Батлан хамгаалахын эшелонжуулалтын зарчим юу вэ? Давхаргатай хамгаалалт: Америкийн нисэх онгоц, пуужингууд хэр эмзэг вэ? Бид ажлын аюулгүй байдлыг найдвартай хангана

1. АЖЛЫН ЕРӨНХИЙ ТОДОРХОЙЛОЛТ

1.1 Хамааралтай байдал

1.2 Зорилтот

1.3 Даалгаврууд

2. БҮТЭЭЛИЙН ҮНДСЭН АГУУЛГА

2.1 Гүнзгий хамгаалалт

2.2 Мэдээллийн аюулгүй байдлын давхаргын системийн бүрэлдэхүүн хэсэг

2.2.1 Вирусны эсрэг програмууд

2.2.2 Бүртгэл, аудит хийх

2.2.3 Бие махбодийн хамгаалалт

2.2.4 Баталгаажуулалт, нууц үгийн хамгаалалт

2.2.5 Галт хана

2.2.6 Цэрэггүй бүс

2.2.7 VPN

2.2.8 Халдлага илрүүлэх систем

3. АЖЛЫН ҮНДСЭН ҮР ДҮН

АШИГЛАСАН МЭДЭЭЛЛИЙН ЭХ СУРВАЛЖИЙН ЖАГСААЛТ

гүн гүнзгий мэдээлэл хамгаалах вирусны эсрэг

АЖЛЫН ЕРӨНХИЙ ТОДОРХОЙЛОЛТ.

"Оффис" төрлийн компьютерийн систем дэх мэдээллийн аюулгүй байдлын давхаргын системийг судлах нь томоохон байгууллагуудын сүлжээнд, жишээлбэл, нууц мэдээлэл агуулсан мэдээллийн санг хуулбарлах зорилгоор халдлагын тоо байнга нэмэгдэж байгаатай холбоотой юм. Энэ хамгаалалтын систем нь маш хүчирхэг хэрэгсэлхалдагчдын эсрэг хамгаалж, хамгаалагдсан системд зөвшөөрөлгүй нэвтрэх (AT) оролдлогыг үр дүнтэйгээр таслан зогсоож чадна.

1.2 Зорилго

Энэхүү ажлын зорилго нь “оффисын” төрлийн компьютерийн системийн давхаргын хамгаалалтын системийг судлах явдал юм.

1.3 Зорилго

Энэ зорилгод хүрэхийн тулд дараахь ажлуудыг шийдвэрлэх шаардлагатай байна.

Давхаргатай хамгаалалтын системийг барих, ажиллуулах зарчмуудыг судлах;

Мэдээллийн аюулгүй байдлын давхаргын системд багтсан бие даасан хамгаалалтын системийг судлах;

Хамгаалалтын системд тавигдах шаардлагыг тодорхойлох;

2. БҮТЭЭЛИЙН ҮНДСЭН АГУУЛГА

2.1 Гүн гүнзгий хамгаалалт

Хамгаалалтын гүн нь компьютерийн системд хэд хэдэн өөр өөр хамгаалалтын системийг суурилуулсан мэдээллийн даатгалын ойлголт юм. Үүний зорилго нь нэмэлт аюулгүй байдлыг хангах явдал юм компьютерийн системаюулгүй байдлын хяналтын системийн доголдол эсвэл халдагч тодорхой эмзэг байдлыг ашигласан тохиолдолд.

Гүн хамгаалалтын санаа нь ихэвчлэн хэд хэдэн бие даасан аргуудыг ашиглан системийг аливаа халдлагаас хамгаалах явдал юм.

Эхэндээ гүн гүнзгий хамгаалалт нь цэвэр цэргийн стратеги байсан бөгөөд энэ нь дайсны довтолгоог урьдчилан таамаглах, урьдчилан сэргийлэх биш харин хойшлуулах, янз бүрийн хамгаалалтын арга хэмжээг зөв байрлуулахын тулд бага зэрэг хугацаа зарцуулах боломжийг олгосон юм. Илүү бүрэн ойлголттой болохын тулд бид жишээг өгч болно: өргөстэй утас нь явган цэргүүдийг үр дүнтэй саатуулдаг боловч танкууд дээгүүр нь амархан давхидаг. Гэсэн хэдий ч танк нь зүгээр л тойрч өнгөрдөг явган цэргүүдээс ялгаатай нь танкийн эсрэг хамгаалалтыг даван туулж чадахгүй. Гэхдээ тэдгээрийг хамтад нь ашиглавал танк ч, явган цэрэг ч хурдан давж гарахгүй, хамгаалж буй тал бэлтгэл хийх цаг гарах болно.

Мэдлэгийн санд сайн ажлаа илгээх нь энгийн зүйл юм. Доорх маягтыг ашиглана уу

Мэдлэгийн баазыг суралцаж, ажилдаа ашигладаг оюутнууд, аспирантууд, залуу эрдэмтэд танд маш их талархах болно.

http://www.allbest.ru сайтад нийтлэгдсэн

1. АЖЛЫН ЕРӨНХИЙ ОНЦЛОГ

1.1 Хамааралтай байдал

1.2 Зорилтот

1.3 Даалгаврууд

2. БҮТЭЭЛИЙН ҮНДСЭН АГУУЛГА

2.1 Гүнзгий хамгаалалт

2.2 Мэдээллийн хамгаалалтын давхаргын системийн бүрэлдэхүүн хэсэг

2.2.1 Вирусны эсрэг програмууд

2.2.2 Бичлэг хийх, аудит хийх

2.2.3 Бие махбодийн хамгаалалт

2.2.4 Баталгаажуулалт, нууц үгийн хамгаалалт

2.2.5 Галт хана

2.2.6 Цэрэггүй бүс

2.2.7 VPN

2.2.8 Халдлага илрүүлэх систем

3. АЖЛЫН ҮНДСЭН ҮР ДҮН

АШИГЛАСАН МЭДЭЭЛЛИЙН ЭХ СУРВАЛЖИЙН ЖАГСААЛТ

гүн гүнзгий мэдээлэл хамгаалах вирусны эсрэг

1. АЖЛЫН ЕРӨНХИЙ ОНЦЛОГ.

1.1 Хамааралтай байдал

"Оффис" төрлийн компьютерийн систем дэх мэдээллийн аюулгүй байдлын давхаргын системийг судлах нь томоохон байгууллагуудын сүлжээнд, жишээлбэл, нууц мэдээлэл агуулсан мэдээллийн санг хуулбарлах зорилгоор халдлагын тоо байнга нэмэгдэж байгаатай холбоотой юм. Ийм хамгаалалтын систем нь халдагчдын эсрэг маш хүчирхэг хэрэгсэл бөгөөд хамгаалагдсан системд зөвшөөрөлгүй нэвтрэх (AT) оролдлогыг үр дүнтэйгээр таслан зогсоож чаддаг.

1.3 Зорилго

Энэ зорилгод хүрэхийн тулд дараахь ажлуудыг шийдвэрлэх шаардлагатай байна.

Давхаргатай хамгаалалтын системийг барих, ажиллуулах зарчмуудыг судлах;

Мэдээллийн аюулгүй байдлын давхаргын системд багтсан бие даасан хамгаалалтын системийг судлах;

Хамгаалалтын системд тавигдах шаардлагыг тодорхойлох;

2. БҮТЭЭЛИЙН ҮНДСЭН АГУУЛГА

2.1 Гүн гүнзгий хамгаалалт

Defense in Depth гэдэг нь компьютерийн системд хэд хэдэн өөр өөр хамгаалалтын системийг суурилуулсан мэдээллийн даатгалын ойлголт юм. Үүний зорилго нь аюулгүй байдлын хяналтын системийн доголдол эсвэл халдагч тодорхой эмзэг байдлыг ашиглах үед компьютерийн системийн нэмэлт хамгаалалтыг хангах явдал юм.

Аюулгүй байдлын механизм, журам, бодлогыг байршуулах нь компьютерийн системийн аюулгүй байдлыг сайжруулах зорилготой бөгөөд олон давхар хамгаалалт нь тагнуул хийх, чухал систем рүү шууд халдахаас сэргийлж чаддаг. Компьютерийн сүлжээний үүднээс авч үзвэл гүнзгий хамгаалалт нь зөвхөн зөвшөөрөлгүй нэвтрэхээс урьдчилан сэргийлэх зорилготой төдийгүй халдлагыг илрүүлж, хариу арга хэмжээ авах боломжтой бөгөөд ингэснээр зөрчлийн үр дагаврыг бууруулахад оршино.

"Оффис" төрлийн компьютерийн систем нь үнэ төлбөргүй, төрийн нууцад хамаарах мэдээлэл хүртэл янз бүрийн түвшний хандалт бүхий мэдээллийг боловсруулах боломжтой. Ийм учраас, NSD урьдчилан сэргийлэх болон янз бүрийн төрөлхалдлага, ийм систем нь үр дүнтэй мэдээллийн аюулгүй байдлын системийг шаарддаг.

Дараа нь бид давхаргын хамгаалалтын системд ашиглагддаг хамгаалалтын үндсэн давхаргуудыг (эшелон) авч үзэх болно. Дараахь хоёр буюу түүнээс дээш системээс бүрдсэн хамгаалалтын системийг давхаргат гэж үзнэ гэдгийг тэмдэглэх нь зүйтэй.

2.2 Мэдээллийн хамгаалалтын давхаргын системийн бүрэлдэхүүн хэсэг

2.2.1 Вирусны эсрэг програмууд

Вирусны эсрэг програм (антивирус) нь компьютерийн вирус, түүнчлэн хүсээгүй (хорлонтой гэж тооцогддог) програмуудыг ерөнхийд нь илрүүлэх, эдгээр програмаар халдварлагдсан (өөрчлөгдсөн) файлуудыг сэргээх, түүнчлэн файлыг халдварлахаас (өөрчлөх) урьдчилан сэргийлэх тусгай програм юм. хортой код бүхий үйлдлийн систем .

Төрийн нууцад хамаарах мэдээлэл болон бусад хандалт хязгаарлагдмал мэдээллийг агуулсан мэдээллийг (криптографийн бус аргаар) хамгаалахад ашигладаг програм хангамжийн хэрэгслийг хэлнэ.

Вирусны эсрэг бүтээгдэхүүнийг хэд хэдэн шалгуураар ангилж болно.

Ашигласан вирусын эсрэг хамгаалах технологийн дагуу:

Сонгодог вирусны эсрэг бүтээгдэхүүн (зөвхөн гарын үсэг илрүүлэх аргыг ашигладаг бүтээгдэхүүн);

Вирусны эсрэг идэвхтэй хамгаалалтын бүтээгдэхүүн (зөвхөн вирусын эсрэг идэвхтэй хамгаалах технологи ашигладаг бүтээгдэхүүн);

Хосолсон бүтээгдэхүүн (сонгодог, гарын үсэгт суурилсан хамгаалалтын аргууд ба идэвхтэй аргуудыг хоёуланг нь ашигладаг бүтээгдэхүүн).

Бүтээгдэхүүний функцээр:

Вирусны эсрэг бүтээгдэхүүн (зөвхөн вирусны эсрэг хамгаалалттай бүтээгдэхүүн)

Хосолсон бүтээгдэхүүн (зөвхөн хортой програмаас хамгаалахаас гадна спам шүүлтүүр, шифрлэлт, өгөгдлийг нөөцлөх болон бусад функцийг хангадаг бүтээгдэхүүнүүд);

Зорилтот платформоор:

Windows үйлдлийн системд зориулсан вирусны эсрэг бүтээгдэхүүн;

*NIX үйлдлийн системд зориулсан вирусны эсрэг бүтээгдэхүүн (энэ бүлэгт BSD, Linux OS гэх мэт);

MacOS үйлдлийн системд зориулсан вирусны эсрэг бүтээгдэхүүн;

Мобайл платформд зориулсан вирусны эсрэг бүтээгдэхүүн (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 гэх мэт).

Корпорацийн хэрэглэгчдэд зориулсан вирусны эсрэг бүтээгдэхүүнийг хамгаалалтын объектоор нь ангилж болно.

