Jaký je princip obranného echeloningu? Vrstvená obrana: jak zranitelná jsou americká letadla a rakety? Poskytujeme spolehlivou bezpečnost při práci

1. OBECNÝ POPIS PRÁCE

1.1 Relevantnost

1.2 cílová

1.3 Úkoly

2. HLAVNÍ OBSAH PRÁCE

2.1 Obrana do hloubky

2.2 Komponenty vrstveného informačního bezpečnostního systému

2.2.1 Antivirové programy

2.2.2 Logování a auditování

2.2.3 Fyzická ochrana

2.2.4 Autentizace a ochrana heslem

2.2.5 Firewally

2.2.6 Demilitarizovaná zóna

2.2.7 VPN

2.2.8 Systém detekce narušení

3. HLAVNÍ VÝSLEDKY PRÁCE

SEZNAM POUŽITÝCH ZDROJŮ INFORMACÍ

antivirová ochrana do hloubky informací

OBECNÝ POPIS PRÁCE.

Studium vrstveného systému informační bezpečnosti v počítačových systémech „kancelářského“ typu je relevantní vzhledem k neustálému nárůstu počtu útoků na sítě velkých organizací s cílem např. kopírování databází obsahujících důvěrné informace. Tento ochranný systém je velmi mocný nástroj proti útočníkům a může účinně odradit jejich pokusy o neoprávněný přístup (AT) do chráněného systému.

1.2 Účel

Účelem této práce je prostudovat systém vrstvené ochrany pro počítačové systémy „kancelářského“ typu.

1.3 Cíle

K dosažení tohoto cíle je nutné vyřešit následující úkoly:

Prostudujte si principy konstrukce a fungování vrstveného zabezpečovacího systému;

Studujte nezávislé bezpečnostní systémy zahrnuté ve vrstveném systému informační bezpečnosti;

Stanovit požadavky na ochranné systémy;

2. HLAVNÍ OBSAH DÍLA

2.1 Obrana do hloubky

Obrana do hloubky je koncept informačního pojištění, ve kterém je v počítačovém systému instalováno několik různých vrstev ochranných systémů. Jeho účelem je poskytnout redundantní zabezpečení počítačový systém v případě nefunkčnosti bezpečnostního kontrolního systému nebo pokud útočník zneužije určitou zranitelnost.

Myšlenkou hloubkové obrany je chránit systém před jakýmkoli útokem pomocí, obvykle postupně, řady nezávislých metod.

Zpočátku byla hloubková obrana čistě vojenskou strategií, která umožňovala nepřátelský útok nepředcházet a zabránit mu, ale odložit jej, získat trochu času na správné umístění různých ochranných opatření. Pro úplnější pochopení můžeme uvést příklad: ostnatý drát účinně omezuje pěchotu, ale tanky jej snadno přejedou. Tank však nemůže projet protitankovými živými ploty, na rozdíl od pěchoty, která je prostě obchází. Ale pokud budou použity společně, pak se ani tanky ani pěchota nebudou moci rychle dostat a bránící se strana bude mít čas se připravit.

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Zveřejněno na http://www.allbest.ru

1. OBECNÁ CHARAKTERISTIKA DÍLA

1.1 Relevantnost

1.2 cílová

1.3 Úkoly

2. HLAVNÍ OBSAH DÍLA

2.1 Obrana do hloubky

2.2 Komponenty vrstveného systému informační bezpečnosti

2.2.1 Antivirové programy

2.2.2 Záznam a audit

2.2.3 Fyzická ochrana

2.2.4 Autentizace a ochrana heslem

2.2.5 Firewally

2.2.6 Demilitarizovaná zóna

2.2.7 VPN

2.2.8 Systém detekce narušení

3. HLAVNÍ VÝSLEDKY PRÁCE

SEZNAM POUŽITÝCH ZDROJŮ INFORMACÍ

antivirová ochrana do hloubky informací

1. OBECNÁ CHARAKTERISTIKA DÍLA.

1.1 Relevance

Studium vrstveného systému informační bezpečnosti v počítačových systémech „kancelářského“ typu je relevantní vzhledem k neustálému nárůstu počtu útoků na sítě velkých organizací s cílem např. kopírování databází obsahujících důvěrné informace. Takovýto bezpečnostní systém je velmi silným nástrojem proti útočníkům a dokáže účinně odradit jejich pokusy o neoprávněný přístup (AT) do chráněného systému.

Účelem této práce je prostudovat systém vrstvené ochrany pro počítačové systémy „kancelářského“ typu.

1.3 Cíle

K dosažení tohoto cíle je nutné vyřešit následující úkoly:

Prostudujte si principy konstrukce a fungování vrstveného zabezpečovacího systému;

Studujte nezávislé bezpečnostní systémy zahrnuté ve vrstveném systému informační bezpečnosti;

Stanovit požadavky na ochranné systémy;

2. HLAVNÍ OBSAH DÍLA

2.1 Obrana do hloubky

Obrana do hloubky je koncept informačního pojištění, ve kterém je v počítačovém systému instalováno několik různých vrstev ochranných systémů. Jeho účelem je zajistit redundantní zabezpečení počítačového systému v případě nefunkčnosti bezpečnostního kontrolního systému nebo v případě, že útočník zneužije určitou zranitelnost.

Myšlenkou hloubkové obrany je chránit systém před jakýmkoli útokem pomocí, obvykle postupně, řady nezávislých metod.

Zpočátku byla hloubková obrana čistě vojenskou strategií, která umožňovala nepřátelský útok nepředcházet a zabránit mu, ale odložit jej, získat trochu času na správné umístění různých ochranných opatření. Pro úplnější pochopení můžeme uvést příklad: ostnatý drát účinně omezuje pěchotu, ale tanky jej snadno přejedou. Tank však nemůže projet protitankovými živými ploty, na rozdíl od pěchoty, která je prostě obchází. Ale pokud budou použity společně, pak se ani tanky ani pěchota nebudou moci rychle dostat a bránící se strana bude mít čas se připravit.

Umístění bezpečnostních mechanismů, postupů a zásad má za cíl zvýšit bezpečnost počítačového systému, kde více vrstev ochrany může zabránit špionáži a přímým útokům na kritické systémy. Z hlediska počítačových sítí je hloubková obrana určena nejen k zabránění neoprávněnému přístupu, ale také k poskytnutí času, ve kterém lze útok odhalit a reagovat na něj, a tím snížit následky narušení.

Počítačový systém „kancelářského“ typu může zpracovávat informace s různými úrovněmi přístupu – od bezplatných až po informace představující státní tajemství. To je důvod, proč, aby se zabránilo NSD a různé typyútoky, takový systém vyžaduje účinný systém zabezpečení informací.

Dále se budeme zabývat hlavními vrstvami ochrany (ešalony) používanými ve vrstvených obranných systémech. Je třeba poznamenat, že obranný systém sestávající ze dvou nebo více následujících systémů je považován za vrstvený.

2.2 Komponenty vrstveného systému informační bezpečnosti

2.2.1 Antivirové programy

Antivirový program (antivirus) je specializovaný program pro detekci počítačových virů, ale i nežádoucích (považovaných za škodlivé) programy obecně a obnovu souborů infikovaných (upravených) takovými programy, jakož i pro prevenci - zamezení napadení (úpravy) souborů popř. operační systém se škodlivým kódem.

Označuje softwarové nástroje používané k zajištění ochrany (nekryptografickými metodami) informací obsahujících informace představující státní tajemství a další informace s omezeným přístupem.

Antivirové produkty lze klasifikovat podle několika kritérií:

Podle použitých technologií antivirové ochrany:

Klasické antivirové produkty (produkty využívající pouze metody detekce signatur);

Produkty proaktivní antivirové ochrany (produkty využívající pouze technologie proaktivní antivirové ochrany);

Kombinované produkty (produkty využívající jak klasické metody ochrany založené na signaturách, tak proaktivní).

