーは、毎回PCシステムユニットを開けなければならないため、使用するのが不便です。この点において、その可変部分であるパスワードは別のデバイスに出力され、それがキー自体となり、読み取りデバイスはシステムユニットのフロントパネルに取り付けられるか、別のリモートデバイスの形で作られます。このようにして、PC の起動とアクセス制御およびアクセス制御プログラムの両方をブロックできます。

たとえば、米国 2 社の最も人気のある電子キーは、同様の機能を備えています。Rainbow Technologies (RT) と Software Security (SSI) です。国内市場では、NOVEX、HASP、および Plug の NovexKey という多数の電子キーが提供されています。それらのほとんどは、ソフトウェア製品の不正コピーから保護すること、つまり、その作成に対する著作権を保護することを目的としており、したがって、別の目的で使用されます。ただし、この場合、ディスプレイおよび文書チャネル、ソフトウェアおよび情報メディア、迷走電磁放射および情報干渉が常に保護されるわけではありません。それらの重複は、コンピュータを安全な部屋に置く、記憶媒体を金属キャビネットや金庫に記録および保管する、暗号化するなど、既知の方法および手段によって保証されます。

アクセス制御システム (ARS) は、包括的な情報セキュリティシステムの主要コンポーネントの 1 つです。このシステムでは次のコンポーネントを区別できます。

アクセス主体認証手段と、

コンピュータシステムの技術的デバイスへのアクセスを制限する手段。

プログラムおよびデータへのアクセスを制限する手段。

不正なアクションをブロックする手段。

イベント登録ツール。

アクセス制御システムの当直オペレーター。

アクセス制御システムの有効性は、主に認証メカニズムの信頼性によって決まります。特に重要なのは、リモートプロセスの対話中の認証であり、常に暗号化方式を使用して実行されます。認証メカニズムを操作するときの主なタスクは次のとおりです。

識別子の生成または生成、そのアカウンティングと保管、ユーザーへの識別子の転送、およびコンピュータシステム (CS) での認証手順の正しい実装の制御。アクセス属性 (パスワード、個人コードなど) が侵害された場合は、許可されている属性のリストから早急に除外する必要があります。これらの操作は、勤務中のアクセス制御システムのオペレーターが実行する必要があります。

大規模な分散ネットワークでは、識別属性と暗号化キーを生成して配信するという問題は簡単な作業ではありません。たとえば、秘密暗号化キーの配布は、保護されたコンピュータシステムの外部で実行する必要があります。ユーザー ID 値をクリアテキストでシステムに保存または送信してはなりません。識別子の入力と比較中は、パスワード入力時の覗き見や、キーロガーや DSS シミュレーターなどの悪意のあるプログラムの影響に対して特別な保護措置を適用する必要があります。技術的手段へのアクセスを制限する手段は、技術的手段の起動、オペレーティングシステムのロード、情報の入出力、非標準デバイスの使用など、攻撃者による不正な行為を防止します。アクセス制御は、サービスの運営者によって実行されます。ハードウェアとソフトウェアを使用したデータ配信システム。したがって、制御システムのオペレータは、電源ロックから技術デバイスまたは別の部屋にあるすべてのデバイスへのキーの使用を直接制御し、デバイスへの電源供給のブロックまたは OS ロードのブロックをリモートで制御できます。ハードウェアまたはソフトウェアレベルで、オペレータは特定のユーザーが使用できるツールの技術構造を変更できます。

プログラムとデータへのアクセスを制限する手段は最も集中的に使用され、データ配信システムの特性を大きく決定します。これらのツールはハードウェアとソフトウェアです。これらは情報セキュリティを確保する部門の担当者によって設定され、ユーザーの権限が変更されたとき、またはプログラムや情報構造が変更されたときに変更されます。ファイルへのアクセスは、アクセスマネージャーによって制御されます。データベースファイル内のレコードおよびレコードの個々のフィールドへのアクセスも、データベース管理システムを使用して規制されます。

RDS の効率は、外部ストレージデバイスに保存されているファイルを暗号化するだけでなく、ファイルが破壊された場合に完全に消去したり、一時ファイルを消去したりすることで向上させることができます。たとえ攻撃者が不正コピーなどによってコンピュータメディアにアクセスしたとしても、暗号化キーがなければその情報にアクセスすることはできません。

分散型CSでは、リモートLANなどのサブシステム間のアクセスはファイアウォールによって規制されます。保護されたコンピュータシステムと保護されていないコンピュータシステム間の通信を制御するには、ファイアウォールを使用する必要があります。同時に、保護されていない CS から保護された CS へのアクセス、および保護されたシステムから保護されていない CS へのアクセスの両方が規制されます。 ICSI オペレータの職場には、ファイアウォール機能を実装したコンピュータを配置することが推奨されます。

アクセス主体の不正なアクションをブロックする手段は、DSS の不可欠なコンポーネントです。アクセス主体の属性またはそのアクションのアルゴリズムがこの主体に対して許可されていない場合、そのような違反者の CS でのさらなる作業は、ICS オペレーターの介入まで中止されます。ブロックとは、アクセス属性の自動選択を排除するか、大幅に複雑にすることを意味します。

イベント登録ツールも DRS の必須コンポーネントです。イベントログは VZU にあります。このようなログには、システムへのユーザーのログインおよびシステムからのログアウト、不正なアクションを実行しようとするすべての試み、特定のリソースへのアクセスなどに関するデータが記録されます。ログは、特定のイベントを記録し、勤務中のオペレーターおよび上級職員によってその内容を定期的に分析するように構成されています。 OBIユニットから。ログの設定と分析のプロセスをプログラムで自動化することをお勧めします。

DRS の直接制御は、KSZI の職務オペレーターによって実行され、通常、CS の職務管理者の機能も実行します。 OS をロードし、コンピュータシステムに必要な構成と動作モードを提供し、データ配信システムにユーザーの権限と属性を入力し、コンピュータリソースへのユーザーアクセスを制御および管理します。

.コンピュータシステムの情報セキュリティツール

1APS SZIの種類

上記のすべてから、ソフトウェアおよびハードウェアの情報セキュリティツールはいくつかのタイプに分類できます。

情報を不正コピーから保護するためのソフトウェアおよびハードウェア。

情報がデータキャリアに保存されるとき、および通信チャネルを介して送信されるときに、情報を暗号化および速記で保護するためのソフトウェアおよびハードウェアツール（情報をマスキングする手段を含む）。

ソフトウェアおよびハードウェアは、ユーザーがアクセスルールに違反した場合にユーザーのプログラムの動作を中断する手段です。

データを消去するためのソフトウェアおよびハードウェアツールには次のものが含まれます。

ソフトウェアおよびハードウェアは、情報への不正アクセスが試みられたときに警報を発する手段です。

ソフトウェアおよびハードウェアのブックマークのアクションを検出してローカライズするためのソフトウェアおよびハードウェアツール。

2 ハードディスク上の情報を高速破壊する装置「Stek-N」

ハードディスクの使用中および消去時の非使用に関わらず、ハードディスクに記録された情報を迅速（緊急）に消去できるように設計されています。

Stackシリーズ製品の主な特長:

情報破壊の可能な最大速度。

パフォーマンスを低下させることなく、必要なだけコックされた状態を維持できる能力。

自律電源を備えた遠隔制御システムでの使用の可能性。

可動部品はありません。

磁気媒体に記録された情報の消去は物理的な破壊を伴わずに行われますが、その後のディスクの使用には再び問題が生じます。

このデバイスには、「Stack-HCl」、「Stack-HC2」、「Stack-NA1」の 3 つの基本モデルが用意されています。

「Stack-HCl」モデルは、リサイクルする前に多数のハードドライブから情報を迅速に消去するための作業場を作成することを目的としています。主電源のみを備えており、次の消去後の「準備完了」モードへの移行時間が短いことが特徴です。低コストで操作性も非常に高いモデルです（図1）。

「Stack-NS2」モデルは、主電源のみを備えたコンピュータデータ用の固定式情報金庫を作成することを目的としています。 HDDの温度管理やセルフテストを行うためのシステムが装備されており、リモート初期化モジュールを後付けすることも可能です（図2）。

「Stack-HAl」モデルは、ネットワークと自律電源を備えたコンピュータデータ用のポータブル情報金庫を作成することを目的としています。セルフテストシステムとリモート初期化モジュールを搭載しています。

このデバイスは、145x105x41mm の作業チャンバーに収まり、同様の特性を持つ他のタイプのメディアから情報を消去するために使用できます。

本製品は磁気メディアに記録されている有用情報やサービス情報を消去します。したがって、メディアは特別な機器でのみ使用できます。また、場合によってはヘッドユニットの位置がずれる可能性があります。

Stack-NS1(2) の主な特徴を列挙してみましょう。

デバイスが「準備完了」モードに入るまでの最大時間は 7 ～ 10 秒です。

本製品の電源は220V、50Hzです。

最大消費熱電力は 8 W です。

「充電」/「消去」サイクルでは少なくとも 0.5 時間。

寸法 - 235x215x105 mm。

Stack-HA1 の主な特徴を列挙してみましょう。

デバイスが「準備完了」モードに入るまでの最大時間は 15 ～ 30 秒です。

1 枚のディスクの情報を消去する時間は 300 ミリ秒です。

製品電源 - 220 V、50 Hz または外部バッテリー 12 V。

製品の連続運転許容時間：

「準備完了」モードでは無制限。

「充電」/「消去」サイクル - 0.5 時間で少なくとも 30 回。

寸法 - 235x215x105 mm。

3 LAN接続検出器 FLUKE

コンピュータネットワーク上の対策は、監視スキルとバックグラウンドワークを必要とする非常に特殊なタスクです。このタイプのサービスでは、次のような複数のデバイスが使用されます。

ハンドヘルドオシロスコープ。

「フリーライン」で動作するための遷移接続の分析を備えた時間間隔反射計。

ネットワークトラフィックアナライザー/プロトコルアナライザー。

特別な検出ソフトウェアパッケージを備えたコンピューター。

ポータブルスペクトラムアナライザー。

これらの機器は、オシロスコープ、スペクトルアナライザ、マルチメータ、捜索受信機、X 線装置およびその他の対抗手段に加えて使用され、対監視コマンド用の機器です (図 2)。「ベーシックツール」は、高品質タイムドメイン反射率計の機能を含む、ケーブルスキャナのすべての機能を提供します。トラフィック分析機能は、ネットワークの中断、ハッカーの侵入を特定して追跡し、ローカルネットワーク上の偽装監視デバイスの存在を記録する際に重要です。 LANmeterは、ネットワークの監査やチェックを行う際にも使用されます。

FLUKE DSP-2000/DSP-4000 ケーブルアナライザと FLUKE 105B パラメータメータも、対策検査を実施するために必要な機器であり、LANmeter を補完します。

