أمن المعلومات الميكانيكية. وسائل البرامج والأجهزة النموذجية لحماية المعلومات

تمتلك المؤسسات الحكومية والمنظمات الخاصة وفئات معينة من المواطنين معلومات ذات قيمة ليس فقط بالنسبة لهم ، ولكن أيضًا للمهاجمين أو المنافسين أو عملاء المخابرات الأجنبية. لا يهم في أي شكل يتم تخزين المعلومات وعبر القنوات التي يتم نقلها ، لأنه في جميع المراحل يجب أن تعمل الحماية الهندسية والتقنية للمعلومات. هذه ليست فقط مجموعة من التدابير التي ستعيق استخراج البيانات القيمة ، ولكنها أيضًا مجال منفصل للعلم.

الحماية التقنية فعالة من خلال دراسة شاملة للمبنى الذي يتم تخزين البيانات فيه ، وتكوين الموظفين ، والقنوات المحتملة لتسرب المعلومات ، والأساليب والوسائل الحديثة للحماية والسرقة. يجب أن يحدد مدير المؤسسة بوضوح حجم المشكلة ومقدار التكاليف اللازمة. الوسائل المادية والمعدات وتدريب الموظفين وإنشاء هيئة خاصة ستترتب عليها تكاليف (حوالي 15٪ من أرباح الشركة). - هذا هو حق كل موضوع ومالك في مكافحة أساليب تسرب البيانات غير المصرح به ، والنشر غير المنضبط للمعلومات والتدخل في عمليات المعلومات الخاصة بالمنظمة.

مفهوم النظام الشمولي

كل مادي أو شخصيةاعتمادًا على طبيعة ومستوى حماية المعلومات ووفقًا لقوانين الاتحاد الروسي. يتم تطوير نظام وتدابير هندسية وفنية بعد دراسة الموضوع وتحديد التدابير اللازمة لسلامة المعلومات. للقيام بذلك ، يجب حماية البيانات القيمة من جميع قنوات التسرب المحتملة ، والوصول غير المصرح به والإجراءات المتهورة (غير المقصودة) لموظفي المنظمة.

لا يمكن سرقة البيانات فحسب ، بل يمكن أيضًا تشويهها عن طريق إضافة معلومات خاطئة ، ونسخها وكشفها نيابة عنهم ، بل والأسوأ من ذلك ، منع الوصول إليها. يمكن للمحتالين سرقة أي ناقل معلومات أو تدميره أو إفساده. لكن هذا ليس هو المصدر الوحيد للخطر ، فقد تحدث نفس العواقب بسبب أفعال خاطئة غير مقصودة من المستخدم أو أثناء كارثة طبيعية. لذلك ، الهندسة نظام تقنييجب أن تهدف الإجراءات والتدابير إلى حماية ليس فقط المعلومات ، ولكن أيضًا حماية ناقل المعلومات ، وكذلك حماية الجميع عملية المعلوماتالعمل مع البيانات السرية.

المهام الرئيسية للنظام

من خلال إنشاء نظام هندسي وتقني ، تنفذ الشركة مجموعة من التدابير التنظيمية وعدد من الإجراءات الفنية التي من شأنها تأمين المعلومات القيمة. هناك 3 مهام رئيسية يعمل عليها النظام:

  1. حماية المبنى والمباني من اختراق الأشخاص غير المصرح لهم بهدف السرقة أو التلف أو تغيير المعلومات ؛
  2. لمنع الضرر أو التدمير الكامل لناقلات المعلومات من عواقب الكوارث الطبيعية وتأثيرات المياه عند إطفاء حريق ؛
  3. الوصول الوثيق لمجرمي الإنترنت إلى جميع القنوات التقنية التي يمكن من خلالها حدوث تسرب للبيانات.

يجب أن تفي الحماية الهندسية بالمتطلبات الحديثة:

  • المثابرة والاستعداد لأية تهديدات ؛
  • إنشاء مناطق بمستويات مختلفة من الأمن ؛
  • كن دائمًا خطوة واحدة قبل المحتالين ، ومواكبة الابتكارات التكنولوجية ؛
  • يجب أن يتناسب مستوى حماية المعلومات مع أهمية وقيمة المعلومات ؛
  • عدم قدرة الغرباء على الوصول إلى البيانات السرية ؛
  • لا تستخدم نوعًا واحدًا من الحماية ، واجمع بين التدابير المختلفة وأطلق مجموعة من معدات الحماية ؛
  • حماية المعلومات الأكثر أهمية أولاً.

يجب تقسيم كامل أراضي المؤسسة إلى مناطق يتم الدخول إليها بتصريح خاص. كلما اقتربت المنطقة من المعلومات السرية ، ارتفع مستوى التحكم وقل عدد الأشخاص الذين يمكنهم الذهاب إلى هناك. ويمكن تحقيق ذلك من خلال إنشاء نقاط أو نقاط تفتيش. يتم اتخاذ مثل هذه الإجراءات بحيث يكون للشخص المحتمل غير المصرح به على مسار حركته عقبات في شكل مناطق تحكم وحدود حيث سيكون من الممكن تحديد حقيقة السرقة واحتجاز المحتال.

ندوة عبر الإنترنت حول أمن المعلومات:

كيف يحدث التسرب

في الآونة الأخيرة ، استأجرت المكاتب الخاصة مباني تقع في مبان سكنية ، حيث المباني المجاورة عبارة عن شقق للمواطنين العاديين. جدران المباني متعددة الطوابق ضعيفة للغاية ، وكل ما يقال في الشقة المجاورة مسموع بنسبة 98٪. هناك العديد من قنوات التسرب التقنية ، كل منها مرتبط بمجال فيزيائي أو كيميائي أو بيولوجي أو وسائل استكشاف أخرى. يمكن الحصول على المعلومات في عملية النقل أو المناقشة أو الإنشاء أو المعالجة. قناة التسرب ليست فقط مسارًا مباشرًا لحركة البيانات ، ولكنها أيضًا قنوات تقنية تصاحب تشغيل الكائنات الأخرى.

يتيح عصر التقنيات الجديدة للمحتالين استخدام البيانات من الإشارات المنعكسة ، من التنصت على الأجهزة اللاسلكية العلوية ، والمجالات المغناطيسية والكهرومغناطيسية لجسم سري. يستخدم الأشخاص غير المصرح لهم شبكة التأريض وشبكة الإمداد الكهربائي لإزالة الإشارة الإعلامية التي تمر عبرهم. حتى العناصر البسيطة مثل الأسلاك غير المحمية أو المحولات أو السماعات أو الموصلات أو الدوائر المفتوحة يمكن أن تتسبب في تسرب الإشارات التي سيتم التقاطها بواسطة الحقول الكهرومغناطيسية.