Ажлын станцыг хамгаалах вирусны эсрэг бүтээгдэхүүн;

Файл болон терминал серверийг хамгаалах вирусны эсрэг бүтээгдэхүүн;

Имэйл болон интернетийн гарцыг хамгаалах вирусын эсрэг бүтээгдэхүүн;

Виртуалчлалын серверүүдийг хамгаалах вирусны эсрэг бүтээгдэхүүн.

Вирусны эсрэг хамгаалах шаардлагууд орно Ерөнхий шаардлагавирусын эсрэг хамгаалах хэрэгсэл болон вирусын эсрэг хамгаалах хэрэгслийн хамгаалалтын функцэд тавигдах шаардлага.

Вирусын эсрэг хамгаалах хэрэгслийн хамгаалалтын функцэд тавигдах шаардлагыг ялгахын тулд вирусын эсрэг хамгаалах хэрэгслийн хамгаалалтын зургаан ангиллыг бий болгосон. Хамгийн доод анги нь зургаад, дээд нь нэгдүгээрт ордог.

Хамгаалалтын 6-р ангилалд хамаарах вирусын эсрэг хамгаалах хэрэгслийг 3, 4-р ангиллын хувийн мэдээллийн мэдээллийн системд ашигладаг.

2-р ангиллын хувийн мэдээллийн мэдээллийн системд 5-р ангиллын хамгаалалтад хамаарах вирусын эсрэг хамгаалах хэрэгслийг ашигладаг.

4-р ангиллын хамгаалалтад хамаарах вирусын эсрэг хамгаалах хэрэгслийг төрийн нууцад хамаарах мэдээлэл агуулаагүй хязгаарлагдмал мэдээллийг боловсруулдаг төрийн мэдээллийн систем, 1-р ангиллын хувийн мэдээллийн мэдээллийн систем, түүнчлэн II зэрэглэлийн нийтийн мэдээллийн системд ашигладаг.

Хамгаалалтын 3, 2, 1-р ангилалд хамаарах вирусын эсрэг хамгаалах хэрэгслийг төрийн нууцыг агуулсан мэдээллийг боловсруулдаг мэдээллийн системд ашигладаг.

Дараах төрлийн вирусны эсрэг хамгаалах хэрэгслийг мөн ялгаж үздэг.

"А" төрөл - мэдээллийн системийн бүрэлдэхүүн хэсгүүд (серверүүд, автоматжуулсан ажлын станцууд) дээр суулгасан вирусын эсрэг хамгаалах хэрэгслийг төвлөрсөн удирдлагад зориулсан вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг);

"B" төрөл - мэдээллийн системийн сервер дээр ашиглах зориулалттай вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг);

"B" төрөл - мэдээллийн системийн автоматжуулсан ажлын станцуудад ашиглах зориулалттай вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг);

"G" төрөл - бие даасан автомат ажлын станцуудад ашиглах зориулалттай вирусын эсрэг хамгаалах хэрэгсэл (вирусын эсрэг хамгаалах хэрэгслийн бүрэлдэхүүн хэсэг).

"А" төрлийн вирусын эсрэг хамгаалах хэрэгслийг мэдээллийн системд бие даан ашигладаггүй бөгөөд зөвхөн "В" ба (эсвэл) "С" төрлийн вирусын эсрэг хамгаалах хэрэгсэлтэй хамт ашиглахад зориулагдсан.

Гүн хамгаалалтын зорилго нь хамгаалагдсан системийн янз бүрийн түвшинд хортой програмыг шүүх юм. Үүнд:

Холболтын түвшин

Хамгийн багадаа аж ахуйн нэгжийн сүлжээ нь холболтын давхарга ба цөмөөс бүрдэнэ. Холболтын түвшинд олон байгууллага галт хана, халдлагыг илрүүлэх, урьдчилан сэргийлэх систем (IDS/IPS/IDP) болон үйлчилгээний халдлагаас татгалзах хамгаалалттай байдаг. Эдгээр шийдлүүд дээр үндэслэн хортой програм нэвтрэхээс хамгаалах эхний түвшинг хэрэгжүүлдэг. Галт хана болон IDS/IPS/IDP хэрэгслүүд нь протокол агентын түвшинд суурилуулсан шалгалтын функцтэй байдаг. Түүнчлэн, UTM шийдлүүдийн де факто стандарт нь орж ирж буй / гарах урсгалыг сканнердсан вирусны эсрэг програм юм. Галт хананд шугаман вирусын эсрэг програмууд байх нь бас хэвийн үзэгдэл болж байна. Ийм сонголтууд алдартай бүтээгдэхүүний шинэ хувилбаруудад илүү олон удаа гарч ирдэг. Гэсэн хэдий ч олон хэрэглэгчид сүлжээний тоног төхөөрөмжийн суурилуулсан функцүүдийн талаар мартдаг боловч дүрмээр бол тэдгээрийг идэвхжүүлэх нь өргөтгөлийн сонголтыг худалдан авахад нэмэлт зардал шаарддаггүй.

Тиймээс сүлжээний тоног төхөөрөмжийн суурилуулсан хамгаалалтын функцийг оновчтой ашиглах, галт хананд вирусын эсрэг нэмэлт хяналтын сонголтыг идэвхжүүлснээр хамгаалалтын эхний түвшинг гүнзгийрүүлэн бий болгоно.

Хэрэглээний хамгаалалтын түвшин

Програмын хамгаалалтын түвшин нь вирусын эсрэг сканнердах гарцын шийдлүүд болон вирусын эсрэг бус асуудлыг шийдвэрлэхэд чиглэсэн аюулгүй байдлын хэрэгслүүдийг хоёуланг нь агуулдаг. Үүнтэй төстэй шийдлүүдийг зах зээл дээр танилцуулж, ОХУ-ын FSTEC-ийн шаардлагын дагуу баталгаажуулсан болно. Эдгээр бүтээгдэхүүн нь хэрэгжүүлэхэд ихээхэн зардал шаарддаггүй бөгөөд шалгаж буй агуулгын төрлөөс хамааралгүй тул ямар ч хэмжээтэй байгууллагад ашиглаж болно.

Гол үүрэг нь вирусын эсрэг сканнер биш шийдлүүд нь хортой програмыг шүүх хоёр дахь түвшний үүрэг гүйцэтгэдэг. Үүний нэг жишээ бол спамыг шүүх, вэб үйлчилгээг хамгаалах өргөн тархсан гарц шийдэл юм - URL шүүлтүүр, вэб програмын галт хана, тэнцвэржүүлэх хэрэгслүүд. Тэд ихэвчлэн хэд хэдэн хортой контент шүүлтүүр үйлдвэрлэгчдийг ашиглан боловсруулсан контентыг вирусын эсрэг сканнердах чадвартай байдаг. Ялангуяа шуудангийн систем эсвэл спам шүүлтүүрийн гарцын түвшинд вирусын эсрэг сканнердах ажиллагааг хэрэгжүүлэх. Вирусын эсрэг хэд хэдэн бүтээгдэхүүнийг дараалан ашиглах тохиолдолд ирж буй / гарах захидал харилцааны вирусыг шүүх үр ашиг бараг 100% хүрч чадна.

Энэ аргыг ашигласнаар та хамгаалалтын эхний болон хоёрдугаар түвшний гүн гүнзгий хортой програмыг шүүх гүйцэтгэлд аль хэдийн хүрч чадна. Өөрөөр хэлбэл, хангалттай вирусны эсрэг хамгаалах системийг (хэрэглэгч хүртэл) хэрэгжүүлбэл хорт програмын арслангийн хувийг нэг буюу өөр зорилгоор гарц шийдлүүдийн түвшинд шүүнэ.

Хост аюулгүй байдлын түвшин

Хост хамгаалалт гэдэг нь сервер болон хэрэглэгчийн ажлын станцуудад зориулсан вирусын эсрэг сканнердах функцийг хэрэгжүүлэх гэсэн үг юм. Түүнээс хойш өдөр тутмын ажилАжилчид олон төрлийн ширээний болон хөдөлгөөнт төхөөрөмж ашигладаг тул та бүгдийг нь хамгаалах хэрэгтэй. Түүгээр ч барахгүй энгийн гарын үсэг бүхий антивирус нь хамгаалалтын ноцтой хэрэгсэл гэж тооцогдохоо больсон. Тийм ч учраас олон байгууллага Host IPS технологид шилжсэн бөгөөд энэ нь галт хана болон IPS системийн (зан үйлийн шинжилгээ) функцээр дамжуулан баталгаажуулалтын явцад нэмэлт хяналтын/хамгаалалтын механизм ашиглах боломжийг олгодог.

Хэрэв хэрэглэгчийн ажлын байрыг хамгаалах асуудал аль хэдийн сайн зохицуулагдсан бол програмын сервер (физик эсвэл виртуал) дээр Host IPS-ийг хэрэгжүүлэх нь тодорхой ажил юм. Нэг талаас Host IPS технологи нь серверийн ачааллыг мэдэгдэхүйц нэмэгдүүлэхгүй байх ёстой, нөгөө талаас аюулгүй байдлын шаардлагатай түвшинг хангах ёстой. Боломжийн тэнцвэрийг зөвхөн тодорхой багц програмууд болон техник хангамжийн платформ дээр туршилтын туршилтаар олж болно.

2.2.2 Мод бэлтгэх, аудит хийх

Бүртгэл гэдэг нь тухайн үед болж буй үйл явдлын талаарх мэдээллийг цуглуулах, хуримтлуулахыг хэлнэ мэдээллийн систем. Жишээлбэл, хэн системд нэвтрэх гэж оролдсон, хэзээ, энэ оролдлого хэрхэн дууссан, хэн ямар мэдээллийн нөөцийг ашигласан, ямар мэдээллийн нөөцийг хэн, өөрчилсөн гэх мэт.

Аудит гэдэг нь хуримтлагдсан мэдээллийн дүн шинжилгээг шуурхай, бараг бодит цаг хугацаанд эсвэл үе үе хийдэг.

Мод бэлтгэх, аудит хийх нь дараахь үндсэн зорилготой.

Хэрэглэгч болон администраторын хариуцлагыг хангах;

Үйл явдлын дарааллыг сэргээх боломжийг хангах;

Мэдээллийн аюулгүй байдлын зөрчлийг илрүүлэх оролдлого;

Асуудлыг тодорхойлох, дүн шинжилгээ хийх мэдээллээр хангах.

Тиймээс бүртгэл, аудит нь бүртгэл, нягтлан бодох бүртгэлийн дэд системд хамаарна. Эдгээр үйлдлүүдийг ашигласнаар та одоо байгаа мэдээллийн аюулгүй байдлын систем дэх асуудал, сул талыг хурдан бөгөөд үр дүнтэй олох боломжтой. Мэдээллийн аюулгүй байдлын мэдээллийн ангиллаас хамааран энэ элемент нь янз бүрийн хэлбэртэй байж, бүртгэл, нягтлан бодох бүртгэл зэрэг янз бүрийн асуудлыг шийдэж болно.

Систем(үүд)-д (сүлжээний зангилаа) (бүх түвшинд) хандалтын субьектүүдийн орох (гарах);

Хөтөлбөр, үйл явц (даалгавар, даалгавар) эхлүүлэх (дуусгах) (2A, 1D, 1B, 1B, 1A түвшинд);

Хамгаалагдсан файлуудад хандах субьектүүдийн програмд хандах, үүнд тэдгээрийг үүсгэх, устгах, шугам, холбооны сувгаар дамжуулах (2А 1G, 1B, 1B, 1A түвшинд);

Терминал, компьютер, компьютерийн сүлжээний зангилаа, холбооны суваг, гадаад компьютерийн төхөөрөмж, программ, боть, лавлах, файл, бичлэг, бичлэгийн талбарт хандах хандалтын субьектүүдийн программуудад хандах (2А 1D, 1B, 1B, 1A түвшинд);

Хандалтын субъектуудын эрх мэдлийн өөрчлөлт (1B, 1B, 1A);

Хамгаалагдсан хандалтын объектуудыг үүсгэсэн (2A, 1B, 1B, 1A);

Аюулгүй байдлыг зөрчих гэсэн дохиолол оролдлого (1B, 1B, 1A).

Тиймээс хамгаалалтыг гүнзгийрүүлэн байгуулахдаа бүртгэл, аудитын системийг хамгаалагдсан системийн хил дээр, сервер дээр, ажлын станц бүр дээр, мөн бүх баталгаажуулах төхөөрөмжид (жишээлбэл, хамгаалалттай нутаг дэвсгэрт нэвтрэх үед) суурилуулсан байх ёстой.