Podle funkčnosti produktu:

Antivirové produkty (produkty, které poskytují pouze antivirovou ochranu)

Kombinované produkty (produkty, které poskytují nejen ochranu proti malwaru, ale také filtrování spamu, šifrování a zálohování dat a další funkce);

Podle cílových platforem:

Antivirové produkty pro operační systémy Windows;

Antivirové produkty pro rodinu *NIX OS (tato rodina zahrnuje BSD, Linux OS atd.);

Antivirové produkty pro rodinu operačních systémů MacOS;

Antivirové produkty pro mobilní platformy (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7, atd.).

Antivirové produkty pro podnikové uživatele lze také klasifikovat podle objektů ochrany:

Antivirové produkty na ochranu pracovních stanic;

Antivirové produkty pro ochranu souborových a terminálových serverů;

Antivirové produkty na ochranu e-mailových a internetových bran;

Antivirové produkty pro ochranu virtualizačních serverů.

Mezi požadavky na antivirovou ochranu patří Obecné požadavky na nástroje antivirové ochrany a požadavky na bezpečnostní funkce nástrojů antivirové ochrany.

Pro rozlišení požadavků na bezpečnostní funkce nástrojů antivirové ochrany bylo stanoveno šest tříd ochrany nástrojů antivirové ochrany. Nejnižší třída je šestá, nejvyšší je první.

V informačních systémech osobních údajů třídy 3 a 4 se používají nástroje antivirové ochrany odpovídající třídě ochrany 6.

V informačních systémech osobních údajů třídy 2 se používají nástroje antivirové ochrany odpovídající ochraně třídy 5.

Nástroje antivirové ochrany odpovídající 4. třídě ochrany se používají ve státních informačních systémech, které zpracovávají utajované informace neobsahující informace představující státní tajemství, v informačních systémech osobních údajů 1. třídy a ve veřejných informačních systémech II.

Nástroje antivirové ochrany odpovídající třídám ochrany 3, 2 a 1 se používají v informačních systémech, které zpracovávají informace obsahující informace představující státní tajemství.

Rozlišují se také následující typy nástrojů antivirové ochrany:

typ „A“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany), určené pro centralizovanou správu nástrojů antivirové ochrany instalovaných na komponentách informačního systému (servery, automatizované pracovní stanice);

typ „B“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany) určené pro použití na serverech informačního systému;

typ „B“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany) určené pro použití na automatizovaných pracovních stanicích informačních systémů;

typ „G“ - nástroje antivirové ochrany (součásti nástrojů antivirové ochrany) určené pro použití na autonomních automatizovaných pracovních stanicích.

Nástroje antivirové ochrany typu „A“ se nepoužívají v informačních systémech samostatně a jsou určeny pouze pro použití ve spojení s nástroji antivirové ochrany typu „B“ a (nebo) „C“.

Účelem hloubkové ochrany je filtrovat malware na různých úrovních chráněného systému. Zvážit:

Úroveň připojení

Podniková síť se skládá minimálně z vrstvy konektivity a jádra. Na úrovni konektivity má mnoho organizací firewally, systémy detekce a prevence narušení (IDS/IPS/IDP) a obranu proti útokům odmítnutí služby. Na základě těchto řešení je implementována první úroveň ochrany proti pronikání malwaru. Firewally a nástroje IDS/IPS/IDP mají vestavěnou funkci kontroly na úrovni agenta protokolu. Navíc je de facto standardem UTM řešení vestavěný antivirus, který kontroluje příchozí/odchozí provoz. Normou se také stává přítomnost in-line antivirů ve firewallech. Takové možnosti se stále častěji objevují v nových verzích známých produktů. Mnoho uživatelů však zapomíná na vestavěné funkce síťových zařízení, ale jejich aktivace zpravidla nevyžaduje dodatečné náklady na nákup možností rozšíření.

Optimální využití vestavěných bezpečnostních funkcí síťových zařízení a aktivace dalších možností antivirové kontroly na firewallech tak vytvoří první úroveň ochrany do hloubky.

Úroveň ochrany aplikace

Úroveň ochrany aplikací zahrnuje jak řešení brány pro antivirovou kontrolu, tak bezpečnostní nástroje, které jsou zpočátku zaměřeny na řešení jiných než antivirových problémů. Podobná řešení jsou prezentována na trhu a certifikována podle požadavků FSTEC Ruska. Tyto produkty nevyžadují značné náklady na implementaci a nejsou vázány na typy kontrolovaného obsahu, a proto je lze používat v organizacích jakékoli velikosti.

Řešení, jejichž hlavní funkcí není antivirové skenování, mohou také fungovat jako druhá úroveň filtrování malwaru. Příkladem jsou rozšířená řešení bran pro filtrování spamu a ochranu webových služeb – filtrování URL, Web Application Firewall, balanční nástroje. Často mají schopnost provádět antivirovou kontrolu zpracovaného obsahu pomocí několika dodavatelů filtrování škodlivého obsahu. Zejména implementace antivirové kontroly na úrovni poštovních systémů nebo bran filtrování spamu. V případě sekvenčního použití více antivirových produktů může účinnost filtrování virů v příchozí/odchozí korespondenci dosáhnout téměř 100 %.

Pomocí tohoto přístupu již můžete dosáhnout vážného výkonu filtrování malwaru na první a druhé úrovni ochrany do hloubky. Jinými slovy, pokud bude implementován adekvátní systém antivirové ochrany (až na uživateli), bude lví podíl malwaru odfiltrován na úrovni řešení bran pro ten či onen účel.

Úroveň zabezpečení hostitele

Ochrana hostitele znamená implementaci funkcí antivirové kontroly pro servery a uživatelské pracovní stanice. Protože v denní práce Zaměstnanci používají různé stolní a mobilní zařízení, takže je musíte všechny chránit. Navíc jednoduchý podpisový antivirus již dlouho není považován za seriózní nástroj ochrany. To je důvod, proč mnoho organizací přešlo na technologii Host IPS, která umožňuje použití dalších kontrolních/ochranných mechanismů během ověřování prostřednictvím funkčnosti firewallu a systému IPS (analýza chování).

Pokud je již problematika ochrany uživatelských pracovišť dobře upravena, pak je implementace Host IPS na aplikačních serverech (fyzických či virtuálních) specifickým úkolem. Technologie Host IPS by na jednu stranu neměla výrazně zvyšovat zátěž serveru, na druhou stranu musí poskytovat požadovanou úroveň zabezpečení. Rozumnou rovnováhu lze nalézt pouze pilotním testováním řešení na konkrétní sadě aplikací a hardwarové platformě.

2.2.2 Protokolování a auditování

Protokolování se týká shromažďování a shromažďování informací o událostech, ke kterým dochází informační systém. Například kdo a kdy se pokusil přihlásit do systému, jak tento pokus skončil, kdo jaké informační zdroje použil, jaké informační zdroje a kým upravil a mnoho dalších.

Audit je analýza nashromážděných informací, prováděná rychle, téměř v reálném čase nebo pravidelně.

Implementace protokolování a auditu má následující hlavní cíle:

Zajištění odpovědnosti uživatele a správce;

Zajištění možnosti rekonstrukce sledu událostí;

Detekce pokusů o narušení bezpečnosti informací;

Poskytování informací k identifikaci a analýze problémů.

Proto protokolování a audit patří do subsystému evidence a účetnictví. Pomocí těchto operací můžete rychle a efektivně najít problémy a zranitelná místa ve stávajícím systému zabezpečení informací. V závislosti na třídě informací o bezpečnosti informací může mít tento prvek různé formy a řešit různé problémy, jako je registrace a účtování:

Vstup (výstup) přístupových subjektů do (ze) systému (systémů) (uzlu sítě) (na všech úrovních);

Spouštění (dokončování) programů a procesů (úkoly, úkoly) (na úrovních 2A, 1D, 1B, 1B, 1A);

Přístup k programům subjektů přístupu k chráněným souborům, včetně jejich vytváření a mazání, přenos po linkách a komunikačních kanálech (na úrovních 2A 1G, 1B, 1B, 1A);

Přístup k programům subjektů přístupu k terminálům, počítačům, uzlům počítačové sítě, komunikačním kanálům, externím počítačovým zařízením, programům, svazkům, adresářům, souborům, záznamům, záznamovým polím (na úrovních 2A 1D, 1B, 1B, 1A);

Změny v oprávněních subjektů přístupu (1B, 1B, 1A);

Vytvořené objekty chráněného přístupu (2A, 1B, 1B, 1A);

Signalizace se pokouší narušit zabezpečení (1B, 1B, 1A).