إذا استخدم الأشخاص إحدى القنوات التقنية لنقل المعلومات ومعالجتها ، فسيكون بمقدورهم ليس فقط إزالة البيانات السرية ، ولكن أيضًا تشويهها أو حظرها. تنتشر البيانات والإشارات الإعلامية عبر الهواء وخطوط نقل البيانات وإمدادات الطاقة. لذلك ، لن يكون من الصعب الاتصال بهم عن طريق الاتصال أو طريقة التلامس. للقيام بذلك ، يستخدم المهاجمون أجهزة الراديو التي تنقل المعلومات عبر مسافات (الأجهزة التي تقمع إشارات صوتيةمعدات التسجيل).

قد لا يكون هدف المحتالين نسخ البيانات أو إتلافها فحسب ، بل قد يتدخل أيضًا في تشغيل أجهزة المؤسسة. وهذا يؤدي إلى حقيقة أن بعض أنظمة الحماية الهندسية والفنية لن تعمل بكامل طاقتها أو بجودة رديئة. نتيجة لذلك ، تحدث العديد من الإخفاقات في تشغيل عمليات معينة ، وفي الحالات القصوى ، تحدث حالات الطوارئ.

طرق ووسائل لتأمين بياناتك

تبدأ الحماية الهندسية والتقنية لمعلومات المؤسسة بتقييد وصول الأشخاص غير المصرح لهم إلى المنطقة من خلال إنشاء مناطق خاضعة للرقابة: محيط المبنى والمنطقة المحيطة به ، وجميع مباني المؤسسة ، والمكاتب الفردية والمباني. يجب على رئيس الشركة إنشاء خدمة أمنية خاصة. ستقوم المجموعة الهندسية والفنية بمراقبة وحماية جميع المناطق بشكل مستمر.

ستكون المرحلة التالية من حماية المعلومات هي شراء وتركيب الوسائل التقنية التي تعمل مع البيانات السرية (الاتصالات الهاتفية ، وأنظمة الاتصالات متعددة المستويات ، ومكبرات الصوت ، واتصالات الإرسال ، وتسجيل الصوت ، ووسائل إعادة الإنتاج). حماية الشركة من تأثيرات وسائل التنصت التقنية ، والعثور على نقاط الضعف في جميع المناطق الخاضعة للسيطرة حيث يمكن للمهاجم الوصول إلى إشارات صوتية أو كهربائية أو مغناطيسية مفيدة. تكشف كل الأنظمة الممكنةالتي يمكن الوصول إليها غير المصرح به (غير مصنف خط الهاتفأجهزة الإنذار بالحريق أو الصوت وأنظمة الإنذار الأمني ​​وأجهزة المراقبة وغيرها). نقاط الضعف المحددة ، إن أمكن ، تقضي أو تقلل من عددها.

تحديد المباني وتحديد حدودها حسب مجموعات الأهمية والسرية (القاعات ، غرف الاجتماعات ، المكاتب). بناءً على جميع البيانات التي تم جمعها ، تضع اللجنة التي تجري مسحًا للشركة بروتوكولًا ، على أساسه يتم تشكيل القانون والموافقة عليه من قبل رئيس الشركة. بعد التحقق ، يجب وضع مخطط للمبنى بأكمله ومبانيه ومناطق التحكم. في المكاتب والمباني الأخرى ذات مستوى الأمان العالي ، يتم إنتاج TZI (طريقة غير مشفرة لحماية القنوات الفنية من تسرب المعلومات).

كيفية حذف المعلومات على وسيط بطريقة موثوقة:

الأجهزة والبرامج

- تقنية تمنع المتسللين من نسخ المعلومات أو الكشف عنها أو الوصول غير المصرح به إلى المعلومات. التقنية مقسمة إلى مجموعات:

  • البحث عن قنوات التسرب ؛
  • أدوات الكشف
  • معارضة نشطة
  • رد فعل سلبي.

يوجد نظام فرعي آخر لـ ITZ (الحماية الهندسية والتقنية) - برنامج يحمي البيانات على مستوى البرنامج (برامج مكافحة الفيروسات ، حماية قنوات الاتصال من النسخ أو الوصول غير المصرح به). هذا هو تنفيذ البرامج التي تحدد هوية المستخدم بعناية ، وتقيد الوصول إلى المعلومات المحمية ، وتتحكم بكل طريقة ممكنة في كيفية تفاعل البرامج الأخرى مع المعلومات المحمية. لا يجوز استخدام البرامج بدون ترخيص أو شهادة في تشغيل أنظمة الحاسب الآلي ، حيث أنها قد تختبئ البرمجيات الخبيثة، الذي يجمع المعلومات السرية وينقلها.

تشغيل هذه اللحظةأكثر الطرق أمانًا لتشفير البيانات هي أدوات التشفير. هذا مستوى عالٍ من الموثوقية وحماية المعلومات من المحتالين غير المحترفين. لتنفيذ مثل هذه الوسائل ، ستتم حماية المعلومات بواسطة نظام تشفير للمفتاح العام أو توقيع إلكتروني أو أنظمة تشفير متماثلة. النقطة الوحيدة في استخدامها ستكون راحة المستخدم ، الذي يجب أن يختار طريقة التشفير الأكثر راحة له.

بعد تشغيل مجمع الوسائل والإجراءات التقنية بالكامل ، يجب مراقبة النظام الهندسي والتقني باستمرار من أجل التنفيذ الصحيح لجميع نقاط خطة TZI المخطط لها. بمرور الوقت ، سيتطلب النظام تحسينًا وتحديثًا ، لذلك يجب أن تستجيب خدمة أمن المعلومات في الوقت المناسب للوسائل الجديدة للحماية التقنية وتنفيذها بكفاءة.

تشير متطلبات أمن المعلومات في تصميم نظم المعلومات إلى العلامات التي تميز أدوات أمن المعلومات المطبقة. يتم تحديدها من خلال مختلف أعمال المنظمين في مجال الضمان أمن المعلومات، على وجه الخصوص - FSTEC و FSB من روسيا. ما هي فئات الأمن وأنواع وأنواع وسائل الحماية ، وكذلك مكان معرفة المزيد حول هذا ، تنعكس في المقالة.

مقدمة

اليوم ، تحظى قضايا أمن المعلومات باهتمام وثيق ، حيث أن التقنيات التي يتم تقديمها في كل مكان بدون أمن المعلومات أصبحت مصدرًا لمشاكل خطيرة جديدة.

تم الإبلاغ عن خطورة الموقف من قبل FSB في روسيا: حجم الضرر الذي تسبب فيه مجرمو الإنترنت على مدى عدة سنوات في جميع أنحاء العالم يتراوح بين 300 مليار دولار إلى 1 تريليون دولار. وفقًا للمعلومات التي قدمها المدعي العام للاتحاد الروسي ، في النصف الأول من عام 2017 وحده ، زاد عدد الجرائم في مجال التقنيات العالية في روسيا ستة أضعاف ، وتجاوز إجمالي الأضرار 18 مليون دولار. النمو من الهجمات المستهدفة في القطاع الصناعي في عام 2017 لوحظ في جميع أنحاء العالم ... على وجه الخصوص ، في روسيا ، بلغت الزيادة في عدد الهجمات مقارنة بعام 2016 22٪.