2.2.3 Бие махбодийн хамгаалалт

Үүнд төхөөрөмж, хадгалах хэрэгслийг хулгайлахаас урьдчилан сэргийлэх, хайхрамжгүй байдал, байгалийн гамшгаас хамгаалах арга хэмжээ орно.

Тусгай хамгаалалттай газрын хил дээрх шалган нэвтрүүлэх цэг;

Хашаа, хориглох тэмдэг, автомашины биеийн өндөр хязгаарлагч, төрөл бүрийн хаалт гэх мэт суурилуулах. хамгаалалттай нутаг дэвсгэрийн периметрийн дагуу;

Стратегийн ач холбогдолтой объектуудын байршил нь халдлага үйлдэгчийг том газрыг гатлах шаардлагатай болно нээлттэй орон зайтэдэнд хүрэх;

Тусгай хамгаалалттай газар нутгийг гэрэлтүүлэх, тухайлбал хаалга, хаалга болон бусад стратегийн чухал объектууд. Бүх нутаг дэвсгэрт тархсан бүдэг гэрэл нь спот гэрлийн нэг тод цэгээс илүү үр дүнтэй байдаг тул спот гэрлүүд нь сохор толботой байдаг гэдгийг анхаарах хэрэгтэй. Гол нь салгагдсан тохиолдолд нөөц цахилгаан хангамжийн системийг мөн хангах ёстой;

Байшингийн үүдэнд хамгаалалтын постууд;

Сэрүүлгийн систем, мэдрэгч суурилуулах (хөдөлгөөн, мэдрэгч, шил хагарах мэдрэгч). Үүнийг тэмдэглэх нь зүйтэй энэ системхуурамч дохиоллыг арилгахын тулд видео хяналтын системтэй хамт ажиллах ёстой;

Видео тандалтын системийг суурилуулах;

Түгжээнээс эхлээд биометр хүртэл хандалтыг хянах янз бүрийн хэрэгслүүд;

Тоног төхөөрөмжийн нээлтийг хянах хэрэгсэл (хэргийг битүүмжлэх гэх мэт);

Ажлын байран дахь тоног төхөөрөмжийг тусгай цоож ашиглан бэхлэх.

2.2.4 Баталгаажуулалт, нууц үгийн хамгаалалт

Баталгаажуулалт - баталгаажуулах процедур, жишээлбэл: хэрэглэгчийн мэдээллийн санд оруулсан нууц үгтэй харьцуулах замаар хэрэглэгчийн жинхэнэ эсэхийг шалгах; баталгаажуулалт имэйлилгээгчийн гарын үсгийг баталгаажуулах түлхүүрийг ашиглан захидлын тоон гарын үсгийг шалгах замаар; файлын хяналтын нийлбэрийг энэ файлын зохиогчийн мэдүүлсэн дүнтэй нийцэж байгаа эсэхийг шалгах. Орос хэлэнд энэ нэр томъёог мэдээллийн технологийн салбарт голчлон ашигладаг.

Системийн найдвартай байдал, аюулгүй байдлын бодлогыг харгалзан баталгаажуулалт нь нэг талын эсвэл харилцан байж болно. Энэ нь ихэвчлэн криптографийн аргыг ашиглан хийгддэг.

Баталгаажуулалтын стандартыг тогтоосон хэд хэдэн баримт бичиг байдаг. ОХУ-ын хувьд дараахь зүйл хамааралтай: ГОСТ Р ISO/IEC 9594-8-98 - Баталгаажуулалтын үндэс.

Энэ стандарт:

Лавлахад хадгалагдсан баталгаажуулалтын мэдээллийн форматыг тодорхойлдог;

Лавлахаас баталгаажуулалтын мэдээллийг хэрхэн авах талаар тайлбарласан;

Лавлахад баталгаажуулах мэдээллийг үүсгэх, байршуулах аргын урьдчилсан нөхцөлийг бий болгох;

Гурван арга замыг тодорхойлдог хэрэглээний программуудбаталгаажуулалт хийхдээ ийм баталгаажуулалтын мэдээллийг ашиглаж болох ба баталгаажуулалтыг ашиглан бусад аюулгүй байдлын үйлчилгээг хэрхэн үзүүлж болохыг тайлбарладаг.

Энэхүү стандарт нь баталгаажуулалтын хоёр төрлийг тодорхойлдог: энгийн, нууц үгээр мэдүүлсэн иргэний үнэмлэхийг баталгаажуулах, хүчтэй, криптографийн аргыг ашиглан үүсгэсэн итгэмжлэлийг ашиглах.

Аливаа баталгаажуулалтын системд ихэвчлэн хэд хэдэн элемент байдаг:

Уг процедурт хамрагдах субъект;

Сэдвийн шинж чанар нь өвөрмөц шинж чанар юм;

Баталгаажуулалтын системийн эзэмшигч, хариуцлагатайболон түүний ажилд хяналт тавих;

Баталгаажуулах механизм нь өөрөө, өөрөөр хэлбэл системийн ажиллах зарчим;

Тодорхой нэвтрэх эрхийг олгодог эсвэл субьектийг нь хасдаг механизм.

Мөн баталгаажуулалтын 3 хүчин зүйл байдаг:

Бидний мэддэг зүйл бол нууц үг юм. Энэ бол зөвхөн эрх бүхий субъект байх ёстой нууц мэдээлэл юм. Нууц үг нь ярианы үг, текст үг, түгжээний хослол эсвэл хувийн таних дугаар (PIN) байж болно. Нууц үгийн механизмыг хэрэгжүүлэхэд хялбар бөгөөд зардал багатай. Гэхдээ энэ нь мэдэгдэхүйц сул талуудтай: нууц үгээ нууцлах нь ихэвчлэн хэцүү байдаг. Энэ нь нууц үгийн механизмыг сул хамгаалалттай болгодог.

Бидэнд байгаа зүйл бол баталгаажуулах төхөөрөмж юм. Энд хамгийн чухал зүйл бол тухайн субьект нь ямар нэгэн өвөрмөц объекттой байх явдал юм. Энэ нь хувийн тамга, түгжээний түлхүүр эсвэл компьютерийн хувьд шинж чанарыг агуулсан өгөгдлийн файл байж болно. Шинж чанар нь ихэвчлэн тусгай таних төхөөрөмж, жишээлбэл, хуванцар карт, ухаалаг карт зэрэгт суурилагдсан байдаг. Халдагчийн хувьд ийм төхөөрөмжийг олж авах нь нууц үг эвдэхээс илүү хэцүү байдаг бөгөөд тухайн төхөөрөмж хулгайлагдсан бол шууд мэдээлэх боломжтой. Тийм байна энэ арганууц үгийн механизмаас илүү найдвартай боловч ийм системийн өртөг өндөр байдаг.

Бидний нэг хэсэг нь биометр юм. Онцлог шинж чанар нь тухайн субьектийн физик шинж чанар юм. Энэ нь хөрөг зураг, хуруу, далдуу модны хээ, дуу хоолой, нүдний онцлог байж болно. Сэдвийн үүднээс авч үзвэл энэ арга нь хамгийн энгийн нь: нууц үгээ санах эсвэл таних төхөөрөмж авч явах шаардлагагүй. Гэсэн хэдий ч, биометрийн систем нь эрх бүхий хэрэглэгчийг баталгаажуулахын тулд маш мэдрэмтгий байх ёстой, гэхдээ ижил төстэй биометрийн параметр бүхий халдагчаас татгалздаг. Мөн ийм системийн өртөг нэлээд өндөр байдаг. Гэхдээ дутагдалтай байгаа хэдий ч биометр нь нэлээд ирээдүйтэй хүчин зүйл хэвээр байна.

Баталгаажуулах аргуудыг нарийвчлан авч үзье.

Дахин ашиглах боломжтой нууц үг ашиглан баталгаажуулалт.

Энэ нь ярианы хэлээр "нэвтрэх" (eng. login - хэрэглэгчийн бүртгэлийн нэр, данс) гэж нэрлэгддэг хэрэглэгчийн танигч, нууц үг - зарим нууц мэдээллийг оруулахаас бүрдэнэ. Найдвартай (лавлагаа) нэвтрэх нууц үгийн хосыг тусгай мэдээллийн санд хадгалдаг.

Үндсэн баталгаажуулалт нь дараах ерөнхий алгоритмтай:

Субъект нь системд нэвтрэх хүсэлт гаргаж, хувийн ID болон нууц үгээ оруулна.

Оруулсан өвөрмөц өгөгдлийг баталгаажуулалтын сервер рүү илгээж, лавлагааны өгөгдөлтэй харьцуулна.

Хэрэв өгөгдөл нь лавлагааны өгөгдөлтэй тохирч байвал баталгаажуулалт амжилттай болсон гэж үзнэ

Субъектийн оруулсан нууц үгийг сүлжээнд хоёр аргаар дамжуулж болно.

Шифрлэгдээгүй, in нээлттэй хэлбэр, Нууц үг баталгаажуулах протокол (PAP) дээр суурилсан

SSL эсвэл TLS шифрлэлтийг ашиглах. Энэ тохиолдолд субьектийн оруулсан өвөрмөц өгөгдлийг сүлжээгээр аюулгүйгээр дамжуулдаг.

Нэг удаагийн нууц үг ашиглан баталгаажуулалт.

Сэдвийн дахин ашиглах боломжтой нууц үгийг олж авсны дараа халдагчид хакердсан нууц мэдээлэлд байнга нэвтрэх боломжтой байдаг. Энэ асуудлыг нэг удаагийн нууц үг (OTP - One Time Password) ашиглан шийддэг. Энэ аргын мөн чанар нь нууц үг нь зөвхөн нэг нэвтрэлтэнд хүчинтэй байх бөгөөд дараагийн хандалтын хүсэлт бүрт шинэ нууц үг шаардлагатай болно. Нэг удаагийн нууц үг ашиглан баталгаажуулах механизмыг техник хангамж эсвэл програм хангамжийн аль алинд нь хэрэгжүүлж болно.

Нэг удаагийн нууц үг ашиглах технологийг дараахь байдлаар хувааж болно.

Субъект болон системийн аль алинд нь нийтлэг байдаг псевдо санамсаргүй тоо үүсгэгчийг ашиглах;

Цагийн тэмдэглэгээг цагийн нэгдсэн системтэй хослуулан хэрэглэх;

Санамсаргүй нууц үгийн мэдээллийн санг ашиглах, субьект болон системд зориулсан дүрэмт хувцас.

Олон хүчин зүйлийн баталгаажуулалт.

Сүүлийн үед өргөтгөсөн буюу олон хүчин зүйлийн баталгаажуулалт гэж нэрлэгдэх болсон. Энэ нь дээр баригдсан хуваалцахбаталгаажуулалтын хэд хэдэн хүчин зүйл. Энэ нь системийн аюулгүй байдлыг ихээхэн нэмэгдүүлдэг. Үүний нэг жишээ бол SIM карт ашиглах явдал юм гар утас. Субъект нь утсандаа картаа (баталгаажуулах төхөөрөмж) хийж, асаалттай үед ПИН (нууц үг)-ээ оруулна. Жишээлбэл, зарим орчин үеийн зөөврийн компьютер, ухаалаг гар утаснууд хурууны хээ сканнертай байдаг. Тиймээс системд нэвтрэхдээ субьект энэ процедурыг (биометр) давж, дараа нь нууц үгээ оруулах ёстой. Системийн тодорхой хүчин зүйл эсвэл баталгаажуулалтын аргыг сонгохдоо юуны өмнө шаардлагатай аюулгүй байдлын зэрэг, системийг бий болгох зардал, субьектийн хөдөлгөөнт байдлыг харгалзан үзэх шаардлагатай.

Биометрийн баталгаажуулалт.

Хүний биометрийн параметрүүдийг хэмжихэд суурилсан баталгаажуулалтын аргууд нь нууц үг, хувийн таних тэмдэгээ алдах асуудлыг шийдэж, бараг 100% таних боломжийг олгодог.

