Các phương pháp bảo mật thông tin. Bảo vệ pháp lý thông tin

Gửi công việc tốt của bạn trong cơ sở kiến ​​thức rất đơn giản. Sử dụng mẫu dưới đây

Làm tốt lắm vào trang web">

Các sinh viên, nghiên cứu sinh, các nhà khoa học trẻ sử dụng nền tảng kiến ​​thức trong học tập và công việc sẽ rất biết ơn các bạn.

Giới thiệu

J. Sử học

YY. Phần chính

2.1 Các loại đe dọa có chủ ý đối với thông tin

2.2 Phương pháp bảo mật thông tin

Phần kết luận

Thư mục

Giới thiệu

Thông tin đóng một vai trò đặc biệt trong sự phát triển của nền văn minh. Việc sở hữu nguồn tài nguyên thông tin tạo tiền đề cho sự phát triển tiến bộ của xã hội. Làm sai lệch thông tin, cản trở quá trình lấy hoặc thực hiện thông tin đó thông tin sai, góp phần đưa ra những quyết định sai lầm.

Thậm chí 25-30 năm trước, vấn đề bảo vệ thông tin có thể được giải quyết một cách hiệu quả với sự trợ giúp của các biện pháp tổ chức và các phương tiện kiểm soát truy cập và mã hóa phần mềm và phần cứng riêng biệt. Vẻ bề ngoài những máy tính cá nhân, mạng lưới địa phương và toàn cầu, các kênh liên lạc vệ tinh, thông tin tình báo kỹ thuật hiệu quả và thông tin bí mật đã làm trầm trọng thêm vấn đề bảo vệ thông tin.

Đồng thời, thông tin là một sản phẩm rất cụ thể, có thể ở cả dạng vật chất và vô hình (không cố định). Vì vậy, nếu không có ranh giới rõ ràng để xác định thông tin là đối tượng của pháp luật thì việc áp dụng bất kỳ quy phạm pháp luật nào liên quan đến thông tin sẽ gặp rất nhiều khó khăn.

Cho đến gần đây, đây là nguyên nhân khá quan trọng gây phức tạp cho việc điều chỉnh các quan hệ pháp luật trong lĩnh vực thông tin.

Những đảm bảo chính về quyền thông tin được ghi trong Hiến pháp Liên bang Nga. Mặc dù thực tế Hiến pháp là luật có hiệu lực trực tiếp nhưng sẽ khó áp dụng các quy định của Hiến pháp cho một số loại quan hệ nếu không có quy định cụ thể hơn.

Một số loại quan hệ được điều chỉnh bởi các luật đặc biệt, theo quy định, cũng không chứa các quy tắc trực tiếp thiết lập các quy tắc. tương tác thông tin.

Các quy tắc tương tác thông tin phát sinh trong quá trình thực hiện các mối quan hệ cụ thể được quy định ở cấp độ nghị quyết của Chính phủ hoặc quy định của ngành. Đồng thời, trên cấp độ này Theo quy định, một hành động quy chuẩn được tạo ra có tính ràng buộc đối với những người tham gia trong các mối quan hệ này và các quy tắc được thiết lập trong đó sẽ được truyền đạt tới nhân viên hoặc các đơn vị cơ cấu của cơ quan chính phủ có liên quan bằng cách đưa ra hướng dẫn hoặc gửi thư.

Gia tăng số lượng và chất lượng của các mối đe dọa an ninh thông tin trong hệ thống máy tính không phải lúc nào cũng dẫn đến phản ứng thỏa đáng dưới hình thức tạo ra hệ thống đáng tin cậy và bảo mật công nghệ thông tin. Trong hầu hết các tổ chức thương mại và chính phủ, chưa kể người dùng thông thường, chỉ các chương trình chống vi-rút và phân biệt quyền truy cập của người dùng dựa trên mật khẩu mới được sử dụng làm biện pháp bảo vệ.

Bị đe dọa bảo mật thông tin đề cập đến các sự kiện hoặc hành động có thể dẫn đến bóp méo, sử dụng trái phép hoặc thậm chí phá hủy tài nguyên thông tin của hệ thống được quản lý cũng như phần mềm và phần cứng.

Y. Sử học

Thuật ngữ “thông tin” xuất phát từ thông tin Latin, có nghĩa là “làm quen, giải thích, trình bày, khái niệm” và ban đầu chỉ gắn liền với các hoạt động giao tiếp của con người. Rõ ràng là nó đã xuất hiện ở Nga vào thời đại của Peter Đại đế, nhưng không trở nên phổ biến. Chỉ đến đầu thế kỷ XX, nó mới bắt đầu được sử dụng trong các tài liệu, sách, báo, tạp chí và được sử dụng với ý nghĩa báo cáo, thông tin, thông tin về một điều gì đó.

Tuy nhiên, phát triển nhanh chóng Vào những năm 20 của thế kỷ trước, các phương tiện và hệ thống truyền thông, sự xuất hiện của khoa học máy tính và điều khiển học đòi hỏi sự hiểu biết khoa học về khái niệm thông tin và phát triển một khung lý thuyết phù hợp. Điều này dẫn đến sự hình thành và phát triển của cả một “gia đình” gồm các học thuyết rất khác nhau về thông tin và theo đó là các cách tiếp cận để xác định chính khái niệm thông tin.

Lịch sử nghiên cứu về thông tin bắt đầu bằng việc xem xét khía cạnh toán học (cú pháp) của nó gắn liền với các chỉ số (đặc điểm) định lượng của hệ thống thông tin.

Năm 1928, R. Hartley, trong tác phẩm “Truyền thông tin” của mình, đã xác định thước đo lượng thông tin cho các sự kiện thống nhất, và vào năm 1948, Claude Shannon đã đề xuất một công thức xác định lượng thông tin cho một tập hợp các sự kiện có các mức độ khác nhau. xác suất. Và mặc dù vào năm 1933, công trình của nhà khoa học xuất sắc V.A. Kotelnikov về lượng tử hóa tín hiệu điện, chứa đựng “lý thuyết báo cáo” nổi tiếng, trong tài liệu khoa học thế giới người ta tin rằng năm 1948 là năm ra đời của lý thuyết thông tin và cách tiếp cận định lượng đối với các quá trình thông tin.

Lý thuyết thống kê về thông tin do K. Shannon xây dựng đã có tác động đáng kể đến nhiều lĩnh vực kiến ​​thức khác nhau. Cần lưu ý rằng công thức của Shannon rất giống với công thức Boltzmann được sử dụng trong vật lý để xác định thống kê entropy, được lấy với dấu ngược lại. Điều này cho phép L. Brillun mô tả thông tin dưới dạng entropy âm (negentropy).

Tầm quan trọng của phương pháp thống kê trong việc xác định khái niệm thông tin còn nằm ở chỗ, trong khuôn khổ của nó, định nghĩa đầu tiên về thông tin đã đạt được thỏa đáng, kể cả từ quan điểm triết học: thông tin là sự loại bỏ sự không chắc chắn. Theo A.D. Ursula “Nếu có sự mơ hồ hoặc không chắc chắn trong kiến ​​thức của chúng tôi về bất kỳ chủ đề nào và khi nhận được thông tin mới về chủ đề này, chúng tôi có thể đánh giá nó một cách chắc chắn hơn, điều này có nghĩa là tin nhắn đó có chứa thông tin.”

Tuy nhiên, chỉ nêu bật khía cạnh định lượng của nó trong thông tin rõ ràng là chưa đủ. Như V.A. đã lưu ý chính xác. Bokarev, trong lý thuyết thống kê, “một mặt đã làm cho lý thuyết này có phạm vi sơ bộ nhưng mặt khác lại ngăn cản nó trở thành một ngành khoa học nghiên cứu thông tin một cách toàn diện”. Tất cả điều này buộc chúng tôi phải tìm kiếm những cách tiếp cận khác, phổ quát hơn để xác định khái niệm thông tin.

Cách tiếp cận bổ sung, khác biệt về cơ bản này là cách tiếp cận điều khiển học, bao gồm các cấu trúc và kết nối của các hệ thống. Với sự ra đời của điều khiển học, với tư cách là một ngành khoa học “về các quy luật chung về biến đổi thông tin trong các hệ thống điều khiển phức tạp”, các phương pháp nhận thức, lưu trữ, xử lý và sử dụng thông tin, thuật ngữ “thông tin” đã trở thành một khái niệm khoa học, một loại công cụ nghiên cứu các quy trình quản lý.

YY.Phần chính

2.1 Các loại đe dọa có chủ ý đối với thông tin

Thụ động các mối đe dọa chủ yếu nhằm vào việc sử dụng trái phép tài nguyên thông tin của hệ thống thông tin mà không ảnh hưởng đến chức năng của nó. Ví dụ, truy cập trái phépđến cơ sở dữ liệu, lắng nghe các kênh liên lạc, v.v.

Các mối đe dọa hoạt động có mục tiêu phá vỡ hoạt động bình thường của IS bằng cách cố ý gây ảnh hưởng đến các thành phần của nó. Ví dụ, các mối đe dọa đang hoạt động bao gồm lỗi máy tính hoặc hệ điều hành của nó, bóp méo thông tin trong BnD, phá hủy phần mềm máy tính, gián đoạn đường truyền liên lạc, v.v. Các mối đe dọa đang hoạt động có thể đến từ tin tặc, phần mềm độc hại, v.v.

Các mối đe dọa có chủ ý cũng được chia thành nội bộ (phát sinh bên trong tổ chức được quản lý) và bên ngoài.

Các mối đe dọa nội bộ thường được xác định bởi sự căng thẳng xã hội và môi trường đạo đức khó khăn.

Các mối đe dọa bên ngoài có thể được xác định bởi các hành động nguy hiểm của đối thủ cạnh tranh, điều kiện kinh tế và các lý do khác (ví dụ: thiên tai). Theo nguồn tin nước ngoài, hoạt động gián điệp công nghiệp đã trở nên phổ biến -- Đây là hành vi thu thập, chiếm đoạt, chuyển giao trái phép thông tin cấu thành bí mật kinh doanh của người không được chủ sở hữu ủy quyền, gây bất lợi cho chủ sở hữu bí mật kinh doanh.

Các mối đe dọa chính đối với an ninh thông tin và hoạt động bình thường của hệ thống thông tin bao gồm:

* rò rỉ thông tin bí mật;

* thỏa hiệp thông tin;

* sử dụng trái phép các nguồn thông tin;

* sử dụng sai nguồn thông tin;

* trao đổi thông tin trái phép giữa các thuê bao;

* từ chối thông tin;

* vi phạm dịch vụ thông tin;

* sử dụng trái phépđặc quyền.

Rò rỉ thông tin bí mật -- Đây là việc tiết lộ thông tin bí mật một cách không kiểm soát ra bên ngoài IP hoặc vòng tròn của những người được giao phó thông tin đó thông qua dịch vụ hoặc được biết đến trong quá trình làm việc. Sự rò rỉ này có thể là do:

* tiết lộ thông tin bí mật;

* chăm sóc thông tin thông qua các kênh khác nhau, chủ yếu là kỹ thuật;

* truy cập trái phép ĐẾN thông tin mật theo nhiều cách khác nhau.