検査中は、通常、一般的な評価のためにネットワークに接続されたオシロスコープを使用して、信号の形状とその存在を観察できます。ネットワーク上にスペクトラム拡散監視デバイスがある場合、オシロスコープはこの事実を迅速に判断するだけでなく、電圧の表示、RF ノイズの存在、および過渡接続に関する限られた情報も提供します。

ポータブルスペクトラムアナライザは、ネットワークの無線周波数スペクトルをすばやく表示するために使用されます。テスト対象のネットワーク上の典型的な外観に対応しない信号がないかどうかを観察する必要があります。ネットワーク上のすべてのワイヤの組み合わせが外部信号の存在について徹底的にチェックされると（オシロスコープとスペクトラムアナライザを使用）、ネットワークトラフィックアナライザを使用して、特定の各セグメント（またはケーブルエントリ）で発生するアクティビティを監視します。これは、特別なソフトウェアの使用、不正な監視、またはセキュリティ侵害を示す可能性のあるネットワークトラフィックの異常を特定することが目的です。

ネットワークトラフィックアナライザーは通常、パケットヘッダーのみを評価し、PING、トレースルート、DNS ルックアップなどのいくつかの基本的なネットワーク機能をユーザーに提供し、見つかったネットワークアドレスまたはアクティブなネットワークアドレスのリストを提供します。この観点から、対策専門家はすべてのネットワークオブジェクトのリストを受け取り、物理リストと照合できます。

対策技術者は、ネットワークセグメントをシャットダウンし (通常はルーターまたはスイッチの電源をオフにする)、すべての配線を切断します。これにより、コンピュータのグループと一部のケーブルがネットワークの残りの部分から隔離され、残りの検査に適切なカバーが提供されます。監視装置や異常がないか物理配線を検査できます。

4 情報セキュリティシステム Secret Net 6.0

Net は、不正アクセスから情報を保護する認定された手段であり、自動化システムを規制文書の要件に準拠させることができます。

No. 98-FZ (「営業秘密について」)

No.152-FZ（「個人データについて」）

No. 5485-1-FZ (「国家機密について」)

STO BR (ロシア銀行の標準)

ロシアの FSTEC の証明書により、NSD Secret Net の情報セキュリティシステムを使用して以下を保護することができます。

クラス 1B までの自動化システムにおける機密情報および国家機密。

クラス K1 までの個人データ情報システム。

ネットワークワークステーションとサーバーのセキュリティを確保するために、さまざまな保護メカニズムが使用されます。

識別と認証の強化。

権威的かつ選択的なアクセス制御。

閉じられたソフトウェア環境。

暗号化データ保護。

他の防御メカニズム。

セキュリティ管理者には、すべてのセキュリティメカニズムを管理する単一の手段が提供され、セキュリティポリシー要件の実装を一元的に管理および監視できます。

セキュリティに関連する情報システム内のイベントに関するすべての情報は、単一のログブックに記録されます。セキュリティ管理者は、ユーザーによる違法行為の試みを直ちに認識します。

レポートの生成、ログの前処理、およびリモートワークステーションの運用管理のためのツールがあります。

Secret Net システムは、クライアント部分、セキュリティサーバー、管理サブシステムの 3 つのコンポーネントで構成されます (図 3)。

Secret Net システムの特別な機能は、クライアント/サーバーアーキテクチャです。サーバー部分はセキュリティシステムデータの集中ストレージと処理を提供し、クライアント部分はワークステーションまたはサーバーのリソースを保護し、管理情報を独自のデータベースに保存します。。

セキュリティシステムのクライアント部分 (スタンドアロンバージョンとネットワークバージョンの両方) は、ネットワーク上のワークステーションまたはある種のサーバー (セキュリティサーバーを含む) など、重要な情報が含まれるコンピュータにインストールされます。

クライアント部分の主な目的:

コンピュータリソースを不正アクセスから保護し、登録ユーザーの権利を明確にする。

ワークステーションまたはネットワークサーバーで発生するイベントを記録し、セキュリティサーバーに情報を送信します。

セキュリティ管理者の集中および分散制御アクションの実行。

Secret Net クライアントには、ハードウェアサポート (電子識別子によるユーザーの識別および外部メディアからのダウンロードの管理) が装備されています。

セキュリティサーバーは専用のコンピューターまたはドメインコントローラーにインストールされ、次のタスクに対するソリューションを提供します。

Oracle 8.0 Personal Edition DBMS の制御下で動作し、セキュリティシステムの動作に必要な情報を含むセキュリティシステムの中央データベース (CDB) を維持します。

すべての Secret Net クライアントから進行中のイベントに関する情報を単一のログに収集し、処理された情報を管理サブシステムに転送します。

管理サブシステムとの対話、およびセキュリティシステムのクライアント部分への管理者制御コマンドの送信。

Secret Net 管理サブシステムはセキュリティ管理者の職場にインストールされ、セキュリティ管理者に次の機能を提供します。

ユーザ認証。

保護された情報とデバイスへのアクセス制御を確保します。

信頼できる情報環境。

機密情報を配布するチャネルの制御。

機密情報の漏洩を排除する一元的なポリシーに基づいて、コンピューターデバイスや隔離された記憶媒体を制御します。

セキュリティポリシーを一元管理することで、不正アクセスイベントに迅速に対応できます。

運用監視とセキュリティ監査。

スケーラブルなセキュリティシステム、多数の支店を持つ組織で Secret Net (ネットワーク版) を使用できる機能。

Secret Net 6 導入オプション

オフラインモード - 少数 (最大 20 ～ 25) のワークステーションとサーバーを保護するように設計されています。この場合、各マシンはローカルに管理されます。

ネットワークモード (集中管理) - Active Directory を使用したドメインネットワークへの展開を目的としています。このオプションには一元化された管理ツールがあり、組織全体にセキュリティポリシーを適用できます。 Secret Net のネットワークバージョンは、複雑なドメインネットワークに正常に展開できます。

Secret Net に実装された制御スキームにより、実際の主題領域の観点から情報セキュリティを管理し、ネットワーク管理者とセキュリティ管理者の間の厳密な権限分離を完全に確保できます。

3.5 電子錠「ソボル」

コンピューターリソースを不正アクセスから保護するように設計されています。

Sobol 電子ロック (EZ) はロシアの FSTEC によって認定されています。 2008 年 3 月 14 日付けの証明書 No. 1574 は、ロシア国家技術委員会の指導文書「情報への不正アクセスに対する保護」の要件に製品が準拠していることを確認しています。パート 1. 情報セキュリティソフトウェア。「宣言されていない機能の欠如に対する制御レベルに応じた分類」により、最大 1B までのセキュリティクラスの自動システムの保護システムの開発に使用できます。

Sobol 電子ロックは、スタンドアロンコンピュータだけでなく、ローカルエリアネットワークの一部であるワークステーションやサーバーを保護するデバイスとしても使用できます。

次の保護メカニズムが使用されます。

ユーザーの識別と認証。 PC へのアクセス試行の登録。

リムーバブルメディアからOSをロードすることの禁止。ソフトウェア環境の整合性を監視します。

ソフトウェア環境の整合性の監視

Windows システムレジストリの整合性の監視

ウォッチドッグタイマー

PCへのアクセス試行の登録

構成制御

ユーザーを識別および認証する機能、および PC へのアクセス試行を記録する機能は、使用されている OS の種類に依存しません。

Sobol 電子ロックの動作は、システムにログインしようとするときにユーザーの個人識別子とパスワードをチェックすることです。未登録のユーザーがシステムにログインしようとすると、電子ロックがその試みを登録し、最大 4 つのデバイス (FDD、CD-ROM、ZIP、LPT、SCSI ポートなど) をハードウェアロックします。電子ロックは、個人識別子を使用したユーザーの識別と強化された (2 要素) 認証を使用します。以下を個人ユーザー識別子として使用できます。

eToken PRO (Java)。

Athena ASEDrive IIIe USB V2 USB リーダー経由の eToken PRO スマートカード。

登録された ID を提示した場合にのみ、オペレーティングシステムをハードドライブからロードできます。ユーザー登録に関するサービス情報（名前、割り当てられた個人識別番号など）は、電子錠の不揮発性メモリに保存されます。電子ロックはシステムログを維持し、その記録は特別な不揮発性メモリに保存されます。システムログには、ユーザーのログイン、ログイン試行、不正アクセス試行、およびシステムセキュリティに関連するその他のイベントが記録されます。イベントの日時、ユーザー名、イベントの種類に関する情報 (たとえば、ユーザーがログインした、間違ったパスワードを入力した、未登録のユーザー ID を提示した、ログイン試行回数を超過した、その他のイベント）。

したがって、Sobol 電子ロックは、PC へのすべてのアクセス試行に関する情報を管理者に提供します。

Sobol コンプレックスで使用される整合性監視メカニズムを使用すると、オペレーティングシステムをロードする前に、ハードドライブのファイルと物理セクターの不変性を制御できます。これを行うために、チェックされるオブジェクトのいくつかの基準値が計算され、これらのオブジェクトごとに以前に計算された基準値と比較されます。制御対象ファイルへのパスや制御対象セクタの座標を示す制御対象オブジェクトのリストの作成は、完全性制御テンプレート管理プログラムを用いて行われる。整合性コントロールは、NTFS5、NTFS、FAT32、FAT16、FAT12、UFS、EXT2、および EXT3 のファイルシステムを使用するオペレーティングシステムで動作します。管理者は電子ロックの動作モードを設定することができ、管理されているファイルの整合性が侵害された場合にユーザーがシステムにログインするのをブロックします。フロッピーディスクや CD からのブートを禁止するサブシステムにより、管理者を除くすべてのユーザーがこれらのリムーバブルメディアからオペレーティングシステムをブートできないようになります。管理者は、個々のコンピュータユーザーがリムーバブルメディアからオペレーティングシステムを起動できるようにすることができます。

Sobol 電子ロックを構成するために、管理者は、ユーザーパスワードの最小長、失敗するユーザーログインの最大数を決定し、ユーザーを追加および削除し、コンピュータ上でのユーザーの作業をブロックし、個人識別子のバックアップコピーを作成することができます。。

Sobol 電子ロックは、Secret Net 情報セキュリティシステムの一部として使用して、暗号化キーとデジタル署名を生成できます。さらに、Sobol EZ を Secret Net の一部として使用すると、その機能の一元的な集中管理が提供されます。 Secret Net 管理サブシステムを使用すると、セキュリティ管理者は従業員の個人識別子のステータスを管理できます。電子識別子を割り当て、一時的にブロックし、無効にすることで、組織の自動化システムのコンピュータへの従業員のアクセスを管理できるようになります。