Хамгийн их ашиглагддаг биометрийн шинж чанарууд ба холбогдох системүүд нь:

Хурууны хээ;

гар геометр;

Цахилдаг;

Нүүрний дулааны зураг;

Гарын оролт;

Үүний зэрэгцээ биометрийн баталгаажуулалт нь хэд хэдэн сул талуудтай:

Биометрийн загварыг хэрэглэгчийн шинж чанарын анхны боловсруулалтын үр дүнтэй биш, харин харьцуулах сайтад ирсэн зүйлтэй харьцуулдаг. Аялалын үеэр маш их зүйл тохиолдож болно.

Загварын мэдээллийн санг халдагчид өөрчилж болно.

Биометрийг хяналттай газар, аюулгүй байдлын хяналтан дор ашиглах, жишээлбэл, сканнердах төхөөрөмж рүү дамми авчрах гэх мэт "хээрийн" нөхцөлд ашиглах хоорондын ялгааг анхаарч үзэх хэрэгтэй.

Хүний биометрийн өгөгдөлд зарим өөрчлөлтүүд (хөгшрөлт, гэмтэл, түлэгдэлт, зүслэг, өвчин эмгэг, ампутац гэх мэт) тохиолддог тул загвар мэдээллийн санд байнгын засвар үйлчилгээ шаардлагатай байдаг бөгөөд энэ нь хэрэглэгчид болон администраторуудад тодорхой бэрхшээл учруулдаг.

Хэрэв таны биометрийн мэдээлэл хулгайлагдсан эсвэл нууцлагдсан бол энэ нь ихэвчлэн насан туршдаа байдаг. Нууц үг нь найдваргүй байсан ч эцсийн арга зам болгон өөрчилж болно. Та хуруу, нүд, дуу хоолойгоо хурдан өөрчилж чадахгүй.

Биометрийн шинж чанарууд нь өвөрмөц танигч боловч нууцлах боломжгүй.

Баталгаажуулах процедурыг компьютеруудын хооронд мэдээлэл солилцоход ашигладаг бөгөөд маш нарийн төвөгтэй криптографийн протоколууд нь харилцан үйлчлэлийн оролцогчдын аль нэгийг чагнахаас эсвэл солихоос холбооны шугамыг хамгаалахад ашиглагддаг. Дүрмээр бол нэвтрэлт танилт нь сүлжээний харилцан үйлчлэлийг бий болгож буй объектуудын аль алинд нь шаардлагатай байдаг тул баталгаажуулалт нь харилцан байж болно.

Тиймээс баталгаажуулалтын хэд хэдэн бүлгийг ялгаж салгаж болно.

Компьютер дээрх хэрэглэгчийн баталгаажуулалт:

Шифрлэгдсэн нэр (нэвтрэх)

Нууц үг баталгаажуулах протокол, PAP (нэвтрэх-нууц үгийн хослол)

Хандалтын карт (сертификаттай USB, SSO)

Сүлжээний баталгаажуулалт -

Тоон гарын үсэг ашиглан SNMP-ийг хамгаалаарай

SAML (Security Assertation Markup Language)

Сеансын күүки

Kerberos тасалбар

X.509 гэрчилгээ

IN үйлдлийн системүүд Windows NT 4 гэр бүл нь NTLM протоколыг (NT LAN Manager - NT Local Network Manager) ашигладаг. Windows 2000/2003 домэйнд илүү дэвшилтэт Kerberos протоколыг ашигладаг.

Батлан хамгаалахыг гүнзгийрүүлэх үүднээс баталгаажуулалтыг хамгаалалтын бүх түвшинд ашигладаг. Зөвхөн ажилтнууд (хамгаалагдсан байгууламжид нэвтрэх, тусгай байранд орох, аливаа мэдээллийн хэрэгслээр нууц мэдээлэл хүлээн авах, компьютерийн системд нэвтрэх, програм хангамж, техник хангамж ашиглах үед) төдийгүй ажлын байр, программ, медиа мэдээлэл, багаж хэрэгсэл бүрийг баталгаажуулах ёстой. ажлын станц, сервер гэх мэттэй холбогдсон.

2.2.5 Галт хана

Галт хана (FW) нь галт хананд нэвтэрч буй болон/эсвэл галт ханаас гарах мэдээллийг хянах локал (нэг бүрэлдэхүүн хэсэг) эсвэл функциональ хуваарилагдсан програм хангамж (техник хангамж ба програм хангамж) хэрэгсэл (цогцолбор) юм. ME нь мэдээллийг шүүж AS хамгаалалтыг хангадаг, i.e. олон шалгуурын дагуу дүн шинжилгээ хийж, өгөгдсөн дүрмийн дагуу түүнийг AS-д хуваарилах шийдвэр гаргах, ингэснээр субьектүүдийн нэг АС-аас нөгөө AS-ийн объект руу нэвтрэх эрхийг хязгаарлах. Дүрэм бүр нь субьект ба объектын хооронд тодорхой төрлийн мэдээллийг дамжуулахыг хориглодог эсвэл зөвшөөрдөг. Үүний үр дүнд нэг АС-ийн субьектүүд зөвхөн өөр АС-аас зөвшөөрөгдсөн мэдээллийн объект руу хандах эрхтэй болдог. Дүрмүүдийн багцын тайлбарыг дараагийн шүүлтүүр эсвэл протоколын түвшинд өгөгдөл (пакет) дамжуулахыг зөвшөөрдөг эсвэл үгүйсгэдэг шүүлтүүрүүдийн дарааллаар гүйцэтгэдэг. ME аюулгүй байдлын таван анги бий.

Анги бүр нь мэдээллийг хамгаалахад тавигдах шаардлагуудын хамгийн бага багцаар тодорхойлогддог.

Аюулгүй байдлын хамгийн бага ангилал нь 1D ангиллын чанга яригчтай аюулгүй ажиллахад ашиглагддаг тав дахь ангилал юм гадаад орчин, дөрөв дэх нь - 1G, гурав дахь нь - 1B, хоёр дахь нь - 1B, хамгийн өндөр нь - эхнийх нь 1А ангиллын чанга яригчийг гадаад орчинтой аюулгүй харилцахад ашигладаг.

ME-д тавигдах шаардлага нь ОХУ-ын FSTEC-ийн "Компьютерийн тоног төхөөрөмж. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах аюулгүй байдлын үзүүлэлтүүд”, “Автоматжуулсан систем. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах. Автоматжуулсан системийн ангилал, мэдээлэл хамгаалах шаардлага”.

ME-г тодорхой аюулгүй байдлын ангиллын AS-д оруулах үед ME-г нэмж анхныхаас олж авсан нийт AS-ийн аюулгүй байдлын ангиллыг бууруулж болохгүй.

3B, 2B ангиллын чанга яригчийн хувьд хамгийн багадаа 5-р ангиллын ME-г ашиглах ёстой.

3А, 2А ангиллын чанга яригчийн хувьд боловсруулж буй мэдээллийн ач холбогдлоос хамааран дараах ангиллын ME-г ашиглах ёстой.

"Нууц" гэж ангилагдсан мэдээллийг боловсруулахдаа - 3-р ангиас доошгүй;

"Маш нууц" гэж ангилагдсан мэдээллийг боловсруулахдаа - 2-р ангиас доошгүй;

"Онцгой ач холбогдолтой" гэж ангилагдсан мэдээллийг боловсруулахдаа - 1-р ангиас доошгүй байна.

ME нь NSD мэдээллийн аюулгүй байдлын системийн стандарт элемент бөгөөд хандалтын хяналтын дэд системд нэвтрэх мэдээллийн урсгалыг хянах хэрэгсэл юм.

Эшелонжуулалтын үүднээс авч үзвэл галт ханыг хамгаалагдсан системийн периметр болон түүний бие даасан элементүүд, жишээлбэл, ажлын станц, сервер дээр суурилуулсан програм хангамжийн галт ханан дээр байрлуулж болно.

Цэрэггүй бүс.

DMZ (цэрэггүй бүс, DMZ) нь мэдээллийн периметрийн хамгаалалтыг хангах технологи бөгөөд гадаад сүлжээний хүсэлтэд хариу өгөх серверүүд нь тусгай сүлжээний сегментэд (DMZ гэж нэрлэгддэг) байрладаг бөгөөд сүлжээний үндсэн сегментүүдэд нэвтрэхэд хязгаарлагдмал байдаг. тухайн бүсэд байрлах төрийн үйлчилгээний аль нэгийг хакердсан үед хохирлыг багасгахын тулд галт хана (галт хана) ашиглах.

Аюулгүй байдлын шаардлагаас хамааран DMZ нь нэг, хоёр, гурван галт ханатай байж болно.

Нэг галт хана бүхий тохиргоо.

Энэхүү DMZ схемд дотоод сүлжээ болон гадаад сүлжээ нь сүлжээ хоорондын холболтыг хянадаг чиглүүлэгчийн өөр өөр портуудтай (галт ханын үүрэг гүйцэтгэдэг) холбогдсон байдаг. Энэ схемийг хэрэгжүүлэхэд хялбар бөгөөд зөвхөн нэг нэмэлт порт шаарддаг. Гэсэн хэдий ч, чиглүүлэгчийг хакердсан (эсвэл буруу тохируулагдсан) бол сүлжээ нь гадаад сүлжээнээс шууд эмзэг болно.

Хоёр галт хана бүхий тохиргоо.

Хос галт ханын тохиргоонд DMZ нь хоёр чиглүүлэгчтэй холбогддог бөгөөд тэдгээрийн нэг нь гадаад сүлжээнээс DMZ хүртэлх холболтыг хязгаарлаж, хоёр дахь нь DMZ-ээс дотоод сүлжээнд холбогдох холболтыг хянадаг. Энэхүү схем нь гадаад сүлжээтэй харилцаж буй галт хана эсвэл серверүүдийн аль нэгийг хакердсаны үр дагаврыг багасгах боломжийг олгодог - дотоод галт ханыг хакердах хүртэл халдагчид дотоод сүлжээнд дур мэдэн нэвтрэх эрхгүй болно.

Гурван галт хана бүхий тохиргоо.

Гурван галт хана бүхий ховор тохиргоо байдаг. Энэ тохиргоонд тэдгээрийн эхнийх нь гадаад сүлжээний хүсэлтийг хүлээн авдаг, хоёр дахь нь DMZ сүлжээний холболтыг, гурав дахь нь дотоод сүлжээний холболтыг хянадаг. Ийм тохиргоонд ихэвчлэн DMZ болон дотоод сүлжээ нь NAT (Сүлжээний хаягийн орчуулга)-ийн ард нуугддаг.

Нэг нь Гол онцлог DMZ нь дотоод галт хананд траффик шүүлтүүр төдийгүй дотоод сүлжээний идэвхтэй төхөөрөмж болон DMZ хоорондын харилцан үйлчлэлд заавал хүчтэй криптографын шаардлага юм. Ялангуяа DMZ дахь серверийн хүсэлтийг зөвшөөрөлгүйгээр боловсруулах боломжтой нөхцөл байдал байх ёсгүй. Хэрэв DMZ нь периметрийн доторх мэдээллийг дотроос гоожихоос хамгаалахад ашиглагддаг бол дотоод сүлжээнээс хэрэглэгчийн хүсэлтийг боловсруулахад ижил төстэй шаардлагыг тавьдаг.

Батлан хамгаалахыг гүнзгийрүүлэн хөгжүүлэх үүднээс авч үзвэл DMZ-ийг ME-ийн нэг хэсэг гэж тодорхойлж болох боловч DMZ нь зөвхөн зарим өгөгдлийг олон нийтэд ашиглах шаардлагатай үед л шаардлагатай байдаг (жишээлбэл, вэбсайт). ME шиг DMZ нь хамгаалагдсан сүлжээний ирмэг дээр хэрэгждэг бөгөөд шаардлагатай бол хэд хэдэн ийм бүс байж болох бөгөөд тус бүр өөрийн гэсэн аюулгүй байдлын бодлоготой байдаг. Тиймээс энд байгаа эхний эшелон нь DMZ-д нэвтрэх хамгаалалт, хоёр дахь нь дотоод сүлжээний хамгаалалт юм. Үүний ачаар DMZ-д нэвтрэх нь өөрөө хэцүү байдаг ч нөхцөл байдлыг амжилттай хослуулсан ч дотоод сүлжээг таслах нь бараг боломжгүй юм.