Tiết lộ thông tin cô ấy chủ sở hữu hoặc người chiếm hữu là hành động cố ý hoặc bất cẩn của các quan chức và người sử dụng mà thông tin liên quan được giao phó theo cách thức đã được thiết lập thông qua dịch vụ hoặc công việc của họ, dẫn đến làm quen với nó với những người không được nhận vào thông tin này.

Có thể mất thông tin bí mật không kiểm soát được thông qua các kênh thị giác, quang học, âm thanh, điện từ và các kênh khác.

Truy cập trái phép -- đây là hành vi cố ý thu thập thông tin bí mật một cách bất hợp pháp bởi một người không có quyền truy cập thông tin được bảo vệ.

Những cách phổ biến nhất để truy cập trái phép vào thông tin là:

* chặn bức xạ điện tử;

* sử dụng thiết bị nghe (đánh dấu);

* chụp ảnh từ xa;

* chặn bức xạ âm thanh và phục hồi văn bản máy in;

* đọc thông tin còn lại trong bộ nhớ hệ thống sau khi thực hiện các yêu cầu được ủy quyền;

* sao chép phương tiện lưu trữ bằng cách khắc phục các biện pháp bảo mật

* cải trang thành người dùng đã đăng ký;

* ngụy trang dưới dạng yêu cầu hệ thống;

* sử dụng bẫy phần mềm;

* Khai thác những khuyết điểm của ngôn ngữ lập trình và hệ điều hành;

* kết nối bất hợp pháp với thiết bị và đường dây liên lạc của phần cứng được thiết kế đặc biệt để cung cấp quyền truy cập thông tin;

* vô hiệu hóa cơ chế bảo vệ một cách có chủ đích;

* giải mã thông tin được mã hóa bằng các chương trình đặc biệt;

* lây nhiễm thông tin

Các phương pháp truy cập trái phép được liệt kê đòi hỏi khá nhiều kiến ​​thức kỹ thuật và phần cứng hoặc phát triển phần mềm từ phía tên trộm. Ví dụ: các kênh rò rỉ kỹ thuật được sử dụng - đây là các đường dẫn vật lý từ nguồn thông tin bí mật đến kẻ tấn công, qua đó có thể lấy được thông tin được bảo vệ. Nguyên nhân gây ra kênh rò rỉ là do thiết kế và công nghệ không hoàn hảo giải pháp mạch hoặc hao mòn hoạt động của các yếu tố. Tất cả điều này cho phép tin tặc tạo ra các bộ chuyển đổi hoạt động theo các nguyên tắc vật lý nhất định, tạo thành một kênh truyền thông tin vốn có theo các nguyên tắc này - kênh rò rỉ.

Tuy nhiên, cũng có những cách truy cập trái phép khá thô sơ:

* trộm cắp phương tiện lưu trữ và chất thải tài liệu; * chủ động hợp tác;

* xúi giục kẻ trộm hợp tác; * để thăm dò;

* nghe trộm;

* quan sát và những cách khác.

Bất kỳ phương tiện nào làm rò rỉ thông tin bí mật đều có thể dẫn đến thiệt hại đáng kể về vật chất và đạo đức cho cả tổ chức nơi hệ thống thông tin vận hành và cho người sử dụng nó.

Các nhà quản lý nên nhớ rằng phần lớn các nguyên nhân và điều kiện tạo tiền đề và khả năng thu thập thông tin bí mật một cách bất hợp pháp đều phát sinh do những thiếu sót cơ bản của lãnh đạo tổ chức và nhân viên của họ. Ví dụ, những lý do và điều kiện tạo tiền đề cho việc rò rỉ bí mật kinh doanh có thể bao gồm:

* Nhân viên của tổ chức không đủ kiến ​​thức về các quy tắc bảo vệ thông tin bí mật và thiếu hiểu biết về sự cần thiết phải tuân thủ cẩn thận của họ;

* sử dụng các phương tiện kỹ thuật không được chứng nhận để xử lý thông tin bí mật;

* khả năng kiểm soát yếu kém đối với việc tuân thủ các quy tắc bảo vệ thông tin bằng các biện pháp pháp lý, tổ chức và kỹ thuật;

* luân chuyển nhân viên, bao gồm cả những người sở hữu thông tin cấu thành bí mật thương mại;

* những thiếu sót về mặt tổ chức, do đó thủ phạm gây rò rỉ thông tin là con người - nhân viên IS và IT.

Hầu hết các cách truy cập trái phép kỹ thuật được liệt kê có thể được khóa đáng tin cậy với một hệ thống an ninh được thiết kế và triển khai hợp lý. Nhưng cuộc chiến chống lây nhiễm thông tin gặp nhiều khó khăn đáng kể, vì có rất nhiều chương trình độc hại tồn tại và liên tục được phát triển, mục đích của chúng là làm hỏng thông tin trong cơ sở dữ liệu và phần mềm máy tính. Con số lớn Sự đa dạng của các chương trình này không cho phép chúng tôi phát triển các phương tiện bảo vệ lâu dài và đáng tin cậy chống lại chúng.

Các chương trình độc hại được phân loại như sau: Bom logic, đúng như tên gọi, chúng được sử dụng để bóp méo hoặc phá hủy thông tin; ít thường xuyên hơn, chúng được sử dụng để thực hiện hành vi trộm cắp hoặc lừa đảo. Việc thao túng bom logic thường được thực hiện bởi những nhân viên bất mãn đang có ý định rời khỏi tổ chức, nhưng nó cũng có thể được thực hiện bởi các nhà tư vấn, nhân viên có niềm tin chính trị nhất định, v.v.

Một ví dụ thực tế về quả bom logic: một lập trình viên, đoán trước được việc mình bị sa thải, thực hiện một số thay đổi nhất định đối với chương trình trả lương và có hiệu lực khi họ của anh ta biến mất khỏi tập dữ liệu ồ nhân sự công ty.

ngựa thành Troy -- một chương trình thực hiện, ngoài các hành động chính, tức là các hành động được thiết kế và ghi lại, các hành động bổ sung không được mô tả trong tài liệu. Sự tương tự với con ngựa thành Troy của Hy Lạp cổ đại là hợp lý - trong cả hai trường hợp đều không phải vậy. khả nghi có một mối đe dọa cho vỏ. Con ngựa thành Troy tượng trưng khối bổ sung các lệnh, được chèn bằng cách này hay cách khác vào chương trình vô hại ban đầu, sau đó được chuyển (tặng, bán, thay thế) cho người dùng IS. Khối lệnh này có thể được kích hoạt khi một điều kiện nhất định xảy ra (ngày, giờ, bằng lệnh bên ngoài, v.v.). Bất kỳ ai khởi chạy một chương trình như vậy đều gây nguy hiểm cho cả tệp của họ và toàn bộ hệ thống IP. Trojan horse thường hoạt động trong phạm vi quyền hạn của một người dùng nhưng vì lợi ích của người dùng khác hoặc thậm chí là một người lạ mà danh tính của họ đôi khi không thể xác định được.

Một con ngựa thành Troy có thể thực hiện những hành động nguy hiểm nhất nếu người dùng khởi chạy nó có một bộ đặc quyền mở rộng. Trong trường hợp này, kẻ tấn công đã tạo và giới thiệu một con ngựa Trojan và bản thân không có những đặc quyền này, có thể thực hiện các chức năng đặc quyền trái phép bằng tay kẻ xấu.

Vi-rút -- một chương trình có thể lây nhiễm sang các chương trình khác bằng cách đưa vào đó một bản sao đã sửa đổi có khả năng tái tạo thêm.

Virus này được cho là có hai đặc điểm chính:

1) khả năng tự sinh sản;

2) khả năng can thiệp vào quá trình tính toán (tức là giành quyền kiểm soát).

Sâu -- một chương trình lan truyền qua mạng và không để lại bản sao của chính nó trên môi trường từ tính. Sâu sử dụng cơ chế hỗ trợ mạng để xác định nút nào có thể bị nhiễm. Sau đó, bằng cách sử dụng các cơ chế tương tự, nó chuyển phần thân hoặc một phần của nó sang nút này và kích hoạt hoặc chờ các điều kiện thích hợp cho việc này. Hầu hết đại diện nổi tiếng Lớp này là virus Morris (sâu Morris), lây nhiễm trên Internet vào năm 1988. Môi trường thích hợp cho sự lây lan của sâu là một mạng trong đó tất cả người dùng được coi là thân thiện và tin cậy lẫn nhau, đồng thời không có cơ chế bảo vệ. Cách tốt nhất để bảo vệ khỏi sâu máy tính là đề phòng những truy cập trái phép vào mạng của bạn.

Trình lấy mật khẩu -- Đây là những chương trình được thiết kế đặc biệt để đánh cắp mật khẩu. Khi người dùng cố gắng truy cập vào thiết bị đầu cuối hệ thống, thông tin cần thiết để kết thúc phiên làm việc sẽ được hiển thị trên màn hình. Khi cố gắng đăng nhập, người dùng sẽ nhập tên và mật khẩu, những thông tin này sẽ được gửi đến chủ sở hữu của kẻ xâm lược, sau đó một thông báo lỗi được hiển thị và thông tin đầu vào cũng như quyền điều khiển sẽ được trả về hệ điều hành. Người dùng cho rằng họ đã nhập sai mật khẩu sẽ đăng nhập lại và giành được quyền truy cập ĐẾN hệ thống. Tuy nhiên, tên và mật khẩu của nó đã được chủ sở hữu của chương trình xâm lược biết. Việc chặn mật khẩu cũng có thể được thực hiện theo những cách khác. Để ngăn chặn mối đe dọa này, trước khi đăng nhập vào hệ thống, bạn cần đảm bảo rằng bạn đang nhập tên và mật khẩu của mình vào chương trình nhập hệ thống chứ không phải một chương trình nào khác. Ngoài ra, bạn phải tuân thủ nghiêm ngặt các quy định sử dụng mật khẩu và làm việc với hệ thống. Hầu hết các vi phạm xảy ra không phải do tấn công khéo léo mà do sơ suất đơn giản. Việc tuân thủ các quy tắc sử dụng mật khẩu được phát triển đặc biệt là điều kiện cần thiết để bảo vệ đáng tin cậy.

Sự thỏa hiệp về thông tin (một trong những dạng lây nhiễm thông tin). Theo quy định, nó được triển khai thông qua các thay đổi trái phép trong cơ sở dữ liệu, do đó người tiêu dùng buộc phải từ bỏ nó hoặc thực hiện các nỗ lực bổ sung để xác định các thay đổi và khôi phục thông tin thực sự. Khi sử dụng thông tin bị xâm phạm, người tiêu dùng có nguy cơ đưa ra quyết định sai lầm.