بدأ استخدام تكنولوجيا المعلومات كسلاح للأغراض العسكرية والسياسية والإرهابية ، وللتدخل في الشؤون الداخلية للدول ذات السيادة ، وكذلك لارتكاب جرائم أخرى. يؤيد الاتحاد الروسي إنشاء نظام دولي لأمن المعلومات.

على أراضي الاتحاد الروسي ، يتعين على مالكي المعلومات ومشغلي أنظمة المعلومات منع محاولات الوصول غير المصرح به إلى المعلومات ، وكذلك مراقبة حالة أمن البنية التحتية لتكنولوجيا المعلومات على قواعد دائمة... في الوقت نفسه ، يتم ضمان حماية المعلومات من خلال اعتماد تدابير مختلفة ، بما في ذلك التدابير التقنية.

تضمن أدوات أمن المعلومات ، أو SZI ، حماية المعلومات في أنظمة المعلومات ، والتي هي في الواقع مجموعة من المعلومات المخزنة في قواعد البيانات ، تقنيات المعلومات، وضمان معالجتها ، والوسائل التقنية.

تتميز أنظمة المعلومات الحديثة باستخدام مختلف منصات الأجهزة والبرامج ، والتوزيع الإقليمي للمكونات ، فضلاً عن التفاعل معها شبكات مفتوحةنقل البيانات.

كيف نحمي المعلومات في مثل هذه الظروف؟ يتم وضع المتطلبات ذات الصلة من قبل الهيئات المعتمدة ، على وجه الخصوص ، FSTEC و FSB في روسيا. في إطار المقال ، سنحاول أن نعكس المقاربات الرئيسية لتصنيف أنظمة أمن المعلومات ، مع مراعاة متطلبات هذه الجهات التنظيمية. الطرق الأخرى لوصف تصنيف أنظمة أمن المعلومات ، التي تنعكس في الوثائق التنظيمية للإدارات الروسية ، وكذلك المنظمات والوكالات الأجنبية ، خارج نطاق هذه المقالة ولا يتم النظر فيها أكثر.

يمكن أن تكون المقالة مفيدة للمتخصصين المبتدئين في مجال أمن المعلومات كمصدر للمعلومات المنظمة حول كيفية تصنيف أنظمة أمن المعلومات بناءً على متطلبات FSTEC لروسيا (إلى حد أكبر) ، وباختصار ، FSB of روسيا.

FSTEC لروسيا (سابقًا اللجنة الفنية الحكومية التابعة لرئيس الاتحاد الروسي ، اللجنة الفنية الحكومية) هي الهيكل الذي يحدد الإجراء وينسق الإجراءات لتوفير أمن المعلومات بأساليب غير مشفرة.

إذا كان على القارئ أن يطلع على سجل الدولة لوسائل أمن المعلومات المعتمدة ، والذي تم تشكيله من قبل FSTEC لروسيا ، فإنه بلا شك لفت الانتباه إلى وجود في الجزء الوصفي من الغرض من نظام أمن المعلومات مثل عبارات مثل "class RD SVT "،" مستوى غياب NDV "، إلخ (الشكل 1) ...

الشكل 1. جزء من سجل ISS المعتمد

تصنيف أدوات أمن المعلومات المشفرة

يحدد FSB في روسيا فئات أنظمة أمن المعلومات المشفرة: KS1 و KS2 و KS3 و KV و KA.

تشمل السمات الرئيسية لأجهزة أمن المعلومات فئة KS1 قدرتها على مقاومة الهجمات التي يتم تنفيذها من خارج المنطقة الخاضعة للسيطرة. وهذا يعني أن إنشاء أساليب الهجمات وإعدادها وتنفيذها يتم دون مشاركة المتخصصين في تطوير وتحليل أنظمة أمن المعلومات المشفرة. من المفترض أنه يمكن الحصول على معلومات حول النظام الذي تستخدم فيه أنظمة أمن المعلومات المحددة من المصادر المفتوحة.

إذا كان بإمكان نظام أمان معلومات التشفير مقاومة الهجمات المحظورة بواسطة فئة KC1 ، وكذلك التي يتم تنفيذها داخل المنطقة الخاضعة للرقابة ، فإن نظام أمان المعلومات هذا يتوافق مع فئة KC2. في الوقت نفسه ، يُفترض ، على سبيل المثال ، أنه أثناء التحضير للهجوم ، يمكن توفير معلومات حول التدابير المادية لحماية أنظمة المعلومات ، وضمان منطقة خاضعة للرقابة ، وما إلى ذلك.

إذا كان من الممكن مقاومة الهجمات في ظل وجود وصول مادي إلى مرافق الكمبيوتر مع أنظمة أمان معلومات التشفير المثبتة ، فإنهم يتحدثون عن امتثال هذه المرافق لفئة KC3.

إذا قاوم نظام أمن المعلومات المشفرة الهجمات ، وشارك في إنشائها متخصصون في تطوير وتحليل هذه الوسائل ، بما في ذلك مراكز البحث ، كان من الممكن إجراء دراسات معملية لوسائل الأمان ، فنحن نتحدث عن الامتثال لـ HF صف دراسي.

إذا شارك متخصصون في مجال استخدام برمجيات نظام NDV في تطوير طرق الهجوم ، فإن وثائق التصميم المقابلة كانت متاحة وكان هناك وصول إلى أي مكونات أجهزة لأنظمة أمان معلومات التشفير ، فإن وسائل فئة CA يمكن أن توفر الحماية ضد مثل هذه الهجمات.

تصنيف وسائل حماية التوقيع الإلكتروني

أموال التوقيع الإلكترونياعتمادًا على القدرة على مقاومة الهجمات ، من المعتاد مقارنتها بالفئات التالية: KS1 و KS2 و KS3 و KV1 و KV2 و KA1. هذا التصنيف مشابه لذلك الذي تمت مناقشته أعلاه لأنظمة أمن المعلومات المشفرة.

الاستنتاجات

تناولت المقالة بعض طرق تصنيف أنظمة أمن المعلومات في روسيا ، والتي تستند إلى الإطار التنظيمي للهيئات التنظيمية في مجال أمن المعلومات. خيارات التصنيف المدروسة ليست شاملة. ومع ذلك ، نأمل أن تسمح المعلومات الموجزة المقدمة للمتخصص المبتدئ في مجال أمن المعلومات بالتنقل بسرعة.