VPN (Англи хэл: Virtual Private Network) нь нэг буюу хэд хэдэн сүлжээний холболтыг (логик сүлжээ) өөр сүлжээгээр (жишээ нь, Интернет) хангах боломжийг олгодог технологийн ерөнхий нэр юм. Харилцаа холбоог итгэлийн түвшин доогуур эсвэл үл мэдэгдэх сүлжээгээр явуулдаг (жишээлбэл, нийтийн сүлжээ), баригдсан логик сүлжээнд итгэх итгэлийн түвшин нь криптографийн хэрэгслийг (шифрлэлт, баталгаажуулалт, нийтийн түлхүүрийн дэд бүтэц, логикоор дамжих давталт, өөрчлөлтөөс хамгаалах хэрэгсэл) ашигласны улмаас суурь сүлжээнд итгэх итгэлийн түвшингээс хамаардаггүй. мессежийн сүлжээ).

Ашигласан протоколууд болон зорилгоос хамааран VPN нь хост-хост, хост-сүлжээ, сүлжээ-сүлжээ гэсэн гурван төрлийн холболтыг хангаж чадна.

Ихэвчлэн VPN-үүдийг сүлжээний түвшнээс өндөргүй түвшинд байрлуулдаг, учир нь эдгээр түвшинд криптограф ашиглах нь тээврийн протоколуудыг (TCP, UDP гэх мэт) өөрчлөхгүйгээр ашиглах боломжийг олгодог.

Майкрософт Windows-ийн хэрэглэгчид VPN гэсэн нэр томъёог виртуал сүлжээний нэг болох PPTP гэсэн нэр томъёонд ашигладаг бөгөөд энэ нь ихэвчлэн хувийн сүлжээ үүсгэхэд ашиглагддаггүй.

Ихэнхдээ виртуал сүлжээг бий болгохын тулд PPP протоколыг бусад протоколд багтаасан байдаг - IP (энэ аргыг PPTP-ийн хэрэгжилтэд ашигладаг - Цэгээс цэг рүү туннелийн протокол) эсвэл Ethernet (PPPoE) (хэдийгээр тэд бас ялгаатай байдаг) . Саяхан VPN технологийг зөвхөн өөрсдөө хувийн сүлжээ бий болгоход төдийгүй ЗХУ-ын дараах үеийн зарим "сүүлийн миль" үйлчилгээ үзүүлэгчид интернетэд нэвтрэх зорилгоор ашиглаж байна.

Хэрэгжилтийн зохих түвшинд, тусгай хэрэглээтэй програм хангамж VPN сүлжээ нь дамжуулагдсан мэдээллийн өндөр түвшний шифрлэлтийг хангаж чадна. At зөв тохиргооБүх бүрэлдэхүүн хэсгүүдийн VPN технологи нь интернетэд нэрээ нууцлах боломжийг олгодог.

VPN шийдлүүдийг хэд хэдэн үндсэн параметрийн дагуу ангилж болно.

Ашигласан орчны аюулгүй байдлын түвшингээс хамааран:

Secure - виртуал хувийн сүлжээнүүдийн хамгийн түгээмэл хувилбар. Түүний тусламжтайгаар найдваргүй сүлжээ, ихэвчлэн интернет дээр суурилсан найдвартай, найдвартай сүлжээг бий болгох боломжтой. Аюулгүй VPN-ийн жишээ нь: IPSec, OpenVPN болон PPTP.

Итгэмжлэгдсэн - дамжуулагчийг найдвартай гэж үзэж болох тохиолдолд ашигладаг бөгөөд зөвхөн том сүлжээн дотор виртуал дэд сүлжээ үүсгэх асуудлыг шийдэхэд л шаардлагатай байдаг. Аюулгүй байдлын асуудал хамаагүй болж байна. Ийм VPN шийдлүүдийн жишээ нь: Олон протоколын шошго шилжих (MPLS) ба L2TP (2-р түвшний туннелийн протокол).

Хэрэгжүүлэх арга замаар:

Тусгай програм хангамж, техник хангамжийн хэлбэрээр VPN сүлжээг хэрэгжүүлэх нь тусгай програм хангамж, техник хангамжийг ашиглан хийгддэг. Энэхүү хэрэгжилт нь өндөр гүйцэтгэлтэй бөгөөд дүрмээр бол өндөр түвшний аюулгүй байдлыг хангадаг.

гэх мэт програм хангамжийн шийдэл- ашиглах Хувийн компьютер VPN функцээр хангадаг тусгай программ хангамжтай.

Нэгдсэн шийдэл - VPN функцийг сүлжээний траффикийг шүүх, галт хана зохион байгуулах, үйлчилгээний чанарыг хангах асуудлыг шийддэг цогцолбороор хангадаг.

Зорилгоор:

Intranet VPN нь нээлттэй холбооны сувгаар мэдээлэл солилцдог нэг байгууллагын хэд хэдэн тархсан салбарыг нэг аюулгүй сүлжээнд нэгтгэхэд ашиглагддаг.

Remote Access VPN - корпорацийн сүлжээний хэсэг (төв оффис эсвэл салбар) болон гэртээ ажиллаж байхдаа корпорацийн нөөцтэй холбогддог нэг хэрэглэгчийн хооронд аюулгүй суваг үүсгэхэд ашигладаг. гэрийн компьютер, байгууллагын зөөврийн компьютер, ухаалаг утас эсвэл интернет ТҮЦ.

Extranet VPN - "гадаад" хэрэглэгчид (жишээлбэл, үйлчлүүлэгч эсвэл үйлчлүүлэгчид) холбогдох сүлжээнд ашиглагддаг. Тэдэнд итгэх итгэлийн түвшин нь компанийн ажилчдаас хамаагүй доогуур байдаг тул ялангуяа үнэ цэнэтэй, нууц мэдээлэлд нэвтрэхээс урьдчилан сэргийлэх, хязгаарлах тусгай хамгаалалтын "шугам" -ыг хангах шаардлагатай.

Internet VPN - ихэвчлэн хэд хэдэн хэрэглэгчид нэг физик сувгаар холбогдсон тохиолдолд үйлчилгээ үзүүлэгчдийн интернетэд нэвтрэх боломжийг олгодог. PPPoE протокол нь ADSL холболтын стандарт болсон.

L2TP нь 2000-аад оны дундуур гэрийн сүлжээнд өргөн тархсан байсан: тэр үед дотоод сүлжээний траффик төлбөр төлдөггүй, гадаад траффик нь үнэтэй байсан. Энэ нь зардлыг хянах боломжтой болсон: VPN холболт унтарсан үед хэрэглэгч юу ч төлөхгүй. Одоогоор (2012) утастай интернетхямд эсвэл хязгааргүй бөгөөд хэрэглэгчийн талд интернетийг асаах, унтраах нь компьютер шиг тийм ч тохиромжтой биш чиглүүлэгч байдаг. Тиймээс L2TP хандалт нь өнгөрсөн зүйл болж байна.

Client/Server VPN - энэ нь корпорацийн сүлжээний хоёр зангилаа (сүлжээ биш) хооронд дамжуулагдсан өгөгдлийг хамгаалах боломжийг олгодог. Энэ сонголтын онцлог нь VPN нь нэг сүлжээний сегмент, жишээлбэл, ажлын станц ба серверийн хооронд байрладаг зангилааны хооронд баригдсан явдал юм. Энэ хэрэгцээ нь нэг физик сүлжээнд хэд хэдэн логик сүлжээ үүсгэх шаардлагатай тохиолдолд ихэвчлэн үүсдэг. Жишээлбэл, санхүүгийн хэлтэс болон хүний нөөцийн хэлтэс хоёрын хооронд урсгалыг хуваах шаардлагатай үед ижил физик сегментэд байрладаг серверт ханддаг. Энэ сонголт нь VLAN технологитой төстэй боловч траффикийг тусгаарлахын оронд шифрлэгдсэн байдаг.

Протоколын төрлөөр TCP/IP, IPX болон AppleTalk-д зориулсан виртуал хувийн сүлжээний хэрэгжилтүүд байдаг. Гэвч өнөөдөр TCP/IP протокол руу ерөнхий шилжих хандлага ажиглагдаж байгаа бөгөөд VPN шийдлүүдийн дийлэнх нь үүнийг дэмждэг. Үүнд хаяглах нь ихэвчлэн TCP/IP хувийн сүлжээний хүрээнээс RFC5735 стандартын дагуу сонгогддог.

Сүлжээний протоколын түвшингээр - ISO/OSI лавлагаа сүлжээний загварын түвшинтэй харьцуулах үндсэн дээр.

VPN-д суурилсан хамгаалалт нь өөр өөр үйлдвэрлэгчдийн тоног төхөөрөмж дээрх хоёр (эсвэл түүнээс дээш) хамгаалалтын периметрийг агуулсан байх ёстой. Энэ тохиолдолд нэг ханган нийлүүлэгчийн хамгаалалтын шугам дахь "нүх" -ийг ашиглах арга нь нөгөө нийлүүлэгчийн шийдэлд хамаарахгүй. Энэхүү хоёр шатлалт шийдэл нь олон хүмүүст зайлшгүй байх ёстой технологийн шаардлага юм корпорацийн сүлжээнүүд, ялангуяа Швейцарийн банкны сүлжээнд маш түгээмэл байдаг.

Зураг 1. Хамгаалагдсан периметрүүдийн харилцан үйлчлэлийн хувилбарууд.

Зураг 2. Зураг 1-д ашигласан тэмдэглэгээ.

Cisco болон CSP VPN бүтээгдэхүүнүүд дээр суурилсан хоёр шатлалт сүлжээний аюулгүй байдлын архитектурын хүрээнд хамгаалагдсан периметрүүдийн харилцан үйлчлэлийн дараах үндсэн хувилбаруудыг хэрэгжүүлсэн (Зураг 1):

Байгууллагын хэрэглэгчдэд зориулсан интернет холболт.

Гаднах периметрүүдийн хоорондох аюулгүй харилцан үйлчлэл.

Алсын хэрэглэгчдэд гадаад периметрийн сүлжээнд аюулгүй нэвтрэх.

Дотоод периметрийн сүлжээнд алсаас хэрэглэгчдэд аюулгүй нэвтрэх.

Дотоод периметрүүдийн найдвартай харилцан үйлчлэл.

Дотоод аюулгүй хэлхээг бий болгох, клиент-сервер програмуудыг хамгаалах.

Үндсэн хувилбаруудын техникийн хэрэгжилт нь янз бүр бөгөөд дараахь зүйлээс хамаарна.

Бид юуг хамгаалдаг вэ (хамгаалагдсан объект гэж юу вэ, тэдгээрийг хэрхэн баталгаажуулдаг вэ),

хамгаалалтын объектууд хаана байрладаг (сүлжээний топологи),

бид аюулгүй байдлын арга хэмжээг хэрхэн хэрэгжүүлэхийг хүсч байна (хандалтын хяналтын бодлого болон IPsec туннелийн бүтэц).

2.2.7 Халдлага илрүүлэх систем

Халдлага илрүүлэх систем (IDS) нь үндсэндээ интернетээр дамжуулан компьютерийн систем эсвэл сүлжээнд зөвшөөрөлгүй нэвтрэх буюу зөвшөөрөлгүй хяналт тавих тохиолдлыг илрүүлэхэд зориулагдсан програм хангамж, техник хангамжийн хэрэгсэл юм. Харгалзах Англи хэллэг-- Халдлага илрүүлэх систем (IDS). Халдлага илрүүлэх систем нь компьютерийн системийг хамгаалах нэмэлт давхаргыг хангадаг.

Халдлага илрүүлэх системийг компьютерийн системийн аюулгүй байдлыг алдагдуулж болзошгүй зарим төрлийн хортой үйлдлийг илрүүлэхэд ашигладаг. Ийм үйл ажиллагаанд эмзэг үйлчилгээнүүдийн эсрэг сүлжээний халдлага, эрхийг нэмэгдүүлэхэд чиглэсэн халдлага, чухал файлуудад зөвшөөрөлгүй нэвтрэх, түүнчлэн хортой програм хангамж (компьютерийн вирус, троян, өт) орно.

Ер нь, IDS архитектур нь дараахь зүйлийг агуулдаг.

