방어 제대화의 원리는 무엇입니까? 계층화된 방어: 미국 항공기와 미사일은 얼마나 취약한가? 우리는 작업장에서 믿을 수 있는 안전을 제공합니다

1. 작업에 대한 일반적인 설명

1.1 관련성

1.2 표적

1.3 작업

2. 작업의 주요 내용

2.1 심층 방어

2.2 계층화된 정보 보안 시스템의 구성 요소

2.2.1 바이러스 백신 프로그램

2.2.2 로깅 및 감사

2.2.3 물리적 보호

2.2.4 인증 및 비밀번호 보호

2.2.5 방화벽

2.2.6 비무장지대

2.2.7 VPN

2.2.8 침입탐지 시스템

3. 작업의 주요 결과

사용된 정보 소스 목록

심층 정보 바이러스 백신 방어

작업에 대한 일반적인 설명.

"사무실" 유형 컴퓨터 시스템의 계층화된 정보 보안 시스템에 대한 연구는 예를 들어 기밀 정보가 포함된 데이터베이스를 복사하려는 목적으로 대규모 조직의 네트워크에 대한 공격 수가 지속적으로 증가하고 있기 때문에 관련이 있습니다. 이 보호 시스템은 매우 강력한 도구공격자에 맞서 보호 시스템에 대한 무단 액세스(AT) 시도를 효과적으로 저지할 수 있습니다.

1.2 목적

이 작업의 목적은 "사무실" 유형의 컴퓨터 시스템에 대한 계층화된 보호 시스템을 연구하는 것입니다.

1.3 목표

이 목표를 달성하려면 다음 작업을 해결해야 합니다.

계층화된 보안 시스템의 구축 및 운영 원리를 연구합니다.

계층화된 정보보안 시스템에 포함된 독립적인 보안 시스템을 연구합니다.

보호 시스템에 대한 요구 사항을 결정합니다.

2. 작품의 주요 내용

2.1 심층 방어

심층 방어는 컴퓨터 시스템 전체에 여러 다른 보호 시스템 계층이 설치되는 정보 보험 개념입니다. 그 목적은 중복 보안을 제공하는 것입니다. 컴퓨터 시스템보안 관제 시스템에 오작동이 발생하거나 공격자가 특정 취약점을 악용하는 경우.

심층 방어의 개념은 일반적으로 여러 가지 독립적인 방법을 순차적으로 사용하여 모든 공격으로부터 시스템을 보호하는 것입니다.

처음에 심층 방어는 순전히 군사 전략이었으며 이를 통해 적의 공격을 예측하고 예방하는 것이 아니라 적의 공격을 연기하고 다양한 보호 조치를 올바르게 배치하기 위해 약간의 시간을 벌 수 있었습니다. 보다 완전한 이해를 위해 예를 들어 보겠습니다. 철조망은 보병을 효과적으로 제지하지만 탱크는 쉽게 그 위로 지나갑니다. 그러나 전차는 단순히 우회하는 보병과 달리 대전차 울타리를 통과할 수 없습니다. 하지만 함께 사용하면 탱크도 보병도 빠르게 통과할 수 없으며 방어하는 쪽은 준비할 시간이 생깁니다.

지식 기반에서 좋은 작업을 보내는 것은 간단합니다. 아래 양식을 사용하세요

연구와 업무에 지식 기반을 활용하는 학생, 대학원생, 젊은 과학자들은 여러분에게 매우 감사할 것입니다.

http://www.allbest.ru에 게시됨

1. 작품의 일반적인 특징

1.1 관련성

1.2 표적

1.3 작업

2. 작품의 주요 내용

2.1 심층 방어

2.2 계층화된 정보 보안 시스템의 구성 요소

2.2.1 바이러스 백신 프로그램

2.2.2 기록 및 감사

2.2.3 물리적 보호

2.2.4 인증 및 비밀번호 보호

2.2.5 방화벽

2.2.6 비무장지대

2.2.7 VPN

2.2.8 침입탐지 시스템

3. 작업의 주요 결과

사용된 정보 소스 목록

심층 정보 바이러스 백신 방어

1. 저작물의 일반적인 특성.

1.1 관련성

"사무실" 유형 컴퓨터 시스템의 계층화된 정보 보안 시스템에 대한 연구는 예를 들어 기밀 정보가 포함된 데이터베이스를 복사하려는 목적으로 대규모 조직의 네트워크에 대한 공격 수가 지속적으로 증가하고 있기 때문에 관련이 있습니다. 이러한 보안 시스템은 공격자에 대한 매우 강력한 도구이며 보호 시스템에 대한 무단 액세스(AT) 시도를 효과적으로 저지할 수 있습니다.

이 작업의 목적은 "사무실" 유형의 컴퓨터 시스템에 대한 계층화된 보호 시스템을 연구하는 것입니다.

1.3 목표

이 목표를 달성하려면 다음 작업을 해결해야 합니다.

계층화된 보안 시스템의 구축 및 운영 원리를 연구합니다.

계층화된 정보보안 시스템에 포함된 독립적인 보안 시스템을 연구합니다.

보호 시스템에 대한 요구 사항을 결정합니다.

2. 작품의 주요 내용

2.1 심층 방어

심층 방어는 컴퓨터 시스템 전체에 여러 다른 보호 시스템 계층이 설치되는 정보 보험 개념입니다. 그 목적은 보안 제어 시스템에 오작동이 발생하거나 공격자가 특정 취약점을 악용하는 경우 컴퓨터 시스템에 중복된 보안을 제공하는 것입니다.

심층 방어의 개념은 일반적으로 여러 가지 독립적인 방법을 순차적으로 사용하여 모든 공격으로부터 시스템을 보호하는 것입니다.

보안 메커니즘, 절차 및 정책을 배치하는 것은 컴퓨터 시스템의 보안을 강화하기 위한 것입니다. 여기서 다중 보호 계층을 통해 중요한 시스템에 대한 간첩 행위와 직접적인 공격을 방지할 수 있습니다. 컴퓨터 네트워킹 관점에서 심층 방어는 무단 액세스를 방지할 뿐만 아니라 공격을 탐지하고 대응할 수 있는 시간을 제공하여 침해로 인한 결과를 줄이는 것을 목표로 합니다.

"사무실" 유형의 컴퓨터 시스템은 무료 정보부터 국가 기밀을 구성하는 정보까지 다양한 액세스 수준으로 정보를 처리할 수 있습니다. 그렇기 때문에 NSD를 예방하고 다양한 방식이러한 시스템에는 효과적인 정보 보안 시스템이 필요합니다.

다음으로 계층형 방어 시스템에 사용되는 주요 보호 계층(제대)을 살펴보겠습니다. 다음 시스템 중 둘 이상으로 구성된 방어 시스템은 계층화된 것으로 간주된다는 점에 유의해야 합니다.

2.2 계층화된 정보 보안 시스템의 구성 요소

2.2.1 바이러스 백신 프로그램

안티 바이러스 프로그램 (안티 바이러스)은 컴퓨터 바이러스뿐만 아니라 일반적으로 원치 않는 (악성으로 간주되는) 프로그램을 탐지하고 해당 프로그램에 감염된 (수정 된) 파일을 복원하고 예방 - 파일 감염 (수정) 방지 또는 악성 코드가 있는 운영 체제.

국가 비밀을 구성하는 정보와 접근이 제한된 기타 정보를 포함하는 정보를 비암호화 방식으로 보호하는 데 사용되는 소프트웨어 도구를 말합니다.

바이러스 백신 제품은 여러 기준에 따라 분류될 수 있습니다.

사용된 안티 바이러스 보호 기술에 따르면:

클래식 바이러스 백신 제품(시그니처 탐지 방법만 사용하는 제품)

사전 예방적 바이러스 백신 보호 제품(사전 예방적 바이러스 백신 보호 기술만 사용하는 제품)

결합 제품(기존의 시그니처 기반 보호 방법과 사전 예방 방법을 모두 사용하는 제품)

제품 기능별:

바이러스 백신 제품(바이러스 백신 보호만 제공하는 제품)

복합제품(맬웨어 방지 기능뿐만 아니라 스팸 필터링, 암호화, 데이터 백업 등의 기능도 제공하는 제품)

대상 플랫폼별:

Windows 운영 체제용 바이러스 백신 제품;

*NIX OS 제품군(이 제품군에는 BSD, Linux OS 등이 포함됨)용 안티 바이러스 제품;

MacOS 운영 체제 제품군용 바이러스 백신 제품;

모바일 플랫폼(Windows Mobile, Symbian, iOS, BlackBerry, Android, 윈도우 폰 7 등).

기업 사용자를 위한 바이러스 백신 제품은 보호 개체별로 분류할 수도 있습니다.

워크스테이션을 보호하는 바이러스 백신 제품

파일 및 터미널 서버를 보호하기 위한 안티 바이러스 제품;

이메일과 인터넷 게이트웨이를 보호하는 안티 바이러스 제품

가상화 서버를 보호하는 바이러스 백신 제품.

바이러스 백신 보호 요구 사항에는 다음이 포함됩니다. 일반적인 요구 사항안티 바이러스 보호 도구 및 안티 바이러스 보호 도구의 보안 기능에 대한 요구 사항.