Při budování ochrany do hloubky tak musí být logovací a auditní systémy instalovány na hranici chráněného systému, na serveru, na každé pracovní stanici a také na všech autentizačních zařízeních (například při vstupu na chráněné území).

2.2.3 Fyzická ochrana

To zahrnuje opatření k prevenci krádeží zařízení a paměťových médií, jakož i ochranu před nedbalostí a přírodními katastrofami:

Kontrolní stanoviště na hranici chráněného území;

Montáž plotů, zákazových značek, omezovačů výšky karoserie aut, různých zábran atd. po obvodu chráněného území;

Umístění strategicky důležitých objektů tak, aby útočník musel překonat velký Otevřený prostor dostat se k nim;

Osvětlení chráněného prostoru, konkrétně vrat, dveří a dalších strategicky důležitých objektů. Je třeba vzít v úvahu, že tlumené světlo distribuované po celém území je účinnější než jednotlivé světlé body reflektorů, protože reflektory mají slepá místa. Záložní napájecí systém by měl být také zajištěn pro případ odpojení hlavního;

Bezpečnostní sloupky u vchodů do areálu;

Instalace zabezpečovacího systému a senzorů (pohybové, dotykové, rozbití skla). Je třeba poznamenat, že tento systém musí pracovat v tandemu s kamerovým systémem, aby se eliminovaly falešné poplachy;

Instalace video monitorovacího systému;

Různé nástroje pro kontrolu přístupu, od zámků po biometrie;

Prostředky pro ovládání otevírání zařízení (těsnění na pouzdrech atd.);

Zajištění zařízení na pracovištích pomocí specializovaných zámků.

2.2.4 Autentizace a ochrana heslem

Autentizace - autentizační procedura, například: ověření pravosti uživatele porovnáním hesla, které zadal, s heslem v databázi uživatelů; autentizace e-mailem kontrolou digitálního podpisu dopisu pomocí klíče pro ověření podpisu odesílatele; kontrola kontrolního součtu souboru, zda je v souladu s částkou deklarovanou autorem tohoto souboru. V ruštině se tento termín používá především v oblasti informačních technologií.

Vzhledem k míře důvěry a bezpečnostní politice systémů může být prováděná autentizace jednosměrná nebo vzájemná. Obvykle se provádí pomocí kryptografických metod.

Existuje několik dokumentů stanovujících standardy autentizace. Pro Rusko je relevantní: GOST R ISO/IEC 9594-8-98 – Základy ověřování.

Tento standard:

Definuje formát autentizačních informací uložených v adresáři;

Popisuje, jak získat ověřovací informace z adresáře;

Stanovuje předpoklady pro metody generování a umísťování ověřovacích informací do adresáře;

Definuje tři způsoby, jakými aplikační programy může použít takové autentizační informace k provedení autentizace a popisuje, jak mohou být pomocí autentizace poskytovány další bezpečnostní služby.

Tento standard specifikuje dva typy autentizace: jednoduché, používající heslo jako ověření deklarované identity, a silné, využívající přihlašovací údaje vytvořené pomocí kryptografických metod.

V každém autentizačním systému je obvykle několik prvků:

Subjekt, který podstoupí proceduru;

Charakteristickým znakem předmětu je rozlišovací znak;

vlastník autentizačního systému, odpovědný a dohled nad jeho prací;

Vlastní autentizační mechanismus, tedy princip fungování systému;

Mechanismus, který uděluje určitá přístupová práva nebo je subjektu zbavuje.

Existují také 3 autentizační faktory:

Něco, co víme, je heslo. Jedná se o tajnou informaci, kterou by měl mít pouze oprávněný subjekt. Heslo může být řečené slovo, textové slovo, kombinace zámku nebo osobní identifikační číslo (PIN). Mechanismus hesla lze implementovat poměrně snadno a je levný. Má to ale značné nevýhody: udržet heslo v tajnosti je často obtížné, útočníci neustále vymýšlejí nové způsoby, jak heslo ukrást, hacknout a uhodnout. Díky tomu je mechanismus hesla slabě chráněn.

Něco, co máme, je autentizační zařízení. Důležitá je zde skutečnost, že subjekt vlastní nějaký jedinečný objekt. Může to být osobní pečeť, klíč k zámku nebo pro počítač datový soubor obsahující charakteristiku. Tato charakteristika je často zabudována do speciálního ověřovacího zařízení, například plastové karty, čipové karty. Pro útočníka je získání takového zařízení obtížnější než prolomení hesla a subjekt může okamžitě nahlásit, pokud je zařízení odcizeno. To ano tato metoda bezpečnější než mechanismus hesel, ale náklady na takový systém jsou vyšší.

Něco, co je naší součástí, je biometrie. Charakteristika je fyzický rys subjektu. Může to být portrét, otisk prstu nebo dlaně, hlas nebo rys oka. Z pohledu subjektu je tato metoda nejjednodušší: není třeba si pamatovat heslo ani nosit s sebou autentizační zařízení. Biometrický systém však musí být vysoce citlivý, aby potvrdil oprávněného uživatele, ale odmítnul útočníka s podobnými biometrickými parametry. Také náklady na takový systém jsou poměrně vysoké. Ale i přes své nedostatky zůstává biometrie poměrně slibným faktorem.

Podívejme se blíže na metody ověřování.

Autentizace pomocí opakovaně použitelných hesel.

Skládá se ze zadání uživatelského identifikátoru, hovorově nazývaného „login“ (angl. login – registrační jméno uživatele, účtu) a hesla – některé důvěrné informace. Spolehlivý (referenční) pár login-heslo je uložen ve speciální databázi.

Základní autentizace má následující obecný algoritmus:

Subjekt požádá o přístup do systému a zadá osobní ID a heslo.

Zadaná unikátní data jsou odeslána na autentizační server, kde jsou porovnána s referenčními daty.

Pokud se údaje shodují s referenčními údaji, je autentizace považována za úspěšnou, pokud se liší, subjekt přechází na 1. krok

Heslo zadané subjektem lze v síti přenést dvěma způsoby:

Nešifrované, in otevřený formulář, založené na protokolu Password Authentication Protocol (PAP)

Použití šifrování SSL nebo TLS. V tomto případě jsou jedinečná data zadaná subjektem přenášena bezpečně po síti.

Autentizace pomocí jednorázových hesel.

Jakmile útočník získá opakovaně použitelné heslo subjektu, má neustálý přístup k napadeným důvěrným informacím. Tento problém je řešen použitím jednorázových hesel (OTP – One Time Password). Podstatou této metody je, že heslo je platné pouze pro jedno přihlášení, každá další žádost o přístup vyžaduje nové heslo. Mechanismus autentizace pomocí jednorázových hesel může být implementován buď hardwarově nebo softwarově.

Technologie pro použití jednorázových hesel lze rozdělit na:

Použití generátoru pseudonáhodných čísel, který je společný pro subjekt i systém;

Použití časových razítek ve spojení s jednotným časovým systémem;

Pomocí databáze náhodných hesel, jednotných pro subjekt i pro systém.

Vícefaktorová autentizace.

V poslední době se stále častěji používá tzv. rozšířená neboli vícefaktorová autentizace. Je postaven na sdílení několik autentizačních faktorů. To výrazně zvyšuje bezpečnost systému. Příkladem je použití SIM karet v mobilní telefony. Subjekt vloží svou kartu (ověřovací zařízení) do telefonu a po zapnutí zadá svůj PIN (heslo). Také například některé moderní notebooky a smartphony mají skener otisků prstů. Subjekt tedy musí při přihlašování do systému projít touto procedurou (biometrií) a následně zadat heslo. Při volbě konkrétního faktoru nebo autentizační metody pro systém je nutné vzít v úvahu především požadovaný stupeň zabezpečení, náklady na vybudování systému a zajištění mobility subjektu.

Biometrické ověřování.

Metody autentizace založené na měření biometrických parametrů osoby poskytují téměř 100% identifikaci, řeší problémy se ztrátou hesel a osobních identifikátorů.