التزوير. وفقا لصحيفة يو إس إيه توداي ، مرة أخرى في عام 1992 ، نتيجة لهذه الأعمال غير المشروعة باستخدام حواسيب شخصيةعانت المنظمات الأمريكية من أضرار إجمالية قدرها 882 مليون دولار. يمكن الافتراض أن الضرر الفعلي كان أكبر بكثير ، لأن العديد من المنظمات تخفي مثل هذه الحوادث لأسباب مفهومة ؛ ليس هناك شك في أن الضرر الناجم عن مثل هذه الإجراءات قد تضاعف مرات عديدة هذه الأيام.

في معظم الحالات ، تبين أن الجناة هم من موظفي المنظمات ، الذين هم على دراية جيدة بجدول العمل وإجراءات الحماية. وهذا يؤكد مرة أخرى خطورة التهديدات الداخلية.

لقد ميزنا سابقًا بين ثابت و سلامة ديناميكية... لغرض الانتهاك سلامة ثابتةيمكن للمهاجم (عادة ما يكون موظفًا):

  • أدخل بيانات غير صحيحة
  • لتغيير البيانات.

أحيانًا تتغير البيانات ذات المعنى ، وأحيانًا معلومات الخدمة. العناوين البريد الإلكترونييمكن العبث بها ؛ يمكن تزوير الرسالة ككل من قبل شخص ، معرفة كلمة المرورالمرسل (قدمنا ​​الأمثلة المقابلة). لاحظ أن هذا الأخير ممكن حتى عندما يتم التحكم في السلامة بوسائل تشفير. هذا هو المكان الذي يحدث فيه تفاعل الجوانب المختلفة لأمن المعلومات: إذا تم انتهاك السرية ، فقد تتأثر النزاهة.

النزاهة ليست مهددة فقط من خلال تزوير البيانات أو تغييرها ، ولكن أيضًا من خلال رفض اتخاذ إجراء. إذا لم تكن هناك وسيلة لضمان "عدم التنصل" ، فلا يمكن اعتبار بيانات الكمبيوتر كدليل.

يحتمل أن تكون عرضة للانتهاك النزاهةليس فقط البيانات، ولكن أيضا البرامج... التهديدات سلامة ديناميكيةانتهاك ذرية المعاملاتأو إعادة ترتيب أو سرقة أو تكرار البيانات أو إدخال رسائل إضافية ( حزم الشبكةإلخ.). تسمى الإجراءات المقابلة في بيئة شبكية الاستماع النشط.

أهم تهديدات الخصوصية

يمكن تقسيم المعلومات السرية إلى معلومات عن الموضوع والخدمة. معلومات الخدمة (على سبيل المثال ، كلمات مرور المستخدم) ليست مرتبطة بمجال موضوع معين ، في نظام معلوماتيلعب دورًا تقنيًا ، لكن الكشف عنه خطير بشكل خاص لأنه محفوف بالوصول غير المصرح به إلى جميع المعلومات ، بما في ذلك معلومات الموضوع.

حتى إذا كانت المعلومات مخزنة على جهاز كمبيوتر أو كانت مخصصة لاستخدام الكمبيوتر ، فإن التهديدات التي تتعرض لها سريتها يمكن أن تكون غير متعلقة بالحاسوب وبصفة عامة غير تقنية بطبيعتها.

يتعين على العديد من الأشخاص العمل كمستخدمين ليس لنظام واحد ، بل لعدد من الأنظمة (خدمات المعلومات). إذا تم استخدام كلمات مرور قابلة لإعادة الاستخدام أو معلومات سرية أخرى للوصول إلى مثل هذه الأنظمة ، فمن المرجح أن يتم تخزين هذه البيانات ليس فقط في الرأس ، ولكن أيضًا في دفتر ملاحظات أو على قطع من الورق غالبًا ما يتركها المستخدم على سطح المكتب أو يفقدها. والنقطة هنا ليست في عدم تنظيم الأشخاص ، ولكن في عدم ملاءمة نظام كلمة المرور في البداية. من المستحيل تذكر العديد من كلمات المرور المختلفة ؛ إن التوصيات الخاصة بتغييرهم المنتظم (إن أمكن - المتكرر) لا تؤدي إلا إلى تفاقم الموقف ، مما يجبر على استخدام مخططات بديلة بسيطة أو حتى محاولة تقليل الأمر إلى كلمتين أو ثلاث كلمات مرور سهلة التذكر (ويمكن تخمينها بنفس السهولة).

يمكن تسمية فئة الثغرات الأمنية الموصوفة بوضع البيانات السرية في بيئة لا يتم فيها توفير الحماية اللازمة (وغالبًا ما لا يمكن توفيرها). بالإضافة إلى كلمات المرور المخزنة في دفاتر المستخدم ، يتضمن هذا الفصل نقل البيانات السرية بنص واضح (في محادثة ، في رسالة ، عبر الشبكة) ، مما يجعل من الممكن اعتراضها. يمكن استخدام وسائل تقنية مختلفة للهجوم (التنصت أو التنصت على المحادثات ، الاستماع إلى الشبكة السلبيةوما إلى ذلك) ، ولكن الفكرة واحدة - الوصول إلى البيانات في الوقت الذي تكون فيه أقل حماية.

يجب أن يؤخذ تهديد اعتراض البيانات في الاعتبار ليس فقط أثناء التكوين الأولي لـ IS ، ولكن أيضًا ، وهو أمر مهم للغاية ، مع جميع التغييرات. تمثل المعارض التجارية تهديدًا خطيرًا للغاية ، حيث تقوم العديد من المنظمات بإرسال معدات من شبكة الإنتاج مع جميع البيانات المخزنة عليها. تظل كلمات المرور كما هي عندما الوصول عن بعديستمر إرسالها بنص واضح.

مثال آخر للتغيير: تخزين البيانات على وسائط النسخ الاحتياطي. تُستخدم أنظمة التحكم في الوصول المتقدمة لحماية البيانات الموجودة على وسائط التخزين الرئيسية ؛ غالبًا ما تكون النسخ في الخزائن فقط ، ويمكن للكثيرين الوصول إليها.

يمثل اعتراض البيانات تهديدًا خطيرًا ، وإذا كانت السرية مهمة حقًا وتم نقل البيانات عبر العديد من القنوات ، فقد يكون من الصعب جدًا والمكلف حمايتها. إن الوسائل التقنية للاعتراض متطورة بشكل جيد ، ويمكن الوصول إليها ، وسهلة التشغيل ، ويمكن لأي شخص تثبيتها ، على سبيل المثال ، على شبكة كبلية ، لذا فإن هذا التهديد موجود ليس فقط للاتصالات الخارجية ، ولكن أيضًا للاتصالات الداخلية.

تمثل سرقة الأجهزة تهديدًا ليس فقط للوسائط الاحتياطية ، ولكن أيضًا لأجهزة الكمبيوتر ، وخاصة الأجهزة المحمولة. غالبًا ما تُترك أجهزة الكمبيوتر المحمولة دون مراقبة في العمل أو في السيارة ، وفي بعض الأحيان تضيع ببساطة.