안티 바이러스 보호 도구의 보안 기능에 대한 요구 사항을 차별화하기 위해 안티 바이러스 보호 도구의 6가지 보호 클래스가 설정되었습니다. 가장 낮은 클래스는 6위이고 가장 높은 클래스는 1위입니다.

보호 등급 6에 해당하는 안티 바이러스 보호 도구는 등급 3과 4의 개인 데이터 정보 시스템에 사용됩니다.

클래스 5 보호에 해당하는 안티 바이러스 보호 도구는 클래스 2의 개인 데이터 정보 시스템에 사용됩니다.

클래스 4 보호에 해당하는 안티 바이러스 보호 도구는 국가 기밀을 구성하지 않는 제한된 정보를 처리하는 정부 정보 시스템, 클래스 1의 개인 데이터 정보 시스템 및 클래스 II의 공공 정보 시스템에 사용됩니다.

보호 등급 3, 2, 1에 해당하는 안티 바이러스 보호 도구는 국가 기밀을 구성하는 정보가 포함된 정보를 처리하는 정보 시스템에 사용됩니다.

다음 유형의 바이러스 백신 보호 도구도 구별됩니다.

"A" 유형 - 정보 시스템 구성 요소(서버, 자동화된 워크스테이션)에 설치된 안티 바이러스 보호 도구를 중앙 집중식으로 관리하기 위한 안티 바이러스 보호 도구(바이러스 방지 도구의 구성 요소)

"B" 유형 - 정보 시스템 서버에 사용하기 위한 안티 바이러스 보호 도구(바이러스 백신 보호 도구의 구성 요소)

"B" 유형 - 정보 시스템의 자동화된 워크스테이션에서 사용하기 위한 안티 바이러스 보호 도구(안티 바이러스 보호 도구의 구성 요소)

"G" 유형 - 자율 자동화 워크스테이션에 사용하기 위한 안티 바이러스 보호 도구(안티 바이러스 보호 도구의 구성 요소)입니다.

"A" 유형의 바이러스 백신 보호 도구는 정보 시스템에서 독립적으로 사용되지 않으며 "B" 및(또는) "C" 유형의 바이러스 백신 보호 도구와 함께 사용하는 용도로만 사용됩니다.

심층 방어의 목적은 보호되는 시스템의 다양한 수준에서 맬웨어를 필터링하는 것입니다. 고려하다:

연결 수준

최소한 엔터프라이즈 네트워크는 연결 계층과 코어로 구성됩니다. 연결 수준에서 많은 조직은 방화벽, 침입 탐지 및 방지 시스템(IDS/IPS/IDP), 서비스 거부 공격에 대한 방어 기능을 갖추고 있습니다. 이러한 솔루션을 기반으로 악성 코드 침투에 대한 첫 번째 수준의 보호가 구현됩니다. 기본 제공되는 방화벽 및 IDS/IPS/IDP 도구에는 프로토콜 에이전트 수준에서 검사 기능이 내장되어 있습니다. 또한 UTM 솔루션의 사실상 표준은 들어오고 나가는 트래픽을 검사하는 내장형 바이러스 백신입니다. 방화벽에 인라인 바이러스 백신이 존재하는 것도 표준이 되고 있습니다. 이러한 옵션은 잘 알려진 제품의 새 버전에서 점점 더 자주 나타납니다. 그러나 많은 사용자는 네트워크 장비에 내장된 기능을 잊어버리지만 일반적으로 활성화에는 확장 옵션 구매에 대한 추가 비용이 필요하지 않습니다.

따라서 네트워크 장비에 내장된 보안 기능을 최적으로 사용하고 방화벽에서 추가 안티 바이러스 제어 옵션을 활성화하면 첫 번째 수준의 심층적인 방어가 가능해집니다.

애플리케이션 보호 수준

애플리케이션 보호 수준에는 바이러스 백신 검사를 위한 게이트웨이 솔루션과 바이러스 백신이 아닌 문제를 처음에 해결하는 것을 목표로 하는 보안 도구가 모두 포함됩니다. 유사한 솔루션이 시장에 출시되어 있으며 러시아 FSTEC의 요구 사항에 따라 인증되었습니다. 이러한 제품은 상당한 구현 비용이 필요하지 않으며 확인 중인 콘텐츠 유형에 얽매이지 않으므로 모든 규모의 조직에서 사용할 수 있습니다.

주요 기능이 바이러스 백신 검사가 아닌 솔루션은 두 번째 수준의 맬웨어 필터링 역할을 할 수도 있습니다. 스팸 필터링과 웹 서비스 보호를 위한 광범위한 게이트웨이 솔루션(URL 필터링, 웹 애플리케이션 방화벽, 균형 조정 도구)이 그 예입니다. 이들은 여러 악성 콘텐츠 필터링 공급업체를 사용하여 처리된 콘텐츠에 대해 바이러스 백신 검사를 수행할 수 있는 능력을 갖고 있는 경우가 많습니다. 특히 메일 시스템이나 스팸 필터링 게이트웨이 수준에서 바이러스 백신 검사를 구현합니다. 여러 백신 제품을 순차적으로 사용하는 경우 송수신되는 메일의 바이러스 필터링 효율은 거의 100%에 달할 수 있습니다.

이 접근 방식을 사용하면 이미 1차 및 2차 심층 방어 수준에서 심각한 맬웨어 필터링 성능을 달성할 수 있습니다. 즉, 적절한 안티 바이러스 보호 시스템이 (사용자에 따라) 구현되면 대부분의 맬웨어가 어떤 목적으로든 게이트웨이 솔루션 수준에서 필터링됩니다.

호스트 보안 수준

호스트 보호는 서버 및 사용자 워크스테이션에 대한 안티 바이러스 검사 기능을 구현하는 것을 의미합니다. 이후 일상 업무직원들은 다양한 데스크톱과 모바일 장치를 사용하므로 이를 모두 보호해야 합니다. 더욱이 단순한 서명 바이러스 백신은 오랫동안 더 이상 심각한 보호 도구로 간주되지 않았습니다. 이것이 바로 많은 조직이 Host IPS 기술로 전환한 이유입니다. 이를 통해 방화벽 및 IPS 시스템 기능(행동 분석)을 통해 검증 중에 추가 제어/보호 메커니즘을 사용할 수 있습니다.

사용자 작업 공간 보호 문제가 이미 잘 규제되어 있는 경우 응용 프로그램 서버(물리적 또는 가상)에 Host IPS를 구현하는 것이 특정 작업입니다. Host IPS 기술은 서버 로드를 크게 증가시키지 않아야 하지만, 필요한 보안 수준을 제공해야 합니다. 합리적인 균형은 특정 애플리케이션 및 하드웨어 플랫폼 세트에서 솔루션의 파일럿 테스트를 통해서만 찾을 수 있습니다.

2.2.2 로깅 및 감사

로깅(Logging)이란 주변에서 일어나는 사건에 대한 정보를 수집하고 축적하는 것을 말한다. 정보 시스템. 예를 들어, 누가 시스템에 로그인을 시도했는지, 언제, 어떻게 이 시도가 종료되었는지, 누가 어떤 정보 자원을 사용했는지, 어떤 정보 자원이 수정되었는지, 그리고 누구에 의해 수정되었는지 등이 있습니다.

감사는 축적된 정보를 분석하여 즉시, 거의 실시간으로 또는 주기적으로 수행됩니다.

로깅 및 감사 구현의 주요 목표는 다음과 같습니다.

사용자 및 관리자의 책임을 보장합니다.

사건의 순서를 재구성할 수 있는 가능성을 보장합니다.

정보 보안 위반 시도 감지

문제를 식별하고 분석하기 위한 정보를 제공합니다.

따라서 로깅 및 감사는 등록 및 회계 하위 시스템에 속합니다. 이러한 작업을 이용하면 기존 정보보안 시스템의 문제점과 취약점을 빠르고 효과적으로 찾아낼 수 있습니다. 정보 보안 정보의 클래스에 따라 이 요소는 다양한 형태를 취할 수 있으며 등록 및 회계와 같은 다양한 문제를 해결할 수 있습니다.

시스템(네트워크 노드)(모든 수준에서)로(으로부터) 접근 주체의 진입(출구)

프로그램 및 프로세스(작업, 작업) 시작(완료)(레벨 2A, 1D, 1B, 1B, 1A)

생성 및 삭제, 회선 및 통신 채널을 통한 전송(레벨 2A 1G, 1B, 1B, 1A)을 포함하여 보호된 파일에 대한 액세스 주체의 프로그램 액세스

터미널, 컴퓨터, 컴퓨터 네트워크 노드, 통신 채널, 외부 컴퓨터 장치, 프로그램, 볼륨, 디렉터리, 파일, 기록, 기록 필드(레벨 2A 1D, 1B, 1B, 1A)에 대한 액세스 주체의 프로그램 액세스

접근 주체(1B, 1B, 1A)의 권한 변경

보호된 액세스 객체(2A, 1B, 1B, 1A)를 생성했습니다.

신호를 통해 보안 위반을 시도합니다(1B, 1B, 1A).