Sobol-PCI 電子ロックの基本セットには次のものが含まれます (図 4)。

Sobol-PCI コントローラー。

メモリーリーダーをタッチします。

2 つの DS-1992 識別子。

FDDからのロードをブロックするインターフェース。

CD-ROM からのブートをブロックするためのインターフェイス。

制御されたプログラムのリストを生成するソフトウェア。

ドキュメンテーション。

6 Secret Disk Server NG 企業情報保護システム

機密情報と企業データベースを保護するように設計されています (図 5)。

このシステムは、Windows NT 4.0 Server/Workstation/2000 Professional SP2 / XP Professional / Server 2000 SP2 / Server 2003 で動作するように設計されています。強力な暗号化アルゴリズムを使用した情報の透過的暗号化の使用により、データの最初の暗号化中に作業を続行できます。。

幅広いドライブをサポートしているため、個々のサーバーのハードドライブ、任意のディスクアレイ (SAN、ソフトウェアおよびハードウェア RAID アレイ)、およびリムーバブルドライブを保護できます。

このシステムは機密データを確実に保護するだけでなく、その存在を隠します。

Secret Disk Server NG をインストールすると、選択した論理ドライブが暗号化されます。ネットワークユーザーのこれらへのアクセス権は、Windows NT を使用して設定されます。

暗号化は、システムカーネルドライバー (カーネルモードドライバー) によってプログラムによって実行されます。

Secret Disk Server NG では、128 ビットのキー長の組み込みデータ変換アルゴリズムに加えて、外部の暗号化保護モジュール (たとえば、認証済みのロシアの CIPF CryptoPro CSP バージョン 2.0/3.0 や、Signal-COM CSP を実装する) を接続できます。鍵長 256 ビットの最も強力なロシアの暗号化アルゴリズム GOST 28147-89。暗号化速度は非常に高速であるため、動作中にわずかな速度の低下に気づく人はほとんどいません。

暗号化キーは、保護されたパーティションを操作する前 (またはサーバーの起動時) に、Secret Disk Server NG ドライバーに入力されます。この目的には、PIN コードで保護されたマイクロプロセッサカード (スマートカード) が使用されます。コードが分からないとカードは使えません。間違ったコードを 3 回入力しようとすると、カードがブロックされます。サーバーの実行中はスマートカードは必要ないため、安全な場所に隠すことができます。

システム動作中、暗号化キーはサーバーの RAM に保存され、最終的にディスク上のスワップファイルに保存されることはありません。 PIN コードと暗号化キーはユーザー自身が生成します。生成時には、マウスの動きの軌跡と任意のキーを押す時間特性に従って形成された一連の乱数が使用されます。Disk Server NG には、「アラーム」信号を送信するためのオープンインターフェイスがあり、さまざまなセンサーを接続できます。および敷地内へのアクセス制御装置（ドア、窓、動作、音量変更、電子ロックおよびコンビネーションロックを開くためのセンサー）。

保護されたドライブを接続すると、構成ファイルにリストされている必要なプログラムとサービスを自動的に起動できます。スマートカードを提示せずにサーバーを再起動したり、別のコンピューターでディスクを読み取ろうとしたりすると、保護されたパーティションは、読み取れない未フォーマットの領域として「表示」されます。危険が生じた場合は、情報を即座に「破棄」し、保護されたセクションを「非表示」にすることができます。納品物には、インストール CD、スマートカード (外部) を操作するためのユニバーサルデバイス、ケーブルセット、特殊なハードロックボード、ロシア語のドキュメント、スマートカード 3 枚が含まれています。

7 Secret Disk機密情報保護システム

Disk は、経営者、管理者、会計士、監査人、弁護士など、幅広いコンピュータユーザーの機密情報を保護するシステムです。

Secret Disk システムをインストールすると、新しい仮想論理ディスク (1 つ以上) がコンピュータ上に表示されます。書き込まれる内容はすべて自動的に暗号化され、読み取られると復号化されます。この論理ドライブの内容は、特別なコンテナ (暗号化されたファイル) にあります。シークレットディスクファイルは、コンピュータのハードドライブ、サーバー、Zip、Jaz、CD-ROM、光磁気ディスクなどのリムーバブルメディア上に配置でき、ディスクやコンピュータ自体が取り外された場合でも、データは確実に保護されます。シークレットドライブを使用することは、実行するすべてのアプリケーションに暗号化機能を組み込むことと同じです。

シークレットドライブを接続して暗号化されたデータを操作できるのは、ユーザー入力と正しいパスワードのハードウェア認証が必要な場合のみです。認証には、スマートカード、電子キー、またはキーホルダーなどの電子識別子が使用されます。シークレットドライブを接続すると、Windows オペレーティングシステムからは別のハードドライブとして「見える」ようになり、そこに記録されているファイルにはあらゆるプログラムからアクセスできるようになります。電子 ID とパスワードがなければ、秘密のディスクに接続することはできません。部外者にとっては、任意の名前 (game.exe や girl.tif など) が付いた単なる暗号化されたファイルのままになります。

他の物理ディスクと同様に、安全なディスクはローカルネットワーク上で共有できます。ディスクを取り外すと、そこに記録されているすべてのファイルとプログラムにアクセスできなくなります。

主な特性のリスト:

専門的な暗号化アルゴリズム (外部暗号化ライブラリに接続する機能) を使用して機密データを保護します。

ユーザー自身による暗号化キーの生成。

電子キーフォブ、スマートカード、PCMCIA カード、または電子キーを使用したハードウェアユーザー認証。

二重の保護。各秘密ディスクは、このディスクにアクセスするためのユーザーの個人電子 ID とパスワードによって保護されています。

暗号化されたアーカイブの操作。情報は、自分自身のために（電子識別子を使用して）圧縮および暗号化できます。

同僚との安全な交換用 (パスワードあり)。

Secret Disk コンピュータロックを使用すると、電子 ID が無効になっている場合、指定されたキーの組み合わせが押された場合、またはユーザーが長時間非アクティブな場合に、画面を暗くしてキーボードをロックできます。システムがロックされていても、シークレットドライブは無効にならず、保護されたデータを使用する実行中のアプリケーションは引き続き正常に動作し、ネットワーク上のシークレットドライブに共有アクセスしている他のユーザーの作業は中断されません。

強迫モード。危機的な状況では、特別な緊急パスワードを入力できます。この場合、システムは一時的にドライブに接続し、電子識別子の個人暗号化キーを破壊し (これにより、将来ドライブにアクセスできなくなります)、既知の Windows エラーの 1 つをシミュレートします。

電子識別子の紛失（または故意の損傷）またはパスワードの紛失の場合にデータを回復できる可能性。

シンプルで便利なユーザーインターフェース。

暗号化アルゴリズムの違い (必要に応じて、組み込みアルゴリズムのいずれかを使用できます):

128 ビットのキー長を持つ組み込みエンコードアルゴリズム。

キー長 40 ビットの RC4 暗号化アルゴリズム。Windows 95、98 (米国以外のバージョンの場合) に組み込まれています。

キー長 256 ビットの暗号化アルゴリズム GOST 28147-89 (Krypton ボードまたは Krypton ボードのソフトウェアエミュレータ)。

クリプトンボードは国家機密を保護することが認定されており、ANKAD からの特別なリクエストに応じて提供されます。

デラックスバージョン - コンピュータの初期起動に対するハードウェア保護機能を備えています。

8 セキュリティのソフトウェアとハードウェアの複合体は「Accord-AMDZ」を意味します

SZI NSD Accord-AMDZ は、IBM 互換 PC サーバーおよびローカルネットワークワークステーション用のハードウェアトラステッドブートモジュール (TMDZ) であり、不正アクセスからデバイスと情報リソースを保護します。

この複合体は、ロシアの FSTEC (国家技術委員会) の管理文書「情報への不正アクセスに対する保護」に従って、不正アクセスから情報を保護するシステムの構築に適用されます。パート 1. 情報セキュリティソフトウェア。未申告の機能の欠如の制御レベルに応じた分類」 - 制御の第 3 レベルによると、「自動化システム。情報への不正アクセスからの保護。「自動化システムの分類と情報保護の要件」をセキュリティクラス 1D に準拠し、要件を満たす自動化システムを構築する際に、ユーザーの識別/認証、PC (PC) のソフトウェアおよびハードウェア環境の完全性の監視の手段として使用します。ロシアの FSTEC (国家技術委員会) の管理文書の要件「自動化システム」。情報への不正アクセスからの保護。自動化システムの分類と情報保護の要件」 (クラス 1B まで)。

この複合体は、以下に基づいてパーソナルコンピュータ (PC) への不正アクセスに対する保護の基本機能の実装を保証するハードウェアとソフトウェアのセットです。

個人ユーザー識別子の使用。

パスワードの仕組み。

リムーバブルストレージメディアからのオペレーティングシステムのロードをブロックします。

パーソナルコンピュータ (PC) のハードウェアとソフトウェア (一般的なファイル、アプリケーションソフトウェア、およびデータ) の整合性を監視します。

パーソナルコンピュータ (PC) にインストールされているオペレーティングシステムに対してトラステッドブートモードを確保します。

複合体のソフトウェア部分には、識別および認証ツール、パーソナルコンピュータ (PC) のハードウェアとソフトウェアの整合性を監視する手段、ユーザーのアクションを記録する手段、管理ツール (ファームウェア設定) および監査 (操作) が含まれます。ログブック) は、複合体の製造中に不揮発性メモリ (NVM) コントローラーに保存されます。複雑な管理および監査ツールへのアクセスは、BI 管理者のみに提供されます。

ユーザーの識別と認証、パーソナルコンピュータ (PC) のハードウェアとソフトウェアの完全性の監視は、パーソナルコンピュータ (PC) にインストールされているオペレーティングシステムをロードする前に複合コントローラによって実行されます。システムソフトウェアを変更する場合、コントローラーの交換は不要です。これにより、保護レベルを低下させることなく、特別なコントローラープログラミングモードがサポートされます。

この複合体は、LAN 上の不正アクセスに対する保護のための統合システムの一部として、ローカル PC と LAN ワークステーション上の両方の不正アクセスに対する保護の基本機能の実装を保証します。これには、構成、運用の制御、および管理が含まれます。複雑な。

主な特徴:

オペレーティングシステム (OS) をロードする前に、DS 199x の個人識別子を使用して PC ユーザーを識別することにより、作業を許可されていないユーザーから PC リソースを保護します。

オペレーティングシステムをロードする前に、キーボードから入力された最大 12 文字のパスワード (パスワードの長さはユーザーの登録時に BI 管理者によって設定されます) を使用したパーソナルコンピューター (PC) ユーザーの認証 (パスワード漏洩に対する保護付き) (OS)。

疎外されたメディアからのダウンロードをブロックします。

段階的な制御アルゴリズムの実装により、OS をロードする前に、パーソナルコンピュータ (PC) のハードウェア、ソフトウェア、条件付き永続情報の整合性を監視します。これにより、破壊的なソフトウェアの影響 (DPI) の導入に対する保護が保証されます。