Sử dụng trái phép các nguồn thông tin , Với một mặt, đó là hậu quả của việc rò rỉ và là phương tiện để xâm phạm nó. Mặt khác, nó có ý nghĩa độc lập vì nó có thể gây ra thiệt hại lớn hệ thống được quản lý (cho đến lỗi CNTT hoàn toàn) hoặc các thuê bao của nó.

Sử dụng sai nguồn thông tin tuy nhiên, trong khi được ủy quyền có thể dẫn đến sự phá hủy, rò rỉ hoặc xâm phạm các tài nguyên nói trên. Mối đe dọa này Thông thường, đó là hậu quả của lỗi trong phần mềm CNTT.

Trao đổi thông tin trái phép giữa các thuê bao có thể dẫn đến một trong số họ có được thông tin, truy cập vào điều mà anh ta bị cấm. Hậu quả cũng giống như việc truy cập trái phép.

Từ chối thông tin bao gồm việc người nhận hoặc người gửi không công nhận thông tin này về thực tế nhận hoặc gửi nó. Điều này cho phép một trong các bên chấm dứt các thỏa thuận tài chính đã ký kết về mặt kỹ thuật, mà không chính thức từ bỏ họ, từ đó gây ra thiệt hại đáng kể cho bên kia.

Sự gián đoạn dịch vụ thông tin -- một mối đe dọa đến từ chính CNTT. Sự chậm trễ trong việc cung cấp tài nguyên thông tin cho người đăng ký có thể dẫn đến hậu quả nghiêm trọng cho anh ta. Việc người dùng thiếu dữ liệu kịp thời cần thiết để đưa ra quyết định có thể khiến anh ta hành động phi lý.

Sử dụng đặc quyền bất hợp pháp . Bất kỳ hệ thống được bảo vệ nào đều chứa các công cụ được sử dụng trong các tình huống khẩn cấp hoặc các công cụ có khả năng hoạt động vi phạm chính sách bảo mật hiện có. Ví dụ: trong trường hợp kiểm tra bất ngờ, người dùng phải có khả năng truy cập vào tất cả các bộ của hệ thống. Những công cụ này thường được sử dụng bởi quản trị viên, người vận hành, lập trình viên hệ thống và những người dùng khác thực hiện các chức năng chuyên biệt.

Hầu hết các hệ thống bảo mật đều sử dụng bộ đặc quyền trong những trường hợp như vậy, nghĩa là cần có một đặc quyền nhất định để thực hiện một chức năng nhất định. Thông thường, người dùng có một nhóm đặc quyền tối thiểu, trong khi quản trị viên có mức đặc quyền tối đa.

Các bộ đặc quyền được bảo vệ bởi một hệ thống an ninh. Việc chiếm đoạt các đặc quyền trái phép (bất hợp pháp) có thể xảy ra nếu có lỗi trong hệ thống bảo mật, nhưng thường xảy ra nhất trong quá trình quản lý hệ thống bảo mật, đặc biệt khi các đặc quyền được sử dụng một cách bất cẩn.

Việc tuân thủ nghiêm ngặt các quy tắc quản lý hệ thống bảo mật và tuân thủ nguyên tắc đặc quyền tối thiểu cho phép bạn tránh được những vi phạm đó.

2.2 Phương pháp bảo mật thông tin

Vào tháng 9 năm 2000, Tổng thống Nga đã ký “Học thuyết về An ninh Thông tin của Liên bang Nga”, trên cơ sở đó luật thông tin được thông qua. Luật này phân biệt các loại sau thông tin thuộc phạm vi bảo vệ của nhà nước:

Các phương pháp mật mã:

Vấn đề bảo vệ thông tin bằng cách chuyển đổi nó để ngăn người ngoài đọc được đã khiến tâm trí con người lo lắng từ xa xưa. Lịch sử của mật mã gắn liền với lịch sử ngôn ngữ của loài người. Hơn nữa, bản thân chữ viết ban đầu là một hệ thống mật mã, vì trong các xã hội cổ đại chỉ một số ít người có thể làm chủ được nó. Những cuốn sách thiêng liêng của Ai Cập cổ đại và Ấn Độ cổ đại là những ví dụ về điều này.

Với việc sử dụng rộng rãi chữ viết, mật mã học bắt đầu nổi lên như một môn khoa học độc lập. Các hệ thống mật mã đầu tiên đã được tìm thấy vào đầu kỷ nguyên của chúng ta. Vì vậy, Caesar trong thư từ của mình đã sử dụng một mật mã ít nhiều có hệ thống, mang tên ông.

Các hệ thống mật mã phát triển nhanh chóng trong những năm diễn ra Thế chiến thứ nhất và thứ hai. Từ thời kỳ hậu chiến tranh cho đến ngày nay, sự ra đời của máy tính đã thúc đẩy sự phát triển và cải tiến các phương pháp mã hóa.

Tại sao vấn đề sử dụng phương pháp mật mã trong hệ thống thông tin (IS) lại trở nên Hiện nayđặc biệt có liên quan?

Một mặt, việc sử dụng mạng máy tính đã mở rộng, đặc biệt mạng lưới toàn cầu Internet, qua đó một khối lượng lớn thông tin có tính chất nhà nước, quân sự, thương mại và tư nhân được truyền đi, ngăn chặn những người không được phép truy cập vào nó.

Mặt khác, sự xuất hiện của mới máy tính mạnh mẽ, công nghệ mạng và điện toán thần kinh đã giúp làm mất uy tín của các hệ thống mật mã mà cho đến gần đây vẫn được coi là thực tế không thể phá vỡ được.

Mật mã học (kryptos - bí mật, logo - khoa học) giải quyết vấn đề bảo vệ thông tin bằng cách chuyển đổi nó. Mật mã học được chia thành hai lĩnh vực - mật mã và phân tích mật mã. Mục tiêu của những hướng này hoàn toàn trái ngược nhau.

Mật mã học liên quan đến việc tìm kiếm và nghiên cứu các phương pháp toán học để chuyển đổi thông tin.

Lĩnh vực quan tâm của phân tích mật mã là nghiên cứu khả năng giải mã thông tin mà không cần biết chìa khóa.

Mật mã hiện đại bao gồm bốn phần chính:

1.Hệ thống mật mã đối xứng.

2. Hệ thống mật mã khóa công khai.

3. Hệ thống chữ ký điện tử.

4. Quản lý khóa.

Các lĩnh vực chính của việc sử dụng phương pháp mã hóa là truyền thông tin bí mật qua các kênh liên lạc (ví dụ: e-mail), thiết lập tính xác thực của tin nhắn được truyền đi, lưu trữ thông tin (tài liệu, cơ sở dữ liệu) trên phương tiện truyền thông ở dạng mã hóa.

Hệ thống khóa công khai:

Cho dù các hệ thống mật mã phức tạp và đáng tin cậy đến đâu, chúng điểm yếu trong thực tế triển khai - vấn đề phân phối phím. Để có thể trao đổi thông tin bí mật giữa hai chủ thể IP, khóa phải được tạo bởi một trong số họ và sau đó bằng cách nào đó, lại được chuyển một cách bí mật cho đối tượng kia. Những thứ kia. V. trường hợp chung việc truyền lại khóa yêu cầu sử dụng một số loại hệ thống mật mã.

Để giải quyết vấn đề này, dựa trên kết quả thu được của đại số cổ điển và đại số hiện đại, họ đã đề xuất các hệ thống khóa công khai.

Bản chất của chúng là mỗi người nhận địa chỉ IP tạo ra hai khóa được kết nối với nhau theo một quy tắc nhất định. Một khóa được khai báo công khai và khóa còn lại được khai báo riêng tư. Khóa công khai được công bố và có sẵn cho bất kỳ ai muốn gửi tin nhắn cho người nhận. Khóa bí mật được giữ bí mật.

Văn bản gốc được mã hóa bằng khóa chung của người nhận và được truyền tới người đó. Về nguyên tắc, bản mã không thể được giải mã bằng cùng một khóa chung. Việc giải mã tin nhắn chỉ có thể thực hiện được bằng cách sử dụng khóa riêng mà chỉ người nhận mới biết.

Các hệ thống mật mã khóa công khai sử dụng cái gọi là hàm không thể đảo ngược hoặc hàm một chiều, có đặc tính sau: cho một giá trị x tương đối dễ dàng để tính toán giá trị f(x), Tuy nhiên, nếu y=f(x), sau đó thì không cách dễ dàngđể tính giá trị x.

Tập hợp các lớp chức năng không thể đảo ngược tạo nên sự đa dạng của các hệ thống khóa công khai. Tuy nhiên, không phải mọi chức năng không thể đảo ngược đều phù hợp để sử dụng trong IC thực.

Có sự không chắc chắn trong chính định nghĩa của tính không thể đảo ngược. Tính không thể đảo ngược không có nghĩa là không thể đảo ngược về mặt lý thuyết mà là không thể tính toán giá trị nghịch đảo trong thực tế bằng các công cụ tính toán hiện đại trong một khoảng thời gian có thể thấy trước.

Do đó, để đảm bảo bảo vệ thông tin đáng tin cậy, hệ thống khóa công khai (PKS) phải tuân theo hai yêu cầu quan trọng và hiển nhiên:

1. Chuyển đổi văn bản nguồn phải không thể đảo ngược và không thể khôi phục dựa trên khóa chung.

2. Việc xác định khóa riêng dựa trên khóa chung cũng là điều không thể thực hiện được ở trình độ công nghệ hiện tại. Trong trường hợp này, cần có một giới hạn dưới chính xác cho độ phức tạp (số lượng thao tác) của việc phá mã.

Các thuật toán mã hóa khóa công khai được sử dụng rộng rãi trong các hệ thống thông tin hiện đại. Vì thế, Thuật toán RSAđã trở thành tiêu chuẩn toàn cầu trên thực tế cho các hệ thống mở và được CCITT khuyến nghị.

Nói chung, tất cả các hệ thống mật mã khóa công khai được cung cấp ngày nay đều dựa vào một trong các loại biến đổi không thể đảo ngược sau:

Sự phân hủy số lượng lớn thành các thừa số nguyên tố.

Tính logarit trong trường hữu hạn.

Tính nghiệm của phương trình đại số.

Cần lưu ý ở đây rằng thuật toán hệ thống mật mã khóa công khai (PSC) có thể được sử dụng cho ba mục đích.

1. Là phương tiện bảo vệ độc lập dữ liệu được truyền và lưu trữ.

2. Là phương tiện phân phối chìa khóa. Các thuật toán RNS tốn nhiều công sức hơn các hệ thống mật mã truyền thống. Do đó, trong thực tế, việc sử dụng RNS để phân phối khóa thường là hợp lý, khối lượng thông tin là không đáng kể. Và sau đó, sử dụng các thuật toán thông thường, trao đổi các luồng thông tin lớn.

Phương tiện xác thực người dùng.

Chữ ký điện tử

Năm 1991, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã đề xuất tiêu chuẩn DSS (Tiêu chuẩn Chữ ký Số) cho thuật toán chữ ký số mới nổi DSA (Thuật toán Chữ ký Số), dựa trên thuật toán ElGamal và RSA.