따라서 심층적인 방어를 구축할 때는 보호되는 시스템의 경계, 서버, 각 워크스테이션은 물론 모든 인증 장치(예: 보호 영역에 들어갈 때)에 로깅 및 감사 시스템을 설치해야 합니다.

2.2.3 물리적 보호

여기에는 장치 및 저장 매체의 도난을 방지하고 부주의 및 자연 재해로부터 보호하기 위한 조치가 포함됩니다.

보호지역 경계의 검문소

울타리, 금지표지판, 자동차 차체 높이 제한 장치, 각종 장벽 설치 등 보호 지역의 경계를 따라;

공격자가 큰 길을 건너야 할 전략적으로 중요한 개체의 위치 열린 공간그들에게 다가가기 위해;

보호 구역의 조명, 즉 게이트, 문 및 기타 전략적으로 중요한 물체. 스포트라이트에는 사각지대가 있기 때문에 전체 영역에 분산된 희미한 빛이 스포트라이트의 단일 밝은 점보다 더 효과적이라는 점을 고려해야 합니다. 주전원이 분리된 경우를 대비해 백업 전원 공급 시스템도 제공되어야 합니다.

건물 입구의 보안 게시물;

경보 시스템 및 센서(모션, 터치, 유리 파손 센서) 설치. 주목해야 할 점은 이 시스템잘못된 경보를 제거하기 위해 비디오 감시 시스템과 협력해야 합니다.

영상감시시스템의 설치

잠금 장치부터 생체 인식까지 다양한 접근 제어 도구

장비 개봉을 제어하는 수단(케이스 봉인 등)

특수 잠금 장치를 사용하여 작업장 장비를 보호합니다.

2.2.4 인증 및 비밀번호 보호

인증 - 인증 절차. 예: 사용자가 입력한 비밀번호와 사용자 데이터베이스의 비밀번호를 비교하여 사용자의 진위를 확인합니다. 입증 이메일보낸 사람의 서명 확인 키를 사용하여 편지의 디지털 서명을 확인합니다. 이 파일의 작성자가 선언한 금액을 준수하는지 파일의 체크섬을 확인합니다. 러시아어에서는 이 용어가 주로 정보 기술 분야에서 사용됩니다.

시스템의 신뢰도와 보안 정책을 고려하여 수행되는 인증은 단방향 또는 상호 인증일 수 있습니다. 일반적으로 암호화 방법을 사용하여 수행됩니다.

인증 표준을 설정하는 여러 문서가 있습니다. 러시아의 경우 다음 사항이 관련됩니다. GOST R ISO/IEC 9594-8-98 - 인증 기본 사항.

이 표준은 다음과 같습니다.

디렉터리에 저장된 인증 정보의 형식을 정의합니다.

디렉터리에서 인증 정보를 얻는 방법을 설명합니다.

인증 정보를 생성하고 디렉터리에 배치하는 방법에 대한 전제 조건을 설정합니다.

세 가지 방법을 정의합니다. 응용 프로그램이러한 인증 정보를 이용하여 인증을 수행할 수 있으며, 인증을 이용하여 다른 보안 서비스를 제공하는 방법에 대해 설명합니다.

이 표준은 두 가지 유형의 인증을 지정합니다. 즉, 주장된 신원을 확인하기 위해 비밀번호를 사용하는 단순 인증과 암호화 방법을 사용하여 생성된 자격 증명을 사용하는 강력한 인증입니다.

모든 인증 시스템에는 일반적으로 다음과 같은 여러 요소가 있습니다.

시술을 받을 대상자

주제의 특성은 독특한 특징입니다.

인증시스템의 소유자, 책임이 있는업무를 감독합니다.

인증 메커니즘 자체, 즉 시스템 작동 원리.

특정 액세스 권한을 부여하거나 해당 권한을 주체에서 박탈하는 메커니즘입니다.

또한 3가지 인증 요소가 있습니다.

우리가 아는 것은 비밀번호입니다. 이는 승인된 주체만이 알아야 하는 비밀 정보입니다. 비밀번호는 음성 단어, 텍스트 단어, 잠금 조합 또는 PIN(개인 식별 번호)일 수 있습니다. 비밀번호 메커니즘은 매우 쉽게 구현될 수 있으며 비용도 저렴합니다. 그러나 여기에는 상당한 단점이 있습니다. 비밀번호를 비밀로 유지하는 것은 종종 어렵습니다. 공격자는 비밀번호를 훔치고 해킹하고 추측하는 새로운 방법을 끊임없이 고안합니다. 이로 인해 비밀번호 메커니즘이 약하게 보호됩니다.

우리가 가지고 있는 것은 인증 장치입니다. 여기서 중요한 것은 주체가 어떤 독특한 대상을 소유하고 있다는 사실이다. 이는 개인 인감, 자물쇠 열쇠일 수 있으며 컴퓨터의 경우 특성이 포함된 데이터 파일일 수 있습니다. 이러한 특성은 플라스틱 카드, 스마트카드 등 특수 인증 장치에 내장되는 경우가 많다. 공격자 입장에서는 이러한 장치를 획득하는 것이 비밀번호를 해독하는 것보다 더 어려워지며, 대상은 장치를 도난당한 경우 즉시 신고할 수 있습니다. 그렇습니다 이 방법비밀번호 메커니즘보다 더 안전하지만 이러한 시스템의 비용은 더 높습니다.

우리의 일부는 생체인식입니다. 특성은 대상의 물리적 특징입니다. 이는 초상화, 손가락이나 장문, 음성 또는 눈의 특징일 수 있습니다. 주체 입장에서는 이 방법이 가장 간단하다. 비밀번호를 기억할 필요도 없고, 인증 장치를 휴대할 필요도 없다. 그러나 생체인식 시스템은 인증된 사용자를 확인하고 유사한 생체인식 매개변수를 사용하여 공격자를 거부하려면 매우 민감해야 합니다. 또한 그러한 시스템의 비용은 상당히 높습니다. 그러나 단점에도 불구하고 생체 인식은 여전히 매우 유망한 요소입니다.

인증 방법을 자세히 살펴보겠습니다.

재사용 가능한 비밀번호를 사용한 인증.

이는 구어체로 "로그인"(eng. 로그인 - 사용자 등록 이름, 계정)이라고 하는 사용자 식별자와 일부 기밀 정보인 비밀번호를 입력하는 것으로 구성됩니다. 신뢰할 수 있는(참조) 로그인-비밀번호 쌍은 특수 데이터베이스에 저장됩니다.

기본 인증에는 다음과 같은 일반 알고리즘이 있습니다.

주체는 시스템에 대한 접근을 요청하고 개인 ID와 비밀번호를 입력한다.

입력된 고유 데이터는 인증 서버로 전송되어 참조 데이터와 비교됩니다.

데이터가 참조 데이터와 일치하면 인증이 성공한 것으로 간주되며, 다르면 주체는 1단계로 이동합니다.

주체가 입력한 비밀번호는 두 가지 방법으로 네트워크에서 전송될 수 있습니다.

암호화되지 않음 공개 양식, 비밀번호 인증 프로토콜(PAP) 기반

SSL 또는 TLS 암호화를 사용합니다. 이 경우, 주체가 입력한 고유정보는 네트워크를 통해 안전하게 전송됩니다.

일회용 비밀번호를 사용한 인증.

공격자는 대상자의 재사용 가능한 비밀번호를 획득하면 해킹된 기밀정보에 지속적으로 접근할 수 있다. 이 문제는 일회용 비밀번호(OTP - One Time Password)를 사용하여 해결됩니다. 이 방법의 핵심은 비밀번호가 한 번의 로그인에만 유효하다는 것입니다. 이후의 각 액세스 요청에는 새 비밀번호가 필요합니다. 일회용 비밀번호를 사용하는 인증 메커니즘은 하드웨어나 소프트웨어로 구현될 수 있습니다.

일회용 비밀번호를 사용하는 기술은 다음과 같이 나눌 수 있습니다.

대상과 시스템 모두에 공통적인 의사 난수 생성기를 사용합니다.

균일한 시간 시스템과 함께 타임스탬프를 사용합니다.

주제와 시스템에 대해 균일한 무작위 비밀번호 데이터베이스를 사용합니다.

다단계 인증.

최근에는 소위 확장된 인증, 즉 다단계 인증이 점점 더 많이 사용되고 있습니다. 그것은 기반으로 나누는여러 인증 요소. 이는 시스템의 보안을 크게 향상시킵니다. 예를 들어 SIM 카드를 사용하는 경우 휴대 전화. 주체는 자신의 카드(인증장치)를 전화기에 삽입하고, 전원이 켜지면 PIN(비밀번호)을 입력합니다. 또한 예를 들어 일부 최신 노트북과 스마트폰에는 지문 스캐너가 있습니다. 따라서, 주체는 시스템에 로그인할 때 반드시 본 절차(생체인식)를 거친 후 비밀번호를 입력해야 한다. 시스템에 대한 특정 요소나 인증 방식을 선택할 때에는 우선 필요한 보안 수준, 시스템 구축 비용, 주체의 이동성 보장 등을 고려해야 한다.

생체 인증.