التهديدات الخطيرة غير الفنية للسرية هي أساليب التأثير الأخلاقي والنفسي ، مثل حفلة تنكرية- القيام بإجراءات تحت ستار شخص لديه سلطة الوصول إلى البيانات.

تشمل التهديدات غير السارة التي يصعب الدفاع عنها إساءة استخدام السلطة... في العديد من أنواع الأنظمة ، يكون المستخدم المتميز (على سبيل المثال ، مسؤول النظام) قادرًا على قراءة أي ملف (غير مشفر) والوصول إلى بريد أي مستخدم ، إلخ. مثال آخر هو التلف أثناء الخدمة. عادةً ما يتمتع مهندس الخدمة بوصول غير مقيد إلى المعدات ويمكنه تجاوز آليات حماية البرامج.

طرق الحماية

الأساليب الحالية و أدوات أمن المعلوماتيمكن تصنيف أنظمة الكمبيوتر (CS) إلى أربع مجموعات رئيسية:

  • أساليب ووسائل الحماية التنظيمية والقانونية للمعلومات ؛
  • طرق ووسائل الحماية الهندسية والتقنية للمعلومات ؛
  • طرق التشفير ووسائل حماية المعلومات ؛
  • طرق البرمجيات والأجهزة وأدوات أمن المعلومات.

طرق ووسائل الحماية التنظيمية والقانونية للمعلومات

تشمل أساليب ووسائل الحماية التنظيمية للمعلومات التدابير التنظيمية والفنية والتنظيمية والقانونية التي يتم تنفيذها في عملية إنشاء وتشغيل CS لضمان حماية المعلومات. يجب تنفيذ هذه الأنشطة أثناء بناء أو إصلاح المباني التي ستقع فيها محطة الضاغط ؛ تصميم النظام وتركيبه وتعديله الفني و أدوات البرمجيات؛ اختبار وفحص كفاءة محطة الضاغط.

في هذا المستوى من حماية المعلومات ، يتم النظر في المعاهدات الدولية واللوائح الداخلية للدولة ومعايير الدولة واللوائح المحلية لمنظمة معينة.

طرق ووسائل الحماية الهندسية والفنية

الوسائل الهندسية والتقنية لحماية المعلومات تعني الأشياء المادية والأجهزة الميكانيكية والكهربائية والإلكترونية والعناصر الإنشائية للمباني ووسائل إطفاء الحريق وغيرها من الوسائل التي توفر:

  • حماية أراضي ومباني محطة الضاغط من المتسللين ؛
  • حماية الأجهزة ووسائط التخزين من السرقة ؛
  • منع إمكانية المراقبة بالفيديو (التنصت) عن بعد (من خارج المنطقة المحمية) على عمل الأفراد وتشغيل الوسائل التقنية لمحطة الضاغط ؛
  • منع إمكانية اعتراض PEMIN (الجانب الاشعاع الكهرومغناطيسيوالتداخل) الناجم عن الوسائل التقنية التشغيلية لخطوط CS ونقل البيانات ؛
  • تنظيم الوصول إلى مباني مؤتمر الأطراف للموظفين ؛
  • التحكم في جدول عمل موظفي محطة الضاغط ؛
  • السيطرة على حركة موظفي كانساس في مختلف مجالات الإنتاج ؛
  • الحماية من الحرائق في مباني محطة الضاغط ؛
  • التقليل من الأضرار المادية الناجمة عن فقدان المعلومات الناتج عن الكوارث الطبيعية والحوادث التي من صنع الإنسان.

الأكثر أهمية جزء منالوسائل الهندسية والتقنية لحماية المعلومات هي وسائل تقنية للحماية تشكل الخط الأول لحماية مؤتمر الأطراف وهي شرط ضروري ، ولكنه غير كافٍ للحفاظ على سرية وسلامة المعلومات في مؤتمر الأطراف.

طرق أمن التشفير والتشفير

التشفير هو الوسيلة الأساسية للحفاظ على السرية. لذلك في حالة التأكد من سرية البيانات على الكمبيوتر المحلييستخدمون تشفير هذه البيانات ، وفي حالة تفاعل الشبكة - قنوات نقل البيانات المشفرة.

يسمى علم حماية المعلومات باستخدام التشفير التشفير(التشفير في الترجمة يعني حرف غامض أو تشفير).

يستخدم التشفير:

  • لحماية سرية المعلومات المنقولة عبر قنوات الاتصال المفتوحة ؛
  • للمصادقة (تأكيد الموثوقية) على المعلومات المرسلة ؛
  • لحماية المعلومات السرية عند تخزينها على وسائط مفتوحة ؛
  • لضمان سلامة المعلومات (حماية المعلومات من التغييرات غير المصرح بها) أثناء نقلها من خلال قنوات الاتصال المفتوحة أو التخزين على وسائط مفتوحة ؛
  • لضمان عدم قابلية المعلومات المنقولة عبر الشبكة (لمنع الرفض المحتمل لحقيقة إرسال رسالة) ؛
  • لحماية البرامج وموارد المعلومات الأخرى من الاستخدام والنسخ غير المصرح بهما.

طرق البرمجيات والأجهزة والبرامج ووسائل ضمان أمن المعلومات

تشمل أجهزة أمن المعلومات الأجهزة الإلكترونية والإلكترونية والميكانيكية المضمنة في الوسائل التقنية لـ CS وتؤدي (بشكل مستقل أو في مجمع واحد مع برنامج) بعض وظائف أمن المعلومات. معيار تصنيف الجهاز كجهاز وليس وسيلة هندسية وتقنية للحماية هو التضمين الإلزامي في تكوين الوسائل التقنية لـ CS.

إلى الرئيسي المعداتتشمل حماية المعلومات ما يلي:

  • أجهزة لإدخال معلومات تعريف المستخدم (البطاقات الممغنطة والبلاستيكية وبصمات الأصابع وما إلى ذلك) ؛
  • أجهزة لتشفير المعلومات ؛
  • أجهزة لمنع التبديل غير المصرح به لمحطات العمل والخوادم (الأقفال الإلكترونية والحظر).

أمثلة على أجهزة أمن المعلومات الإضافية:

  • أجهزة لتدمير المعلومات على الوسائط الممغنطة ؛
  • أجهزة إنذار حول محاولات الإجراءات غير المصرح بها لمستخدمي CS ، إلخ.