Vấn đề với việc xác thực dữ liệu là gì?

Ở cuối một lá thư hoặc tài liệu thông thường, người thi hành hoặc người chịu trách nhiệm thường đặt chữ ký của mình. Một hành động như vậy thường phục vụ hai mục đích. Đầu tiên, người nhận có cơ hội xác minh tính xác thực của bức thư bằng cách so sánh chữ ký với mẫu mà mình có. Thứ hai, chữ ký cá nhân là sự đảm bảo pháp lý về quyền tác giả của tài liệu. Khía cạnh cuối cùng đặc biệt quan trọng khi ký kết các loại giao dịch thương mại khác nhau, lập giấy ủy quyền, nghĩa vụ, v.v.

Nếu việc giả mạo chữ ký của một người trên giấy là rất khó và việc xác lập quyền tác giả của chữ ký bằng các phương pháp pháp y hiện đại là một chi tiết kỹ thuật, thì với chữ ký điện tử thì lại khác. Bất kỳ người dùng nào cũng có thể giả mạo chuỗi bit bằng cách sao chép nó hoặc thực hiện các chỉnh sửa bất hợp pháp đối với tài liệu mà không bị chú ý.

Phổ biến rộng rãi ở thế giới hiện đại dạng điện tử của tài liệu (bao gồm cả tài liệu mật) và phương tiện xử lý chúng, vấn đề xác lập tính xác thực và quyền tác giả của tài liệu không giấy tờ đã trở nên đặc biệt quan trọng.

Trong phần về hệ thống mật mã khóa công khai đã chỉ ra rằng với tất cả những ưu điểm hệ thống hiện đại mã hóa, chúng không cho phép xác thực dữ liệu. Vì vậy, phương tiện xác thực phải được sử dụng kết hợp với các thuật toán mã hóa.

Đôi khi không cần mã hóa tin nhắn được truyền đi, nhưng bạn cần phải đóng dấu nó bằng chữ ký điện tử. Trong trường hợp này, văn bản được mã hóa bằng khóa riêng của người gửi và chuỗi ký tự thu được sẽ được đính kèm vào tài liệu. Người nhận, sử dụng khóa chung của người gửi, giải mã chữ ký và kiểm tra nó với văn bản. Năm 1991, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã đề xuất tiêu chuẩn DSS (Tiêu chuẩn Chữ ký Số) cho thuật toán chữ ký số mới nổi DSA (Thuật toán Chữ ký Số), dựa trên thuật toán ElGamal và RSA.

Các phương pháp bảo vệ thông tin trongInternet:

Ngày nay điều phù hợp nhất cho Chủ đề Internet- Vấn đề bảo mật thông tin. Mạng đang phát triển nhanh chóng trên phạm vi toàn cầu, các hệ thống mạng nội bộ (intranet, intranet) ngày càng trở nên phổ biến. Sự xuất hiện của một phân khúc mới khổng lồ trên thị trường đã kích thích cả người dùng và nhà cung cấp dịch vụ mạng tìm cách cải thiện tính bảo mật khi truyền thông tin qua Internet.

Vấn đề bảo mật trên Internet được chia thành hai loại: bảo mật chung và vấn đề về độ tin cậy của các giao dịch tài chính. Giải quyết thành công các vấn đề trong lĩnh vực hoạt động tài chính có thể mở ra triển vọng to lớn cho Internet trong việc cung cấp dịch vụ kinh doanh. Những gã khổng lồ về thẻ tín dụng như MasterCard và Visa, cũng như các hãng dẫn đầu ngành máy tính Microsoft và Netscape, đã tham gia cuộc chiến để giải quyết vấn đề này. Tất cả những điều này đều liên quan đến vấn đề “tiền”; Bài viết của chúng tôi dành cho vấn đề an ninh chung.

Mục tiêu của nghiên cứu trong lĩnh vực này là giải quyết vấn đề riêng tư. Hãy lấy một ví dụ về việc chuyển email từ máy chủ SMTP này sang máy chủ SMTP khác. Trong một số trường hợp, những tin nhắn này chỉ được sao chép từ ổ cứng này sang ổ cứng khác dưới dạng tệp văn bản thông thường, tức là bất kỳ ai cũng có thể đọc chúng. Nói một cách hình tượng, cơ chế gửi e-mail qua Internet cũng tương tự như tình huống quần áo đã giặt được treo bên ngoài thay vì vắt trong máy giặt. Việc tin nhắn có chứa bất kỳ thông tin tài chính nào hay không không quan trọng; Điều sau đây rất quan trọng: mọi thông tin được gửi qua Internet phải không cho người ngoài truy cập được.

Ngoài quyền riêng tư, người dùng còn lo ngại về vấn đề đảm bảo với người mà họ hiện đang “nói chuyện”. Họ cần tin tưởng rằng máy chủ Internet mà họ hiện đang liên lạc thực sự chính là người mà họ tuyên bố; có thể là một máy chủ Web toàn cầu, FTP, IRC hoặc bất kỳ loại nào khác. Không đặc biệt khó để bắt chước (như một trò đùa hoặc với mục đích tội phạm) một máy chủ không được bảo vệ và cố gắng thu thập tất cả thông tin về bạn. Và tất nhiên, các nhà cung cấp dịch vụ mạng cũng muốn chắc chắn rằng những người liên hệ với họ để có một số tài nguyên Internet nhất định, chẳng hạn như e-mail và các dịch vụ IRC, chính là những người mà họ khai báo.

Phương pháp bảo vệ bằng mật khẩu:

Tính hợp pháp của yêu cầu của người dùng được xác định bằng mật khẩu, thường là một chuỗi ký tự. Phương thức mật khẩu được coi là khá yếu, vì mật khẩu có thể trở thành đối tượng của hành vi trộm cắp, đánh chặn, dùng vũ lực hoặc đoán mò. Tuy nhiên, sự đơn giản của phương pháp này kích thích việc tìm kiếm các cách để nâng cao nó.

Để tăng hiệu quả bảo vệ bằng mật khẩu, nên:

chọn mật khẩu dài hơn 6 ký tự, tránh các từ, tên, ngày tháng, v.v. thông dụng, dễ đoán;

1.sử dụng các ký tự đặc biệt;

2. mật khẩu được lưu trữ trên máy chủ được mã hóa bằng chức năng một chiều;

3. đặt tệp mật khẩu vào vùng được bảo vệ đặc biệt trong bộ nhớ máy tính, đóng để người dùng đọc;

4. ranh giới giữa các mật khẩu liền kề bị che khuất;

5.nhận xét tệp mật khẩu phải được lưu trữ riêng biệt với tệp;

6. thay đổi mật khẩu định kỳ;

7. cung cấp khả năng buộc thay đổi mật khẩu trên một phần của hệ thống sau một khoảng thời gian nhất định;

8.sử dụng một số mật khẩu người dùng: chính mật khẩu, số nhận dạng cá nhân, mật khẩu để khóa/mở khóa thiết bị khi vắng mặt ngắn hạn, v.v.

9. Các phương pháp tạo mật khẩu phức tạp hơn bao gồm lấy mẫu ngẫu nhiên các ký tự mật khẩu và sử dụng mật khẩu một lần. Trong trường hợp đầu tiên, người dùng (thiết bị) được cấp một mật khẩu khá dài và mỗi lần một phần mật khẩu được chọn ngẫu nhiên sẽ được sử dụng để nhận dạng. Khi sử dụng mật khẩu một lần, người dùng được cấp không phải một mà là một số lượng lớn mật khẩu, mỗi mật khẩu được sử dụng theo một danh sách hoặc mẫu thử ngẫu nhiên một lần. Trong môi trường phân tán thực sự, nơi người dùng có quyền truy cập vào nhiều máy chủ, cơ sở dữ liệu và thậm chí cả quyền đăng nhập từ xa, bảo mật trở nên phức tạp đến mức chỉ là cơn ác mộng đối với quản trị viên.

Các biện pháp bảo vệ hành chính:

Vấn đề bảo mật thông tin được giải quyết bằng cách đưa ra kiểm soát truy cập và phân định quyền hạn của người dùng.

Một phương tiện phổ biến để hạn chế quyền truy cập (hoặc hạn chế quyền) là hệ thống mật khẩu. Tuy nhiên, nó không đáng tin cậy. Các tin tặc có kinh nghiệm có thể hack lớp bảo vệ này, “rò rỉ” mật khẩu của người khác hoặc xâm nhập vào hệ thống bằng cách ép buộc các mật khẩu có thể có, vì chúng thường sử dụng tên, họ hoặc ngày sinh của người dùng. Một giải pháp đáng tin cậy hơn là tổ chức kiểm soát truy cập vào cơ sở hoặc tới một PC cụ thể trên mạng LAN bằng nhiều loại thẻ nhận dạng nhựa khác nhau.

Việc sử dụng thẻ nhựa có sọc từ cho những mục đích này là điều không nên làm vì nó có thể dễ dàng bị làm giả. Mức độ tin cậy cao hơn được cung cấp bởi thẻ nhựa có vi mạch tích hợp - cái gọi là thẻ vi xử lý (thẻ MP, thẻ thông minh). Độ tin cậy của chúng chủ yếu là do không thể sao chép hoặc làm giả bằng phương pháp tự chế. Ngoài ra, trong quá trình sản xuất thẻ, mỗi chip còn chứa mã duy nhất, không thể trùng lặp. Khi một thẻ được cấp cho người dùng, một hoặc nhiều mật khẩu sẽ được ghi trên đó mà chỉ chủ sở hữu của nó mới biết. Đối với một số loại thẻ MP, nỗ lực sử dụng trái phép sẽ kết thúc bằng việc thẻ tự động "đóng". Để khôi phục chức năng của thẻ như vậy, nó phải được trình lên cơ quan có thẩm quyền.

Có thể lắp đặt đầu đọc thẻ MP đặc biệt không chỉ ở lối vào cơ sở đặt máy tính mà còn có thể lắp đặt trực tiếp tại các máy trạm và máy chủ mạng.

Bảo vệ thông tin doanh nghiệp:

Tuy nhiên, khi giải quyết vấn đề này, doanh nghiệp thường đi theo sự dẫn dắt của các công ty thầu khoán quảng bá một hoặc nhiều sản phẩm mà theo quy luật, giải quyết được vấn đề riêng. Dưới đây chúng tôi sẽ xem xét nhiều nhất cách tiếp cận chung giải pháp toàn diện cho vấn đề đảm bảo an toàn thông tin.

Sai lầm phổ biến nhất khi xây dựng hệ thống bảo mật là mong muốn bảo vệ mọi thứ khỏi mọi thứ cùng một lúc. Trên thực tế, việc xác định các thông tin cần thiết (file, thư mục, ổ đĩa) và các đối tượng khác của cấu trúc thông tin cần bảo vệ là bước đầu tiên trong việc xây dựng hệ thống an toàn thông tin. Bạn nên bắt đầu bằng việc xác định danh sách này: bạn nên ước tính mức độ mất mát (xóa hoặc đánh cắp) của một cơ sở dữ liệu cụ thể hoặc, ví dụ, một cơ sở dữ liệu đơn giản trạm làm việc trong ngày.