개인의 생체인식 매개변수 측정을 기반으로 한 인증 방법은 거의 100% 식별을 제공하여 비밀번호 및 개인 식별자 분실 문제를 해결합니다.

가장 많이 사용되는 생체 인식 속성과 해당 시스템은 다음과 같습니다.

지문;

손 기하학;

아이리스;

얼굴의 열화상 이미지

키보드 입력;

동시에 생체 인증에는 여러 가지 단점이 있습니다.

생체인식 템플릿은 사용자의 특성을 초기 처리한 결과가 아닌, 비교사이트에 들어온 내용과 비교됩니다. 여행 중에 많은 일이 일어날 수 있습니다.

템플릿 데이터베이스는 공격자에 의해 수정될 수 있습니다.

통제된 구역, 보안 감시 하에 있는 환경, 그리고 예를 들어 더미를 스캐닝 장치로 가져올 수 있는 "현장" 조건에서의 생체 인식 사용 간의 차이를 고려해야 합니다.

일부 인간 생체 인식 데이터는 (노화 및 부상, 화상, 절단, 질병, 절단 등의 결과로) 변경되므로 템플릿 데이터베이스를 지속적으로 유지 관리해야 하며 이로 인해 사용자와 관리자 모두에게 특정 문제가 발생합니다.

귀하의 생체 인식 데이터가 도난당하거나 손상된 경우 일반적으로 평생 동안 지속됩니다. 비밀번호는 불안정함에도 불구하고 최후의 수단으로 변경할 수 있습니다. 적어도 빨리는 손가락, 눈, 목소리를 바꿀 수 없습니다.

생체인식 특성은 고유 식별자이지만 비밀로 유지될 수는 없습니다.

인증 절차는 컴퓨터 간에 정보를 교환할 때 사용되며 매우 복잡한 암호화 프로토콜을 사용하여 상호 작용 참가자 중 한 사람의 도청이나 대체로부터 통신 회선을 보호합니다. 그리고 일반적으로 네트워크 상호 작용을 설정하는 두 개체 모두에 대해 인증이 필요하므로 인증은 상호적일 수 있습니다.

따라서 여러 인증 계열을 구분할 수 있습니다.

PC에서 사용자 인증:

암호화된 이름(로그인)

비밀번호 인증 프로토콜, PAP(로그인-비밀번호 조합)

액세스 카드(인증서가 포함된 USB, SSO)

네트워크 인증 -

디지털 서명을 사용한 보안 SNMP

SAML(보안 주장 마크업 언어)

세션 쿠키

Kerberos 티켓

X.509 인증서

안에 운영체제 Windows NT 4 제품군은 NTLM 프로토콜(NT LAN Manager - NT Local Network Manager)을 사용합니다. 그리고 Windows 2000/2003 도메인에서는 훨씬 더 발전된 Kerberos 프로토콜이 사용됩니다.

심층적인 방어를 구축한다는 관점에서 모든 보호 수준에서 인증이 사용됩니다. 직원은 인증을 받아야 할 뿐만 아니라(보호 시설에 들어갈 때, 특수 시설에 들어갈 때, 모든 미디어에서 기밀 정보를 받을 때, 컴퓨터 시스템에 들어갈 때, 소프트웨어 및 하드웨어를 사용할 때) 각 개별 워크스테이션, 프로그램, 미디어 정보, 도구도 인증을 받아야 합니다. 워크스테이션, 서버 등에 연결됩니다.

2.2.5 방화벽

방화벽(FW)은 방화벽에 들어가거나 방화벽에서 나가는 정보에 대한 제어를 구현하는 로컬(단일 구성 요소) 또는 기능적으로 분산된 소프트웨어(하드웨어 및 소프트웨어) 도구(복합체)입니다. ME는 정보를 필터링하여 AS 보호를 제공합니다. 일련의 기준을 기반으로 분석하고 주어진 규칙에 따라 AS로의 배포를 결정하여 한 AS의 주체가 다른 AS의 개체에 액세스하는 것을 구분합니다. 각 규칙은 주체와 객체 간의 특정 유형의 정보 전송을 금지하거나 허용합니다. 결과적으로 한 AS의 주체는 다른 AS의 허용된 정보 객체에만 접근할 수 있습니다. 일련의 규칙 해석은 다음 필터 또는 프로토콜 수준으로의 데이터(패킷) 전송을 허용하거나 거부하는 일련의 필터에 의해 수행됩니다. 5개의 ME 보안 클래스가 설정됩니다.

각 클래스는 정보 보호에 대한 특정 최소 요구 사항이 특징입니다.

가장 낮은 보안 등급은 5번째로, 클래스 1D 스피커와 스피커의 안전한 상호 작용에 사용됩니다. 외부 환경, 네 번째 - 1G, 세 번째 - 1B, 두 번째 - 1B, 가장 높은 - 첫 번째는 클래스 1A 스피커와 외부 환경의 안전한 상호 작용에 사용됩니다.

ME에 대한 요구 사항은 러시아 FSTEC "컴퓨터 장비"의 지침에 따라 컴퓨터 장비(CT) 및 AS에 대한 요구 사항을 배제하지 않습니다. 정보에 대한 무단 접근으로부터 보호합니다. 정보에 대한 무단 접근에 대한 보안 지표” 및 “자동화 시스템. 정보에 대한 무단 접근으로부터 보호합니다. 정보보호를 위한 자동화 시스템 및 요구사항 분류.”

특정 보안 클래스의 AS에 ME가 포함되어 있는 경우, 원래 AS에 ME를 추가하여 얻은 전체 AS의 보안 클래스가 감소되어서는 안 됩니다.

클래스 3B, 2B 스피커의 경우 최소 클래스 5의 ME를 사용해야 합니다.

클래스 3A, 2A 스피커의 경우 처리되는 정보의 중요성에 따라 다음 클래스의 ME를 사용해야 합니다.

"비밀"로 분류된 정보를 처리하는 경우 - 클래스 3 이상입니다.

"일급 비밀"로 분류된 정보를 처리하는 경우 - 클래스 2 이상입니다.

"특별한 중요성"으로 분류된 정보를 처리하는 경우 - 클래스 1보다 낮지 않습니다.

ME는 NSD 정보 보안 시스템의 표준 요소이며 정보 흐름을 제어하고 액세스 제어 하위 시스템에 들어가는 수단입니다.

계층화의 관점에서 방화벽은 보호되는 시스템의 경계와 개별 요소(예: 워크스테이션 및 서버에 설치된 소프트웨어 방화벽) 모두에 위치할 수 있습니다.

비무장지대.

DMZ(DMZ)는 외부 네트워크의 요청에 응답하는 서버가 특수한 네트워크 세그먼트(DMZ라고 함)에 위치하고 주요 네트워크 세그먼트에 대한 액세스가 제한되어 정보 경계의 보호를 보장하기 위한 기술입니다. 해당 구역에 위치한 공공 서비스 중 하나가 해킹당했을 때 피해를 최소화하기 위해 방화벽(방화벽)을 사용합니다.

보안 요구 사항에 따라 DMZ에는 1개, 2개 또는 3개의 방화벽이 있을 수 있습니다.

하나의 방화벽으로 구성합니다.

이 DMZ 방식에서는 내부 네트워크와 외부 네트워크가 네트워크 간의 연결을 제어하는 라우터(방화벽 역할)의 서로 다른 포트에 연결됩니다. 이 구성표는 구현하기 쉽고 추가 포트가 하나만 필요합니다. 그러나 라우터가 해킹되거나 잘못 구성되면 네트워크는 외부 네트워크로부터 직접적으로 취약해집니다.

두 개의 방화벽을 사용한 구성.

이중 방화벽 구성에서 DMZ는 두 개의 라우터에 연결됩니다. 그 중 하나는 외부 네트워크에서 DMZ로의 연결을 제한하고 두 번째는 DMZ에서 내부 네트워크로의 연결을 제어합니다. 이 체계를 사용하면 외부 네트워크와 상호 작용하는 방화벽이나 서버를 해킹한 결과를 최소화할 수 있습니다. 내부 방화벽이 해킹될 때까지 공격자는 내부 네트워크에 임의로 액세스할 수 없습니다.

3개의 방화벽으로 구성합니다.

방화벽이 3개 있는 구성은 드물다. 이 구성에서는 첫 번째가 외부 네트워크의 요청을 인계받고, 두 번째가 DMZ 네트워크 연결을 제어하고, 세 번째가 내부 네트워크 연결을 제어합니다. 이러한 구성에서는 일반적으로 DMZ와 내부 네트워크가 NAT(Network Address Translation) 뒤에 숨겨져 있습니다.

다음 중 하나 주요 특징들 DMZ는 내부 방화벽의 트래픽 필터링뿐만 아니라 내부 네트워크의 활성 장비와 DMZ 간의 상호 작용에 강력한 암호화가 필수로 요구됩니다. 특히, DMZ에 있는 서버로부터의 요청을 승인 없이 처리할 수 있는 상황이 있어서는 안 됩니다. DMZ를 사용하여 경계 내부의 정보가 내부로부터 유출되지 않도록 보호하는 경우 내부 네트워크의 사용자 요청을 처리하는 데에도 유사한 요구 사항이 적용됩니다.