برنامج أمن المعلومات يعني البرامج الخاصة المدرجة في برنامج KS حصريًا لأداء وظائف الحماية. إلى الرئيسي البرمجياتتشمل حماية المعلومات ما يلي:

  • برامج لتحديد ومصادقة مستخدمي CS ؛
  • برامج للتمييز بين وصول المستخدم إلى موارد مؤتمر الأطراف ؛
  • برامج تشفير المعلومات ؛
  • برامج حماية موارد المعلومات (برامج النظام والتطبيق ، وقواعد البيانات ، والوسائل التعليمية للكمبيوتر ، وما إلى ذلك) من التعديل والاستخدام والنسخ غير المصرح به.

لاحظ أن التعريف ، فيما يتعلق بضمان أمن معلومات الأسلحة الكيميائية ، يُفهم على أنه اعتراف لا لبس فيه بالاسم الفريد لموضوع الأسلحة الكيميائية. المصادقة تعني التأكيد على أن الاسم المقدم يطابق الموضوع المحدد (تأكيد هوية الموضوع).

أمثلة على دعم البرمجياتحماية المعلومات:

  • برامج لتدمير المعلومات المتبقية (في كتل ذاكرة الوصول العشوائي، الملفات المؤقتة ، إلخ) ؛
  • برنامج تدقيق (الاحتفاظ بالسجلات) للأحداث المتعلقة بسلامة محطة الضاغط لضمان إمكانية الاسترداد وإثبات وقوع هذه الأحداث ؛
  • برامج لمحاكاة العمل مع الجاني (تشتيت انتباهه عن تلقي معلومات يُزعم أنها سرية) ؛
  • برامج اختبار التحكم في نظام الأمان ، إلخ.

النتائج

منذ الإمكانات التهديدات الأمنيةالمعلومات متنوعة للغاية ، ولا يمكن تحقيق أهداف حماية المعلومات إلا من خلال إنشاء نظام متكامل لحماية المعلومات ، والذي يُفهم على أنه مجموعة من الأساليب والوسائل ، متحدًا لغرض واحد ويوفر الكفاءة اللازمة لحماية المعلومات في مؤتمر الأطراف.

معلومة هي أي بيانات في ذاكرة نظام الكمبيوتر وأي رسالة يتم إرسالها عبر الشبكة وأي ملف مخزن على أي وسيط. المعلومات هي أي نتيجة لعمل العقل البشري: فكرة ، تقنية ، برنامج ، بيانات مختلفة (طبية ، إحصائية ، مالية) ، بغض النظر عن شكل عرضها. يتم وصف كل شيء ليس شيئًا ماديًا ويمكن لأي شخص استخدامه في كلمة واحدة - المعلومات.

معلومة:

    معلومات الوصول المجاني

    المعلومات المقيدة

    1. معلومات سرية

      معلومات سرية

مؤتمن(سرية ، خاصة) - معلومات رسمية أو مهنية أو صناعية أو تجارية أو غيرها من المعلومات ، يحدد مالكها نظامها القانوني على أساس القوانين المتعلقة بالأسرار التجارية والصناعية وغيرها من القوانين التشريعية. يمكن لمالك المعلومات أن يثبت بشكل مستقل وضعه على أنه سري (على سبيل المثال ، سر شخصي). يتطلب حماية غير مشروطة.

سر الخدمة- المعلومات المتعلقة بالإنتاج أو الإدارة أو الأنشطة المالية أو الأنشطة الاقتصادية الأخرى للمنظمة ، والتي قد يؤدي الإفصاح عنها (النقل ، والتسرب ، والسرقة) إلى الإضرار بمصالحها وليس من أسرار الدولة. هذه المعلومات تشمل:

    المعلومات التي تحتوي على المعلومات التي يستخدمها موظفو المنظمة للعمل لأغراض تجارية ؛

    البيانات التي تم الحصول عليها نتيجة معالجة معلومات الخدمة باستخدام الوسائل التقنية (المعدات المكتبية) ؛

    المستندات (الوسائط) التي تم إنشاؤها نتيجة للأنشطة الإبداعية لموظفي المنظمة ، بما في ذلك المعلومات من أي أصل ونوع وغرض ضروري للتشغيل العادي للمنظمة.

المعلومات سرية- المعلومات التي تحتوي على وفقا لقانون الدولة. المعلومات السرية التي تشكل مثل. يتطلب أكثر درجة عاليةالحماية

سر الدولة- المعلومات التي تحميها الدولة في مجال الجيش والدفاع والسياسة الخارجية والاقتصادية والاستخبارات ، إلخ. الأنشطة التي قد يضر انتشارها بأمن الدولة. توزيع أسرار الدولة تنظمه الدولة وتتحكم فيه الدوائر الخاصة.

أنواع المعلومات المحظورة

ومعلوماتية بالأمن (IS) هو حماية المعلومات والبنية التحتية الداعمة لها من التأثيرات العرضية أو المتعمدة ذات الطبيعة الطبيعية أو الاصطناعية التي يمكن أن تسبب غير مقبولالضرر لأصحاب ومستخدمي المعلومات.

حماية المعلومات هي مجموعة من التدابير التي تهدف إلى منع تسرب المعلومات المحمية ، وكذلك التأثيرات غير المصرح بها وغير المقصودة على هذه المعلومات.

NSD - الوصول غير المصرح به- الوصول غير المصرح به أحد أكثر أشكال الخروقات الأمنية انتشارًا وتنوعًا في نظام الكمبيوتر. وهي تتمثل في الحصول على وصول دخيل إلى مورد (كائن) في انتهاك لقواعد التحكم في الوصول الموضوعة وفقًا لسياسة الأمان. يتم استخدام أي خطأ في نظام الأمان للنظام غير المصرح به ، ويمكن تنفيذه بمساعدة البرامج القياسية وأدوات BT ، وكذلك باستخدام الأجهزة و / أو أدوات البرامج المطورة خصيصًا.

يجب أن يوفر IS:

    تكامل البيانات- النزاهة تعني ملاءمة المعلومات واتساقها ، وحمايتها من التدمير والتغييرات غير المصرح بها.

2. سرية المعلومات- إنها حماية ضد الوصول غير المصرح به إلى المعلومات ذات الوصول المحدود ، بما في ذلك الحماية من السرقة أو التعديل أو التدمير غير القانوني. (مثال مع المعلومات التجارية والشخصية ، وأسرار الدولة الرسمية)

3. إمكانية الوصول للوصول المصرح به- هذه فرصة للحصول على المعلومات المطلوبة في وقت معقول.

المجالات الرئيسية لنشاط حماية المعلومات

مبادئ بناء نظم حماية المعلومات (أمن المعلومات)

    تناسق

    تعقيد

    استمرارية الحماية

    كفاية معقولة

    مرونة في التحكم والتطبيق

    انفتاح الخوارزميات وآليات الحماية

    سهولة تطبيق الوسائل والوسائل الوقائية

بالإضافة إلى ذلك ، يجب ألا تؤدي أدوات وآليات أمن المعلومات المستخدمة إلى تعطيل التشغيل العادي للمستخدم باستخدام نظام معلومات مؤتمت - مما يؤدي إلى تقليل الإنتاجية بشكل كبير ، وزيادة تعقيد العمل ، وما إلى ذلك. يجب أن يركز نظام أمن المعلومات على توقع التهديدات المحتملة من الناحية التكتيكية ، وأن يكون لديه أيضًا آليات لاستعادة التشغيل الطبيعي لـ CS في حالة حدوث تهديدات.