Bước thứ hai là xác định nguồn gốc của các mối đe dọa. Theo quy định, có một số trong số họ. Xác định nguồn gốc của các mối đe dọa có nghĩa là đánh giá các mục tiêu của nó (nếu nguồn đó là cố ý) hoặc tác động có thể xảy ra (không chủ ý), khả năng (hoặc cường độ) xảy ra của nó. Nếu như Chúng ta đang nói về về hành động nguy hiểm của một người (hoặc một nhóm người), thì cần đánh giá năng lực tổ chức và kỹ thuật của người đó để truy cập thông tin (xét cho cùng, kẻ tấn công cũng có thể là nhân viên của công ty).

Khi nguồn của các mối đe dọa đã được xác định, các mối đe dọa đối với an ninh thông tin có thể được hình thành. Đó là, những gì có thể xảy ra với thông tin. Theo quy định, người ta thường phân biệt các nhóm mối đe dọa sau:

§ truy cập trái phép vào thông tin (đọc, sao chép hoặc thay đổi thông tin, giả mạo và áp đặt);

§ sự gián đoạn của máy tính và các chương trình ứng dụng

§ phá hủy thông tin.

Trong mỗi nhóm trong số ba nhóm này, có thể xác định được hàng chục mối đe dọa cụ thể, nhưng bây giờ chúng ta hãy dừng lại ở đó. Chúng ta chỉ cần lưu ý rằng các mối đe dọa có thể là cố ý và vô tình, và những mối đe dọa vô tình có thể là tự nhiên (ví dụ: thảm họa thiên nhiên) và nhân tạo (hành động sai lầm của nhân sự). Các mối đe dọa ngẫu nhiên không có mục đích xấu thường chỉ nguy hiểm về mặt mất thông tin và gián đoạn hệ thống, điều này khá dễ dàng để đảm bảo chống lại. Các mối đe dọa có chủ ý nghiêm trọng hơn xét từ quan điểm gây tổn thất cho doanh nghiệp, bởi vì ở đây bạn phải chiến đấu không phải với cơ hội mù quáng (mặc dù sức mạnh của nó tàn nhẫn), mà với một kẻ thù biết suy nghĩ.

Sẽ rất hữu ích khi xây dựng một hệ thống bảo vệ sử dụng các nguyên tắc bảo vệ khá phổ biến cho nhiều lĩnh vực chủ đề khác nhau (kỹ thuật trong quân đội, an ninh vật chất của con người và vùng lãnh thổ, v.v.)

§ Đầy đủ (đầy đủ hợp lý). Tổng chi phí bảo vệ (thời gian, nhân lực và tiền bạc) phải thấp hơn chi phí cho tài nguyên được bảo vệ. Nếu doanh thu của một công ty là 10.000 đô la một tháng thì việc triển khai một hệ thống trị giá hàng triệu đô la là điều khó có ý nghĩa (cũng như ngược lại).

§ Tính hệ thống. Tầm quan trọng của nguyên tắc này đặc biệt rõ ràng khi xây dựng các hệ thống bảo vệ lớn. Nó bao gồm thực tế là hệ thống bảo vệ không nên được xây dựng một cách trừu tượng (bảo vệ chống lại mọi thứ), mà trên cơ sở phân tích các mối đe dọa, các phương tiện bảo vệ chống lại các mối đe dọa này, tìm kiếm bộ phương tiện tối ưu này và xây dựng hệ thống.

§ Minh bạch cho người sử dụng hợp pháp. Việc đưa ra các cơ chế bảo mật (đặc biệt là xác thực người dùng) chắc chắn sẽ dẫn đến sự phức tạp trong hành động của họ. Tuy nhiên, không có cơ chế nào yêu cầu các bước bất khả thi (ví dụ: đặt mật khẩu 10 chữ số mỗi tuần và không viết nó ra bất cứ đâu) hoặc trì hoãn thủ tục truy cập thông tin.

§ Tính ổn định đồng đều của các liên kết. Liên kết là các yếu tố bảo vệ, vượt qua bất kỳ yếu tố nào trong số đó có nghĩa là vượt qua toàn bộ sự bảo vệ. Rõ ràng là điểm yếu của một số liên kết không thể được bù đắp bằng việc tăng cường các liên kết khác. Trong mọi trường hợp, sức mạnh của lực lượng phòng thủ (hoặc cấp độ của nó, xem bên dưới) được xác định bởi sức mạnh của mắt xích yếu nhất. Và nếu một nhân viên không trung thành sẵn sàng “ném nó vào đĩa mềm” với giá 100 USD thông tin có giá trị, thì kẻ tấn công khó có thể xây dựng một cuộc tấn công hacker phức tạp để đạt được mục tiêu tương tự.

§ Liên tục. Nói chung, độ ổn định như nhau, chỉ trong miền thời gian. Nếu chúng ta quyết định rằng chúng ta sẽ bảo vệ một thứ gì đó và bằng cách nào đó, thì chúng ta phải bảo vệ nó theo cách này vào bất kỳ thời điểm nào. Ví dụ: bạn không thể quyết định sao lưu thông tin vào Thứ Sáu và có “ngày vệ sinh” vào Thứ Sáu cuối cùng của tháng. Quy luật hèn hạ là không thể tránh khỏi: chính vào thời điểm khi các biện pháp bảo vệ thông tin bị suy yếu, điều mà chúng ta đang bảo vệ mình khỏi sẽ xảy ra. Sự thất bại tạm thời trong việc bảo vệ cũng như một mắt xích yếu sẽ khiến nó trở nên vô nghĩa.

§ Đa cấp độ. Bảo vệ đa cấp được tìm thấy ở khắp mọi nơi; chỉ cần đi lang thang qua tàn tích của một pháo đài thời trung cổ. Tại sao việc bảo vệ được xây dựng thành nhiều lớp mà cả kẻ tấn công và người dùng hợp pháp phải vượt qua (tất nhiên là những người dễ dàng thực hiện việc này hơn)? Thật không may, luôn có khả năng vượt qua được một mức độ nào đó do những tai nạn không lường trước được hoặc với xác suất khác 0. Toán học đơn giản gợi ý: nếu một cấp độ đảm bảo khả năng bảo vệ 90%, thì ba cấp độ (không bao giờ lặp lại nhau) sẽ mang lại cho bạn 99,9%. Nhân tiện, đây là một khoản dự trữ tiết kiệm: bằng cách tách các phương tiện bảo vệ rẻ tiền và tương đối không đáng tin cậy, có thể ít máuđạt được mức độ bảo vệ rất cao.

Việc tính đến những nguyên tắc này sẽ giúp bạn tránh được những chi phí không đáng có khi xây dựng hệ thống bảo mật thông tin, đồng thời đạt được mức độ bảo mật thông tin doanh nghiệp thực sự cao.

Đánh giá hiệu quả của hệ thống bảo vệ phần mềm

Các hệ thống bảo vệ phần mềm ngày càng phổ biến và không ngừng phát triển nhờ sự mở rộng của thị trường phần mềm và công nghệ viễn thông. Nhu cầu sử dụng hệ thống bảo vệ phần mềm (SP) là do một số vấn đề, trong đó cần nêu rõ: sử dụng trái phép các thuật toán là tài sản trí tuệ của tác giả khi viết các sản phẩm tương tự (gián điệp công nghiệp); sử dụng trái phép phần mềm (trộm cắp và sao chép); sửa đổi trái phép phần mềm nhằm mục đích lạm dụng phần mềm; phân phối và bán phần mềm bất hợp pháp (vi phạm bản quyền).

Dựa vào phương pháp cài đặt, hệ thống bảo vệ phần mềm có thể được chia thành các hệ thống được cài đặt trên các mô-đun phần mềm được biên dịch; hệ thống được tích hợp sẵn trong mã nguồn phần mềm trước khi biên dịch; và kết hợp.

Các hệ thống loại đầu tiên là thuận tiện nhất cho nhà sản xuất phần mềm vì rất dễ bảo vệ phần mềm đã được chuẩn bị và kiểm tra đầy đủ (thông thường quá trình cài đặt bảo vệ được tự động hóa nhất có thể và bao gồm việc chỉ định tên của tệp được bảo vệ và nhấn “Enter”), và do đó chúng là phổ biến nhất. Đồng thời, điện trở của các hệ thống này khá thấp (tùy thuộc vào nguyên lý hoạt động của hệ thống bảo vệ), vì để vượt qua bảo vệ, chỉ cần xác định điểm cuối của “phong bì” bảo vệ và chuyển quyền điều khiển sang thiết bị được bảo vệ là đủ. chương trình, sau đó buộc phải lưu nó ở dạng không được bảo vệ.

Các hệ thống loại thứ hai gây bất tiện cho nhà sản xuất phần mềm vì cần đào tạo nhân viên làm việc với giao diện chương trình (API) của hệ thống bảo mật với chi phí tài chính và thời gian tiếp theo. Ngoài ra, quá trình kiểm thử phần mềm trở nên phức tạp hơn và độ tin cậy của nó giảm đi, vì ngoài bản thân phần mềm, các lỗi có thể chứa API của hệ thống bảo mật hoặc các quy trình sử dụng nó. Nhưng những hệ thống như vậy có khả năng chống lại các cuộc tấn công cao hơn vì ở đây ranh giới rõ ràng giữa hệ thống bảo vệ và bản thân phần mềm biến mất.

Một số phương pháp được sử dụng để bảo vệ phần mềm, chẳng hạn như:

§ Thuật toán xáo trộn - sử dụng các chuyển đổi hỗn loạn đến các phần khác nhau của mã, đưa ra các quy trình sai - "giả", vòng lặp nhàn rỗi, biến dạng số lượng tham số thực của quy trình phần mềm, phân tán các phần mã trên các vùng khác nhau của RAM, v.v. .

§ Các thuật toán đột biến - bảng tương ứng của toán hạng - các từ đồng nghĩa được tạo ra và thay thế lẫn nhau mỗi khi khởi chạy chương trình theo một sơ đồ nhất định hoặc ngẫu nhiên, những thay đổi ngẫu nhiên trong cấu trúc chương trình.

§ Thuật toán nén dữ liệu - chương trình được đóng gói và sau đó được giải nén khi chạy.

§ Thuật toán mã hóa dữ liệu - chương trình được mã hóa và sau đó được giải mã khi chạy.

§ Tính toán các biểu thức toán học phức tạp trong quá trình thực hành cơ chế bảo vệ - các phần tử của logic bảo vệ phụ thuộc vào kết quả tính toán giá trị của một công thức hoặc nhóm công thức.

§ Các phương pháp gây khó khăn cho việc tháo gỡ - nhiều kỹ thuật khác nhau được sử dụng để ngăn chặn việc tháo gỡ ở chế độ hàng loạt.

§ Các phương pháp làm cho việc gỡ lỗi trở nên khó khăn - nhiều kỹ thuật khác nhau được sử dụng để làm cho việc gỡ lỗi chương trình trở nên khó khăn hơn.