ファイルシステム FAT 12、FAT 16、FAT 32、NTFS、HPFS、EXT2FS、EXT3FS、FreeBSD、Sol86FS、QNXFS、MINIX、VMFS をサポートします。これらは、特に、MS DOS、Windows、QNX、OS/2、UNIX、LINUX、BSD、vSphere などのファミリーのオペレーティングシステムです。

パーソナルコンピュータ (PC) で最大 16 ユーザーまで登録できます。

コントローラの不揮発性メモリにあるシステムログへの監視イベントの登録。

ユーザーの権限レベルに応じて周辺機器の制御信号を物理的に切り替える機能により、疎外された物理メディアやデータ処理装置への情報の入出力を制御できます。

複合施設の統合ソフトウェアの管理 (ユーザーと個人識別子の登録、整合性管理のためのファイルの割り当て、PC ハードウェアの制御、システムログの表示)。

プログラムとデータの整合性を監視し、不正な変更から保護します。

LAN への不正アクセスに対する保護システムに関連して、パーソナルコンピューター (PC) 上で発生するイベントに関するデータの登録、収集、保管、および配布。

権限レベルに応じて、ユーザーおよび PC プログラムのハードウェアデバイスへのアクセスを制限します。

Accord-AMDZ はさまざまなコントローラーに実装できます。または PCI-X - Accord-5MX または Accord-5.5 コントローラー (図 6B) Express - Accord-5.5.e または Accord-GX コントローラー (図 6A)

Mini PCI-express - Accord-GXM (図 6B)PCI-express ハーフカード - Accord-GXMH コントローラ

9 ハードウェアとソフトウェアの複雑な IP Safe-PRO

パブリックネットワーク (インターネットを含む) に基づいて作成された安全な仮想プライベート IP ネットワークを構築するために設計されています。

FreeBSD オペレーティングシステムを備えた 2 つのイーサネットインターフェイス (基本構成) を備えた IBM PC 互換コンピュータに基づいて作成されています (図 7)。

追加機能:

静的ルーティングおよびファイアウォール機能 (なりすましに対する保護、アドレス、ポート、プロトコルなどによるデータ処理)。

インターフェイス規格 G.703、G.704、V.35、RS-232 などをサポートする機能。

ホットバックアップシステム。

同期モードと非同期モードで動作します。

仕様:

使用される IPsec ファミリプロトコルは、トンネルモードの ESP (カプセル化セキュリティペイロード、RFC 2406) です (次のセキュリティサービスを提供します: 機密性とデータ整合性、データソース認証、ローカル企業ネットワークのトポロジの隠蔽、トラフィック分析からの保護)。

キーシステムは対称的です (集中管理と分散管理が可能)。

暗号化アルゴリズム - GOST 28147、RC5、3DES、DES、SHA-1、MD5。

10 ハードウェアおよびソフトウェア暗号化複合体 CONTINENT 3.6 (図 8)

この複合体は、ローカルコンピュータネットワーク、そのセグメント、個々のコンピュータなどの VPN コンポーネント間のオープン通信チャネルを介して送信される情報 (GOST 28147-89 に準拠) を暗号化して保護します。

最新のキースキームは、一意のキーを使用して各パケットの暗号化を実装しており、傍受されたデータの復号化の可能性に対する確実な保護を提供します。

パブリックネットワークからの侵入を防ぐために、Continent 3.6 コンプレックスは、さまざまな基準 (送信者および受信者のアドレス、プロトコル、ポート番号、追加のパケットフィールドなど) に従って受信および送信されたパケットのフィルタリングを提供します。 VoIP、ビデオ会議、ADSL、ダイヤルアップ、衛星通信チャネル、ネットワーク構造を隠すための NAT/PAT テクノロジーのサポートを提供します。

APKSh "Continent" 3.6 の主な機能と特徴:

.GOST 28147-89 に準拠した送信データの暗号化保護

APKSH "Continent" 3.6 は、一意のキーを使用して各パケットを暗号化する最新のキースキームを使用します。これにより、傍受された場合の復号化からの高度なデータ保護が提供されます。

データ暗号化は、GOST 28147-89 に従って、フィードバック付きのガンマモードで実行されます。歪みからのデータ保護は、GOST 28147-89 に従って模擬挿入モードで実行されます。暗号キーは NCC から一元管理されます。

.ファイアウォール - 内部ネットワークセグメントを不正アクセスから保護します

暗号化ゲートウェイ「Continent」3.6 は、さまざまな基準 (送信者および受信者のアドレス、プロトコル、ポート番号、追加のパケットフィールドなど) に従って受信および送信されたパケットのフィルタリングを提供します。これにより、内部ネットワークセグメントをパブリックネットワークからの侵入から保護できます。

.リモートユーザーが VPN ネットワークリソースに安全にアクセスできるようにする

APKSH "Continent" 3.6 の一部である特別なソフトウェア "Continent AP" を使用すると、リモートコンピューターから企業 VPN ネットワークへの安全なアクセスを組織できます。

.物理レベルでアクセスを分離した情報サブシステムの構築

APKSH "Continent" 3.6 では、各暗号化ゲートウェイで 1 つの外部インターフェイスと 3 ～ 9 つの内部インターフェイスを接続できます。これにより、企業のセキュリティポリシーに従ってネットワークを構成するユーザーの能力が大幅に拡張されます。特に、複数の内部インターフェイスが存在することにより、組織部門のサブネットワークをネットワークカードレベルで分離し、それらの間で必要な程度の相互作用を確立することができます。

.共通通信チャネルのサポート

ダイヤルアップ接続、暗号化ゲートウェイに直接接続された ADSL 機器、および衛星通信チャネル経由で動作します。

.あらゆるアプリケーションとネットワークサービスの「透明性」

Kontinent 3.6 暗号ゲートウェイは、IP テレフォニーやビデオ会議などのマルチメディアサービスを含む、TCP/IP プロトコル上で実行されるあらゆるアプリケーションやネットワークサービスに対して「透過的」です。

.優先度の高いトラフィックの処理

APKSH "Continent" 3.6 に実装されたトラフィック優先順位付けメカニズムにより、通信品質を損なうことなく音声 (VoIP) トラフィックとビデオ会議を保護できます。

.特定のサービス用に保証された帯域幅を予約する

特定のサービス用に保証された帯域幅を予約すると、電子メールトラフィックやドキュメント管理システムなどの通過が保証されます。低速通信チャネルで IP テレフォニーを積極的に使用している場合でも。

VLANのサポート

VLAN サポートにより、仮想セグメントに分割されたネットワークインフラストラクチャに APKSH を簡単に統合できます。

.内部ネットワークを非表示にします。 NAT/PAT テクノロジーのサポート

NAT/PAT テクノロジーのサポートにより、オープントラフィックの送信時に保護されたネットワークセグメントの内部構造を非表示にしたり、非武装地帯やセグメント保護されたネットワークを組織したりすることができます。

企業ネットワークの保護されたセグメントの内部構造の隠蔽が実行されます。

送信パケットをカプセル化する方法 (トラフィックを暗号化する場合)。

パブリックにアクセス可能なリソースを操作する場合は、ネットワークアドレス変換 (NAT) テクノロジを使用します。

11. 攻撃検知システムとの統合の可能性

各暗号化ゲートウェイでは、インターフェイスの 1 つを具体的に選択して、暗号化ゲートウェイを通過するトラフィックに不正なアクセス試行 (ネットワーク攻撃) がないかチェックすることができます。これを行うには、そのようなインターフェイスを「SPAN ポート」として定義し、攻撃検出システム (RealSecure など) がインストールされているコンピューターに接続する必要があります。この後、暗号ゲートウェイパケットフィルタの入力に到着するすべてのパケットがこのインターフェイスに中継され始めます。

3.11 輸送用ケース「SHADOW K1」

「SHADOW K1」は、ノートパソコンや個々のハードディスクドライブ（HDD）（ストリーマカートリッジ、ZIPドライブ）を輸送するために設計されており、HDDを駆動しようとすると情報が緊急に破壊される可能性があります（図11）。

構造的には、この複合体は防塵、防湿、防爆のケースに取り付けられ、ラップトップはその中に入れて輸送されます。保護された情報は追加のハードドライブに保存されます。このハードドライブは、ラップトップとは別のケース内の特別なコンパートメントに配置され、外部インターフェイスケーブルで接続されます。

情報の緊急破棄は次の場合に実行されます。

許可なくケースを開こうとすると自動的に。

保護されたハードドライブが配置されているコンパートメントを開こうとする不正な試みが行われた場合、自動的に行われます。

バッテリー寿命が 24 時間経過すると自動的に作動します。

ユーザーのコマンドでリモートから。破壊プロセスはラップトップのパフォーマンスには影響せず、作業が行われたかどうかには依存しません。

現時点での情報があるかどうか。ハードドライブ、フロッピーディスク、オーディオ、ビデオ、ストリーマカセットを輸送するための複合施設を製造することが可能です。

複合体は、スタンバイモード (RO) とセキュリティモード (P1) の 2 つのモードにすることができます。

RO モードでは、すべての主要コンポーネント、ブロック、センサーがテストされます。ラップトップまたは磁気メディアへの無料アクセスが提供されます。

P1 モードでは、NSD またはユーザーが無線チャネル (最大範囲 100 メートル) 経由でいつでも情報を破棄しようとすると、情報が自動的に破棄されます。解除と解除は、非接触電子近接カードを使用して実行されます。

TEN 複合体には自律型電源が搭載されており、最長 24 時間の連続稼働を保証します。

追加機能:

GSM チャネルを介した携帯電話からのユーザーの命令による情報の破壊。

ケースを完全に保護し、間違った開け方や穴あけを排除します。

作業の完全なログをリアルタイムで記録し、最後の 96 件のイベントを詳細な説明とともに不揮発性メモリに記録します。

12 暗号メッセージ保護のためのハードウェアおよびソフトウェアシステム SX-1

SX-1 ハードウェアおよびソフトウェアシステムは、PC 間の通信チャネルを介して送信されるメッセージ、または PC メモリに保存されたメッセージを暗号化して保護するように設計されています (図 9)。

SX-1システムでは、国内外の暗号実務において初めて、カオスストリーム暗号。

SX-1 システムは以下を提供します。

送信 (受信) または生成されたテキストおよび (または) グラフィックメッセージの暗号化変換。ファイルとしてフォーマットされ、ハードディスクまたはフロッピーディスクに記録されます。

攻撃者やハードウェアとソフトウェアを保守する担当者のあらゆる行為による侵害に対する主要データの高い耐性。

システムキーを変更することなく、指定された機能のパフォーマンスを少なくとも 2 年間保証します。

SX-1 システムには次のものが含まれます。

シングルチップコンピュータ (SOC) を搭載したボード。IBM PC/AT PC の ISA スロットに取り付けられ (または 140x110x35 mm の別のコンテナに配置され)、COM コネクタを使用して PC に接続されます。

Windows OSが動作するPCにインストールされる専用ソフトウェア(SPO)。

システムの主な特徴:

k 回目の試行でシステムキーを推測できる確率は k2-240 以下です .

k 回目の試行でセッションキーを推測できる確率は k10-10 以下です。 .