Nejpoužívanější biometrické atributy a odpovídající systémy jsou:

otisky prstů;

Geometrie ruky;

Duhovka;

termosnímek obličeje;

Vstup z klávesnice;

Biometrické ověřování má zároveň řadu nevýhod:

Biometrická šablona se neporovnává s výsledkem prvotního zpracování charakteristik uživatele, ale s tím, co přišlo na srovnávací stránku. Během cesty se toho může stát hodně.

Databázi šablon může útočník upravit.

Je třeba vzít v úvahu rozdíl mezi používáním biometrie v kontrolovaném pásmu, pod bedlivým dohledem bezpečnosti, a v „polních“ podmínkách, kdy může být ke snímacímu zařízení přivedena např. figurína apod.

Některá lidská biometrická data se mění (jak v důsledku stárnutí, tak v důsledku zranění, popálenin, řezných ran, nemocí, amputací atd.), takže databáze šablon vyžaduje neustálou údržbu, což vytváří určité problémy jak pro uživatele, tak pro administrátory.

Pokud jsou vaše biometrické údaje odcizeny nebo kompromitovány, je to obvykle na celý život. Hesla i přes jejich nespolehlivost lze v krajním případě změnit. Nemůžete změnit prst, oko nebo hlas, alespoň ne rychle.

Biometrické charakteristiky jsou jedinečné identifikátory, ale nelze je utajit.

Autentizační procedura se používá při výměně informací mezi počítači a k ​​ochraně komunikační linky před odposlechem nebo záměnou jednoho z účastníků interakce se používají velmi složité kryptografické protokoly. A protože autentizace je zpravidla nutná pro oba objekty navazující síťovou interakci, může být autentizace vzájemná.

Lze tedy rozlišit několik rodin autentizace:

Ověření uživatele na PC:

Zašifrované jméno (přihlášení)

Password Authentication Protocol, PAP (kombinace přihlášení a hesla)

Přístupová karta (USB s certifikátem, SSO)

Ověření sítě -

Zabezpečte SNMP pomocí digitálního podpisu

SAML (Security Assertion Markup Language)

Soubory cookie relací

Vstupenky Kerberos

Certifikáty X.509

V operační systémyŘada Windows NT 4 používá protokol NTLM (NT LAN Manager - NT Local Network Manager). A v doménách Windows 2000/2003 se používá mnohem pokročilejší protokol Kerberos.

Z hlediska budování obrany do hloubky se autentizace používá na všech úrovních ochrany. Autentizaci musí projít nejen personál (při vstupu do chráněného objektu, ve speciálních prostorách, při příjmu důvěrných informací na jakémkoli médiu, při vstupu do počítačového systému, při použití softwaru a hardwaru), ale také každá jednotlivá pracovní stanice, program, informace o médiích, nástroje připojené k pracovním stanicím, serverům atd.

2.2.5 Firewally

Firewall (FW) je lokální (jednosložkový) nebo funkčně distribuovaný softwarový (hardwarový a softwarový) nástroj (komplexní), který implementuje kontrolu nad informacemi vstupujícími do firewallu a/nebo opouštějícími firewall. ME poskytuje ochranu AS filtrováním informací, tzn. jeho analýzu podle souboru kritérií a rozhodování o jeho distribuci do (z) AS na základě daných pravidel, čímž omezuje přístup subjektů z jednoho AS k objektům jiného AS. Každé pravidlo zakazuje nebo umožňuje přenos informací určitého typu mezi subjekty a objekty. V důsledku toho subjekty z jednoho AS obdrží přístup pouze k povoleným informačním objektům z jiného AS. Interpretace sady pravidel je prováděna sekvencí filtrů, které umožňují nebo zakazují přenos dat (paketů) na další úroveň filtru nebo protokolu. Je stanoveno pět bezpečnostních tříd ME.

Každá třída se vyznačuje určitým minimálním souborem požadavků na ochranu informací.

Nejnižší bezpečnostní třída je pátá, používaná pro bezpečnou interakci reproduktorů třídy 1D s vnější prostředí, čtvrtý - pro 1G, třetí - 1B, druhý - 1B, nejvyšší - první, sloužící pro bezpečnou interakci reproduktorů třídy 1A s vnějším prostředím.

Požadavky na ME nevylučují požadavky na počítačové vybavení (CT) a AS v souladu se směrnicemi FSTEC Ruska „Počítačové vybavení. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení proti neoprávněnému přístupu k informacím“ a „Automatizované systémy. Ochrana před neoprávněným přístupem k informacím. Klasifikace automatizovaných systémů a požadavky na ochranu informací.“

Když je ME zahrnuto do AS určité bezpečnostní třídy, neměla by být snížena bezpečnostní třída celkového AS získaného z původního AS přidáním ME.

Pro reproduktory třídy 3B, 2B je nutné použít ME minimálně třídy 5.

Pro reproduktory třídy 3A, 2A by se v závislosti na důležitosti zpracovávaných informací mělo používat ME následujících tříd:

Při zpracování informací klasifikovaných jako „tajné“ - ne nižší než třída 3;

Při zpracování informací klasifikovaných jako „přísně tajné“ - ne nižší než třída 2;

Při zpracování informací klasifikovaných jako „zvláštní důležitost“ - ne nižší než třída 1.

ME je standardním prvkem systému informační bezpečnosti NSD a je prostředkem pro řízení informačních toků, vstupujících do subsystému řízení přístupu.

Z hlediska echeloningu mohou být firewally umístěny jak na perimetru chráněného systému, tak na jeho jednotlivých prvcích, například softwarové firewally instalované na pracovních stanicích a serverech.

Demilitarizovaná zóna.

DMZ (demilitarizovaná zóna, DMZ) je technologie pro zajištění ochrany informačního perimetru, ve které jsou servery reagující na požadavky z vnější sítě umístěny ve speciálním segmentu sítě (nazývaném DMZ) a mají omezený přístup k hlavním segmentům sítě. použití firewallu (firewall), aby se minimalizovalo poškození při napadení jedné z veřejných služeb umístěných v zóně.

V závislosti na bezpečnostních požadavcích může mít DMZ jeden, dva nebo tři firewally.

Konfigurace s jedním firewallem.

V tomto schématu DMZ jsou vnitřní síť a vnější síť připojeny k různým portům routeru (fungující jako firewall), který řídí spojení mezi sítěmi. Toto schéma se snadno implementuje a vyžaduje pouze jeden další port. Pokud je však router napaden (nebo je nesprávně nakonfigurován), síť se stane zranitelnou přímo z externí sítě.

Konfigurace se dvěma firewally.

V konfiguraci duálního firewallu se DMZ připojuje ke dvěma směrovačům, z nichž jeden omezuje připojení z vnější sítě do DMZ a druhý řídí připojení z DMZ k vnitřní síti. Toto schéma vám umožňuje minimalizovat následky hacknutí některého z firewallů nebo serverů interagujících s externí sítí – dokud nebude hacknut interní firewall, nebude mít útočník svévolný přístup do vnitřní sítě.

Konfigurace se třemi firewally.

Existuje vzácná konfigurace se třemi firewally. V této konfiguraci první z nich přebírá požadavky z vnější sítě, druhý řídí síťová připojení DMZ a třetí řídí vnitřní síťová připojení. V takové konfiguraci jsou obvykle DMZ a vnitřní síť skryty za NAT (Network Address Translation).

Jeden z klíčové vlastnosti DMZ není pouze filtrování provozu na interním firewallu, ale také požadavek povinné silné kryptografie při interakci mezi aktivním zařízením vnitřní sítě a DMZ. Zejména by nemělo docházet k situacím, kdy je možné zpracovat požadavek ze serveru v DMZ bez oprávnění. Pokud se DMZ používá k zajištění ochrany informací uvnitř perimetru před únikem zevnitř, jsou kladeny obdobné požadavky na zpracování uživatelských požadavků z vnitřní sítě.