§ Mô phỏng bộ xử lý và hệ điều hành - một bộ xử lý và/hoặc hệ điều hành ảo (không nhất thiết phải là thực) được tạo và một chương trình dịch từ hệ thống lệnh IBM sang hệ thống lệnh của bộ xử lý hoặc hệ điều hành được tạo sau khi dịch như vậy, phần mềm có thể thực hiện; chỉ được thực thi bằng trình mô phỏng, điều này rất nghiêm trọng gây khó khăn cho việc nghiên cứu thuật toán phần mềm.

§ Các phương pháp làm việc với phần cứng - mô-đun hệ thống bảo vệ không chuẩn truy cập vào phần cứng máy tính, bỏ qua các thủ tục của hệ điều hành và sử dụng các khả năng ít được biết đến hoặc không có giấy tờ của nó.

Phần kết luận

Chúng ta có thể nói rằng không có một phương pháp bảo vệ nào đáng tin cậy tuyệt đối. Hầu hết an toàn tuyệt đối chỉ có thể đạt được nếu có cách tiếp cận tổng hợp cho vấn đề này. Cần phải liên tục theo dõi các giải pháp mới trong lĩnh vực này.

Tóm lại, cần đề cập rằng có nhiều trường hợp các công ty (không chỉ các công ty nước ngoài) tiến hành các “cuộc chiến gián điệp” thực sự với nhau, tuyển dụng nhân viên của đối thủ cạnh tranh để thông qua họ tiếp cận được thông tin cấu thành bí mật kinh doanh. Quy định về các vấn đề liên quan đến bí mật thương mại vẫn chưa được phát triển đầy đủ ở Nga. Pháp luật hiện hành vẫn chưa đưa ra quy định về một số vấn đề nhất định, bao gồm cả bí mật thương mại, phù hợp với thực tế hiện đại. Đồng thời, chúng ta phải biết rằng thiệt hại do việc tiết lộ bí mật thương mại gây ra thường khá lớn (nếu có thể ước tính được). Sự hiện diện của các tiêu chuẩn về trách nhiệm pháp lý, bao gồm cả trách nhiệm hình sự, có thể đóng vai trò cảnh báo cho nhân viên về những hành vi vi phạm trong lĩnh vực này, vì vậy nên thông báo chi tiết cho tất cả nhân viên về hậu quả của hành vi vi phạm. Tôi hy vọng rằng hệ thống an ninh thông tin đang được tạo ra trong nước và việc hình thành một bộ các biện pháp để thực hiện nó sẽ không dẫn đến những hậu quả không thể khắc phục trên con đường thống nhất thông tin và trí tuệ đang nổi lên ở Nga với toàn thế giới. .

Các kết luận chính về phương pháp sử dụng các phương tiện, phương pháp và biện pháp bảo vệ được thảo luận ở trên rút ra như sau:

Hiệu quả lớn nhất đạt được khi tất cả các phương tiện, phương pháp và biện pháp được sử dụng được kết hợp thành một cơ chế tổng thể, duy nhất để bảo vệ thông tin.

Cơ chế bảo vệ phải được thiết kế song song với việc tạo ra các hệ thống xử lý dữ liệu, bắt đầu từ thời điểm thiết kế tổng thể của hệ thống được phát triển.

Chức năng của cơ chế bảo vệ phải được lên kế hoạch và đảm bảo cùng với việc lập kế hoạch và cung cấp các quy trình xử lý thông tin tự động cơ bản.

Cần phải liên tục theo dõi hoạt động của cơ chế bảo vệ.

Thống kê cho thấy ở tất cả các quốc gia, tổn thất do các hành vi ác ý không ngừng gia tăng. Hơn nữa, nguyên nhân chính gây ra tổn thất không liên quan nhiều đến việc thiếu các thiết bị an toàn mà là do thiếu mối quan hệ giữa chúng, tức là. thất bại trong việc thực hiện một cách tiếp cận có hệ thống. Vì vậy, cần nhanh chóng cải thiện các phương tiện bảo vệ toàn diện.

Thư mục

1. Luật Liên bang “Về thông tin, tin học hóa và bảo vệ thông tin” ngày 20 tháng 2 năm 1995 N 24-FZ;

2. Luật “Về bảo vệ pháp lý đối với cấu trúc liên kết của mạch tích hợp” ngày 23 tháng 9 năm 1992 N 3526-I

3. Luật “Về tham gia trao đổi thông tin quốc tế” ngày 5/6/1996 N 85-FZ

4. Luật Liên Bang Nga“Về việc bảo vệ pháp lý các chương trình máy tính điện tử và cơ sở dữ liệu” ngày 23/9/1992 số 3523-1;

6. Luật “Về quỹ phương tiện thông tin đại chúng» ngày 27 tháng 12 năm 1991 N 2124-I

7. Luật “Về các cơ quan thông tin và truyền thông của Chính phủ Liên bang” ngày 19 tháng 2 năm 1992 N 4524-1

10. Luật “Nhà nước hệ thống tự động"Cuộc bầu cử" Liên bang Nga ngày 10 tháng 1 năm 2003 N 20-FZ

11. Krylov V.V. Tội phạm máy tính thông tin. M.: InfraM-Norma, 1997.

12. Vedeev D.V. Bảo vệ dữ liệu trong mạng máy tính. - M., 1995;

13. Kopylov V.A. Luật thông tin. - M.: Yurist, 1997;

14. Gaikovich V.Yu “Cơ sở bảo mật công nghệ thông tin”, Moscow, “Info-M”, 1998

15. “Làm sao để dừng lại vi phạm bản quyền phần mềm? (Simkin L., “Công lý Nga”, 1996, số 10)

16. “Thông tin là một yếu tố của hoạt động tội phạm” (Krylov V.V., “Bản tin của Đại học Moscow”, Series 11, Luật, 1998, Số 4)

17. Fomenkov G.V. “Về bảo mật trên Internet”, “Bảo vệ thông tin. Mật”, số 6, 1998.

18." Bảo vệ pháp lý chương trình máy tính và cơ sở dữ liệu" (Vitaliev G.V. http://www.relcom.ru).

19. “Bảo vệ pháp lý đối với cấu trúc liên kết của mạch tích hợp” (Sergeev A.P. Jurisprudence 1993 Số 3).

Tài liệu tương tự

Các loại mối đe dọa có chủ ý đối với an ninh thông tin. Phương pháp và phương tiện bảo mật thông tin. Phương pháp, phương tiện đảm bảo an toàn thông tin. Các phương pháp mã hóa bảo vệ thông tin. Phương tiện bảo vệ toàn diện.

tóm tắt, thêm vào ngày 17/01/2004


Khái niệm bảo vệ các mối đe dọa có chủ ý đối với tính toàn vẹn của thông tin trong mạng máy tính. Đặc điểm của các mối đe dọa an ninh thông tin: xâm phạm, gián đoạn dịch vụ. Đặc điểm của NPO Mekhinstrument LLC, các phương pháp và phương pháp bảo mật thông tin chính.

luận văn, bổ sung 16/06/2012


Phát triển công nghệ thông tin mới và tin học hóa phổ cập. Bảo mật thông tin. Phân loại các mối đe dọa có chủ ý đối với an toàn thông tin. Phương pháp và phương tiện bảo mật thông tin. Các phương pháp mã hóa bảo vệ thông tin.

bài tập khóa học, được thêm vào ngày 17/03/2004


Các thuộc tính cơ bản của thông tin. Các thao tác với dữ liệu. Dữ liệu là một thành phần biện chứng của thông tin. Các loại mối đe dọa có chủ ý đối với an ninh thông tin. Phân loại phần mềm độc hại. Các phương pháp và phương tiện cơ bản để bảo vệ thông tin trong mạng máy tính.

bài tập khóa học, được thêm vào ngày 17/02/2010


Các loại mối đe dọa cố ý bên trong và bên ngoài đối với an ninh thông tin. Khái niệm chung về bảo vệ và an ninh thông tin. Mục đích và mục tiêu chính của bảo mật thông tin. Khái niệm về tính khả thi về mặt kinh tế trong việc đảm bảo an toàn thông tin doanh nghiệp.

kiểm tra, thêm 26/05/2010


Vấn đề an toàn thông tin trong mạng thông tin và viễn thông. Nghiên cứu các mối đe dọa đối với thông tin và cách thức tác động của chúng đối với các đối tượng bảo mật thông tin. Khái niệm bảo mật thông tin doanh nghiệp. Các phương pháp mã hóa bảo vệ thông tin.

luận văn, bổ sung 08/03/2013


Lịch sử hình thành và phát triển của mã hóa từ xa xưa cho đến ngày nay. Phân tích các vấn đề hiện đại về đảm bảo tính bí mật và tính toàn vẹn của dữ liệu được truyền hoặc lưu trữ, các phương pháp mã hóa được sử dụng phổ biến nhất để bảo vệ thông tin.

kiểm tra, thêm 23/04/2013


Phân loại thông tin theo ý nghĩa. Các hạng mục bảo mật và toàn vẹn của thông tin được bảo vệ. Khái niệm về an toàn thông tin, nguồn gốc của các mối đe dọa thông tin. Các lĩnh vực bảo vệ thông tin. Các phương pháp bảo vệ bằng mật mã phần mềm.

bài tập khóa học, được thêm vào ngày 21/04/2015


Tổ chức hệ thống an ninh thông tin trong tất cả các lĩnh vực của mình. Phát triển, sản xuất, kinh doanh, vận hành thiết bị bảo hộ, đào tạo nhân sự liên quan. Các biện pháp bảo mật mật mã. Các nguyên tắc cơ bản của kỹ thuật và bảo mật thông tin kỹ thuật.

bài tập khóa học, được thêm vào ngày 15/02/2011


Các loại bảo vệ thông tin máy tính. Các tính năng của thuật toán và phông chữ được sử dụng trong mật mã. Đặc điểm cụ thể của việc sử dụng hệ thống mật mã khóa công khai. Cấu trúc phần mềm độc hại phần mềm. Đảm bảo an ninh cơ sở dữ liệu.

Thuộc tính thông tin

Đối tượng bảo vệ

Đối tượng bảo vệ thông tin.

Đe dọa thông tin. Các loại mối đe dọa.

Nguồn mối đe dọa nội bộ là:

1. Nhân viên của tổ chức;

2. Phần mềm;

3. Phần cứng.

Các mối đe dọa nội bộ có thể biểu hiện dưới các hình thức sau:

Lỗi người dùng và quản trị viên hệ thống;

Nhân viên công ty vi phạm các quy định đã được thiết lập về việc thu thập, xử lý, chuyển giao và tiêu hủy thông tin;

Lỗi phần mềm;

Lỗi và trục trặc của thiết bị máy tính.