暗号変換速度は少なくとも 190,000 bps です。

データを暗号化するために 128 ビットのキー長を持つ強力な暗号化アルゴリズムを使用します。

キー長256ビットのGOST 28147-89暗号化アルゴリズムを実装した、「Ankad」社製のFAPSI認定暗号モジュール「Krypton」、またはボード「Krypton」を接続する可能性。

一連の乱数に基づいて一意の暗号化キーを生成します。

システムをインストールするには、次のものが必要です。

PC の表示画面に順次表示される指示に従って、付属のフロッピーディスクから SX-1 システムをインストールします。

付属のアダプターからの電源ケーブルと、コンテナーを PC に接続するための付属のケーブルを、シングルチップコンピューターを備えたコンテナーのコネクターに接続します。

ケーブルを使用してコンテナを COM コネクタに接続します。

アダプターを 220 V 50 Hz の AC 電圧に接続します。

13 ファイアウォールおよび IP ストリーム暗号化 PAK「FPSU-IP」

パブリックネットワーク内に仮想プライベートネットワーク (Virtual Private Network) を作成する際のファイアウォールと暗号化データ保護用に設計されています (図 10)。

パーソナルファイアウォール「FPSU-IP/Client」は、ファイアウォール用RDに準拠したセキュリティクラス5のFSTEC証明書No.1281を有しており、ベーシックファイアウォール「FPSU-IP」と通信セッションを行う場合（FSTEC証明書No.1091） 2011 年 10 月 31 日付け。) - セキュリティクラス 3 に準拠。暗号コアとしてFSB認定の暗号情報保護ツール「Tunnel 2.0」（2012年8月13日付認証番号SF/124-1906、レベルKS1）を採用しています。

このハードウェアおよびソフトウェアシステムにより、リモート加入者ステーション (ワークステーション) と、オープンデータネットワークを介して FPSU-IP 複合体によって保護されたネットワークとの間で安全な情報交換が保証されます。 FPSU-IP/クライアント複合体はリモートユーザーのワークステーションにインストールされ、「ワークステーション - 保護されたサーバー」の情報対話のためのファイアウォールおよび VPN ビルダーの機能を実行します。これにより、ワークステーションと中央の FPSU-IP コンプレックスの間に VPN 接続が作成され、FPSU-IP コンプレックスによって保護されたサーバーへの認証された安全なアクセスが保証されます。すべての VPN 接続の管理、制御、監査は、「リモート管理」ワークステーションを使用して一元的に実行されますが、適切な権限を持つ最大 4 台のワークステーションを同時に使用できるため、相互監査の可能性を備えた管理の高い安定性と信頼性が決まります。管理の。

ME「FPSU-IP/クライアント」は、ユーザーソフトウェアとアクティブな USB デバイス「VPN キー」（図 11）で構成されます。VPN キーは、一意のクライアント ID、キー、およびサービス情報を保存し、本質的には仮想的なものです。マイクロ - 適切なアーキテクチャを備えたコンピューター。

情報圧縮により、この複合体はデータ転送速度の顕著な向上を実現し、最大 90 Mbit/s の合計 IP ストリームの「オンパス」暗号化速度で、最大 1024 の暗号的に安全な接続を同時にサポートする機能を備えています。この複合体は、すべての TCP/IP プロトコルスタック、複合体の自動制御用のアルゴリズム、および複合体に組み込まれた暗号保護手段の独自の実装のみを使用します。

「FPSU-IP/Client」は、Windows XP/Vista/7/Server 2003/Server 2008、Linux、MacOSファミリーのOSで動作します。ワークステーション (PC) で安全な対話を実行するには、まずユーザーソフトウェア「FPSU-IP/Client」をインストールし、「VPN キー」を PC の USB ポートに挿入し、「ポップアップ」で「VPN キー」を挿入する必要があります。招待 (「VPN キー」を接続した後) に適切な PIN コードの入力を実行します。

この後、「FPSU-IP/クライアント」および「FPSU-IP」複合体 (FPSU-IP/クライアント複合体にサービスを提供する対応するサブシステムを含む) が安全な接続を確立し、ユーザーの認証と認可を実行します。認証は、「FPSU-IP/クライアント」と「FPSU-IP」複合体の間に VPN トンネルを作成するときに行われます。 FPSU-IP 複合体による認証の後、クライアントは許可されます。さらに、クライアントの実際の IP アドレスから保護されたネットワークの IP アドレスへの変換が提供されます。

第 2 段階では、「FPSU-IP/クライアント」および「FPSU-IP」複合体がデータをフィルタリングし、VPN チャネル経由でクライアントから FPSU-IP 複合体に暗号化形式で送信します。さらに、送信データのパススルー圧縮を実行できるため、送信情報の量が大幅に削減され、対話の速度が向上します。

接続は、ユーザーの要求により、または「VPN キー」が USB ポートから削除されたときに終了します。

FPSU-IP/クライアントテクノロジの特徴は、ユーザーがネットワーク上の PC の任意の場所から作業できることです。特定の IP アドレスへのバインドは必要なく、PC と FPSU-IP の間のすべてのやり取りの厳密な双方向認証が保証されます。ユーザーの識別は 4 桁のデジタルユーザー PIN コードを使用して実行されますが、その入力試行回数は制限されています (さらに 10 桁の PUK コードを使用する必要があります)。ユーザーの認可と認証は、FPSU-IP 複合体によって提供されます。

FPSU-IP および FPSU-IP/クライアントコンプレックスのリモート管理および監視システムは、保護されたネットワークの完全な管理と監視を提供します。監査システムの機能を使用すると、特定の PC と FPSU-IP 複合体の間で転送されるデータ量を個別に計算できるため、加入者の作業を明確に制御できます。

FPSU-IP/クライアント複合体は、すべての標準インターネットプロトコルに対して完全に透過的であり、IP リソースへのアクセスを提供する任意のソフトウェアと組み合わせて使用できます。

セキュリティを強化するために、保護されたリソースを操作する場合、オープンネットワークセグメントへの FPSU-IP/クライアントユーザーのアクセスを管理上 (リモートまたはローカルで) 制限し、最大で完全な禁止にすることができます。

主な特徴を列挙してみましょう。

パフォーマンス - 65 の IP ストリームの伝送速度を提供します。

すべての保護モード (フィルタリング + 圧縮 + 暗号化) が有効な場合は Mbit/s 以上。

暗号化アルゴリズム - GOST 28147-89

キーシステム/集中型キー配布 - 対称/集中型。

OS/プロトコルスタック - 32 ビット DOS ライク/ネイティブ。

処理される EMVOS レベルは、ネットワーク + トランスポート、セッション、アプリケーション (選択的) です。

インターフェイスのタイプと数 - 2。 10/100イーサネット、FDDI。

VPN プロトコル/冗長性/データ圧縮 - ネイティブ/パケットあたり 22 バイト以下/パススルーデータ圧縮により、情報のやりとりを加速する効果が得られます。

QoS サービスのサポート - 情報フローの優先順位付けによるペアワイズ接続内で最大 8 つの独立した VPN トンネルを構成します。

障害を「ロールバック」するメカニズムを備えた、ローカルおよびリモートの複合体の管理と監視。ワークステーションあたり最大 1024 のコンプレックス。保護されたネットワークの動作ステータスの視覚的 (グラフィカル) 表示、異常なイベントの通知、および情報と管理のやり取りの総合的な監査が提供されます。

複合施設のリモート制御用のプロトコルは、X.509 に準拠した厳密な双方向認証を備えた独自のトンネルプロトコルです。

独自のセキュリティ - イベントと人の行動の完全な監査、iButton と USB キーを使用したアクセス制御。システムの安定性 (生存可能性) を高めるために、特別なルーティング手順を使用し、適応型データフロー制御を使用した VPN トンネルをサポートします。

インテリジェンス的な性質のアクティブおよびパッシブ情報の影響に対する効果的な対抗策 - VPN、NAT の実際のトポロジの隠蔽、複合体の使用の事実の隠蔽、プロキシ SMNP/SMNP トラップ、Telnet、TFTP、境界ルータの HTTP 管理、正しいエミュレーション使用されているが隠されたアドレスとサービスがないこと。

複合体をカスケード的に組み込む可能性 - セキュリティが強化された隔離されたゾーンへの個々のネットワークセグメントの割り当てが保証されます。

リモートクライアント（「FPSU-IP」+USBキーによるカウンター動作用ソフトウェア） - Windows 98、NT、2000用。

情報暗号化技術ソフトウェア

3.14 暗号情報保護ツール CryptoPro CSP

暗号プロバイダー CryptoPro CSP は以下のために設計されています。

国内規格 GOST R 34.10-94、GOST R 34.11-94、GOST R に準拠した電子デジタル署名 (EDS) の生成および検証手順を使用して、ユーザー間で電子文書を交換する際の電子文書の承認と法的重要性の確保34.10-2001;

GOST 28147-89 に従って、暗号化と模倣防止を通じて情報の機密性を確保し、完全性を監視します。 TLS 接続の信頼性、機密性、なりすまし保護を確保します。

システムおよびアプリケーションソフトウェアを不正な変更や正しい機能の侵害から保護するための完全性管理。

保護具に関する規制に従ってシステムの主要な要素を管理する。

特徴:

組み込みの Winlogon サポート

CryptoPro CSP 3.6 には、OCSP 応答を通じて機能する失効プロバイダーが含まれています

x64 プラットフォームのサポートが実装され、IPSec プロトコルの実装で使用されるキー合意である機能キーキャリア (FKN) との連携を保証するために、外部 CIPF インターフェイスが拡張されました。他のアプリケーションと連携することもできます。

GOST R 34.10-94 標準を使用する可能性は除外されます

実装されたアルゴリズム:

ハッシュ関数値を生成するアルゴリズムは、GOST R 34.11 94「情報技術、暗号化情報の保護、ハッシュ関数」の要件に従って実装されます。

デジタル署名を生成および検証するためのアルゴリズムは、次の要件に従って実装されます。

GOST R 34.10 94「情報技術。暗号情報保護。非対称暗号アルゴリズムに基づく電子デジタル署名システム」。

GOST R 34.10 94 および GOST R 34.10-2001 「情報技術。暗号化情報の保護。電子デジタル署名の生成および検証のプロセス。」

データ暗号化/復号化アルゴリズムと模倣挿入の計算は、GOST 28147 89「情報処理システム。暗号化保護」の要件に従って実装されています。秘密鍵と公開鍵を生成する場合、GOST R 34.10-94 および GOST R 34.10-2001 に従ってさまざまなパラメータを使用して生成できます。ハッシュ関数値と暗号化を生成する場合、GOST R 34.11-94 および GOST 28147-89 に準拠したさまざまな代替ノードを使用することができます。