مبادئ حماية المعلومات من العبث

يجب أن يبدأ إغلاق القنوات للحصول غير المصرح به على المعلومات بالتحكم في وصول المستخدمين إلى موارد IS. يتم حل هذه المهمة على أساس عدد من المبادئ:

    مبدأ صحة الوصوليتألف من استيفاء إلزامي للشرط التالي: يجب أن يكون لدى المستخدم شكل كافٍ من أشكال القبول للحصول على معلومات عن مستوى السرية المطلوب من أجل أداء وظائف الإنتاج المحددة. يمكن للمستخدمين أن يكونوا البرامج النشطةوالعمليات ، وكذلك الوسائط.

    مبدأ التمايز- لمنع خرق أمن المعلومات ، والذي يمكن أن يحدث ، على سبيل المثال ، عند تسجيل معلومات سرية على وسائط غير مصنفة وفي ملفات غير مصنفة ، عند نقلها إلى برامج وعمليات غير مصممة لمعالجة المعلومات السرية ، وكذلك عندما يتم نقل المعلومات السرية عبر قنوات غير محمية ، و خطوط الاتصال، من الضروري إجراء التحديد المناسب لتدفق المعلومات وحقوق الوصول إلى هذه المعلومات

    مبدأ نقاء المواردهو تنظيف الموارد التي تحتوي على معلومات سريةعندما يتم حذفها أو تحريرها من قبل المستخدم قبل إعادة توزيع الموارد على مستخدمين آخرين.

    مبدأ المسؤولية الشخصية- يجب أن يكون كل مستخدم IP مسؤولاً بشكل شخصي عن أنشطته في النظام ، بما في ذلك أي عمليات بها معلومات سرية وانتهاكات محتملة لحمايتها - إجراءات عرضية أو متعمدة تؤدي أو قد تؤدي إلى وصول غير مصرح به أو ، على العكس من ذلك ، تجعل هذه المعلومات غير قابلة للوصول إلى شرعية المستخدمين

    مبدأ سلامة معدات الحمايةيعني ضمنيًا أن وسائل حماية المعلومات في IP يجب أن تؤدي وظائفها بدقة وفقًا للمبادئ المدرجة وأن تكون معزولة عن المستخدمين. ولأغراض صيانتها ، يجب أن تشتمل وسائل الحماية على واجهة مأمونة مخصصة لوسائل التحكم والتشوير والتثبيت.

2. طرق ووسائل حماية المعلومات

طرق حماية المعلومات

    يترك - طريقة الحجب المادي لمسار المهاجم إلى المعلومات المحمية

    صلاحية التحكم صلاحية الدخول - طريقة لتحديد موارد النظام وتخصيصها للمستخدمين المصرح لهم

    التشفير - طريقة لحماية المعلومات في قنوات الاتصال عن طريق إغلاقها المشفر. تستخدم طريقة الحماية هذه على نطاق واسع لمعالجة المعلومات وتخزينها. عند نقل المعلومات عبر قنوات الاتصال بعيدة المدى ، فإن هذه الطريقة هي الطريقة الوحيدة الموثوقة.

    اللائحة - طريقة لحماية المعلومات ، تخلق ظروفًا خاصة للمعالجة الآلية للمعلومات المحمية وتخزينها ونقلها ، بحيث يتم تقليل إمكانية الوصول غير المصرح به إليها.

    إكراه - مثل هذه الطريقة لحماية المعلومات ، والتي يُجبر فيها مستخدمو النظام وموظفوه على الامتثال لقواعد معالجة ونقل واستخدام المعلومات المحمية تحت تهديد المسؤولية المادية أو الإدارية أو الجنائية.

    التحفيز - طريقة لحماية المعلومات تشجع المستخدم وموظفي النظام على عدم انتهاك القواعد المعمول بها (راتب مرتفع)

أموال

    تقني تنفذ في شكل أجهزة كهربائية وكهروميكانيكية وإلكترونية. المجموعة الكاملة من الوسائل التقنية مقسمة إلى المعداتو بدني.

تحت المعدات من المعتاد فهم الأجهزة الإلكترونية المدمجة. تتضمن بعض الأجهزة الأكثر شهرة أنظمة التحكم في معلومات التكافؤ ، وأنظمة حماية المفاتيح لحقول الذاكرة ، وما إلى ذلك.

بدني يتم تنفيذ الأموال كأجهزة وأنظمة قائمة بذاتها. على سبيل المثال ، أقفال أبواب الغرف بالمعدات ، والقضبان على النوافذ ، وأجهزة الإنذار ضد السرقة ، وكاميرات الدوائر التلفزيونية المغلقة.

وسائل الحماية المادية:

    ضمان أمن المباني التي توجد بها خوادم الشبكة ؛

    تقييد الأشخاص غير المصرح لهم بالوصول المادي إلى الخوادم والمحاور والمفاتيح وكابلات الشبكة وغيرها من المعدات ؛

    توفير الحماية ضد انقطاع التيار الكهربائي.

    البرمجيات تركيز البرمجيات، المصممة خصيصًا لأداء وظائف أمن المعلومات.

أدوات البرمجيات المحمية القياسية:

    الحماية باستخدام كلمة مرور هويةوتقييد وصول المستخدم وفقًا للحقوق المخصصة - التحكم في الوصول والتمايز بين الصلاحيات (التعريف + المصادقة + التفويض)

هوية يسمح للموضوع (مستخدم ، أو عملية تعمل نيابة عن مستخدم معين ، أو مكون آخر من مكونات الأجهزة / البرامج) بتسمية نفسه (إعطاء اسمه). عبر المصادقة الطرف الآخر مقتنع بأن الفاعل هو حقًا ما يدعي أنه هو. كمرادف لكلمة " المصادقةتستخدم عبارة "المصادقة" في بعض الأحيان.

    التسجيلو التحليلاتالأحداث التي تحدث في النظام - يوفر استلام وتحليل المعلومات حول حالة موارد النظام باستخدام ضوابط خاصة ، بالإضافة إلى تسجيل الإجراءات التي يُعرف أنها قد تكون خطرة على أمن النظام. يسمح لك تحليل المعلومات التي تم جمعها بتحديد الوسائل والمعلومات المسبقة التي يستخدمها المتسلل عند التأثير على النظام وتحديد المدى الذي وصل إليه الانتهاك ، واقتراح طريقة للتحقيق فيه وطرق تصحيح الموقف ؛

    مراقبة النزاهةتهدف موارد النظام إلى الكشف عن تعديلاتها في الوقت المناسب. يتيح لك ذلك ضمان الأداء الصحيح للنظام وسلامة المعلومات المعالجة.