Хамгаалагдсан системийн аюулгүй байдалтай холбоотой үйл явдлыг цуглуулах зориулалттай мэдрэгч дэд систем

Мэдрэгчийн өгөгдөл дээр үндэслэн халдлага, сэжигтэй үйлдлийг илрүүлэхэд зориулагдсан шинжилгээний дэд систем

Анхдагч үйл явдал, шинжилгээний үр дүнгийн хуримтлалыг хангадаг хадгалалт

IDS-ийг тохируулах, хамгаалагдсан систем болон IDS-ийн төлөвийг хянах, шинжилгээний дэд системээр тодорхойлсон тохиолдлыг харах боломжийг олгодог удирдлагын консол.

Мэдрэгчийн төрөл, байршлаас хамааран IDS-ийг ангилах хэд хэдэн арга байдаг бөгөөд сэжигтэй үйл ажиллагааг тодорхойлоход шинжилгээний дэд систем ашигладаг. Олон энгийн IDS-д бүх бүрэлдэхүүн хэсгүүдийг нэг модуль эсвэл төхөөрөмж хэлбэрээр хэрэгжүүлдэг.

Мэдрэгчийн байршлаас хамааран IDS-ийн ангиллыг ашиглан сүлжээний (сүлжээний IDS), сервер (протоколын IDS) болон хост (зангилаа IDS) түвшинд байрлах давхаргат IDS-ийг тодорхойлох боломжтой. Ижил ангиллын дагуу эрлийз IDS нь үндсэн тусгаарлах шаардлагыг хангасан тул давхаргат IDS гэж шууд ангилж болно.

Сүлжээнд холбогдсон IDS-д мэдрэгч нь сүлжээний чухал цэгүүдэд, ихэвчлэн цэрэггүй бүсэд эсвэл сүлжээний захад байрладаг. Мэдрэгч нь сүлжээний бүх урсгалыг таслан зогсоож, пакет бүрийн агуулгыг хортой бүрэлдэхүүн хэсгүүд байгаа эсэхийг шинжилдэг. Протоколын IDS нь тодорхой протоколын дүрэм эсвэл хэлний синтакс (жишээ нь, SQL) зөрчсөн урсгалыг хянахад ашиглагддаг. Хост суурилсан IDS-д мэдрэгч нь ихэвчлэн суулгасан хостын үйл ажиллагааг хянадаг програм хангамжийн агент юм. Мөн жагсаасан OWL төрлийн эрлийз хувилбарууд байдаг.

Сүлжээнд суурилсан IDS (NIDS) нь сүлжээний урсгалыг шалгаж, олон хостуудыг хянадаг. Сүлжээний халдлагыг илрүүлэх систем нь порт толин тусгал хийхээр тохируулсан төв эсвэл шилжүүлэгч эсвэл сүлжээний TAP төхөөрөмжид холбогдож сүлжээний траффик руу нэвтрэх боломжийг олж авдаг. Вэбд суурилсан IDS-ийн жишээ бол Snort юм.

Протоколд суурилсан IDS (PIDS) нь холбогдох систем эсвэл хэрэглэгчидтэй харилцах протоколуудыг хянаж, дүн шинжилгээ хийдэг систем (эсвэл агент) юм. Вэб серверийн хувьд ийм IDS нь ихэвчлэн HTTP болон HTTPS протоколуудыг хянадаг. HTTPS-г ашиглах үед HTTPS пакетуудыг шифрлэж сүлжээнд илгээхээс өмнө харахын тулд IDS нь ийм интерфейс дээр байрлах ёстой.

Хэрэглээний протоколд суурилсан IDS (APIDS) нь програмын тусгай протокол ашиглан дамжуулагдсан өгөгдлийг хянаж, дүн шинжилгээ хийдэг систем (эсвэл агент) юм. Жишээлбэл, SQL мэдээллийн сантай вэб сервер дээр IDS нь сервер рүү илгээсэн SQL командуудын агуулгыг хянах болно.

Nodal IDS (Host-based IDS, HIDS) - системийн дуудлага, програмын бүртгэл, файлын өөрчлөлт (гүйцэтгэх боломжтой, нууц үг, системийн мэдээллийн сан), хост төлөв болон бусад зүйлсийн шинжилгээг ашиглан халдлагыг хянадаг хост дээр байрладаг систем (эсвэл агент). эх сурвалжууд. Жишээ нь OSSEC.

Гибрид IDS нь IDS боловсруулах хоёр ба түүнээс дээш хандлагыг нэгтгэдэг. Сүлжээний аюулгүй байдлын хамгийн бүрэн дүр зургийг бий болгохын тулд хост дээрх агентуудын өгөгдлийг сүлжээний мэдээлэлтэй нэгтгэдэг. Эрлийз OWL-ийн жишээ бол Prelude юм.

Хэдийгээр IDS болон галт хана нь мэдээллийн урсгалыг хянах хэрэгсэл боловч галт хана нь халдлагаас урьдчилан сэргийлэхийн тулд хост эсвэл дэд сүлжээнд тодорхой төрлийн траффикийг хязгаарлаж, сүлжээн доторх халдлагыг хянадаггүй гэдгээрээ ялгаатай. IDS нь эсрэгээрээ замын хөдөлгөөнийг дамжуулж, дүн шинжилгээ хийж, сэжигтэй үйл ажиллагаа илэрсэн үед дохио өгдөг. Аюулгүй байдлын зөрчлийг илрүүлэх нь ихэвчлэн эвристик дүрэм, мэдэгдэж буй компьютерийн халдлагын гарын үсгийн шинжилгээг ашиглан хийгддэг.

3. АЖЛЫН ҮНДСЭН ҮР ДҮН

Ажлын явцад мэдээллийн аюулгүй байдлын давхаргын системийг бий болгох үндсэн зарчим болох "эшелон" -ыг судалсан. Энэ нь мэдээллийн аюулгүй байдлын системийн бие даасан олон бүрэлдэхүүн хэсгүүдийг нэг газар биш, харин хамгаалагдсан системийн янз бүрийн түвшинд (эшелон) хуваарилсан байх ёстой гэсэн үг юм. Үүний ачаар системийг "хэт хамгаалах" байдалд хүрч байна сул талууднэг бүрэлдэхүүн хэсэг нь бусад бүрэлдэхүүн хэсгүүдээр бүрхэгдсэн байдаг.

"Оффис" төрлийн компьютерийн системд мэдээллийн давхаргын аюулгүй байдлыг бий болгоход ашигладаг бие даасан хэрэгслийг мөн судалсан болно.

Вирусны эсрэг програмууд;

Бичлэг хийх, аудит хийх;

Бие махбодийн хамгаалалт;

Баталгаажуулалт, нууц үгийн хамгаалалт;

Галт хана;

Цэрэггүй бүс;

Халдлага илрүүлэх систем.

Бүрэлдэхүүн хэсэг бүрийн хувьд түүний суурилуулалт ямар түвшинд шаардлагатай байгааг харгалзан үзсэн бөгөөд ОХУ-ын FSTEC-ийн баримт бичгийн дагуу тавигдах шаардлагыг мөн танилцуулав.

АШИГЛАСАН МЭДЭЭЛЛИЙН ЭХ СУРВАЛЖИЙН ЖАГСААЛТ

ОХУ-ын FSTEC-ийн удирдамж бичиг баримт "Компьютерийн тоног төхөөрөмж. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалсан аюулгүй байдлын үзүүлэлтүүд.” 1992 оны 3-р сарын 30-ны өдөр;

ОХУ-ын FSTEC-ийн удирдамж бичиг баримт "Автоматжуулсан систем. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах. Автоматжуулсан системийн ангилал, мэдээлэл хамгаалахад тавигдах шаардлага” 1992 оны 3 дугаар сарын 30-ны өдрийн;

Удирдах баримт бичиг “Компьютерийн тоног төхөөрөмж. Галт хана. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах. Мэдээлэлд зөвшөөрөлгүй нэвтрэхээс хамгаалах аюулгүй байдлын үзүүлэлтүүд" 1997 оны 7-р сарын 25;

Allbest.ru дээр нийтлэгдсэн

Үүнтэй төстэй баримт бичиг

Зөвшөөрөлгүй нэвтрэх арга, мэдээллийг хамгаалах арга, хэрэгслийн ангилал. LAN дээрх мэдээллийн аюулгүй байдлын аргуудад дүн шинжилгээ хийх. Тодорхойлолт, баталгаажуулалт, бүртгэл, аудит, хандалтын хяналт. Компьютерийн системийн аюулгүй байдлын тухай ойлголт.

дипломын ажил, 2011 оны 04-р сарын 19-нд нэмэгдсэн

Хамгаалалтын шаардлагатай түвшин ба сүлжээний үр ашгийн хооронд сонголт хийх асуудал. Сүлжээнд мэдээллийн аюулгүй байдлыг хангах механизмууд: криптограф, цахим гарын үсэг, баталгаажуулалт, сүлжээний хамгаалалт. Орчин үеийн мэдээллийн аюулгүй байдлын хэрэгсэлд тавигдах шаардлага.

курсын ажил, 2008-01-12 нэмэгдсэн

Мэдээллийг хамгаалах шаардлага. Автоматжуулсан системийн ангилал. Мэдээллийн аюулгүй байдлын шаардлагатай түвшинд нөлөөлөх хүчин зүйлүүд. Биет мэдээллийн хамгаалалт. Тасралтгүй тэжээлийн хангамжийг суурилуулах. Таних, баталгаажуулалт, хандалтын хяналт.

курсын ажил, 2014/11/29 нэмэгдсэн

Мэдээллийг зөвшөөрөлгүй нэвтрэхээс хамгаалах арга, хэрэгсэл. Компьютерийн сүлжээнд мэдээлэл хамгаалах онцлог. Криптографийн хамгаалалт ба электрон цахим гарын үсэг. Компьютерийн вирус, хакерын халдлагаас мэдээллийг хамгаалах аргууд.

хураангуй, 2011 оны 10-р сарын 23-нд нэмэгдсэн

Компьютерийн сүлжээн дэх мэдээллийн аюулгүй байдлын технологийн тойм: криптограф, цахим гарын үсэг, баталгаажуулалт, сүлжээний хамгаалалт. Avast системийг ашиглан үйлчлүүлэгч машин дээрх мэдээллийн аюулгүй байдлын зохион байгуулалт. Таны компьютер дээрх Avast системийн тохиргоо, тохиргоо.

курсын ажил, 2014/05/11 нэмэгдсэн

Компьютерийн гэмт хэргийн тухай ойлголт. Мэдээллийн хамгаалалт ба мэдээллийн аюулгүй байдлын үндсэн ойлголтууд. Мэдээлэлд учирч болзошгүй аюулын ангилал. Аюул заналхийлэл үүсэх урьдчилсан нөхцөл. Хамгаалах арга, арга мэдээллийн нөөц. Вирусны эсрэг програмын төрлүүд.

курсын ажил, 2013/05/28 нэмэгдсэн

Таны компьютерийг зөвшөөрөлгүй нэвтрэхээс хамгаалах программ хангамж, техник хангамж. Цахим түгжээ"Булга". SecretNet мэдээллийн аюулгүй байдлын систем. Хурууны хээ мэдээллийн аюулгүй байдлын төхөөрөмж. Нийтийн түлхүүрийн удирдлага, гэрчилгээжүүлэх төвүүд.

курсын ажил, 2016/08/23 нэмэгдсэн

Хамгаалагдсан объектын шинж чанар, түүнд тавигдах шаардлага. Нэвчилтийн суваг, хамгаалалтын шаардлагыг тодорхойлох. Хамгаалалтын хэрэгсэл, тэдгээрийн байршил. Нарийн төвөгтэй хамгаалалт бүхий мэдээллийн хамгаалалтын өөр систем. Хамгаалагдсан бүтэц, өрөө, танхим.

курсын ажил, 2012-04-16-нд нэмэгдсэн

Мэдээллийн аюулгүй байдлын техникийн хэрэгсэл. Компьютерийн системийн аюулгүй байдлын гол аюулууд. Зөвшөөрөлгүй нэвтрэхээс хамгаалах хэрэгсэл. Нууц мэдээлэл алдагдахаас урьдчилан сэргийлэх системүүд. Багаж хэрэгсэлхамгаалалтын системийн шинжилгээ.