심층적인 방어를 형성한다는 관점에서 DMZ는 ME의 일부로 정의될 수 있지만, DMZ는 일부 데이터가 공개적으로 사용되어야 하는 경우(예: 웹 사이트)에만 필요합니다. ME와 마찬가지로 DMZ는 보호되는 네트워크의 가장자리에 구현되며, 필요한 경우 각각 고유한 보안 정책을 가진 여러 영역이 있을 수 있습니다. 따라서 여기서 첫 번째 단계는 DMZ 접근 시 보호이고, 두 번째 단계는 내부 네트워크 보호입니다. 덕분에 DMZ 자체에 접근하는 것은 어렵지만, 상황이 성공적으로 결합되더라도 내부 네트워크가 붕괴되는 것은 거의 불가능하다.

VPN(영어: Virtual Private Network)은 하나 이상의 네트워크 연결(논리적 네트워크)이 다른 네트워크(예: 인터넷)를 통해 제공될 수 있도록 하는 기술의 일반화된 이름입니다. 신뢰 수준이 낮거나 알 수 없는 네트워크를 통해 통신이 수행된다는 사실에도 불구하고(예: 공용 네트워크), 구성된 논리적 네트워크의 신뢰 수준은 암호화 도구(암호화, 인증, 공개 키 인프라, 논리적 네트워크를 통해 전송되는 반복 및 변경 방지 수단)의 사용으로 인해 기본 네트워크의 신뢰 수준에 의존하지 않습니다. 메시지 네트워크).

사용되는 프로토콜과 목적에 따라 VPN은 호스트 간, 호스트 간, 네트워크 간 연결의 세 가지 유형을 제공할 수 있습니다.

일반적으로 VPN은 네트워크 수준보다 높지 않은 수준에서 배포됩니다. 이러한 수준에서 암호화를 사용하면 전송 프로토콜(예: TCP, UDP)을 변경 없이 사용할 수 있기 때문입니다.

Microsoft Windows 사용자는 VPN이라는 용어를 사용하여 가상 네트워크 구현 중 하나인 PPTP를 나타냅니다. 이는 개인 네트워크를 생성하는 데 자주 사용되지 않습니다.

대부분의 경우 가상 네트워크를 생성하기 위해 PPP 프로토콜은 IP(이 방법은 PPTP 구현에서 사용됨 - 지점 간 터널링 프로토콜) 또는 이더넷(PPPoE)(차이가 있지만)과 같은 다른 프로토콜로 캡슐화됩니다. . VPN 기술은 최근 사설 네트워크 자체를 만드는 데뿐만 아니라 소련 붕괴 이후의 일부 "라스트 마일" 제공업체에서 인터넷 액세스를 제공하는 데에도 사용되었습니다.

적절한 구현 수준과 특수 기술 사용 소프트웨어 VPN 네트워크는 전송된 정보에 대해 높은 수준의 암호화를 제공할 수 있습니다. ~에 올바른 설정모든 구성 요소의 VPN 기술은 인터넷상의 익명성을 보장합니다.

VPN 솔루션은 몇 가지 주요 매개변수에 따라 분류될 수 있습니다.

사용되는 환경의 보안 수준에 따라:

보안 - 가상 사설망의 가장 일반적인 버전입니다. 도움을 받으면 일반적으로 인터넷과 같은 신뢰할 수 없는 네트워크를 기반으로 안정적이고 안전한 네트워크를 생성할 수 있습니다. 보안 VPN의 예로는 IPSec, OpenVPN 및 PPTP가 있습니다.

신뢰할 수 있음 - 전송 매체가 신뢰할 수 있는 것으로 간주되고 더 큰 네트워크 내에서 가상 서브넷을 생성하는 문제를 해결하는 데만 필요한 경우에 사용됩니다. 보안 문제는 중요하지 않게 됩니다. 이러한 VPN 솔루션의 예로는 MPLS(Multi-Protocol Label Switching) 및 L2TP(Layer 2 Tunneling Protocol)가 있습니다.

구현 방법별:

특수 소프트웨어 및 하드웨어 형태로 VPN 네트워크 구현은 특수 소프트웨어 및 하드웨어 세트를 사용하여 수행됩니다. 이 구현은 높은 성능과 일반적으로 높은 수준의 보안을 제공합니다.

처럼 소프트웨어 솔루션- 사용 개인용 컴퓨터 VPN 기능을 제공하는 특수 소프트웨어를 사용합니다.

통합 솔루션 - VPN 기능은 네트워크 트래픽 필터링, 방화벽 구성 및 서비스 품질 보장 문제를 해결하는 컴플렉스에서 제공됩니다.

목적에 따라:

인트라넷 VPN은 개방형 통신 채널을 통해 데이터를 교환하는 한 조직의 여러 분산 지점을 단일 보안 네트워크로 통합하는 데 사용됩니다.

원격 액세스 VPN - 기업 네트워크 세그먼트(중앙 사무실 또는 지점)와 집에서 근무하는 단일 사용자 사이에 보안 채널을 생성하는 데 사용됩니다. 가정용 컴퓨터, 기업 노트북, 스마트폰 또는 인터넷 키오스크.

엑스트라넷 VPN - "외부" 사용자(예: 고객 또는 클라이언트)가 연결하는 네트워크에 사용됩니다. 이들에 대한 신뢰 수준은 회사 직원에 비해 훨씬 낮으므로 특히 귀중한 기밀 정보에 대한 직원의 접근을 방지하거나 제한하는 특별한 "보호 라인"을 제공하는 것이 필요합니다.

인터넷 VPN - 일반적으로 여러 사용자가 하나의 물리적 채널을 통해 연결하는 경우 공급자가 인터넷에 대한 액세스를 제공하는 데 사용됩니다. PPPoE 프로토콜은 ADSL 연결의 표준이 되었습니다.

L2TP는 2000년대 중반 홈 네트워크에 널리 보급되었습니다. 당시 인트라넷 트래픽은 비용이 지불되지 않았고 외부 트래픽은 비쌌습니다. 이를 통해 비용 제어가 가능해졌습니다. VPN 연결이 꺼지면 사용자는 아무 것도 지불하지 않습니다. 현재 (2012) 유선 인터넷저렴하거나 무제한이며 사용자 측에는 인터넷을 켜고 끄는 것이 컴퓨터만큼 편리하지 않은 라우터가 있는 경우가 많습니다. 따라서 L2TP 액세스는 이제 과거의 일이 되어가고 있습니다.

클라이언트/서버 VPN - 기업 네트워크의 두 노드(네트워크 아님) 간에 전송되는 데이터를 보호합니다. 이 옵션의 특징은 VPN이 일반적으로 워크스테이션과 서버 사이와 같이 동일한 네트워크 세그먼트에 있는 노드 사이에 구축된다는 것입니다. 이러한 요구는 하나의 물리적 네트워크에 여러 개의 논리 네트워크를 생성해야 하는 경우에 매우 자주 발생합니다. 예를 들어, 동일한 물리적 세그먼트에 위치한 서버에 액세스하는 재무 부서와 인사 부서 간에 트래픽을 나누어야 하는 경우입니다. 이 옵션은 VLAN 기술과 유사하지만 트래픽을 분리하는 대신 암호화됩니다.

프로토콜 유형별로 TCP/IP, IPX 및 AppleTalk에 대한 가상 사설망 구현이 있습니다. 그러나 오늘날에는 TCP/IP 프로토콜로의 일반적인 전환 경향이 있으며 대부분의 VPN 솔루션이 이를 지원합니다. 이 주소 지정은 TCP/IP 사설 네트워크 범위에서 RFC5735 표준에 따라 가장 자주 선택됩니다.

네트워크 프로토콜 수준별 - ISO/OSI 참조 네트워크 모델 수준과의 비교를 기반으로 합니다.

VPN 기반 심층 방어에는 서로 다른 제조업체의 장비에 대한 두 개 이상의 보안 경계가 포함되어야 합니다. 이 경우 한 공급업체의 방어선에 있는 "구멍"을 이용하는 방법은 다른 공급업체의 솔루션에는 적용되지 않습니다. 이 2계층 솔루션은 많은 사람들에게 꼭 필요한 기술 요구 사항입니다. 기업 네트워크, 특히 스위스 은행 네트워크에서는 매우 일반적입니다.

그림 1. 보호된 경계의 상호 작용에 대한 시나리오

그림 2. 그림 1에 사용된 기호.

Cisco 및 CSP VPN 제품을 기반으로 하는 2계층 네트워크 보안 아키텍처 프레임워크 내에서 보호된 경계의 상호 작용을 위한 다음과 같은 기본 시나리오가 구현됩니다(그림 1).

기업 사용자를 위한 인터넷 액세스.

외부 경계 간의 안전한 상호 작용.

원격 사용자가 외부 경계 네트워크에 안전하게 액세스할 수 있습니다.

내부 경계 네트워크에 대한 원격 사용자의 보안 액세스.

내부 경계의 안전한 상호작용.

내부 보안 회로 생성 및 클라이언트-서버 애플리케이션 보호.

기본 시나리오의 기술적 구현은 다양하며 다음에 따라 달라집니다.

우리가 보호하는 것(보호되는 개체는 무엇이며 어떻게 인증됩니까?)