ĐẾN nguồn đe dọa bên ngoài liên quan:

1. Virus máy tính và phần mềm độc hại;

2. Tổ chức, cá nhân;

3. Thiên tai.

Các hình thức biểu hiện của mối đe dọa bên ngoài là:

Lây nhiễm virus hoặc phần mềm độc hại vào máy tính;

Truy cập trái phép (UA) vào thông tin doanh nghiệp;

Giám sát thông tin bởi các cơ cấu cạnh tranh, tình báo và các dịch vụ đặc biệt;

Hành động của các cơ quan và dịch vụ chính phủ, kèm theo việc thu thập, sửa đổi, tịch thu và tiêu hủy thông tin;

Tai nạn, hỏa hoạn, thảm họa do con người gây ra.

Tất cả các loại mối đe dọa (hình thức biểu hiện) mà chúng tôi đã liệt kê có thể được chia thành cố ý và vô ý.

Đe dọa thông tin. Tùy chọn phân loại mối đe dọa.

Có nhiều cách khác nhau để phân loại các mối đe dọa an ninh: theo đối tượng tác động, theo nguồn gốc của mối đe dọa, phương pháp thực hiện, hậu quả có thể xảy ra và các loại thiệt hại. Một số tiêu chí phân loại có thể được sử dụng cùng lúc, ví dụ, các mối đe dọa được phân loại theo đối tượng ảnh hưởng, ngoài ra, trong mỗi loại, có thể được phân loại theo loại thiệt hại và nguồn đe dọa.

Theo phương pháp tác động lên đối tượng an toàn thông tin, các mối đe dọa được phân loại như sau: thông tin, phần mềm, vật lý, vô tuyến điện tử và tổ chức-pháp lý.

ĐẾN mối đe dọa thông tin liên quan:

Truy cập trái phép vào các nguồn thông tin;

Sao chép trái phép dữ liệu trong hệ thống thông tin;

Trộm cắp thông tin từ thư viện, cơ quan lưu trữ, ngân hàng và cơ sở dữ liệu;

Vi phạm công nghệ xử lý thông tin;

Thu thập và sử dụng thông tin bất hợp pháp;

Sử dụng vũ khí thông tin

ĐẾN mối đe dọa phần mềm liên quan:

Sử dụng các lỗi, “lỗ hổng” trong phần mềm;

Virus máy tính và phần mềm độc hại;

Cài đặt các thiết bị "nhúng";

ĐẾN mối đe dọa vật lý liên quan:

Phá hủy hoặc phá hủy các cơ sở xử lý thông tin và truyền thông;

Trộm cắp phương tiện lưu trữ;

Trộm cắp khóa phần mềm hoặc phần cứng và các phương tiện bảo vệ dữ liệu mật mã;

Tác động đến nhân sự;

ĐẾN mối đe dọa điện tử liên quan:

Đưa thiết bị chặn thông tin điện tử vào phương tiện, cơ sở kỹ thuật;

Chặn, giải mã, thay thế và phá hủy thông tin trong các kênh liên lạc.

Các mối đe dọa về mặt tổ chức và pháp lý bao gồm:

Mua sắm công nghệ thông tin và công cụ thông tin không hoàn hảo hoặc lạc hậu;

Vi phạm các yêu cầu pháp lý và chậm trễ trong việc đưa ra các quyết định pháp lý cần thiết trong lĩnh vực thông tin.

Các kênh rò rỉ thông tin

kênh gián tiếp không yêu cầu truy cập trực tiếp vào các phương tiện kỹ thuật của hệ thống thông tin:

Trộm cắp hoặc làm mất phương tiện lưu trữ, kiểm tra rác chưa được tiêu hủy;

Chụp ảnh, nghe từ xa;

Chặn bức xạ điện từ.

kênh trực tiếp yêu cầu truy cập vào dữ liệu phần cứng và hệ thống thông tin.

Người trong cuộc (yếu tố con người). Rò rỉ thông tin do không tuân thủ bí mật kinh doanh;

Sao chép trực tiếp.

Các kênh rò rỉ thông tin cũng có thể được phân chia theo tính chất vật lý và nguyên tắc hoạt động:

Âm thanh - ghi âm, nghe lén và lắng nghe;

Điện âm - thu thập thông tin thông qua sóng âm với việc truyền tải thêm thông qua mạng lưới cung cấp điện;

Vibroacoustic - tín hiệu phát sinh thông qua việc chuyển đổi tín hiệu âm thanh mang tính thông tin khi tiếp xúc với các cấu trúc tòa nhà và thông tin liên lạc kỹ thuật của cơ sở được bảo vệ;

Các phương pháp quang - nhìn, chụp ảnh, quay phim, quan sát;

Điện từ - sao chép trường bằng cách loại bỏ nhiễu cảm ứng;

Phát xạ vô tuyến hoặc tín hiệu điện từ các thiết bị thu điện tử đặc biệt được lắp đặt trong các phương tiện kỹ thuật và cơ sở được bảo vệ thông tin lời nói“thiết bị xếp hàng” được điều chế bằng tín hiệu thông tin;

Tài liệu - thông tin trên giấy hoặc các phương tiện vật lý khác

Mật mã học. Các khái niệm cơ bản.

Mật mã họcđang phát triển các phương pháp chuyển đổi (mã hóa) thông tin để bảo vệ nó khỏi những người sử dụng bất hợp pháp . Những phương pháp và phương pháp chuyển đổi thông tin như vậy được gọi là mật mã.

Mã hóa (mã hóa) - quá trình áp dụng mật mã cho thông tin được bảo vệ, tức là chuyển đổi thông tin được bảo vệ (văn bản thuần túy) thành một tin nhắn được mã hóa (bản mã, mật mã) sử dụng các quy tắc nhất định có trong mật mã.

Giải mã - quá trình mã hóa ngược lại, tức là chuyển đổi một tin nhắn được mã hóa thành thông tin được bảo vệ bằng cách sử dụng các quy tắc nhất định có trong mật mã (dựa trên khóa, văn bản mã hóa được chuyển đổi thành bản gốc).

Chìa khóa - một phần tử mật mã có thể thay thế được sử dụng để mã hóa một thông điệp cụ thể. Ví dụ, khóa có thể là mức độ dịch chuyển của các chữ cái trong bản mã so với các chữ cái trong bản rõ.

Mở (bẻ khóa) một mật mã — quá trình thu thập thông tin được bảo vệ từ một tin nhắn được mã hóa mà không biết mật mã được sử dụng.

Độ mạnh của mật mã- khả năng của một mật mã có thể chống lại mọi kiểu tấn công vào nó được gọi là .

Tấn côngđể mã hóa - một nỗ lực để phá vỡ mật mã này.

Phân tích mật mã - khoa học (và thực tiễn ứng dụng nó) về các phương pháp và phương pháp phá mật mã.

Mật mã thay thế thực hiện chuyển đổi việc thay thế các chữ cái hoặc các “phần” khác của văn bản gốc bằng các “phần” tương tự của văn bản mã hóa.

Bảng chữ cái- một tập hợp hữu hạn các ký tự được sử dụng để mã hóa thông tin.

Chữ- một tập hợp các phần tử được sắp xếp theo thứ tự của bảng chữ cái.

Chìa khóa- thông tin cần thiết để mã hóa và giải mã văn bản một cách trơn tru.

Viết tắt. Các khái niệm cơ bản

Steganography là một phương pháp tổ chức giao tiếp thực sự che giấu sự tồn tại của một kết nối. Không giống như mật mã, trong đó kẻ thù có thể xác định chính xác liệu tin nhắn được truyền có phải là văn bản được mã hóa hay không, kỹ thuật steganography cho phép nhúng tin nhắn bí mật vào các tin nhắn vô hại để không thể nghi ngờ sự tồn tại của tin nhắn bí mật được nhúng.

Bất kỳ thông tin nào cũng có thể được sử dụng dưới dạng dữ liệu: văn bản, tin nhắn, hình ảnh, v.v. Tương tự với mật mã, dựa trên loại stegokey, hệ thống stego có thể được chia thành hai loại:

• bằng một khóa bí mật;
• bằng một khóa công khai.

Trong hệ thống stego khóa riêng, một khóa duy nhất được sử dụng, khóa này phải được xác định trước khi trao đổi tin nhắn bí mật hoặc truyền qua kênh bảo mật. Trong hệ thống stego khóa chung, các khóa khác nhau được sử dụng để nhúng và truy xuất tin nhắn, khác nhau về điểm. theo cách mà về mặt tính toán không thể lấy được khóa này từ khóa khác. Do đó, một khóa (công khai) có thể được truyền tự do qua kênh liên lạc không an toàn. Bên cạnh đó, kế hoạch này hoạt động tốt ngay cả khi người gửi và người nhận không tin tưởng lẫn nhau.

Bất kỳ hệ thống stegosystem nào cũng phải đáp ứng các yêu cầu sau:

• Các thuộc tính của thùng chứa phải được sửa đổi để sự thay đổi không thể được phát hiện bằng cách kiểm tra trực quan. Yêu cầu này xác định chất lượng của việc ẩn tin nhắn được nhúng: để đảm bảo việc truyền tin nhắn stego qua kênh liên lạc không bị cản trở, nó không được thu hút sự chú ý của kẻ tấn công.
• Tin nhắn stego phải có khả năng chống biến dạng, kể cả những tin nhắn độc hại. Trong quá trình truyền, hình ảnh (âm thanh hoặc vùng chứa khác) có thể trải qua nhiều biến đổi khác nhau: thu nhỏ hoặc phóng to, chuyển đổi sang định dạng khác, v.v. Ngoài ra, nó có thể được nén, bao gồm cả việc sử dụng thuật toán nén mất dữ liệu.
• Để duy trì tính toàn vẹn của tin nhắn được nhúng, phải sử dụng mã sửa lỗi.

Chính sách bảo mật. Các khái niệm cơ bản

Chính sách bảo mật(thông tin trong tổ chức) (eng. Chính sách bảo mật tổ chức) - một tập hợp các quy tắc, thủ tục, thông lệ hoặc hướng dẫn được lập thành văn bản trong lĩnh vực bảo mật thông tin hướng dẫn tổ chức trong các hoạt động của mình.

Để xây dựng Chính sách bảo mật thông tin, nên xem xét riêng các hướng dẫn sau Bảo vệ hệ thống thông tin:

§ Bảo vệ các đối tượng của hệ thống thông tin;

§ Bảo vệ các quy trình, thủ tục và chương trình xử lý thông tin;

§ Bảo vệ các kênh liên lạc (kênh âm thanh, hồng ngoại, có dây, vô tuyến, v.v.);

§ Ức chế bức xạ điện từ bên;

§ Quản lý hệ thống an ninh.