結論

私たちは、自動データ処理システムの例を使用して、潜在的な脅威、不正アクセスの考えられるチャネル、情報を保護する方法と手段、およびそのハードウェアおよびソフトウェアソリューションを検討および分析しました。当然のことながら、指定された保護手段と AIC は常に信頼できるわけではありません。今日、テクノロジー (私たちの場合はコンピューターテクノロジー) が急速に発展しているだけではなく、情報そのものだけでなく、その情報を入手する方法も絶えず改良されています。私たちの時代は情報化時代と呼ばれ、経済成長と技術革新に伴う膨大な機会をもたらします。現在、情報時代の最大の価値となりつつある電子データの所有は、その所有者にその使用を管理する権利と責任を課しています。ディスクに保存され、通信チャネル経由で送信されるファイルやメッセージは、コンピューターやディスク自体よりも価値がある場合があります。したがって、情報化時代の約束は、ますます機密性が高まる情報を保有する個人、企業、その他の組織がさまざまな脅威から自分の財産を適切に保護し、セキュリティ要件に基づいてセキュリティ要件を満たす保護レベルを選択できる場合にのみ実現できます。脅威レベルと保存されているプロパティの値の分析。

参考文献

1. Zaitsev A.P.、Golubyatnikov I.V.、Meshcheryakov R.V.、Shelupanov A.A. 情報セキュリティのソフトウェアとハードウェア：教科書。第 2 版そして追加の - M.: Masinostroenie-1、2006。 - 260 p。

2. Vainshtein Yu.V.、Demin S.L.、Kirko I.N. など「情報セキュリティの基礎」「情報セキュリティと情報保護」の教科書。 - クラスノヤルスク、2007。 - 303 p。

ヴァルラタヤ S.K.、シャハノワ M.V. 情報セキュリティのハードウェアおよびソフトウェアのツールと方法: 教科書。 - ウラジオストク: 極東国立工科大学の出版社、2007。 - 318 p。

http://www.accord.ru/amdz.html

http://signal-com.ru/ru/prod/tele/ipsafe/

http://www.amicon.ru/fpsu_ip.php?link=fpsu-ip

http://www.cryptopro.ru/products/csp/overview

http://www.securitycode.ru/products/pak_sobol/abilities/

http://www.securitycode.ru/products/secret_net/

http://www.aladdin-rd.ru/catalog/secret_disk/server/

11.国家機密を構成する情報のセキュリティ要件に基づく情報セキュリティ機器の認証システムに関する規則（認証システム SZI-GT）の付録 1、1999 年 11 月 13 日付ロシア連邦連邦保安局命令第 564 号により承認「国家機密を構成する情報のセキュリティ要件およびその適合マークに関するセキュリティ機器情報の認証制度に関する規定の承認について」

家庭教師

トピックを勉強するのに助けが必要ですか?

私たちの専門家が、あなたの興味のあるトピックについてアドバイスまたは個別指導サービスを提供します。
申請書を提出する相談が受けられるかどうかを調べるために、今のトピックを示します。

指導文書

コンピュータ設備

情報への不正アクセスからの保護

不正アクセスに対するセキュリティの指標
情報

国家技術委員会委員長の決定により承認
ロシア連邦大統領
1992 年 3 月 30 日付け

このガイダンス文書は、セキュリティ指標のリストとそれらを説明する一連の要件に基づいて、情報への不正アクセスに対するセキュリティのレベルに従ってコンピュータ機器の分類を確立します。

SVT は、独立して機能することも、他のシステムの一部として機能することもできる、データ処理システムのソフトウェアと技術要素のセットとして理解されます。

使用できる略語

AS - 自動化システム

KD - 設計ドキュメント

KSZ - 保護具のセット

NSD - 不正アクセス

PRD - アクセス制御ルール

SVT - コンピューター設備

1. 一般規定

1.1. これらの指標には、情報への不正アクセスから電子デバイスを保護するための要件が含まれています。

1.2. SVT セキュリティインジケータは、(コンピュータアーキテクチャを考慮して) システム全体のソフトウェアおよびオペレーティングシステムに適用されます。

インジケーターの特定のリストにより、SVT のセキュリティクラスが決定されます。

SVT の特定のセキュリティクラスに対応するインジケーターのリストを削減または変更することは許可されていません。

各指標は一連の要件によって説明されます。

SVT のセキュリティ指標の追加要件とその追加要件への準拠が具体的に規定されています。

1.3. インジケーターの要件は、ソフトウェアとハードウェアを使用して実装されます。

すべての保護手段の全体が、保護手段の複合体を構成します。

KSZ ドキュメントは、SVT の設計ドキュメントの不可欠な部分である必要があります。

1.4. アクセス不可能な情報から情報までの 7 つの SVT セキュリティクラスが確立されています。最下位クラスは 7 位、最高位は 1 位です。

クラスは、保護の品質レベルが異なる 4 つのグループに分類されます。

最初のグループには 7 年生が 1 人だけ含まれています。

2 番目のグループは任意の保護を特徴としており、6 級と 5 級が含まれます。

3 番目のグループは強制的な保護を特徴としており、4 番目、3 番目、2 番目のクラスが含まれます。

4 番目のグループは検証済みの保護を特徴としており、最初のクラスのみが含まれています。

1.5. セキュア SVT に基づいて作成された自動化システムの SVT セキュリティクラスの選択は、自動化システムで処理される情報の機密性評価、動作条件、およびシステムオブジェクトの場所によって異なります。

1.6. GOST 28147-89 に準拠した SVT キット内の暗号化情報保護ツールを使用すると、保護の品質の保証を高めることができます。

2. セキュリティインジケーターの要件

2.1. セキュリティ指標

2.1.1. SVT セキュリティクラスのインジケーターのリストを表に示します。

指定:

- "-" - このクラスには要件はありません。

- 「+」 - 新規または追加の要件、

- "= - 要件は前のクラスの SVT の要件と一致します。

インジケーター名	セキュリティクラス
インジケーター名
随意アクセス制御の原則
アクセス制御の必須原則
メモリのクリア
モジュールの分離
文書のマーキング
隔離された物理ストレージメディアへの入出力の保護
ユーザーとデバイスのマッピング
識別と認証
設計保証
登録
KSZ とのユーザー対話
確実な回復
KSZ の誠実さ
修正制御
流通制御
アーキテクチャの保証
テスト
ユーザーガイド
CVS ガイド
テスト文書
設計 (プロジェクト) ドキュメント

2.1.2. このセクションに記載されている各クラスのインジケーターの一連の要件は、最低限必要なものです。

2.1.3. 第 7 クラスは、情報への不正アクセスに対する保護要件の対象となる SVT に割り当てられますが、評価中に SVT のセキュリティが第 6 クラスの要件レベルよりも低いことが判明しました。

2.2. 第 6 クラスのセキュリティ指標の要件

さらに、アクセス権の拡散を制限するための制御を提供する必要があります。

条項に従ったイベントの登録、登録情報を保護する手段、および登録情報の承認されたレビューの可能性。

CVD の整合性を監視するメカニズムの動作。

さらに、CPS には、明示的なユーザーアクションと非表示のアクションの両方について、任意のアクションルールを実装するメカニズムが含まれている必要があります。これにより、無許可のアクセス (つまり、特定のルールの観点から許可されないアクセスからのオブジェクトの保護が保証されます) ）。「明示的」とは、システムマクロ、高級言語命令などのシステムツールを使用して実行されるアクションを意味し、「非表示」とは、デバイスを操作するための独自のプログラムの使用を含むその他のアクションを意味します。

このクラスのシステムの任意のトラフィックルールは、必須のトラフィックルールを補足するものです。

さらに、次のことをテストする必要があります。

信頼性の高い回復メカニズムの動作。

2.5.16。 KSZ のマニュアル。

この文書はセキュリティ管理者に宛てられており、次の内容が含まれている必要があります。

制御される機能の説明。

KSZ の生成に関するガイド。

SVT の開始の説明、開始が正しいことを確認する手順、登録ツールを使用する手順。

信頼性の高い回復ツールガイド。

2.5.17。テスト文書

文書には、テストの説明と、SVT が実施されたテスト (項目)、およびテスト結果を記載する必要があります。

2.5.18。設計 (プロジェクト) ドキュメント。

第 4 クラス SVT (品目) と同じ文書が必要です。さらに必要なもの:

CPS とそのインターフェイスの高レベル仕様。

保護モデルのセキュリティモデルの高レベル仕様への準拠の検証。

2.6. 2 番目のセキュリティクラスのインジケーターの要件

2.6.1。アクセス制御の裁量原則。

これらの要件には、第 3 クラス (条項) の同様の要件が含まれます。

説明書

この問題に対する最も信頼できる解決策は、ハードウェア保護を使用し、手術室に荷物を入れる前に作業することです。このようなセキュリティ機能を「電子錠」と呼びます。使用の準備段階で、ロックを取り付けて設定します。通常、セットアップはセキュリティ上の理由から行われます。

まず、コンピュータへのアクセスを許可するユーザーのリストを作成します。ユーザーごとにキーキャリアを作成します。フロッピーディスク、カード、タブレットなどを使用できます。リストは電子錠のメモリに保存されます。次に、実行可能アプリケーションモジュール、オペレーティングシステムシステムライブラリ、Microsoft Word ドキュメントテンプレートなど、保護する必要があるファイルのリストを作成します。

通常の動作モードでインストールした後、ロックはユーザーにキー付きのメディアを要求します。ユーザーがリストに含まれていれば成功し、オペレーティングシステムが起動します。動作中、ロックは PC BIOS から制御を受け取りますが、一部の最新のコンピューターの BIOS は、制御がロックに転送されないように構成されている場合があります。このような問題が発生した場合は、ロックにコンピュータの起動をブロックする機能があるかどうかを確認してください (たとえば、リセット接点を閉じるなど)。

強盗が単に錠を引き抜く可能性もあります。自分自身を守るために、次の対策を講じてください。
身体を密閉し不在を確保 アクセスシステムユニットに。
ロックがハードウェア暗号化装置と構造的に組み合わされている場合、包括的な保護手段が得られます。
PCケースを内側から塞ぐ装置もあります。

出典:

コンピュータを不正アクセスから保護する

説明書

ウイルス対策製品を選択するときは、自分自身の経験に基づいて選択する必要があります。人材がいない場合は、採用する絶好のチャンスです。フォーラムやブログでさまざまな意見があると混乱するだけです。非常に多くの人々、非常に多くの意見があることを覚えておいてください。あるウイルス対策ソフトウェアでは対応できるが、別のウイルス対策ソフトウェアでは対応できないという状況は人それぞれです。最も一般的なウイルス対策プログラムは、NOD 32、Kaspersky Anti-Virus、AVAST、Dr. ウェブ。アプリケーションを購入してインストールする場合は、忘れずにアクティベートしてください。