Z hlediska formování obrany do hloubky lze DMZ definovat jako součást MŽP, nicméně DMZ je vyžadován pouze v případě, že některá data musí být veřejně používána (např. webová stránka). DMZ, stejně jako ME, je implementován na okraji chráněné sítě a v případě potřeby může existovat několik takových zón, z nichž každá má vlastní bezpečnostní politiku. Prvním stupněm je zde tedy ochrana při přístupu do DMZ a druhým je ochrana vnitřní sítě. Díky tomu je získání přístupu do samotné DMZ obtížné, ale i při úspěšné souhře okolností je narušení vnitřní sítě téměř nemožné.

VPN (anglicky: Virtual Private Network) je obecný název pro technologie, které umožňují poskytovat jedno nebo více síťových připojení (logická síť) přes jinou síť (například Internet). Navzdory skutečnosti, že komunikace probíhá přes sítě s nižší nebo neznámou úrovní důvěryhodnosti (např. veřejné sítě), úroveň důvěry ve vybudovanou logickou síť nezávisí na úrovni důvěry v základní sítě díky použití kryptografických nástrojů (šifrování, autentizace, infrastruktura veřejného klíče, prostředky pro ochranu proti opakování a změnám přenášeným přes logické síť zpráv).

V závislosti na použitých protokolech a účelu může VPN poskytovat tři typy připojení: host-to-host, host-to-network a network-to-network.

VPN jsou obvykle nasazovány na úrovních, které nejsou vyšší než na úrovni sítě, protože použití kryptografie na těchto úrovních umožňuje použití transportních protokolů (jako je TCP, UDP) beze změny.

Uživatelé Microsoft Windows používají termín VPN k označení jedné z implementací virtuální sítě – PPTP, která se často nepoužívá pro vytváření privátních sítí.

Nejčastěji je pro vytvoření virtuální sítě protokol PPP zapouzdřen v nějakém jiném protokolu - IP (tuto metodu používá implementace PPTP - Point-to-Point Tunneling Protocol) nebo Ethernet (PPPoE) (i když mají také rozdíly) . Technologie VPN byla v poslední době využívána nejen k vytváření samotných privátních sítí, ale také některými poskytovateli „poslední míle“ v postsovětském prostoru k poskytování přístupu k internetu.

Při správné úrovni implementace a použití speciálních software Síť VPN může poskytovat vysokou úroveň šifrování přenášených informací. Na správné nastavení Technologie VPN všech komponent zajišťuje anonymitu na internetu.

Řešení VPN lze klasifikovat podle několika hlavních parametrů:

Podle stupně zabezpečení použitého prostředí:

Secure – nejběžnější verze virtuálních privátních sítí. S jeho pomocí je možné vytvořit spolehlivou a bezpečnou síť založenou na nespolehlivé síti, obvykle internetu. Příklady zabezpečených VPN jsou: IPSec, OpenVPN a PPTP.

Důvěryhodný - používá se v případech, kdy lze přenosové médium považovat za spolehlivé a je potřeba pouze vyřešit problém s vytvořením virtuální podsítě v rámci větší sítě. Bezpečnostní otázky se stávají irelevantními. Příklady takových řešení VPN jsou: Multi-protocol label switching (MPLS) a L2TP (Layer 2 Tunneling Protocol).

Podle způsobu implementace:

Ve formě speciálního softwaru a hardwaru - implementace sítě VPN se provádí pomocí speciální sady softwaru a hardwaru. Tato implementace poskytuje vysoký výkon a zpravidla vysoký stupeň zabezpečení.

Tak jako softwarové řešení- použití Osobní počítač se speciálním softwarem, který poskytuje funkce VPN.

Integrované řešení - VPN funkcionalitu zajišťuje komplex, který řeší i problémy s filtrováním síťového provozu, organizováním firewallu a zajišťováním kvality služeb.

Podle účelu:

Intranet VPN se používá ke sjednocení několika distribuovaných poboček jedné organizace vyměňujících si data prostřednictvím otevřených komunikačních kanálů do jediné zabezpečené sítě.

Remote Access VPN – používá se k vytvoření zabezpečeného kanálu mezi segmentem podnikové sítě (centrální kanceláří nebo pobočkou) a jedním uživatelem, který pracuje doma a připojuje se k podnikovým zdrojům domácí počítač, firemní notebook, smartphone nebo internetový kiosek.

Extranet VPN – používá se pro sítě, ke kterým se připojují „externí“ uživatelé (například zákazníci nebo klienti). Míra důvěry v ně je mnohem nižší než u zaměstnanců společnosti, proto je nutné zajistit speciální „linie“ ochrany, které zabrání nebo omezí přístup těchto zaměstnanců ke zvláště cenným důvěrným informacím.

Internet VPN – používá se k poskytování přístupu k internetu poskytovateli, obvykle pokud se několik uživatelů připojuje přes jeden fyzický kanál. Protokol PPPoE se stal standardem v připojení ADSL.

L2TP byl rozšířen v polovině 2000 v domácích sítích: v té době se za intranetový provoz neplatilo a externí provoz byl drahý. To umožnilo kontrolovat náklady: když je připojení VPN vypnuto, uživatel nic neplatí. Aktuálně (2012) kabelový internet levné nebo neomezené a na straně uživatele je často router, na kterém není zapínání a vypínání internetu tak pohodlné jako na počítači. Proto se přístup L2TP stává minulostí.

Klient/Server VPN - poskytuje ochranu přenášených dat mezi dvěma uzly (nikoli sítěmi) podnikové sítě. Zvláštností této možnosti je, že VPN je postavena mezi uzly umístěnými zpravidla ve stejném segmentu sítě, například mezi pracovní stanicí a serverem. Tato potřeba velmi často nastává v případech, kdy je potřeba vytvořit více logických sítí na jedné fyzické síti. Například, když je nutné rozdělit provoz mezi finanční oddělení a oddělení lidských zdrojů přistupující k serverům umístěným ve stejném fyzickém segmentu. Tato možnost je podobná technologii VLAN, ale místo oddělení provozu je šifrována.

Podle typu protokolu existují implementace virtuálních privátních sítí pro TCP/IP, IPX a AppleTalk. Dnes je však tendence k obecnému přechodu na protokol TCP/IP a naprostá většina řešení VPN jej podporuje. Adresování v něm je nejčastěji voleno podle standardu RFC5735, z řady TCP/IP Private Networks.

Podle úrovně síťového protokolu - na základě srovnání s úrovněmi referenčního síťového modelu ISO/OSI.

Hloubková obrana založená na VPN musí zahrnovat dva (nebo více) bezpečnostních perimetrů na zařízení od různých výrobců. V tomto případě nebude způsob využití „díry“ v obranné linii jednoho dodavatele aplikovatelný na řešení jiného dodavatele. Toto dvouvrstvé řešení je pro mnohé nezbytným technologickým požadavkem firemní sítě, zejména ve švýcarských bankovních sítích je velmi běžný.

Obrázek 1. Scénáře interakce mezi chráněnými perimetry.

Obrázek 2. Symboly použité na obrázku 1.

V rámci dvouvrstvé architektury zabezpečení sítě založené na produktech Cisco a CSP VPN jsou implementovány následující základní scénáře pro interakci chráněných perimetrů (obrázek 1):

Přístup k internetu pro firemní uživatele.

Bezpečná interakce mezi vnějšími perimetry.

Zabezpečený přístup pro vzdálené uživatele k vnější perimetrické síti.

Zabezpečený přístup pro vzdálené uživatele k vnitřní perimetrické síti.

Bezpečná interakce vnitřních perimetrů.

Tvorba interních bezpečných okruhů a ochrana klient-server aplikací.

Technické implementace základních scénářů jsou různé a závisí na:

co chráníme (co jsou chráněné objekty, jak se ověřují),

kde jsou umístěny bezpečnostní objekty (topologie sítě),

jak chceme aplikovat bezpečnostní opatření (politika řízení přístupu a struktura tunelu IPsec).

2.2.7 Systém detekce narušení

Systém detekce narušení (IDS) je softwarový nebo hardwarový nástroj určený k odhalování případů neoprávněného přístupu nebo neoprávněné kontroly počítačového systému nebo sítě, především prostřednictvím internetu. Odpovídající anglický termín-- Systém detekce narušení (IDS). Systémy detekce narušení poskytují další vrstvu ochrany počítačových systémů.