보안 개체가 있는 위치(네트워크 토폴로지)

보안 조치(액세스 제어 정책 및 IPsec 터널 구조)를 적용하는 방법.

2.2.7 침입탐지 시스템

침입 탐지 시스템(IDS)은 주로 인터넷을 통해 컴퓨터 시스템이나 네트워크에 대한 무단 액세스 또는 무단 제어 사례를 탐지하도록 설계된 소프트웨어 또는 하드웨어 도구입니다. 동 영어 용어-- 침입 탐지 시스템(IDS). 침입 탐지 시스템은 컴퓨터 시스템에 대한 추가 보호 계층을 제공합니다.

침입 탐지 시스템은 컴퓨터 시스템의 보안을 손상시킬 수 있는 특정 유형의 악의적인 활동을 탐지하는 데 사용됩니다. 이러한 활동에는 취약한 서비스에 대한 네트워크 공격, 권한 상승을 목표로 하는 공격, 중요한 파일에 대한 무단 액세스 및 악성 소프트웨어(컴퓨터 바이러스, 트로이 목마 및 웜)가 포함됩니다.

일반적으로 IDS 아키텍처에는 다음이 포함됩니다.

보호되는 시스템의 보안과 관련된 이벤트를 수집하도록 설계된 센서 하위 시스템

센서 데이터를 기반으로 공격 및 의심스러운 동작을 탐지하도록 설계된 분석 하위 시스템

1차 이벤트 및 분석 결과를 축적하여 제공하는 스토리지

IDS를 구성하고, 보호되는 시스템과 IDS의 상태를 모니터링하고, 분석 하위 시스템에서 식별된 사고를 볼 수 있는 관리 콘솔

센서의 유형과 위치뿐만 아니라 분석 하위 시스템에서 의심스러운 활동을 식별하는 데 사용되는 방법에 따라 IDS를 분류하는 방법에는 여러 가지가 있습니다. 많은 간단한 IDS에서는 모든 구성 요소가 단일 모듈이나 장치로 구현됩니다.

센서의 위치에 따른 IDS 분류를 이용하면 네트워크(네트워크 IDS), 서버(프로토콜 IDS), 호스트(노드 IDS) 레벨에 위치한 계층형 IDS를 판별할 수 있다. 동일한 분류에 따르면 하이브리드 IDS는 기본 분리 요구 사항을 충족하므로 즉시 계층형 IDS로 분류될 수 있습니다.

네트워크로 연결된 IDS에서 센서는 네트워크의 중요한 지점(종종 비무장지대 또는 네트워크 가장자리)에 위치합니다. 센서는 모든 네트워크 트래픽을 가로채고 각 패킷의 내용을 분석하여 악성 구성 요소가 있는지 확인합니다. 프로토콜 IDS는 특정 프로토콜의 규칙이나 언어 구문(예: SQL)을 위반하는 트래픽을 모니터링하는 데 사용됩니다. 호스트 기반 IDS에서 센서는 일반적으로 센서가 설치된 호스트의 활동을 모니터링하는 소프트웨어 에이전트입니다. 나열된 유형의 OWL의 하이브리드 버전도 있습니다.

NIDS(네트워크 기반 IDS)는 네트워크 트래픽을 검사하여 침입을 모니터링하고 여러 호스트를 모니터링합니다. 네트워크 침입 탐지 시스템은 포트 미러링을 위해 구성된 허브나 스위치 또는 네트워크 TAP 장치에 연결하여 네트워크 트래픽에 대한 액세스 권한을 얻습니다. 웹 기반 IDS의 예로는 Snort가 있습니다.

PIDS(프로토콜 기반 IDS)는 관련 시스템 또는 사용자와의 통신 프로토콜을 모니터링하고 분석하는 시스템(또는 에이전트)입니다. 웹 서버의 경우 이러한 IDS는 일반적으로 HTTP 및 HTTPS 프로토콜을 모니터링합니다. HTTPS를 사용하는 경우 HTTPS 패킷이 암호화되어 네트워크로 전송되기 전에 이를 보려면 해당 인터페이스에 IDS가 있어야 합니다.

APIDS(Application Protocol-based IDS)는 애플리케이션별 프로토콜을 사용하여 전송되는 데이터를 모니터링하고 분석하는 시스템(또는 에이전트)입니다. 예를 들어, SQL 데이터베이스가 있는 웹 서버에서 IDS는 서버로 전송된 SQL 명령의 내용을 모니터링합니다.

Nodal IDS(호스트 기반 IDS, HIDS) - 시스템 호출, 애플리케이션 로그, 파일 수정(실행 파일, 비밀번호 파일, 시스템 데이터베이스), 호스트 상태 등의 분석을 사용하여 침입을 모니터링하는 호스트에 위치한 시스템(또는 에이전트)입니다. 소스. 대표적인 것이 OSSEC이다.

하이브리드 IDS는 IDS 개발에 대한 두 가지 이상의 접근 방식을 결합합니다. 호스트에 있는 에이전트의 데이터는 네트워크 정보와 결합되어 가장 완벽한 네트워크 보안 그림을 만듭니다. 하이브리드 OWL의 예로는 Prelude가 있습니다.

IDS와 방화벽은 모두 정보 흐름 제어 도구이지만 방화벽은 침입을 방지하기 위해 특정 유형의 트래픽을 호스트나 서브넷으로 제한하고 네트워크 내에서 발생하는 침입을 모니터링하지 않는다는 점에서 다릅니다. 반대로 IDS는 트래픽을 전달하여 분석하고 의심스러운 활동이 감지되면 신호를 보냅니다. 보안 위반 탐지는 일반적으로 알려진 컴퓨터 공격의 서명 분석과 경험적 규칙을 사용하여 수행됩니다.

3. 작업의 주요 결과

작업 과정에서 계층화된 정보 보안 시스템을 구축하는 기본 원칙인 "에셜론(echelon)"이 연구되었습니다. 이는 정보 보안 시스템의 많은 독립적인 구성 요소가 한 장소에 설치되는 것이 아니라 보호되는 시스템의 여러 수준(계층)에 분산되어 있는 "계층형"으로 설치되어야 함을 의미합니다. 덕분에 시스템의 "과잉 보호" 상태가 달성됩니다. 약한 면한 구성 요소는 다른 구성 요소에 의해 보호됩니다.

"사무실" 유형의 컴퓨터 시스템에서 계층화된 정보 보안을 형성하는 데 사용되는 독립적인 수단 자체도 연구되었습니다.

바이러스 백신 프로그램

기록 및 감사

물리적 보호;

인증 및 비밀번호 보호

방화벽;

비무장지대;

침입탐지시스템.

러시아 FSTEC 문서에 따르면 각 구성 요소에 대해 설치가 필요한 수준을 고려하고 요구 사항도 제시했습니다.

사용된 정보 소스 목록

러시아 FSTEC 지침서 “컴퓨터 장비. 정보에 대한 무단 접근으로부터 보호합니다. 정보에 대한 무단 접근에 대한 보안 지표입니다.” 1992년 3월 30일자;

러시아 FSTEC 지침 문서 “자동화 시스템. 정보에 대한 무단 접근으로부터 보호합니다. 자동화 시스템 분류 및 정보 보호 요구 사항”(1992년 3월 30일자);

안내 문서 “컴퓨터 시설. 방화벽. 정보에 대한 무단 접근으로부터 보호합니다. 정보에 대한 무단 접근에 대한 보안 지표"(1997년 7월 25일자);

Allbest.ru에 게시됨

유사한 문서

무단 접근 방법, 정보 보호 방법 및 수단의 분류. LAN에서의 정보 보안 방법 분석. 식별 및 인증, 로깅 및 감사, 액세스 제어. 컴퓨터 시스템 보안 개념.

논문, 2011년 4월 19일에 추가됨

필요한 보호 수준과 네트워크 효율성 중에서 선택하는 문제입니다. 네트워크의 정보 보안을 보장하는 메커니즘: 암호화, 전자 서명, 인증, 네트워크 보호. 최신 정보 보안 도구에 대한 요구 사항.

과정 작업, 2008년 1월 12일에 추가됨

정보 보호 요구 사항. 자동화 시스템의 분류. 필요한 정보 보안 수준에 영향을 미치는 요소. 물리적 데이터 보호. 무정전 전원 공급 장치 설치. 식별 및 인증, 접근통제.

코스 작업, 2014년 11월 29일에 추가됨

무단 액세스로부터 정보를 보호하는 방법 및 수단. 컴퓨터 네트워크의 정보 보호 기능. 암호화 보호 및 전자 전자 서명. 컴퓨터 바이러스 및 해커 공격으로부터 정보를 보호하는 방법.

초록, 2011년 10월 23일에 추가됨

컴퓨터 네트워크의 정보 보안 기술 검토: 암호화, 전자 서명, 인증, 네트워크 보호. Avast 시스템을 사용하여 클라이언트 시스템의 정보 보안을 구성합니다. 컴퓨터에서 Avast 시스템을 구성하고 설정합니다.