ローカルネットワークがある場合は、ファイアウォールなしでは対応できません。このプログラムは、リモートアクセスを使用したコンピュータへの侵入をブロックするように設計されています。最近の詐欺師は、リモートアクセスプログラムを使用して、ユーザーから機密データを取得することもあります。 コンピューターあるいはそれを制御することさえできないため、保護ファイアウォールが必要です。現在、サービス市場では、これらの機能を実行する大量のソフトウェアが提供されています。最も人気のあるブランドは Outpost Firewall です。

ウイルスやトロイの木馬に対抗するための追加のツールセットを用意することもお勧めします。 2 つまたは 3 つのウイルスとワームをインストールします。ウイルス対策ソフトでは認識できない有害なプログラムを含むプログラムに気づくことができます。基本的な安全規則を使用してください。疑わしいサイトからファイルをダウンロードしたり、提供されたリンクをクリックしたりしないでください。

トピックに関するビデオ

もし今日まで、すべてのセキュリティシステムを備えたコンピュータで作業すれば磁気放射から身を守れると思っていたとしたら、それは大きな間違いです。この問題は長い間発生しており、それ自体で解決することはできません。モニター画面の前のサボテンは万能薬ではないため、自分の健康について考える必要があります。

必要になるだろう

電磁放射に対する保護方法。

説明書

働いている人々に完全に圧倒されている自分を想像してみてください。コンピュータから発せられる磁気放射は、26 時間使用した後にのみ空気中に完全に溶けるという話を聞いたことがありますか。職場に入ると、空気の匂いが好きではないかもしれないことに気づいたことはありますか? これは電磁波の影響を示しています。

間の距離 コンピュータ約2メートルあるはずです。目が乾燥して「照明が不十分」になることがあります。不十分な照明と明るいモニターの組み合わせは視力に悪影響を及ぼします。したがって、オフィスワーカーの最大の敵であるモニターと戦う必要があります。

1.5〜2時間ごとに短い休憩を取ります。状況が許せば、30 分ごとに休憩を取るのが理想的です。この休憩中は、心を休めて、最も遠い地点を見てください。目をリラックスさせるために。コンピューターに向かっている間、私たちはほぼ同じ点を見ています。これにより目の筋肉が緊張します。

モニターのコントラストを下げると、不必要な目の疲れが軽減されます。また、作業中の背中の正しい位置は、脊椎に関連する問題を軽減します。背骨を毎日ウォームアップすることで、老後の10年間の治療から解放されます。

出典:

コンピュータをウイルスやスパイウェアから適切に保護する方法

複数のユーザーが同じコンピュータで作業している場合、セキュリティ上の問題が発生することがよくあります ファイル偶然または意図的に除去。この問題を解決するにはいくつかの方法があります。

必要になるだろう

フォルダーガードプロ

説明書

最も簡単な方法は、アーカイブコピーを外部ストレージデバイスに定期的に保存することですが、残念ながら、これは常に可能であるとは限りません。ファイルを事故から守るために除去、属性を「読み取り専用」に設定するだけです。これを行うには、ファイルのあるフォルダーを左クリックし、開いたコンテキストメニューで [読み取り専用] の横のボックスをオンにします。「OK」をクリックし、開いたウィンドウで「すべての添付ファイルに適用する」チェックボックスをオンにします。この後、誤って試行すると、システムは確認ウィンドウを表示します。除去このフォルダー内の各ファイル。

誰かがあなたのファイルを意図的に削除するのではないかと心配な場合は、FolderGuardPro プログラムを使用できます。プログラムをインストールすると、クイックセットアップウィザードが起動し、保護情報を保存するファイルの名前を入力するように求められます。名前を入力した後、次のウィンドウで、内容を保存するフォルダーの場所を指定します。守りたい。次のウィンドウで、このフォルダーへのアクセスを設定します。次に、ダイアログボックス内の適切なボックスをチェックして保護を確認します。オペレーティングシステムが起動するたびにフォルダーをアクティブにしたい場合は、新しいウィンドウで「Windows の起動時に自動的に有効にする」という項目を選択します。その後、「完了」ボタンをクリックすると、プログラムウィンドウに保護されたフォルダーが表示されます。赤い丸でマークされています。

同様に、配置されているすべてのフォルダーにアクセス権を設定し、変更や変更を行うことなく、他のユーザーに対して読み取り専用にすることができます。除去内容を確認し、それぞれにパスワードを設定します。これを行うには、フォルダーを左クリックし、コンテキストメニューで必要なアクションを選択します。

きっとどのユーザーも コンピューター個人情報を保護し、他の迷惑なゲストが個人情報にアクセスできないようにしたいと考えています。結局のところ、彼の個人データには、パスワード、さまざまなサービスへのさまざまなキー、および他の人が自分の目的で使用できるその他の重要な情報が含まれる可能性があります。このため、信頼できる方法で個人ファイルを保護することが非常に重要です。 パスワード。少し時間をかけて、個人ファイルの安全性を確信できるようになります。

説明書

[スタート] ボタンを左クリックし、[コントロールパネル] を選択し、その中にある [アカウントとユーザー] コンポーネントを選択します。複数のアカウントをお持ちの場合は、自分のアカウントを選択してください。可能なアクションのリストから、「パスワードの作成」を選択します。

3 つのウィンドウが表示されます。最初のパスワードでは、希望のパスワードを入力する必要があります。最低10文字で作成することが非常に重要です。キリル文字のと、大文字のとを含むことが望ましいです。これらははるかに信頼性が高く、推測するのが非常に困難であり、偶然である可能性はさらに高くなります。

に希望のパスワードを入力したら、2行目に再度パスワードを入力します。パスワードは正確に一致する必要があります。最後の 3 行目には、ヒントを入力する必要があります。これは、個人パスワードを忘れた場合に必要になる場合があります。たとえば、お気に入りの名前をパスワードとして選択します。「ヒント」行には、パスワードのテーマを思い出させる何かを入力する必要があります。すべての行を入力したら、ウィンドウの下部にある「パスワードの作成」をクリックします。あなたのアカウントはパスワードで保護されました。

職場のコンピュータにパスワードを設定していて、頻繁に席を離れる必要がある場合、毎回コンピュータの電源を切る必要はありません。ブロックすることができます。これを行うには、Win + L キーの組み合わせを押します。これで、データが保護されていることを認識してコンピューターを離れることができます。ロックを解除するには、作成したパスワードを入力するだけです。

スクリーンセーバーのパスワードを設定することもできます。デスクトップ上の空きスペースを右クリックします。開いたメニューで「プロパティ」をクリックし、「スクリーンセーバー」をクリックします。スクリーンセーバーとそれがトリガーされるまでの時間間隔を選択します。セキュリティを強化するために、[時間間隔] 行には 3 分以内を入力することをお勧めします。「スクリーンセーバー」行の反対側にある「パスワード保護」にチェックを入れます。外出後にコンピューターをロックするのを忘れた場合、スクリーンセーバーが自動的に表示され、アカウントのパスワードを入力することによってのみログインできるようになります。

トピックに関するビデオ

出典:

2018 年にコンピューターを保護する方法

現代世界では、おそらくパーソナルコンピューターのすべてのユーザーが、個人データや機密データを保護する必要性を認識していると思います。誰もが自分のデータを保護しているわけではありません。データを保護している人は、パスワードを使用した単純なファイルのアーカイブから、TrueCrypt で暗号化された仮想ディスクへのファイルの完全に安全な保存まで、さまざまな手段を使用しています。一方、Windows では、 フォルダと ファイル組み込みのオペレーティングシステムツールを使用することもできます。

必要になるだろう

- Windows のアクティブなアカウント。
- NTFS ファイルシステムでフォーマットされた書き込み可能なハードディスクパーティション。

説明書

Windows プログラムランチャーを開きます。タスクバーにある「開始」ボタンをクリックします。表示されるメニューで「実行」をクリックします。

Windows エクスプローラーを起動します。「プログラムの実行」ウィンドウの「名前」フィールドに「explorer.exe」という行を入力します。「OK」をクリックします。

ファイルエクスプローラーで、保護するフォルダーに移動します。これを行うには、エクスプローラーの左ペインにあるツリーの「マイコンピューター」セクションを展開します。次に、探しているディレクトリが存在するデバイスに対応するセクションを展開します。次に、サブディレクトリに対応するブランチを展開して、目的のディレクトリを見つけます。ディレクトリ階層内のディレクトリ要素をマウスの左ボタンで 1 回クリックして選択します。ディレクトリの内容がエクスプローラーの右側のペインに表示されます。

フォルダーのプロパティダイアログを開きます。これを行うには、ディレクトリツリーの選択した要素を右クリックします。表示されるコンテキストメニューで「プロパティ」項目をクリックします。

追加のフォルダー属性を管理するためのダイアログを開きます。ディレクトリのプロパティダイアログで、「全般」タブに切り替えます。「その他」ボタンをクリックしてください。

ファイルフォルダーの内容を暗号化して、ファイルフォルダーを保護するプロセスを開始します。フォルダーコンテンツの暗号化属性を設定します。 [追加属性]ダイアログで、[コンテンツを暗号化してデータを保護する]チェックボックスをオンにします。「OK」をクリックします。ディレクトリのプロパティダイアログで「適用」ボタンをクリックします。

フォルダーの内容を保護するための設定を行います。表示される「属性変更の確認」ダイアログで、「このフォルダとすべてのサブフォルダおよびファイルへ」スイッチを有効にします。これにより、選択したディレクトリのすべてのコンテンツが保護されます。「OK」をクリックします。

ディレクトリの内容が暗号化されるまで待ちます。プロセスの進行状況は、「属性の適用...」ウィンドウに表示されます。暗号化が完了したら、フォルダーのプロパティダイアログで [OK] をクリックし、エクスプローラーを閉じます。

トピックに関するビデオ

注記

フォルダーを暗号化したユーザーアカウントを削除すると、フォルダーの内容を読み取ることができなくなります。アカウントを削除する前に、慎重に暗号化属性を削除してください。

コンピューターやラップトップのユーザーは遅かれ早かれ、ファイルやフォルダーを外部から保護する必要があります。除去。 Windows オペレーティングシステムには、さまざまなユーザーのアクセス許可を設定するためのすべてのオプションが用意されており、フォルダーへのアクセスレベルを自分で設定できます。ただし、小さな欠点があります。異なるユーザーでログインを構成している場合、権限の制限が効果的です。