Systémy detekce narušení se používají k detekci určitých typů škodlivé činnosti, která může ohrozit bezpečnost počítačového systému. Mezi tyto aktivity patří síťové útoky proti zranitelným službám, útoky zaměřené na eskalaci oprávnění, neoprávněný přístup k důležitým souborům a také škodlivý software (počítačové viry, trojské koně a červi).

Architektura IDS obvykle zahrnuje:

Senzorový subsystém určený ke shromažďování událostí souvisejících se zabezpečením chráněného systému

Analytický subsystém určený k detekci útoků a podezřelých akcí na základě dat ze senzorů

Úložiště, které poskytuje akumulaci primárních událostí a výsledků analýzy

Konzole pro správu, která umožňuje konfigurovat IDS, monitorovat stav chráněného systému a IDS a zobrazovat incidenty identifikované analytickým subsystémem

Existuje několik způsobů klasifikace IDS v závislosti na typu a umístění senzorů a také na metodách používaných analytickým subsystémem k identifikaci podezřelé aktivity. V mnoha jednoduchých IDS jsou všechny komponenty implementovány jako jeden modul nebo zařízení.

Pomocí klasifikace IDS na základě umístění senzorů je možné určit vrstvené IDS umístěné na úrovních sítě (síťové IDS), serveru (protokolové IDS) a hostitele (uzel IDS). Podle stejné klasifikace lze hybridní IDS okamžitě klasifikovat jako vrstvené IDS, protože splňují základní požadavky na separaci.

V síťovém IDS jsou senzory umístěny v kritických bodech sítě, často v demilitarizované zóně nebo na okraji sítě. Senzor zachycuje veškerý síťový provoz a analyzuje obsah každého paketu na přítomnost škodlivých komponent. Protokolové IDS se používají ke sledování provozu, který porušuje pravidla určitých protokolů nebo syntaxi jazyka (například SQL). V hostitelském IDS je senzor obvykle softwarový agent, který monitoruje aktivitu hostitele, na kterém je nainstalován. Existují také hybridní verze uvedených typů SOV.

Network-based IDS (NIDS) monitoruje narušení pomocí inspekce síťového provozu a monitoruje více hostitelů. Systém detekce narušení sítě získává přístup k síťovému provozu připojením k rozbočovači nebo přepínači nakonfigurovanému pro zrcadlení portů nebo k síťovému zařízení TAP. Příkladem webového IDS je Snort.

Protokolový IDS (PIDS) je systém (nebo agent), který monitoruje a analyzuje komunikační protokoly s přidruženými systémy nebo uživateli. U webového serveru takový IDS obvykle monitoruje protokoly HTTP a HTTPS. Při použití HTTPS musí být IDS umístěn na takovém rozhraní, aby bylo možné zobrazit pakety HTTPS před jejich zašifrováním a odesláním do sítě.

Application Protocol-based IDS (APIDS) je systém (nebo agent), který monitoruje a analyzuje data přenášená pomocí aplikačně specifických protokolů. Například na webovém serveru s SQL databází bude IDS monitorovat obsah SQL příkazů odeslaných na server.

Nodální IDS (Host-based IDS, HIDS) - systém (nebo agent) umístěný na hostiteli, který monitoruje narušení pomocí analýzy systémových volání, aplikačních protokolů, úprav souborů (spustitelné soubory, soubory s hesly, systémové databáze), stavu hostitele a dalších Zdroje. Příkladem je OSSEC.

Hybridní IDS kombinuje dva nebo více přístupů k vývoji IDS. Data od agentů na hostitelích jsou kombinována s informacemi o síti, aby se vytvořil nejúplnější obrázek o zabezpečení sítě. Příkladem hybridní OWL je Prelude.

Přestože IDS i firewall jsou nástroje pro řízení toku informací, firewall se liší v tom, že omezuje určité typy provozu na hostitele nebo podsíť, aby se zabránilo narušení, a nemonitoruje narušení, ke kterému dochází v rámci sítě. IDS naopak provoz předává, analyzuje jej a signalizuje, když je detekována podezřelá aktivita. Detekce narušení bezpečnosti se obvykle provádí pomocí heuristických pravidel a analýzy signatur známých počítačových útoků.

3. HLAVNÍ VÝSLEDKY PRÁCE

V průběhu práce byl studován základní princip konstrukce vrstveného informačního bezpečnostního systému – „echelon“. To znamená, že mnoho nezávislých komponent systému informační bezpečnosti by nemělo být instalováno na jednom místě, ale „sledováno“ – distribuováno napříč různými úrovněmi (úrovněmi) chráněného systému. Díky tomu je dosaženo stavu „nadměrné ochrany“ systému, ve kterém slabé stránky jedna složka je pokryta jinými složkami.

Byly také studovány samotné nezávislé prostředky používané při vytváření vrstvené informační bezpečnosti v počítačových systémech „kancelářského“ typu:

Antivirové programy;

Záznam a audit;

Fyzická ochrana;

Autentizace a ochrana heslem;

Firewally;

Demilitarizovaná zóna;

Systém detekce narušení.

U každého komponentu bylo zvažováno, na jakých úrovních je jeho instalace nezbytná, a byly také předloženy požadavky podle dokumentů FSTEC Ruska.

SEZNAM POUŽITÝCH ZDROJŮ INFORMACÍ

Řídicí dokument FSTEC Ruska „Počítačová zařízení. Ochrana před neoprávněným přístupem k informacím. Ukazatele zabezpečení proti neoprávněnému přístupu k informacím.“ ze dne 30. března 1992;

Řídicí dokument FSTEC Ruska „Automatizované systémy. Ochrana před neoprávněným přístupem k informacím. Klasifikace automatizovaných systémů a požadavky na ochranu informací“ ze dne 30. března 1992;

Průvodní dokument „Počítačové vybavení. Firewally. Ochrana před neoprávněným přístupem k informacím. Indikátory zabezpečení proti neoprávněnému přístupu k informacím“ ze dne 25. července 1997;

Publikováno na Allbest.ru

Podobné dokumenty

Způsoby neoprávněného přístupu, klasifikace metod a prostředků ochrany informací. Analýza metod informační bezpečnosti na LAN. Identifikace a autentizace, protokolování a auditování, řízení přístupu. Koncepce zabezpečení počítačového systému.

práce, přidáno 19.04.2011


Problém volby mezi požadovanou úrovní ochrany a efektivitou sítě. Mechanismy pro zajištění informační bezpečnosti v sítích: kryptografie, elektronický podpis, autentizace, ochrana sítě. Požadavky na moderní nástroje informační bezpečnosti.

práce v kurzu, přidáno 01.12.2008


Požadavky na ochranu informací. Klasifikace automatizovaného systému. Faktory ovlivňující požadovanou úroveň informační bezpečnosti. Fyzická ochrana dat. Instalace zdrojů nepřerušitelného napájení. Identifikace a autentizace, řízení přístupu.

práce v kurzu, přidáno 29.11.2014


Metody a prostředky ochrany informací před neoprávněným přístupem. Vlastnosti ochrany informací v počítačových sítích. Kryptografická a elektronická ochrana digitální podpis. Metody ochrany informací před počítačovými viry a útoky hackerů.

abstrakt, přidáno 23.10.2011


Přehled technologií informační bezpečnosti v počítačových sítích: kryptografie, elektronický podpis, autentizace, ochrana sítě. Organizace zabezpečení informací na klientském počítači pomocí systému Avast. Konfigurace a nastavení systému Avast na vašem počítači.

práce v kurzu, přidáno 05.11.2014


Pojem počítačová kriminalita. Základní pojmy ochrany informací a informační bezpečnosti. Klasifikace možných hrozeb pro informace. Předpoklady pro vznik hrozeb. Metody a způsoby ochrany informační zdroje. Typy antivirových programů.

práce v kurzu, přidáno 28.05.2013


Software a hardware pro ochranu vašeho počítače před neoprávněným přístupem. Elektronický zámek"Sable". Informační bezpečnostní systém SecretNet. Zařízení pro zabezpečení informací o otiskech prstů. Správa veřejných klíčů, certifikační centra.

práce v kurzu, přidáno 23.08.2016


Charakteristika chráněných objektů a požadavky na ně. Identifikace únikových kanálů a požadavky na ochranu. Ochranné prostředky a jejich umístění. Alternativní systém ochrany informací s komplexním stíněním. Stíněné konstrukce, místnosti, komory.

práce v kurzu, přidáno 16.04.2012


Technické prostředky informační bezpečnosti. Hlavní bezpečnostní hrozby pro počítačový systém. Prostředky ochrany proti neoprávněnému přístupu. Systémy pro zamezení úniku důvěrných informací. Nástroje analýza ochranných systémů.

prezentace, přidáno 18.11.2014


Analýza informací jako objektu ochrany a studium požadavků na informační bezpečnost. Výzkum inženýrsko-technických ochranných opatření a vývoj řídicího systému pro objekt ochrany informací. Implementace ochrany objektů pomocí programu Packet Tracer.