танилцуулга, 11/18/2014 нэмэгдсэн

Мэдээллийг хамгаалах объект болгон шинжлэх, мэдээллийн аюулгүй байдлын шаардлагыг судлах. Инженер-техникийн хамгаалалтын арга хэмжээний судалгаа, мэдээллийн хамгаалалтын объектын хяналтын системийг боловсруулах. Packet Tracer програмыг ашиглан объектын хамгаалалтыг хэрэгжүүлэх.

Гүнзгий хамгаалалт гэдэг нь хамгаалагдсан мэдээлэлд гадны нэвтрэлт, нөлөөллөөс хамгаалах олон үе шаттай хамгаалалт юм.

Ер нь батлан хамгаалах стратеги гэдэг нь олон тооны шалгалтууд болон хамгаалалтын технологийн ололтыг хэлдэг. Гэхдээ энэ нь мэдээллийн аюулгүй байдлыг үргэлж сайжруулдаггүй.

Компаниуд тусгай шаардлагагүйгээр нэмэлт кибер аюулгүй байдлын мэргэжилтнүүдийг ажилд авдаг нөхцөл байдлыг төсөөлөөд үз дээ. Тийм ээ, аюулгүй байдлын зардал нэмэгдэж байгаа ч кибер аюулгүй байдлын түвшин нэмэгдэх нь бодит үнэн биш юм. Хяналтгүй физик талбараас болж мэдээлэл алдагдах талаар бүү мартаарай

Гүнзгий хамгаалалт

Эдгээр мэргэжилтнүүд үүрэг хариуцлагаа давхардуулж болохгүй, харин бие биенийхээ чадавхийг өргөжүүлэх ёстой. Өөрөөр хэлбэл, тус бүр нь тодорхой чиглэлээр мэргэшсэн мэргэжилтэн байх ёстой. Тэд хамтдаа хамгаалалтыг гүнзгийрүүлэн бий болгох боломжтой бөгөөд энэ нь олон тооны шалгалт, хамгаалалтын технологиос илүү найдвартай хамгаалалт өгөх болно.

Энэ яагаад ийм чухал вэ?

Жишээлбэл, системийн администратор сайн хамгаалагдсан тохиргоог хийсэн дотоод сүлжээгадны нэвтрэлтээс хамгаалагдсан боловч ажилтнууд нь фишинг халдлага болон нийгмийн инженерчлэлийн бусад аргуудаас хамгаалах шаардлагатай мэдлэггүй байдаг.

Ажилтан өөрөө хортой скрипт ажиллуулж, улмаар хакерт хамгаалалтын олон давхаргыг давахад тусалдаг болох нь харагдаж байна. Энэ бол хамгаалалтыг гүн гүнзгий ашиглахын мөн чанар юм.

Мэдээллийн аюулгүй байдлын компаниудын мэдээлснээр хакеруудын халдлага жил ирэх тусам улам боловсронгуй болж байна. Хэрэв та бизнесээ хамгаалахыг хүсч байвал цаг үетэйгээ хөл нийлүүлэн алхах хэрэгтэй.

Майкрософт бол машин сургалтыг хөгжүүлсэн анхны хүмүүсийн нэг юм. Одоо тэд Windows 10 дээр ашигладаг хиймэл оюунХэрэглэгчийн зан төлөвт дүн шинжилгээ хийж, ер бусын үйлдлүүдийг тодорхойлж, аюулгүй байдлын төвд мэдээлэл дамжуулах боломжтой. Тэд саяхан томоохон халдлагыг зогсоож чадсан. 12 цагийн дотор 500,000 орчим компьютер уул уурхайн программ суулгасан хортой скриптээр халдварласан байна.

Мэдээллийн аюулгүй байдлын гүн гүнзгий загвар

Батлан хамгаалахын бэлэн загварыг гүнзгий авч үзэх ёсгүй гэдгийг би шууд хэлье, учир нь энэ нь тохиромжгүй байх магадлал өндөр байдаг. Жишээлбэл, энэ нь хэтэрхий төвөгтэй болж хувирах бөгөөд байгууллагын ажлын онцлогийг харгалзан үзэхгүй бөгөөд энэ нь бие даасан хамгаалалтын загварыг гүн гүнзгий шаарддаг. Дашрамд хэлэхэд, эхнээс нь хөгжүүлэх нь өөр байгууллагаас авсан загварыг дахин боловсруулахаас илүү үр дүнтэй байж болох юм.

2025 он гэхэд энэ нь дэлхийн хэмжээний шууд цохилт өгөх Америкийн стратегийн үр дүнтэй хариу арга хэмжээ гэж нэрлэж болно гэж тэтгэвэрт гарсан хурандаа Виктор Литовкин хэлэв.

Давхаргатай пуужингийн довтолгооноос хамгаалах систем

Манай улсад 2025 он гэхэд пуужингийн довтолгооноос хамгаалах давхаргын үндэсний системийг бүтээх ажил дуусна гэж тэрбээр сэтгүүлчдэд мэдээллээ. ерөнхий дизайнерпуужингийн довтолгооны дохиоллын систем (MAWS) Сергей Боев. Тэрээр энэхүү бүтээн байгуулалтыг дэлхийн хэмжээнд агаарын довтолгооноос хамгаалах зэвсгийг идэвхтэй хөгжүүлж буй хариу үйлдэл гэж нэрлэж, өнөөдөр цэргийн мөргөлдөөний явцыг ихээхэн тодорхойлдог.

“Пуужингийн довтолгооноос хамгаалах систем нь газар ба сансрын гэсэн хоёр эшелонтой. Газрын эшелонд манай улсын периметрийн дагуу байрлах пуужингийн довтолгооноос сэрэмжлүүлэх станцууд, зенитийн пуужингийн болон пуужин эсэргүүцэх станцууд багтдаг. пуужингийн системүүд, стратегийн болон дунд болон богино зайн тусгалтай пуужингуудыг хоёуланг нь саатуулах чадвартай.

Мөн пуужингийн довтолгооноос сэрэмжлүүлэх систем болох сансрын эшелон нь тагнуулын төхөөрөмж, тэр дундаа хиймэл дагуулын төхөөрөмжийг ашиглан ямар ч чиглэлд пуужин харвах боловч юуны түрүүнд Орос руу чиглүүлж байгааг илрүүлдэг. Бид давхаргын хамгаалалтын талаар ярихдаа радарын станц, агаарын довтолгооноос хамгаалах системийг зөвхөн периметрийн дагуу төдийгүй улс орны дотор байрлуулна гэж үздэг. Ийм арга барил нь тус улсын үйлдвэрлэлийн гол бүс нутаг, цэргийн байгууламж, соёлын төвүүд рүү чиглэсэн халдлагыг алдахгүй байх боломжийг олгоно" гэж FBA Economics Today-д цэргийн шинжээч тайлбарлав.

2025 он гэхэд давхаргын довтолгооноос хамгаалах систем нь пуужингийн довтолгооноос хамгаалах болон агаарын довтолгооноос хамгаалах системийг бүхэлд нь, тэр дундаа Зөвлөлтийн дараахь орон зай дахь манай холбоотнуудын нутаг дэвсгэрт нэгтгэх төлөвтэй байна. Ийм шүхэр бий болгох нь тактикийн болон стратегийн агаарын довтолгооноос хамгаалах болон пуужингийн довтолгооноос хамгаалах системийн хоорондох хил хязгаарыг бүдгэрүүлэхэд хүргэдэг гэж шинжээч үзэж байна.

Шуурхай дэлхийн ажил хаялт

Давхаргатай пуужингийн довтолгооноос хамгаалах системд Тунгуска, Бук, Панцир, Тор-М2 зэрэг ойрын тусгалын системүүд болон дунд тусгалын С-300, Витязь орно. Цэргийн шинжээч Алексей Леонковын тэмдэглэснээр газрын гадаргаас 100 км хүртэлх зайд байг онох чадвартай алсын тусгалын агаарын довтолгооноос хамгаалах S-500 системийг нэвтрүүлснээр давхарласан хамгаалалтын системийг бүрэн төгс болгоно.

"Ийм хамгаалалтыг АНУ-ын "Flash global strike" гэж нэрлэгддэг сансрын асар том довтолгооны үзэл баримтлалд үр дүнтэй хариу арга хэмжээ гэж нэрлэж болно. Батлан хамгаалах системийг боловсруулж байгаа бөгөөд үүнд хараахан ашиглагдаагүй байгаа ирээдүйтэй бүтээн байгуулалтууд, тэр дундаа хэт авианы далавчит пуужингууд зэргийг харгалзан үзэж байна. Дайсанд ийм зэвсэг байхгүй ч ийм пуужин гарч ирвэл бид таслан зогсооход бэлэн байх болно. АНУ тэргүүтэй улс орнуудад ийм өндөр хөгжсөн агаарын довтолгооноос хамгаалах систем байхгүй гэдгийг тэмдэглэх нь зүйтэй” гэж Виктор Литовкин дүгнэв.

Сергей Боевын тэмдэглэснээр, дэлхийн хэмжээний шууд цохилт өгөх стратеги 2030 он гэхэд дуусна. Энэ үед АНУ цохилт өгөхийн тулд янз бүрийн тохируулгатай тив хоорондын баллистик пуужин, хэт авианы зэвсэг, төрөл бүрийн байрлалтай далавчит пуужингуудыг нэгэн зэрэг ашиглах боломжтой болно. Румын, Польшид байрлуулсан Aegis газар дээрх пуужингийн довтолгооноос хамгаалах систем энд бидэнд шууд аюул учруулж байна. Одоогийн сорилтод тулгуурлан 20-иод оны дунд үе гэхэд пуужингийн довтолгооноос хамгаалах давхаргын системийг байршуулах явдал юм. стратегийн даалгаварманай улсын төлөө.

Хөгжилд олон сая доллар зарцуулж байгаа бөгөөд Оросын агаарын довтолгооноос хамгаалах болон пуужингийн довтолгооноос хамгаалах системийг даван туулж чадна гэж Америкийн The National Interest сэтгүүлд бичжээ. Хэвлэлийн дүгнэлтээр Америкийн арми өндөр технологийн дайсантай сөргөлдөх туршлагагүй тул Оросын Холбооны Улстай болзошгүй цэргийн мөргөлдөөний үр дүнг урьдчилан таамаглах боломжгүй юм. Ажиллагаа хийсэн тохиолдолд орчин үеийн үл үзэгдэх нисэх онгоц, Томагавкс зэрэг далавчит пуужингууд саатуулах эрсдэлтэй болно гэж нийтлэлийн зохиогч онцолжээ. Америкийн зэвсгийн чадвар, Оросын агаарын довтолгооноос хамгаалах боломжийн талаар RT-ийн материалаас уншина уу.

Үл үзэгдэх технологийг өргөн ашигладаг нисэх онгоц бүтээхэд Пентагоны хөрөнгө оруулалт нь баталгаатай үр дүнг өгөхгүй. Оросын систем"Хандалт ба маневр хийх хязгаарлалт ба хориглолт" (A2/AD - нэвтрэх болон бүс нутгийг хориглох). Энэ тухай Америкийн The National Interest сонинд бичжээ.

A2/AD гэдэг нь барууны орнуудад түгээмэл хэрэглэгддэг нэр томъёо бөгөөд энэ нь тухайн муж улс хилээс хэдэн зуу, хэдэн арван километрийн зайд агаарын довтолгооны зэвсгийг таслан зогсоох, дайсны газар болон далайн бай руу урьдчилан сэргийлэх цохилт өгөх чадвартай алсын тусгалын цохилтын системтэй гэсэн үг юм.

Хилийн чанад дахь хэвлэлд Орост "агаарын минатай талбай" байгаа бөгөөд мөргөлдөөн гарсан тохиолдолд НАТО ямар нэгэн байдлаар саармагжуулах эсвэл тойрч гарах ёстой гэж тэмдэглэжээ. Москвагийн гол давуу тал бол давхрагатай агаарын довтолгооноос хамгаалах систем бөгөөд гол давуу тал нь тусгал, нарийвчлал, хөдөлгөөнт байдал юм.