必要になるだろう

- コンピューター;
- 管理者権限。

説明書

まず最初に、保護する必要があるファイルを決定する必要があります。あなたのものを見つけてください フォルダ「マイコンピュータ」または「エクスプローラー」から。フォルダーアイコンを右クリックし、「プロパティ」を選択します。

「プロパティ」ウィンドウで「セキュリティ」タブに移動し、「編集」ボタンをクリックします。表示されるウィンドウで、フォルダーへのアクセス権を設定するユーザーの名前を選択します。使用可能なさまざまなアカウントから選択できます。フォルダーのアクセス許可はいつでも変更または削除できるという事実も考慮する価値があります。

権利を確認し、拒否する権利を選択します。 [拒否] 列の [フルコントロール] の横のボックスにチェックを入れると、選択したユーザーはその内容を変更したり、そこにファイルを書き込んだりできるだけでなく、その内容を変更することもできます。削除を禁止する場合は「変更する」チェックボックスをチェックする必要があります。

「適用」ボタンをクリックして設定を保存します。必要に応じて、他のユーザーに対してこの手順を繰り返し、あなた以外の誰もあなたのデータを削除できないようにします。この保護方法は追加のソフトウェアを必要としないため、ユーザーにとって最も最適かつ簡単です。特別なコンピューターの知識も必要ありません。

必要なアクセス権の設定はすべて行われています。これらは、特定のユーザーができること、できないことを完全に定義します。標準の Windows オペレーティングシステムツールを使用して、これらすべてを自分で設定できます。ただし、これらの制限はオペレーティングシステム内でのみ適用されることに注意してください。一般に、権限のない人物がコンピュータにアクセスしたり、重要なデータを小型のポータブルメディアに保存したりしないようにしてください。

現在、コンピュータソフトウェア業界の成長に伴い、既存のアプリケーションとシステム全体を保護するという問題が頻繁に発生します。これは、セキュリティパスワードの設定とウイルス対策ソフトウェアのインストールの 2 つの方法で解決できます。これについてはさらに詳しく検討する価値があります。

必要になるだろう

- コンピューター;
- インターネット・アクセス;
- ライセンスを取得したウイルス対策プログラム。

説明書

オペレーティングシステムの最も重要なプログラムにアクセスするためのパスワードを設定します。これを行うには、次のファイルが含まれているフォルダーに移動します。 プログラムパスワードで保護したいもの。それを右クリックし、「プロパティ」を選択します。タブの「Exchange」セクションに移動します。「このフォルダーへ」というチェックボックスをオンにします。

「適用」ボタンをクリックし、「OK」をクリックします。これはフォルダーをパスワードで保護するために必要です。個人の Windows プロファイルにログインするために入力したものと同じ文字セットが使用されます。

ウイルス対策ソフトウェアの段階的なインストールを実行します。まずサービスプロバイダーにお問い合わせください。いずれかのプロバイダーの Web サイトに登録すると、必ずアプリケーションの無料試用期間が提供されます。それは数か月または丸一年かかる場合があります。契約を更新するたびに無料のウイルス対策を提供する会社もあります。

ご自身に合ったセキュリティシステムをお選びください。コンピュータのオペレーティングシステムと互換性がある必要があります。これは機構全体のバランスの取れた動作に必要です。リソースにアクセスする http://www.download.com/追加の無料ウイルス対策ソフトウェアを検索します。ブラウザの検索フィールドに「無料ウイルス対策プログラム」と入力します。現在利用可能なアプリケーションのリストが表示されます。

各プログラムの説明に注目してください。トロイの木馬やその他のウイルスを含むスパイアプリをダウンロードしないことが非常に重要です。各ウイルス対策プログラムのユーザーも考慮してください。注意深く読んでください。警告には特に注意してください。

「プログラムの説明」メニューの下部にある「ダウンロード」ボタンをクリックすると、すぐにダウンロードが開始されます。これをコンピュータにインストールし、システムのマルウェアに対する最初のテストスキャンを実行します。

トピックに関するビデオ

多くの人にとって、それは長い間、お気に入りの休暇スポットであり、主な仕事ツールでもありました。したがって、機密情報を保護する必要性がますます高まっています。 1 つの方法は、ログインをパスワードで保護することです。

説明書

OS Windows で作成 パスワード管理者権限を持つユーザーにすることができます。 [スタート] メニューから、[コントロールパネル] に移動します。「ユーザーアカウント」アイコンをダブルクリックして展開します。 [ユーザーアカウント] ウィンドウで、[アカウントの変更] ハイパーリンクをクリックします。賭けるエントリーをクリックしてください パスワードをクリックし、「パスワードの作成」リンクをクリックします。

新しいウィンドウで、パスワードとなる文字と数字の組み合わせを入力します。もう一度繰り返します。魔法の言葉を忘れてしまうのではないかと心配な場合は、システムに思い出させる言葉やフレーズを伝えてください。ただし、このフレーズは、ようこそウィンドウが読み込まれて入力を求められたときにすべてのユーザーに表示されることに注意してください。 パスワード。「OK」をクリックして詳細を確認します。あなたと、あなたがコードワードを伝えた人だけが、あなたのアカウントで作業できるようになります。

BIOS (Basic In-Out System) の一部のバージョンでは、インストールが可能です。 パスワードログインします。オンにする コンピューター。短い POST ビープ音の後、画面の下部に「Press Delete to enter Setup」というメッセージが表示され、キーを押して BIOS 設定に入るように求められます。メーカーによっては、[削除] の代わりに、他のキー (おそらく F2 または F10) が使用される場合があります。 [セットアップ] メニューで、[パスワード] というオプションを探します。

最初にスーパーバイザーパスワードをインストールします- パスワード、BIOS設定の改ざんから保護します。必要に応じて、このオプションのステータスを「無効」から「有効」に変更します。入力 パスワード、続いて確認。

[起動時のパスワード] オプションに移動します。ステータスを有効に設定し、必要な文字を入力します。変更を保存するには、F10 キーと Y キーを押して確定します。
ログインするにはこれを入力する必要があります パスワード.

忘れた場合は、BIOS 設定をリセットする必要があります。無効にする コンピューター電源からサイドパネルを取り外します。マザーボード上で、丸いコイン電池を見つけます。これは、必要な設定を保存する ROM (読み取り専用メモリ) チップに電力を供給します。バッテリーを取り外し、ソケットの接点をドライバーで数秒間ブリッジします。これにより、ROM の電源が切れ、BIOS 設定に関する情報が消去されます。

ハードドライブからのデータの損失は、PC ユーザーの間でよく見られる現象の 1 つです。失われた情報を回復しようとするよりも、このようなトラブルを事前に防ぐ方が良いでしょう。自分自身に保険をかけてデータを保護しましょう ディスクそれはまったく難しいことではなく、それによって得られるメリットは非常に大きいです。

説明書

最近のハードドライブはプラッターの回転速度が非常に高く、これが過熱につながるため、追加の冷却装置を設置してください。このセキュリティ対策により、ハードドライブの耐用年数が長くなります。

情報を CD、DVD、フラッシュカードに保存します。これはバックアップとして機能します。また、これらのメディアの情報が消失しないように定期的に確認してください（定期的にディスクを起動しないと、ディスクが機能しなくなる可能性があります）。

無停電電源装置を購入します。情報の損失を容易に引き起こす可能性がある停電からコンピュータを保護します。また、停電が発生した場合でも、情報を保存するのに十分な時間があります。

ディスクをデフラグします。これは、ハードドライブを頻繁にロードする場合に特に必要です。デフラグの結果、すべての情報が ディスク多数のセクターに分かれています。

ライセンスを取得したウイルス対策プログラムをインストールします。これにより、情報に損害を与える可能性のあるマルウェアによるコンピュータの攻撃を防ぐことができます。

データをパスワードで保護します。これらは、PC ユーザーがハードドライブ上の情報を保護できる最も簡単な方法の一部です。 ディスク。これを行うには、Windows パスワードを変更し、「スタート」メニュー -> 「コントロールパネル」 -> 「ユーザーアカウント」を開き、「パスワードの変更」行を選択します。

トピックに関するビデオ

注記

ハードドライブはシステムユニットにしっかりと固定されている必要があるので注意してください。振動により故障の原因となりますので。機械的損傷を引き起こさないように、システムユニットから取り外さないようにしてください。

役立つアドバイス

疑わしいプログラム、特に馴染みのないデータ回復プログラムやハードドライブパーティションのあるプログラムは使用しないでください。これにより、情報が永久に失われる可能性があります。

携帯電話ユーザーには、デバイスの盗難、詐欺行為、ウイルス感染など、さまざまな危険が待ち受けています。このようなデバイスの各所有者は、これらの危険から身を守るための知識とスキルを持っている必要があります。

説明書

機能が少ない最新モデルの端末よりも、時代遅れではあるが多機能な携帯電話の方が便利な場合があることを覚えておいてください。同時に、ほぼすべての攻撃者がさまざまなモデルのモデル範囲と年式をよく知っているため、盗難のリスクははるかに低くなります。ただし、そのようなデバイスを購入するときは、それ自体が盗まれたものに遭遇しないように注意してください。

携帯電話はケースに入れて持ち歩きましょう。彼がどのモデルなのかわかりにくく、あまり魅力的に見えません。

路上で誰にも携帯電話を渡さないでください。たとえ彼が後であなたのところに来たとしても、彼の口座から多額の金額が消えたり、そのような金額の定期的な引き出しを伴うサービスにあなたが加入したりしないという事実はありません。誰かが緊急に電話する必要がある場合は、自分で電話をかけることを伝え、発信者に必要な情報を伝えます。

詐欺師からの電話にご注意ください。彼らは、困っている親戚のふりをするかもしれません。この場合、答えを知っていることが保証されている質問をしてください。電話をかけてきた人が、あなたのアカウントに誤ってチャージしたと主張する場合は、実際にそうなのか、あるいはチャージに関する偽のメッセージを彼自身があなたに送ったのかどうかを確認してください。 USSD は口述入力しないでください。これは、攻撃者の口座に資金を送金することを目的としています。

スマートフォンを使用している場合は、信頼できるソースからのみアプリケーションをダウンロードしてください。無料のプログラムであっても、サードパーティのリソースからではなく、開発者の Web サイトから直接ダウンロードする必要があります。 Symbian オペレーティングシステムバージョン 9 を搭載した携帯電話では、デジタル署名がある場合にのみアプリケーションをインストールできます。ただし、そのような保護機能が備わっているコンピュータも含め、どのコンピュータにもウイルス対策ソフトウェアをインストールしても問題はありません。 Bluetooth または MMS 経由で不明なソースから受け取ったアプリケーションを決してインストールしないでください。

デバイスが J2ME のみをサポートしている場合は、アプリケーションが特定の番号に SMS メッセージを送信できるようにする Java 仮想マシンの要求に対して常に否定的に応答してください。

「通話完了」のビープ音が鳴らないのはなぜですか?