Obrana do hloubky je vícestupňová obrana proti pokusům o vnější průnik a ovlivnění chráněných informací.

Obranná strategie se obvykle týká směsice četných kontrol a obranných technologií. To však ne vždy zlepšuje zabezpečení informací.

Představte si situaci, kdy společnosti najímají další specialisty na kybernetickou bezpečnost bez zvláštních požadavků. Ano, náklady na bezpečnost se zvyšují, ale není pravda, že se bude zvyšovat úroveň kybernetické bezpečnosti. Nezapomeňte na únik informací v důsledku nekontrolovaných fyzikálních polí

Obrana do hloubky

V ideálním případě by tito specialisté neměli zdvojovat své povinnosti, ale vzájemně rozšiřovat své schopnosti. To znamená, že každý z nich musí být odborníkem v určitém oboru. Společně budou schopni nastavit obranu do hloubky, která poskytne spolehlivější ochranu než hromada četných kontrol a ochranných technologií.

Proč je to tak důležité?

Například správce systému nakonfiguroval dobře chráněné lokální síť před vnějším průnikem, ale jeho zaměstnanci nemají potřebnou úroveň znalostí, které je mohou ochránit před phishingovými útoky a dalšími metodami sociálního inženýrství.

Ukázalo se, že zaměstnanec může spustit škodlivý skript sám, čímž hackerovi pomůže obejít mnoho vrstev ochrany. To je podstata používání obrany do hloubky.

Zprávy společností zabývajících se bezpečností informací říkají, že útoky hackerů jsou každým rokem sofistikovanější. Pokud chcete chránit své podnikání, musíte držet krok s dobou.

Microsoft byl jedním z prvních, kdo vyvinul strojové učení. Nyní ve Windows 10 používají umělá inteligence, která analyzuje chování uživatelů a dokáže identifikovat neobvyklé akce a přenášet informace do bezpečnostního centra. Nedávno se jim podařilo zastavit velký útok. Během 12 hodin bylo asi 500 000 počítačů infikováno škodlivým skriptem, který nainstaloval těžební programy.

Model informační bezpečnosti do hloubky

Hned řeknu, že byste neměli brát hotový model obrany do hloubky, protože existuje vysoká pravděpodobnost, že nemusí být vhodný. Například se ukáže, že je příliš složitý a nebude brát v úvahu specifika práce organizace, která vyžaduje individuální model obrany do hloubky. Mimochodem, vývoj od nuly může být efektivnější než přepracování modelu převzatého z jiné organizace.

Do roku 2025 to lze nazvat účinnou reakcí na americkou strategii okamžitého globálního úderu, říká plukovník ve výslužbě Viktor Litovkin.

Vrstvený systém protiraketové obrany

Novinářům řekl, že vytvoření vrstveného národního systému protiraketové obrany bude v naší zemi dokončeno do roku 2025. hlavní designér systémy varování před raketovým útokem (MAWS) Sergey Boev. Jeho vznik označil za reakci na aktivní vývoj leteckých útočných zbraní ve světě, které dnes do značné míry určují průběh vojenských konfliktů.

„Systém protiraketové obrany má dva stupně – pozemní a vesmírný. Pozemní patro zahrnuje varovné stanice proti raketovému útoku umístěné podél perimetru naší země, stejně jako protiletadlové raketové a protiraketové stanice. raketové systémy, schopné zachytit jak strategické rakety, tak rakety středního a kratšího doletu.

Vesmírný ešalon, který je zároveň systémem varování před raketovým útokem, využívá průzkumné zařízení, včetně satelitního vybavení, k detekci startů raket v jakémkoli směru, primárně však směrem k Rusku. Když mluvíme o vrstvené obraně, předpokládáme umístění radarových stanic a systémů protivzdušné obrany nejen podél perimetru, ale i uvnitř země. Takový přístup umožní nenechat si ujít útoky na klíčové průmyslové oblasti země, vojenská zařízení a kulturní centra,“ vysvětluje vojenský expert FBA Economics Today.

Očekává se, že do roku 2025 vrstvená obrana sjednotí systémy protiraketové obrany a protivzdušné obrany do jediného celku, a to i na území našich spojenců v postsovětském prostoru. Vytvoření takového deštníku podle odborníka vede ke stírání hranic mezi taktickou a strategickou PVO a systémy protiraketové obrany.

Okamžitá globální stávka

Systém vrstvené protiraketové obrany bude zahrnovat takové systémy krátkého dosahu jako Tunguska, Buk, Pantsir a Tor-M2 a S-300 a Vityaz středního dosahu. Jak poznamenal vojenský expert Alexej Leonkov, přijetí systému protivzdušné obrany dlouhého dosahu S-500, schopného zasáhnout cíle ve vzdálenosti až 100 kilometrů nad zemí, dokončí vrstvený obranný systém.

"Takovou obranu lze nazvat účinnou reakcí na americký koncept masivního leteckého útoku, známý jako "Flash global strike." Obranný systém se vyvíjí, včetně zohlednění slibného vývoje, který ještě nebyl přijat do služby, včetně hypersonických řízených střel. Zatímco nepřítel takové zbraně nemá, budeme připraveni takové střely zachytit, pokud se objeví. Stojí za zmínku, že žádná jiná země, včetně Spojených států, nemá tak vyvinutý systém protivzdušné obrany,“ shrnuje Viktor Litovkin.

Jak poznamenal Sergej Boev, strategie okamžitého globálního úderu bude dokončena do roku 2030. V tomto okamžiku budou Spojené státy moci k provádění úderů současně používat mezikontinentální balistické střely v různých konfiguracích, hypersonické zbraně a řízené střely různého rozmístění. Pozemní systémy protiraketové obrany Aegis rozmístěné v Rumunsku a Polsku nás zde přímo ohrožují. Na základě současných výzev je nasazení vrstveného systému protiraketové obrany do poloviny 20. let strategický úkol pro naši zemi.

Na vývoj se utrácejí miliony dolarů a budou schopny překonat ruské systémy protivzdušné obrany a protiraketové obrany, uvádí americký magazín The National Interest. Podle závěrů publikace nemá americká armáda žádné zkušenosti s konfrontací s high-tech nepřítelem, takže výsledek potenciálního vojenského konfliktu s Ruskou federací nelze předvídat. V případě operace budou moderní stealth letadla a řízené střely, jako jsou Tomahawky, ohroženy zachycením, zdůrazňuje autor článku. O schopnostech amerických zbraní a potenciálu ruské protivzdušné obrany - v materiálu RT.

Investice Pentagonu do vytvoření letadel s rozsáhlým využitím technologií stealth nepřinesou zaručený výsledek proti ruský systém„omezení a zákazy přístupu a manévrování“ (A2/AD - zamezení přístupu a odepření oblasti). Píše o tom americká publikace The National Interest.

A2/AD je termín běžný na Západě, který implikuje, že stát má systémy úderů na dlouhé vzdálenosti schopné zachytit letecké útočné zbraně stovky a desítky kilometrů od hranic a zahájit preventivní údery na nepřátelské pozemní a námořní cíle.