코스 작업, 2014년 5월 11일에 추가됨

컴퓨터 범죄의 개념. 정보 보호 및 정보 보안의 기본 개념. 정보에 대한 가능한 위협 분류. 위협 출현의 전제 조건. 보호 방법 및 방법 정보 자원. 바이러스 백신 프로그램의 종류.

코스 작업, 2013년 5월 28일에 추가됨

무단 액세스로부터 컴퓨터를 보호하기 위한 소프트웨어 및 하드웨어. 전자 자물쇠"검정색". SecretNet 정보보안 시스템입니다. 지문정보 보안장치. 공개키 관리, 인증센터.

코스 작업, 2016년 8월 23일에 추가됨

보호된 개체의 특성 및 요구 사항입니다. 누출 채널 및 보호 요구 사항 식별. 보호 장비 및 배치. 복잡한 차폐 기능을 갖춘 대체 정보 보호 시스템입니다. 차폐 구조물, 방, 챔버.

코스 작업, 2012년 4월 16일에 추가됨

정보 보안의 기술적 수단. 컴퓨터 시스템에 대한 주요 보안 위협. 무단 접근으로부터 보호하는 수단. 기밀정보 유출방지 시스템. 도구보호 시스템 분석.

프레젠테이션, 2014년 11월 18일에 추가됨

보호 대상으로서의 정보 분석 및 정보 보안 요구 사항 연구. 정보보호대상에 대한 공학적, 기술적 보호조치 연구 및 제어시스템 개발. Packet Tracer 프로그램을 이용한 객체 보호 구현.

심층 방어는 외부 침투 시도와 보호된 정보에 대한 영향에 대한 다단계 방어입니다.

일반적으로 방어 전략은 수많은 견제와 방어 기술이 뒤섞여 있는 것을 의미합니다. 그러나 이것이 항상 정보 보안을 향상시키는 것은 아닙니다.

기업이 특별한 요구 사항 없이 사이버 보안 전문가를 추가로 고용하는 상황을 상상해 보세요. 예, 보안 비용은 증가하고 있지만 사이버 보안 수준이 높아질지는 확실하지 않습니다. 통제되지 않는 물리적 장으로 인한 정보 유출을 잊지 마세요

심층 방어

이상적으로는 이러한 전문가들이 각자의 책임을 중복하지 않고 서로의 역량을 확장해야 합니다. 즉, 각자가 특정 분야의 전문가여야 합니다. 이들은 함께 심층적인 방어를 구축할 수 있으며, 이는 수많은 점검 및 보호 기술 더미보다 더 안정적인 보호를 제공할 것입니다.

이것이 왜 그렇게 중요합니까?

예를 들어, 시스템 관리자는 잘 보호된 시스템을 구성했습니다. 지역 네트워크하지만 직원들은 피싱 공격과 기타 사회 공학적 방법으로부터 자신을 보호할 수 있는 필요한 수준의 지식을 갖고 있지 않습니다.

직원이 직접 악성 스크립트를 실행하여 해커가 여러 보호 계층을 우회할 수 있는 것으로 나타났습니다. 이것이 심층방어의 핵심이다.

정보보안업체 보고서에 따르면 해커의 공격은 해마다 더욱 정교해지고 있다. 비즈니스를 보호하려면 시대를 따라잡아야 합니다.

Microsoft는 머신러닝을 최초로 개발한 회사 중 하나입니다. 이제 Windows 10에서는 인공지능, 사용자 행동을 분석하여 비정상적인 행동을 식별하고 정보를 보안 센터에 전송할 수 있습니다. 그들은 최근 대규모 공격을 막는 데 성공했습니다. 12시간 만에 약 50만 대의 컴퓨터가 채굴 프로그램을 설치한 악성 스크립트에 감염됐다.

정보 보안 심층 모델

기성 방어 모델이 적합하지 않을 가능성이 높기 때문에 심도 깊은 방어 모델을 취해서는 안된다고 즉시 말씀 드리겠습니다. 예를 들어, 너무 복잡하고 심층적인 개별 방어 모델이 필요한 조직 작업의 세부 사항을 고려하지 않을 것입니다. 그건 그렇고, 처음부터 개발하는 것이 다른 조직에서 가져온 모델을 다시 작업하는 것보다 더 효과적일 수 있습니다.

퇴역 대령인 빅토르 리토프킨(Viktor Litovkin)은 2025년까지 이것이 미국의 즉각적인 글로벌 파업 전략에 대한 효과적인 대응이라고 할 수 있다고 말했습니다.

계층화된 미사일 방어 시스템

그는 기자들에게 우리나라에서 2025년까지 다층적인 국가 미사일 방어 시스템 구축이 완료될 것이라고 말했습니다. 수석 디자이너미사일 공격 경고 시스템(MAWS) Sergey Boev. 그는 오늘날 군사 갈등의 과정을 크게 결정하는 전 세계 공습 무기의 적극적인 개발에 대한 대응으로 그 창조를 불렀습니다.

“미사일 방어 시스템에는 지상과 우주라는 두 가지 계층이 있습니다. 지상군에는 우리나라 주변에 위치한 미사일 공격 경고소와 대공 미사일 및 대미사일 기지가 포함됩니다. 미사일 시스템, 전략 미사일과 중거리 및 단거리 미사일을 모두 요격할 수 있습니다.

미사일 공격 경고 시스템이기도 한 우주군은 위성 장비를 포함한 정찰 장비를 사용하여 모든 방향(주로 러시아를 향한 미사일 발사)을 탐지합니다. 계층화된 방어에 관해 이야기할 때 우리는 경계선을 따라뿐만 아니라 국가 내부에도 레이더 기지와 대공 방어 시스템을 배치한다고 가정합니다. 이러한 접근 방식을 통해 국가의 주요 산업 지역, 군사 시설 및 문화 센터에 대한 공격을 놓치지 않을 수 있습니다.”라고 군사 전문가가 FBA Economics Today에 설명합니다.

2025년까지 계층적 방어는 소련 붕괴 이후 우주의 동맹국 영토를 포함하여 미사일 방어와 대공 방어 시스템을 하나의 전체로 통합할 것으로 예상됩니다. 전문가에 따르면 그러한 우산이 만들어지면 전술적, 전략적 대공 방어와 미사일 방어 시스템 간의 경계가 모호해진다.

즉각적인 글로벌 파업

다층 미사일 방어 시스템에는 Tunguska, Buk, Pantsir 및 Tor-M2와 같은 단거리 시스템과 중거리 S-300 및 Vityaz가 포함됩니다. 군사 전문가 알렉세이 레온코프(Alexey Leonkov)가 지적한 바와 같이, 지상 최대 100km 거리의 표적을 타격할 수 있는 S-500 장거리 대공 방어 시스템의 채택으로 다층 방어 시스템이 완성될 것입니다.

“이러한 방어는 ‘플래시 글로벌 스트라이크’로 알려진 미국의 대규모 항공우주 공격 개념에 대한 효과적인 대응이라고 할 수 있습니다. 초음속 순항 미사일을 포함하여 아직 서비스에 채택되지 않은 유망한 개발을 고려하는 것을 포함하여 방어 시스템이 개발되고 있습니다. 적은 그런 무기를 가지고 있지 않지만, 우리는 그러한 미사일이 나타나면 요격할 준비가 되어 있을 것입니다. 미국을 포함한 다른 어느 나라도 이렇게 발전된 방공 시스템을 갖추고 있지 않다는 점은 주목할 가치가 있습니다.”라고 Viktor Litovkin은 요약합니다.

세르게이 보예프(Sergei Boev)가 지적했듯이 즉각적인 글로벌 파업 전략은 2030년까지 완료될 것이다. 이 시점에 이르면 미국은 다양한 구성의 대륙간탄도미사일과 극초음속 무기, 다양한 배치의 순항미사일을 동시에 사용해 공격을 수행할 수 있게 된다. 루마니아와 폴란드에 배치된 이지스 지상 미사일 방어 시스템은 이곳에서 우리에게 직접적인 위협이 됩니다. 현재의 과제를 바탕으로 20년대 중반까지 다층형 미사일 방어 시스템을 배치하는 것이 목표입니다. 전략적 과제우리 나라를 위해.

미국 잡지 The National Interest에 따르면 개발에 수백만 달러가 소요되고 있으며 러시아의 방공 및 미사일 방어 시스템을 극복할 수 있을 것이라고 합니다. 출판물의 결론에 따르면 미군은 첨단 기술의 적과 대결한 경험이 없기 때문에 러시아 연방과의 잠재적인 군사 충돌의 결과를 예측하는 것은 불가능합니다. 작전이 수행될 경우 토마호크와 같은 현대식 스텔스 항공기와 순항 미사일이 요격 위험에 처하게 될 것이라고 기사 작성자는 강조합니다. RT 자료를 통해 미국 무기의 능력과 러시아 방공의 잠재력에 대해 설명합니다.

스텔스 기술을 광범위하게 사용하는 항공기 제작에 대한 국방부의 투자는 다음과 같은 결과를 보장하지 않습니다. 러시아 시스템"접근 및 기동에 대한 제한 및 금지"(A2/AD - 접근 금지 및 지역 거부). 미국 출판물 The National Interest는 이에 대해 썼습니다.