The National Interest-ийн бичсэнээр Оросын агаарын орон зайд халдсан тохиолдолд Америкийн хамгийн сүүлийн үеийн онгоцууд төдийгүй далайд суурилсан далавчит пуужингууд (бид Tomahawks-ийн тухай ярьж байна) эмзэг болно. Энэ шалтгааны улмаас" Хамгийн зөв замАгаарын довтолгооноос хамгаалах системийг эсэргүүцэх нь тэдгээрээс зайлсхийх явдал юм” гэж сэтгүүл дүгнэжээ.

Тэнгэрийн хяналт

Барууны хэвлэлд НАТО-гийн нисэх онгоц, пуужин Оросын цэргүүдтэй зэвсэглэсэн агаарын довтолгооноос хамгаалах/пуужингийн довтолгооноос хамгаалах системд өртөмтгий гэсэн ойлголт өргөн тархсан байна. Цэргийн шинжээч Юрий Кнутовын хэлснээр бол АНУ агаарын тэнхлэгт бүрэн давуу байдал олж авсны дараа л цэргийн ажиллагаагаа эхлүүлдэг зуршилд үндэслэсэн аж.

“Америкчууд командын постууд болон агаарын довтолгооноос хамгаалах системийг устгахгүйгээр хэзээ ч улс орон руу дайрдаггүй. ОХУ-ын хувьд энэ нь туйлын боломжгүй нөхцөл байдал юм. Тиймдээ ч тэд өнөөгийн нөхцөл байдалд эгдүүцэж байгаа юм. Үүний зэрэгцээ АНУ-д бидэнтэй хийж болзошгүй дайнд бэлтгэх үйл явц хэзээ ч дуусаагүй бөгөөд америкчууд нисэх онгоц, зэвсгээ сайжруулсаар байна" гэж Кнутов RT агентлагт ярилцлага өгөхдөө мэдэгдэв.

Шинжээчийн үзэж байгаагаар АНУ нисэхийн технологийн хөгжлөөр манай улсаас түрүүлж ирсэн уламжлалтай. Гэсэн хэдий ч хагас зууны турш дотоодын эрдэмтэд таслан зогсоох чадвартай өндөр үр дүнтэй зэвсгийг бүтээж байна хамгийн шинэ нисэх онгоцболон НАТО-гийн пуужингууд, тэдгээрийн электрон төхөөрөмжид ноцтой саад учруулдаг.

ЗХУ-д агаарын довтолгооноос хамгаалах / пуужингийн довтолгооноос хамгаалах давхаргын системийг бий болгоход асар их анхаарал хандуулсан. 1960-аад оны эхэн үе хүртэл Америкийн тагнуулын онгоц ЗХУ-ын дээгүүр бараг саадгүй нисч байв. Гэсэн хэдий ч анхны зенитийн пуужингийн систем (SAM) гарч ирэн, Свердловскийн ойролцоох U-2 онгоцыг устгаснаар (1960 оны 5-р сарын 1) Америкийн Агаарын цэргийн хүчний манай улсын нутаг дэвсгэр дээрх нислэгийн эрч хүч мэдэгдэхүйц буурчээ.

Агаарын довтолгооноос хамгаалах систем, пуужингийн довтолгооноос сэрэмжлүүлэх систем (MAWS) бий болгох, хөгжүүлэхэд асар их хөрөнгө оруулалт хийсэн. Үүний үр дүнд ЗСБНХУ нь засаг захиргааны хамгийн чухал төвүүд, цэргийн гол дэд бүтэц, командын постууд, үйлдвэрлэлийн бүсүүдийн найдвартай хамгаалалтыг хангаж чадсан.

Төрөл бүрийн радарын станцууд(агаарын орон зайд хяналт тавих, бай илрүүлэх, тагнуул хийх), автомат удирдлагын систем (радарын мэдээллийг боловсруулах, түүнийг команд руу дамжуулах), түгжигдэх төхөөрөмж, галыг устгах систем (агаарын довтолгооноос хамгаалах пуужингийн систем, сөнөөгч онгоц, байлдааны электрон систем).

1980-аад оны сүүлчээр ЗХУ-ын агаарын довтолгооноос хамгаалах хүчний байнгын хүч 500 мянган хүнээс давжээ. Зөвлөлт Холбоот Улсыг Москвагийн Агаарын довтолгооноос хамгаалах тойрог, Пуужингийн сэрэмжлүүлгийн 3-р арми, Агаарын довтолгооноос хамгаалах 9-р тусдаа корпус, 18-р тусдаа сансрын удирдлагын корпус, түүнчлэн Минск, Киев, Свердловск, Ленинградад төв байртай агаарын довтолгооноос хамгаалах 8 арми хамгаалж байв. , Архангельск , Ташкент, Новосибирск, Хабаровск, Тбилиси.

Нийтдээ 1260 гаруй агаарын довтолгооноос хамгаалах пуужингийн дивиз, 211 зенитийн пуужингийн дэглэм, 28 радиотехникийн дэглэм, 36 радиотехникийн бригад, 70 агаарын довтолгооноос хамгаалах сөнөөгч дэглэм, 2.5 мянга гаруй байлдааны нисэх онгоц байлдааны үүрэг гүйцэтгэж байна.

ЗСБНХУ задран унасны дараа геополитикийн нөхцөл байдал, цэргийн сургаал өөрчлөгдсөнтэй холбогдуулан агаарын довтолгооноос хамгаалах хүчний тоог цөөрүүлэв. Одоо сансрын хүчинд сансрын хүчний ангиуд (эрт сэрэмжлүүлэх системийг хариуцдаг), Агаарын довтолгооноос хамгаалах-пуужингаас хамгаалах 1-р арми (Москва мужийг хамгаалдаг), ОХУ-ын өмнөд хэсгийг хамарсан агаарын болон агаарын довтолгооноос хамгаалах таван арми орно. Оросын төв хэсгийн баруун бүс нутаг, Алс Дорнод, Сибирь, Волга, Урал, Арктик.

ОХУ-ын БХЯ-ны мэдээлснээр сүүлийн жилүүдэд Орос улс "пуужингийн аюултай гол чиглэлд" тасралтгүй радарын талбайг сэргээж, агаарын довтолгооноос хамгаалах системийг хамгийн сүүлийн үеийн S-400 агаарын довтолгооноос хамгаалах системийг хүлээн авснаар хүчирхэгжүүлсэн. Ялалт", "Пантсир-С", "Тора" ба "Пантсир-С"-ийн шинэчилсэн хувилбарууд нь Бука."

Ирэх жилүүдэд арми А-135 Амур пуужингийн довтолгооноос хамгаалах системийг шинэчлэх ажлыг дуусгаж, байрлуулахаар төлөвлөж байна. олноор үйлдвэрлэхС-500 цогцолбор нь тойрог замын нисэх онгоц, хиймэл дагуул, тив хоорондын баллистик пуужин, тэдгээрийн байлдааны хошуу гэх мэт бараг бүх мэдэгдэж буй байг барих чадвартай.

"Үр дүн гарахгүй"

Цэргийн Шинжлэх Ухааны Академийн профессор Вадим Козюлин RT агентлагт ярилцлага өгөхдөө АНУ-д нисэх онгоц, пуужингийн радарын тэмдэглэгээ багатай байх эсэх талаар маргаан үргэлжилсээр байгааг тэмдэглэв. Түүний хэлснээр орчин үеийн радарууд (ялангуяа Оросын) агаарт байгаа "үл үзэгдэх" радаруудыг хялбархан илрүүлж чадна гэсэн болгоомжлол АНУ-д нэмэгдэж байна.

“Хэрэв энэ нь шинэ амжилт авчрахгүй бол энэ салбарт ингэж шаргуу ажиллах нь утга учиртай юу гэсэн асуулт гарч ирж байна. Америкчууд үл үзэгдэх технологийг хөгжүүлэх анхдагчид байсан. Хэдэн зуун тэрбум долларыг үл үзэгдэх төслүүдэд зарцуулсан ч үйлдвэрлэлийн бүх дээж нь хүлээлтийг хангаагүй" гэж Козюлин хэлэв.

Үр дүнтэй тархалтын талбайг (RCS) багасгах замаар радарын бага тэмдэглэгээг олж авдаг. Энэ үзүүлэлт нь онгоцны загварт хавтгай геометрийн хэлбэр, тусгай радио шингээгч материал байгаа эсэхээс хамаарна. "Үл үзэгдэх" онгоцыг ихэвчлэн 0.4 квадрат метрээс бага ESR бүхий онгоц гэж нэрлэдэг. м.

АНУ-ын үйлдвэрлэсэн анхны үл үзэгдэх онгоц бол 1981 онд тэнгэрт хөөрсөн тактикийн бөмбөгдөгч Lockheed F-117 Nighthawk байв. Тэрээр Панам, Ирак, Югославын эсрэг ажиллагаанд оролцсон. Хэдийгээр ESR үзүүлэлт нь цаг хугацааны хувьд гайхалтай (0.025 м2-аас 0.1 м2 хүртэл) F-117 нь олон чухал дутагдалтай байсан.

Маш өндөр үнэ, ашиглалтын нарийн төвөгтэй байдлаас гадна Nighthawk нь байлдааны ачаалал (хоёр тонн гаруй) болон зайн (900 орчим км) хувьд АНУ-ын Агаарын цэргийн хүчний өмнөх тээврийн хэрэгслүүдээс найдваргүй доогуур байв. Нэмж дурдахад, үл үзэгдэх нөлөө нь зөвхөн радио чимээгүй горимд (харилцаа холбоог унтрааж, найз эсвэл дайсныг таних системийг унтраасан) хүрсэн.

1999 оны 3-р сарын 27-нд Америкийн өндөр технологийн тээврийн хэрэгслийг Югославын агаарын довтолгооноос хамгаалах хүчний Зөвлөлтийн S-125 агаарын довтолгооноос хамгаалах систем буудаж унагасан нь аль хэдийн хуучирсан гэж тооцогддог байв. Энэ бол F-117-ийн цорын ганц байлдааны ялагдал байв. Түүнээс хойш цэргийн албан хаагчид болон мэргэжилтнүүдийн дунд ийм хэрэг хэрхэн гарах болсон талаар хэлэлцүүлэг үргэлжилсээр байна. 2008 онд Nighthawk АНУ-ын Агаарын цэргийн хүчинд ажиллаж байгаад тэтгэвэртээ гарсан.

Ихэнх орчин үеийн загваруудАмерикийн нисэх онгоцыг мөн "үл үзэгдэх" онгоцоор төлөөлдөг. Эхний тав дахь үеийн F-22 онгоцны EPR нь 0.005-0.3 хавтгай дөрвөлжин метр юм. м, хамгийн шинэ тулаанч F-35 - 0.001-0.1 кв. м, холын зайн бөмбөгдөгч B-2 Spirit - 0.0014-0.1 кв. Үүний зэрэгцээ S-300 ба S-400 агаарын довтолгооноос хамгаалах системүүд нь 0.01 хавтгай дөрвөлжин метр талбайд ESR бүхий агаарын зорилтыг бүртгэх чадвартай. м (яг тодорхой мэдээлэл байхгүй).

Барууны болон дотоодын хэвлэл мэдээллийн хэрэгслээр Орос уу гэдгийг олж мэдэхийг оролддог гэж Козюлин тэмдэглэв агаарын довтолгооноос хамгаалах системАмерикийн онгоцнуудыг саатуулах. Түүний хэлснээр, агаарын довтолгооноос хамгаалах тулалдаанд олон хүчин зүйл нэгэн зэрэг нөлөөлдөг бөгөөд түүний үр дүнг урьдчилан таамаглах боломжгүй юм.

“Онгоцны өндөр, нислэгийн хүрээ зэргээс шалтгаалан EPR өөрчлөгддөг. Нэгэн цагт энэ нь тодорхой харагдаж магадгүй, нөгөө үед - үгүй. Гэсэн хэдий ч Оросын агаарын довтолгооноос хамгаалах систем дэлхийн зах зээл дээр маш их алдартай бөгөөд америкчууд S-400-ийн чадавхид санаа зовж байгаа нь Оросын агаарын довтолгооноос хамгаалах систем нь өгсөн үүрэг даалгавраа биелүүлж байгааг харуулж байна, өөрөөр хэлбэл агаарын довтолгооноос хамгаалах. гэж Козюлин дүгнэв.