Zámořská publikace uvádí, že Rusko má „vzdušné minové pole“, které „NATO bude muset v případě konfliktu nějak neutralizovat nebo obejít“. Hlavní výhodou Moskvy je její vrstvený systém protivzdušné obrany, jehož hlavními „výhodami jsou dosah, přesnost a mobilita“.

Jak píše The National Interest, v případě invaze do ruského vzdušného prostoru budou zranitelná nejen nejnovější americká letadla, ale také řízené střely na moři (mluvíme o Tomahawcích). Z tohoto důvodu " Nejlepší způsob Odolávat systémům protivzdušné obrany znamená vyhýbat se jim,“ uzavírá časopis.

Ovládání oblohy

V západním tisku je rozšířený názor na zranitelnost letadel a raket NATO vůči systémům protivzdušné obrany/raketové obrany vyzbrojených ruskými jednotkami. Podle vojenského experta Jurije Knutova vychází ze zvyku Spojených států zahájit vojenské operace až po dosažení naprosté vzdušné převahy.

„Američané nikdy nenapadnou zemi, aniž by nejprve zničili velitelská stanoviště a systémy protivzdušné obrany. V případě Ruska je to naprosto nemožná situace. Proto je tak rozčiluje současný stav. Přitom proces přípravy na možnou válku s námi ve Spojených státech nikdy neskončil a Američané pokračují ve zdokonalování letectví a zbraní,“ uvedl Knutov v rozhovoru s RT.

Ve vývoji letecké techniky jsou podle odborníka Spojené státy tradičně před naší zemí. Domácí vědci však již půl století vytvářejí vysoce účinné zbraně, které jsou schopny zachytit nejnovější letadla a raket NATO a způsobují vážné rušení jejich elektronických zařízení.

Obrovská pozornost byla věnována vytvoření vrstveného systému protivzdušné obrany/raketové obrany v Sovětském svazu. Až do počátku 60. let létaly americké průzkumné letouny téměř bez překážek nad SSSR. S příchodem prvních protiletadlových raketových systémů (SAM) a zničením U-2 u Sverdlovska (1. května 1960) se však intenzita přeletů amerického letectva nad územím naší země znatelně snížila.

Do tvorby a rozvoje protivzdušné obrany a také systémů varování před raketovými útoky (MAWS) byly investovány obrovské peníze. Díky tomu se SSSR podařilo zajistit spolehlivou ochranu nejdůležitějších správních center, klíčové vojenské infrastruktury, velitelských stanovišť a průmyslových zón.

Různé radarové stanice(monitorování vzdušného prostoru, detekce cílů, průzkum), automatizované systémy řízení (zpracování radarové informace a její předání velení), rušící zařízení a systémy ničení palby (protiletadlové raketové systémy, stíhačky, systémy elektronického boje).

Na konci 80. let řádná síla jednotek protivzdušné obrany SSSR přesáhla 500 tisíc lidí. Sovětský svaz bránil Moskevský okruh protivzdušné obrany, 3. samostatná armáda varování před raketami, 9. samostatný sbor protivzdušné obrany, 18. samostatný sbor pro kontrolu vesmíru a také osm armád protivzdušné obrany s velitelstvími v Minsku, Kyjevě, Sverdlovsku, Leningradě. , Archangelsk , Taškent, Novosibirsk, Chabarovsk a Tbilisi.

Celkem bylo v bojové službě přes 1260 protiletadlových raketových divizí, 211 protiletadlových raketových pluků, 28 radiotechnických pluků, 36 radiotechnických brigád, 70 stíhacích pluků protivzdušné obrany, čítající přes 2,5 tisíce bojových letadel.

Po rozpadu SSSR došlo v důsledku změn geopolitické situace a změny vojenské doktríny ke snížení počtu jednotek PVO. Letecké a kosmické síly nyní zahrnují jednotky vesmírných sil (odpovědné za systém včasného varování), 1. protivzdušné obrany a protiraketové obrany (chrání oblast Moskvy) a pět armád letectva a protivzdušné obrany pokrývající jih Ruské federace, tzv. západní oblasti středního Ruska, Dálný východ, Sibiř, Povolží, Ural a Arktida.

Podle Ministerstva obrany Ruské federace Rusko v posledních letech obnovilo nepřetržité radarové pole „v hlavních směrech nebezpečných pro rakety“ a posílilo systém protivzdušné obrany díky přijetí nejnovějších systémů protivzdušné obrany S-400 “ Triumph, „Pantsir-S“, modernizované verze „Tora“ a „Pantsir-S“ pro vojáky.

V příštích letech armáda plánuje dokončit modernizaci systému protiraketové obrany A-135 Amur a rozmístit masová produkce komplex S-500, schopný zachytit téměř všechny známé cíle, včetně orbitálních letadel, satelitů, mezikontinentálních balistických střel a jejich hlavic.

„Nepřináší převratné výsledky“

V rozhovoru s RT profesor Akademie vojenských věd Vadim Kozyulin poznamenal, že ve Spojených státech probíhá debata o platnosti spoléhání se na nízkou radarovou signaturu letadel a raket. Podle něj ve Spojených státech narůstají obavy, že moderní radary (především ruské) dokážou snadno detekovat takzvané „neviditelné“ radary ve vzduchu.

„To vyvolává otázku, zda má smysl v této oblasti tak tvrdě pracovat, pokud to nepřináší průlomové výsledky. Američané byli průkopníky ve vývoji technologie stealth. Stovky miliard dolarů byly vynaloženy na stealth projekty, ale ani všechny vzorky výroby nesplnily očekávání,“ řekl Kozyulin.

Nízké radarové signatury je dosaženo snížením efektivní rozptylové plochy (RCS). Tento indikátor závisí na přítomnosti plochých geometrických tvarů v konstrukci letadla a speciálních materiálech pohlcujících záření. Letadlo s ESR menší než 0,4 metru čtverečního se obvykle nazývá „neviditelné“. m

Prvním americkým sériovým stealth letadlem byl taktický bombardér Lockheed F-117 Nighthawk, který vzlétl k obloze v roce 1981. Účastnil se operací proti Panamě, Iráku a Jugoslávii. Přes ukazatel ESR, na svou dobu neuvěřitelný (od 0,025 m2 do 0,1 m2), měl F-117 mnoho významných nedostatků.

Kromě extrémně vysoké ceny a složitosti provozu byl Nighthawk beznadějně horší než dřívější vozidla amerického letectva, pokud jde o bojové zatížení (něco přes dvě tuny) a dosah (asi 900 km). Stealth efektu bylo navíc dosaženo pouze v režimu rádiového ticha (vypnutí komunikace a systému identifikace přítele nebo nepřítele).

27. března 1999 bylo americké high-tech vozidlo sestřeleno sovětským systémem protivzdušné obrany S-125 sil jugoslávské protivzdušné obrany, který byl již považován za zastaralý. To byla jediná bojová ztráta F-117. Od té doby pokračují diskuse mezi vojenským personálem a odborníky o tom, jak je takový incident možný. V roce 2008 byl Nighthawk vyřazen z amerického letectva.

Většina moderní designy Americké letectví představují také „neviditelná“ letadla. EPR prvního letounu páté generace F-22 je 0,005-0,3 metrů čtverečních. m, nejnovější bojovník F-35 - 0,001-0,1 sq. m, dálkový bombardér B-2 Spirit - 0,0014-0,1 sq. m. Systémy protivzdušné obrany S-300 a S-400 jsou zároveň schopny zaznamenat vzdušné cíle s ESR v oblasti 0,01 m2. m (žádné přesné údaje).

Kozyulin poznamenal, že západní a domácí média se často snaží zjistit, zda ruská protiletadlové systémy zachytit americká letadla. Protiletadlový boj je podle něj ovlivněn mnoha faktory, nelze dopředu odhadnout jeho výsledek.

„EPR se mění v závislosti na výšce a dosahu letu letadla. Na jednom místě to může být jasně viditelné, na jiném - ne. Velká obliba ruských systémů protivzdušné obrany na světovém trhu a obavy Američanů o schopnosti S-400 však naznačují, že ruská protivzdušná obrana se vyrovnává se svými svěřenými úkoly, tedy ochranou proti jakýmkoliv prostředkům vzdušného útoku, “ uzavřel Kozyulin.