    التشفيرإغلاق المعلومات

    الحماية من التدخلات الخارجية - جدران الحماية

    الدفاع من فيروسات الكمبيوتر - مضاد للفيروساتالحزم مكافحة البريد المزعجالمرشحات

    أموال نسخة احتياطيةواستعادة البيانات

    الأجهزة والبرامج تستند العلاجات على استخدام مختلف الأجهزة الإلكترونيةو برامج خاصةالتي تعد جزءًا من نظام أمن المعلومات وتؤدي (بشكل مستقل أو بالاشتراك مع وسائل أخرى) وظائف الحماية مثل: تحديد المستخدمين والمصادقة عليهم ، والتمييز في الوصول إلى الموارد ، وتسجيل الأحداث ، وإغلاق المعلومات بالتشفير ، وضمان التسامح مع الخطأ المكونات والنظام ككل ، وما إلى ذلك. د.

    التنظيمية وسائل الحماية هي تدابير تنظيمية وتقنية وتنظيمية وقانونية يتم تنفيذها في عملية إنشاء وتشغيل برامج وأجهزة خاصة لضمان حماية المعلومات. تغطي التدابير التنظيمية جميع العناصر الهيكلية في جميع مراحل دورة حياة النظام المحمي (إنشاء محيط محمي ، وبناء المباني ، وتصميم النظام ككل ، وتركيب وتشغيل المعدات ، والاختبار والتشغيل) ، وكذلك سياسة الموظفينوتعيين الموظفين.

    المعنوية والأخلاقية يتم تنفيذ وسائل الحماية في شكل معايير تطورت تقليديًا أو تتشكل مع انتشار المعدات العسكرية ووسائل الاتصال في بلد أو مجتمع معين. هذه القواعد ، كقاعدة عامة ، ليست إلزامية ، مثل التدابير التشريعية ، ولكن عدم الامتثال لها يؤدي إلى فقدان سلطة وهيبة المنظمة.

    تشريعي يتم تحديد سبل الانتصاف بموجب قوانين الدولة. ينظمون تعليمات الاستخدامومعالجة ونقل المعلومات ذات الوصول المحدود ووضع تدابير المسؤولية عن انتهاك هذه القواعد.

من خلال غرضه الوظيفييمكن تقسيم طرق ووسائل أمن المعلومات إلى الأنواع التالية:

الطرق والوسائل تحذيرات- مصممة لتهيئة الظروف التي يتم في ظلها استبعاد أو التقليل من إمكانية ظهور وتنفيذ عوامل مزعزعة للاستقرار (التهديدات) ؛

الطرق والوسائل كشف- مصممة لاكتشاف التهديدات الناشئة أو إمكانية ظهورها وجمع معلومات إضافية ؛

الطرق والوسائل تحييد- مصممة للقضاء على التهديدات الناشئة ؛

الطرق والوسائل التعافي- مصمم لاستعادة التشغيل الطبيعي للنظام المحمي (أحيانًا نظام الحماية نفسه).

طرق ووسائل الحماية معلومات الكمبيوترهي مجموعة من التدابير والأجهزة والبرامج المختلفة والمعايير الأخلاقية والقانونية ، والتي تهدف إلى مواجهة تهديدات المتسللين وتقليل الضرر المحتمل لمالكي النظام ومستخدمي المعلومات.

ضع في اعتبارك الأنواع التالية من الإجراءات التقليدية لمواجهة تسرب المعلومات من الكمبيوتر.

الأساليب الفنية ووسائل حماية المعلومات

وتشمل هذه:

  • الحماية من الوصول غير المصرح به إلى نظام الكمبيوتر ؛
  • النسخ الاحتياطي لجميع أنظمة الكمبيوتر الفرعية الهامة ؛
  • تنظيم الشبكات مع القدرة اللاحقة على إعادة توزيع الموارد إذا كان هناك خلل في روابط الشبكة الفردية ؛
  • تركيب معدات للكشف و ؛
  • تركيب معدات الكشف عن المياه
  • اتخاذ مجموعة من التدابير للحماية من السرقة والتخريب والتخريب والانفجارات ؛
  • التركيب نظام احتياطيمزود الطاقة؛
  • تجهيز الغرفة بأقفال
  • تركيب أجهزة الإنذار ، إلخ.

الأساليب والوسائل التنظيمية لحماية المعلومات

وتشمل هذه:

  • حماية الخادم
  • اختيار الموظفين المنظم بعناية ؛
  • استبعاد مثل هذه الحالات عندما يقوم شخص واحد بتنفيذ جميع الأعمال ذات الأهمية الخاصة ؛
  • تطوير خطة حول كيفية استعادة أداء الخادم في حالة فشلها ؛
  • وسيلة عالمية للحماية من أي مستخدم (حتى من الإدارة العليا).

طرق وأساليب حماية المعلومات: المصادقة وتحديد الهوية

التعريف هو تخصيص صورة فريدة أو اسم لموضوع أو كائن. والمصادقة هي التحقق مما إذا كان الموضوع / الكائن هو من يحاول انتحال الشخصية. الهدف النهائي لكلا الإجراءين هو قبول الموضوع / الكائن للمعلومات ذات الاستخدام المحدود أو رفض هذا القبول. يمكن تحقيق أصالة الكائن بواسطة برنامج أو جهاز أو بواسطة شخص. يمكن أن تكون الأشياء / موضوعات المصادقة وتحديد الهوية: الوسائل التقنية (محطات العمل ، والشاشات ، ونقاط المشتركين) ، والأشخاص (المشغلين ، والمستخدمين) ، والمعلومات الموجودة على الشاشة ، والوسائط الممغنطة ، وما إلى ذلك.

طرق ووسائل حماية المعلومات: استخدام كلمات المرور

كلمة المرور عبارة عن مجموعة من الرموز (أحرف وأرقام وما إلى ذلك) مصممة لتحديد كائن / موضوع. عندما يتعلق الأمر بكلمة المرور التي يجب اختيارها وتعيينها ، فإن السؤال الذي يطرح نفسه دائمًا هو حجمها وكيفية مقاومة هجوم القوة الغاشمة. من المنطقي أنه كلما طالت كلمة المرور ، زاد مستوى الأمان الذي ستوفره للنظام ، حيث سيتطلب الأمر مزيدًا من الجهد لتخمين / العثور على المجموعة.

ولكن حتى إذا كان يجب تغييرها بشكل دوري إلى أخرى جديدة ، وذلك لتقليل مخاطر اعتراضها عن طريق السرقة المباشرة للناقل أو إزالة نسخة من الناقل ، أو عن طريق إجبار المستخدم على قول الكلمة "السحرية".