A2/AD는 서구에서 흔히 사용되는 용어로, 국가가 국경에서 수백, 수십 킬로미터 떨어진 곳의 공중 공격 무기를 요격하고 적의 지상 및 해상 목표물에 대한 예방 공격을 가할 수 있는 장거리 타격 시스템을 보유하고 있음을 의미합니다.

해외 간행물은 러시아가 “충돌 시 나토가 어떻게든 무력화하거나 우회해야 할 것”이라는 “공중 지뢰밭”을 갖고 있다고 지적했다. 모스크바의 가장 큰 장점은 다층형 방공 시스템으로, "그 장점은 범위, 정확성, 기동성"입니다.

The National Interest에 따르면, 러시아 영공을 침공할 경우 최신 미국 항공기뿐만 아니라 해상 기반 순항 미사일(토마호크에 대해 이야기하고 있음)도 취약해질 것입니다. 이런 이유로 " 가장 좋은 방법대공 방어 시스템에 저항하는 것은 그것을 피하는 것입니다.”라고 잡지는 결론을 내립니다.

하늘의 통제

NATO 항공기와 미사일이 러시아 군대가 무장한 대공방어/미사일 방어 시스템에 취약하다는 사실이 서방 언론에 널리 퍼져 있습니다. 군사 전문가 유리 크누토프(Yuri Knutov)에 따르면, 이는 미국이 제공권을 완전히 장악한 후에만 군사 작전을 시작하는 습관에 기초한 것입니다.

“미국인들은 지휘소와 대공방어 시스템을 먼저 파괴하지 않고서는 결코 한 나라를 침공하지 않습니다. 러시아의 경우 이는 절대 불가능한 상황이다. 그렇기 때문에 그들은 현 상황에 그토록 짜증을 냅니다. 동시에 미국에서 우리와의 전쟁 가능성을 준비하는 과정은 끝나지 않았으며 미국인들은 계속해서 항공과 무기를 개선하고 있습니다.”라고 Knutov는 RT와의 대화에서 말했습니다.

전문가에 따르면 미국은 전통적으로 항공기술 발전에 있어 우리나라보다 앞서 왔다. 그러나 반세기 동안 국내 과학자들은 요격이 가능한 매우 효과적인 무기를 만들어 왔습니다. 최신 항공기 NATO 미사일을 발사하고 전자 장비에 심각한 간섭을 일으킵니다.

소련의 다층적 대공방어/미사일 방어 시스템 구축은 엄청난 관심을 끌었습니다. 1960년대 초까지 미국 정찰기는 소련 상공을 거의 방해받지 않고 비행했습니다. 그러나 최초의 대공 미사일 시스템 (SAM)의 출현과 스베르들롭스크 근처의 U-2 파괴 (1960년 5월 1일)로 인해 우리나라 영토 상공의 미 공군 비행 강도가 눈에 띄게 감소했습니다.

대공 방어 시스템과 미사일 공격 경고 시스템(MAWS) 구축 및 개발에 막대한 자금이 투자되었습니다. 그 결과 소련은 가장 중요한 행정 중심지, 주요 군사 기반 시설, 지휘소 및 산업 지역을 안정적으로 보호할 수 있었습니다.

다양한 레이더 스테이션(공역 모니터링, 표적 탐지, 정찰), 자동화 제어 시스템(레이더 정보 처리 및 명령에 대한 전송), 전파 방해 장비 및 화재 파괴 시스템(대공 미사일 시스템, 전투기, 전자전 시스템).

1980년대 말 소련 방공군의 정규 병력은 50만명을 넘어섰다. 소련은 모스크바 방공구, 제3 개별방공군, 제9 개별방공군단, 제18 개별우주통제군단, 민스크, 키예프, 스베르들롭스크, 레닌그라드에 본부를 둔 8개 방공군이 방어했다. , 아르한겔스크, 타슈켄트, 노보시비르스크, 하바롭스크 및 트빌리시.

총 1,260개 이상의 방공 미사일 사단, 211개 대공 미사일 연대, 28개 무선 공병 연대, 36개 무선 공병 여단, 70개 방공 전투기 연대, 25,000대 이상의 전투기가 전투 임무에 참여했습니다.

소련 붕괴 이후 지정학적 상황의 변화와 군사 교리의 변화로 인해 방공 병력의 수가 감소했습니다. 이제 항공우주군에는 우주군(조기 경보 시스템 담당), 제1 방공-미사일 방어군(모스크바 지역 보호), 그리고 러시아 연방 남부를 담당하는 5개의 공군 및 방공군이 포함됩니다. 중앙 러시아 서부 지역, 극동, 시베리아, 볼가 지역, 우랄 및 북극.

러시아 연방 국방부에 따르면 최근 몇 년 동안 러시아는 최신 S-400 "Triumph"를 도입하여 "주요 미사일 위험 방향"에 연속 레이더 필드를 복원하고 대공 방어 시스템을 강화했습니다. "Pantsir-S" 방공 시스템, "Tora" 및 "Pantsir-S"의 현대화된 버전을 Buka에 적용했습니다.

앞으로 몇 년 안에 군은 A-135 아무르 미사일 방어 시스템의 현대화를 완료하고 배치할 계획이다. 대량 생산 S-500 복합체는 궤도 항공기, 위성, 대륙간 탄도 미사일 및 탄두를 포함하여 거의 모든 알려진 표적을 요격할 수 있습니다.

“획기적인 결과를 가져오지 못한다”

RT와의 대화에서 군사 과학 아카데미 교수인 Vadim Kozyulin은 미국에서 항공기와 미사일의 낮은 레이더 신호에 의존하는 타당성에 대한 논쟁이 진행 중이라고 언급했습니다. 그에 따르면 미국에서는 현대 레이더(주로 러시아)가 소위 "보이지 않는" 레이더를 공중에서 쉽게 탐지할 수 있다는 우려가 커지고 있습니다.

“이는 획기적인 결과를 가져오지 못한다면 이 분야에서 그렇게 열심히 일하는 것이 타당한지에 대한 의문을 제기합니다. 미국인들은 스텔스 기술 개발의 선구자였습니다. "보이지 않는" 프로젝트에 수천억 달러가 지출되었지만 모든 생산 샘플도 기대에 미치지 못했습니다."라고 Kozyulin은 말했습니다.

낮은 레이더 신호는 유효 분산 영역(RCS)을 줄임으로써 달성됩니다. 이 표시기는 항공기 설계 및 특수 무선 흡수 재료에 평평한 기하학적 모양이 있는지 여부에 따라 달라집니다. ESR이 0.4제곱미터 미만인 항공기를 일반적으로 "보이지 않는" 항공기라고 합니다. 중.

미국 최초의 스텔스 항공기는 1981년에 하늘을 날았던 록히드 F-117 나이트호크 전술 폭격기였습니다. 그는 파나마, 이라크, 유고슬라비아에 대한 작전에 참여했습니다. F-117은 당시로서는 놀라운 ESR 지표(0.025제곱미터에서 0.1제곱미터까지)에도 불구하고 많은 심각한 단점을 가지고 있었습니다.

극도로 높은 가격과 작동의 복잡성 외에도 나이트호크는 전투 하중(2톤이 조금 넘음)과 범위(약 900km) 측면에서 이전 미공군 차량에 비해 절망적으로 열등했습니다. 또한 스텔스 효과는 무선 무음 모드(통신 및 아군 식별 시스템 끄기)에서만 달성되었습니다.

1999년 3월 27일, 이미 구식으로 간주되었던 유고슬라비아 방공군의 소련 S-125 방공 시스템에 의해 미국의 첨단 차량이 격추되었습니다. 이것이 F-117의 유일한 전투 손실이었습니다. 이후 어떻게 이런 일이 발생하게 됐는지 군 관계자와 전문가들 사이에서 논의가 계속됐다. 2008년에 나이트호크는 미 공군에서 퇴역했습니다.

최대 현대적인 디자인미국 항공은 "보이지 않는" 항공기로도 표현됩니다. 최초의 5세대 항공기 F-22의 EPR은 0.005~0.3㎡이다. 중, 최신 전투기 F-35 - 0.001-0.1 제곱미터 m, 장거리 폭격기 B-2 Spirit - 0.0014-0.1 sq. m 동시에 S-300 및 S-400 방공 시스템은 0.01 평방 미터 범위의 ESR로 공중 표적을 기록할 수 있습니다. m(정확한 데이터 없음).

Kozyulin은 서구 및 국내 언론이 종종 러시아인의 존재 여부를 알아 내려고 노력한다고 지적했습니다. 대공 시스템미국 비행기를 요격합니다. 그에 따르면 대공 전투는 여러 요인의 영향을 동시에 받기 때문에 결과를 미리 예측하는 것은 불가능합니다.

“EPR은 항공기의 고도와 비행 범위에 따라 달라집니다. 어느 시점에서는 명확하게 보일 수도 있고 다른 시점에서는 그렇지 않을 수도 있습니다. 그러나 세계 시장에서 러시아 방공 시스템의 큰 인기와 S-400의 능력에 대한 미국인의 우려는 러시아 방공이 할당된 임무, 즉 모든 공습 수단으로부터의 보호에 대처하고 있음을 나타냅니다. " Kozyulin은 결론을 내 렸습니다.