Đồng thời, đối với từng lĩnh vực trên, Chính sách bảo mật thông tin cần mô tả các giai đoạn tạo ra công cụ bảo mật thông tin sau:

1. Xác định thông tin, nguồn lực kỹ thuật cần bảo vệ;

2. Xác định đầy đủ các mối đe dọa tiềm ẩn và các kênh rò rỉ thông tin;

3. Tiến hành đánh giá mức độ dễ bị tổn thương và rủi ro của thông tin trước vô số mối đe dọa và kênh rò rỉ;

4. Xác định yêu cầu đối với hệ thống bảo vệ;

5. Lựa chọn công cụ bảo mật thông tin và đặc điểm của chúng;

6. Giới thiệu và tổ chức sử dụng các biện pháp, phương pháp, phương tiện bảo vệ được lựa chọn;

7. Thực hiện giám sát và quản lý tính toàn vẹn của hệ thống an ninh.

17.Cơ sở ủy quyền (được ủy quyền) Chính sách bảo mật được tạo thành từ Kiểm soát truy cập bắt buộc (MAC), ngụ ý rằng: tất cả các chủ thể và đối tượng của hệ thống phải được nhận dạng duy nhất;

cấp độ truy cập .Mục tiêu chính của chính sách bảo mật bắt buộc là ngăn chặn rò rỉ thông tin từ các đối tượng có cấp độ truy cập cao đến các đối tượng có cấp độ truy cập thấp, tức là. chống lại sự xuất hiện của các kênh thông tin trong AS từ trên xuống dưới.
Thông thường, chính sách bảo mật bắt buộc được mô tả bằng các thuật ngữ, khái niệm và định nghĩa về các thuộc tính của mô hình Bell-Lapaluda, điều này sẽ được thảo luận sau. Trong khuôn khổ mô hình này, một phát biểu quan trọng đã được chứng minh, cho thấy sự khác biệt cơ bản các hệ thống thực hiện bảo vệ bắt buộc khỏi các hệ thống có bảo vệ tùy ý: nếu trạng thái ban đầu của hệ thống là an toàn và tất cả các chuyển đổi của hệ thống từ trạng thái này sang trạng thái khác không vi phạm các hạn chế do chính sách bảo mật đặt ra thì bất kỳ trạng thái nào cũng có thể được thực hiện.hệ thống một cách an toàn .
Ngoài ra, so với các hệ thống được xây dựng trên cơ sở chính sách bảo mật tùy ý, các hệ thống thực hiện chính sách bắt buộc có đặc điểm là có độ tin cậy cao hơn. Điều này là do MBO của hệ thống như vậy phải giám sát không chỉ các quy tắc truy cập của chủ thể hệ thống vào đối tượng mà còn phải giám sát trạng thái của chính AS. Cái đó. Các kênh rò rỉ trong các hệ thống loại này không được tích hợp trực tiếp vào nó mà chỉ có thể xuất hiện trong quá trình triển khai thực tế hệ thống.

15. Một đặc điểm không thể thiếu của hệ thống được bảo vệ là chính sách bảo mật - một biểu hiện định tính (hoặc định lượng-định tính) của các thuộc tính bảo mật dưới dạng biểu diễn hệ thống.
Các chính sách bảo mật liên quan đến khái niệm “quyền truy cập” thường được xem xét nhiều nhất. Truy cập – một phạm trù chính sách chủ quan-khách quan mô tả quá trình thực hiện các hoạt động của chủ thể lên đối tượng.
Chính sách bảo mật bao gồm:

o tập hợp các thao tác của chủ thể lên đối tượng;

o đối với mỗi cặp “chủ thể-đối tượng” (Si,Oi) một tập hợp các thao tác được phép, từ tập hợp các thao tác có thể có.

Có các loại chính sách bảo mật sau: tùy ý, bắt buộc và dựa trên vai trò.
nền tảng mức độ bảo mật tùy ý (tùy ý) là Kiểm soát truy cập tùy ý (DAC), được xác định bởi hai thuộc tính:

o tất cả các chủ thể và đối tượng phải được xác định;

o Quyền truy cập của chủ thể đối với đối tượng hệ thống được xác định dựa trên cơ sở một số quy tắc bên ngoài hệ thống.

Để làm ví dụ về việc triển khai chính sách bảo mật tùy ý trong AC, người ta có thể trích dẫn ma trận truy cập, các hàng tương ứng với chủ thể hệ thống và các cột tương ứng với các đối tượng; các phần tử ma trận đặc trưng cho quyền truy cập. Những nhược điểm bao gồm tính chất tĩnh của mô hình ( Chính sách này bảo mật không tính đến động lực của những thay đổi ở trạng thái AC và không áp đặt các hạn chế đối với trạng thái hệ thống. Bắt buộc kiểm soát truy cập (Kiểm soát truy cập bắt buộc - MAC), ngụ ý rằng:

o tất cả các chủ thể và đối tượng của hệ thống phải được xác định duy nhất;

o một tập hợp các nhãn bảo mật được sắp xếp tuyến tính được chỉ định;

o mỗi đối tượng hệ thống được gán một nhãn bảo mật xác định giá trị của thông tin chứa trong đó - mức độ bảo mật của nó trong AC;

o mỗi chủ thể của hệ thống được gán một nhãn bảo mật xác định mức độ tin cậy của anh ta trong AC - giá trị tối đa của nhãn bảo mật của các đối tượng mà chủ thể có quyền truy cập; nhãn bảo mật của chủ đề được gọi là nó cấp độ truy cập .

Kiểm soát truy cập dựa trên vai trò.
Với số lượng người dùng lớn, các hệ thống con kiểm soát truy cập truyền thống trở nên cực kỳ khó quản lý. Số lượng kết nối trong chúng tỷ lệ thuận với tích của số lượng người dùng và số lượng đối tượng. Cần có các giải pháp hướng đối tượng để có thể giảm bớt sự phức tạp này.
Giải pháp như vậy là kiểm soát truy cập dựa trên vai trò (RAC). Bản chất của nó là các thực thể trung gian—các vai trò—xuất hiện giữa người dùng và đặc quyền của họ. Đối với mỗi người dùng, một số vai trò có thể hoạt động cùng lúc, mỗi vai trò đó mang lại cho anh ta một số quyền nhất định.

Yếu tố xác thực

Ngay cả trước khi máy tính ra đời, nhiều đặc điểm nổi bật khác nhau của đối tượng, đặc điểm của nó, đã được sử dụng. Bây giờ việc sử dụng đặc tính này hay đặc tính khác trong hệ thống phụ thuộc vào độ tin cậy, bảo mật và chi phí thực hiện cần thiết. Có 3 yếu tố xác thực:

Một cái gì đó chúng tôi biết là một mật khẩu. Đây là thông tin nhạy cảm chỉ nên được nắm giữ bởi một tổ chức được ủy quyền. Mật khẩu có thể là một từ lời nói, một từ văn bản, một tổ hợp khóa hoặc một mật khẩu cá nhân. một số nhận dạng(GHIM). Cơ chế mật khẩu có thể được thực hiện khá dễ dàng và có chi phí thấp. Nhưng nó có những nhược điểm đáng kể: việc giữ bí mật mật khẩu thường gặp khó khăn; những kẻ tấn công liên tục nghĩ ra các phương pháp mới để đánh cắp, hack và đoán mật khẩu (xem phân tích mật mã gangster). Điều này làm cho cơ chế mật khẩu được bảo vệ yếu.

Thứ chúng tôi có là một thiết bị xác thực. Điều quan trọng ở đây là chủ thể sở hữu một đối tượng duy nhất nào đó. Đây có thể là con dấu cá nhân, chìa khóa ổ khóa hoặc đối với máy tính, đó là tệp dữ liệu chứa một đặc tính. Tính năng này thường được tích hợp vào một thiết bị xác thực chuyên dụng, ví dụ: một thẻ nhựa, thẻ thông minh. Đối với kẻ tấn công, việc lấy được một thiết bị như vậy trở nên khó khăn hơn việc bẻ mật khẩu và đối tượng có thể báo cáo ngay lập tức nếu thiết bị bị đánh cắp. Nó có phương pháp này an toàn hơn cơ chế mật khẩu, tuy nhiên, chi phí của hệ thống như vậy cao hơn.

Một cái gì đó là một phần của chúng tôi là sinh trắc học. Đặc tính là đặc điểm vật lý của một chủ thể. Đó có thể là một bức chân dung, một dấu ngón tay hoặc lòng bàn tay, một giọng nói hoặc một đặc điểm của mắt. Theo quan điểm của đối tượng, phương pháp này là đơn giản nhất: không cần phải nhớ mật khẩu hoặc mang theo thiết bị xác thực bên mình. Tuy nhiên, hệ thống sinh trắc học phải có độ nhạy cao để xác nhận người dùng được ủy quyền nhưng từ chối kẻ tấn công có thông số sinh trắc học tương tự. Ngoài ra, chi phí của một hệ thống như vậy là khá cao. Nhưng bất chấp những nhược điểm, sinh trắc học vẫn là một yếu tố khá hứa hẹn.

Giao thức xác thực

Xác thực đề cập đến việc xác minh danh tính của người dùng hoặc máy tính. Khi người dùng đăng nhập vào mạng, dù là trên mạng cục bộ hay qua kết nối Truy cập từ xa, cô ấy sẽ phải cung cấp tên người dùng và mật khẩu, thẻ thông minh, chứng chỉ hoặc các phương tiện khác để chứng minh rằng cô ấy chính là người mà cô ấy tuyên bố. Một số giao thức xác thực được thiết kế để trao đổi thông tin xác thực một cách an toàn kết nối mạng và được mô tả trong các đoạn sau.

Giao thức xác thực CHAP (CHAP) là giao thức xác thực được sử dụng chủ yếu cho các kết nối quay số PPP. CHAP là sự kế thừa của Giao thức xác thực đơn giản (PAP), truyền tên người dùng và mật khẩu không được mã hóa qua mạng thông tin. CHAP sử dụng phương pháp an toàn hơn, khi khách hàng đăng nhập, máy chủ sẽ gửi thử thách cho khách hàng, khách hàng phản hồi bằng thử thách, phản hồi có giá trị băm (mã hóa một chiều) dựa trên kết hợp tên người dùng/mật khẩu và ngẫu nhiên con số. Máy chủ thực hiện cùng một mã hóa và nếu giá trị nhận được khớp với phản hồi từ máy khách thì máy khách sẽ được xác thực. Trên thực tế, mật khẩu không được truyền qua mạng.

Xác thực giao thức CHAP(CHAP), cho phép bạn tránh gửi mật khẩu ở dạng không được mã hóa qua bất kỳ kênh liên lạc nào. Theo CHAP, trong quá trình đàm phán, mật khẩu NAD sẽ tạo ra sự cố (chuỗi ngẫu nhiên) và gửi nó cho người dùng. Máy khách PPP của người dùng tạo một bản tóm tắt (mật khẩu được kết hợp với tác vụ), mã hóa bản tóm tắt bằng cách sử dụng mã hóa một chiều và gửi bản tóm tắt đến NAD.

NAD gửi thông báo này dưới dạng mật khẩu trong Yêu cầu truy cập.

Vì mã hóa là một chiều nên Nhà cung cấp bán kính đai thép không thể khôi phục mật khẩu từ bản tóm tắt. Thay vào đó, nó thực hiện các hoạt động giống hệt nhau, sử dụng tác vụ giá trị NAD (được cung cấp trong gói Access-Request) và bản sao mật khẩu của người dùng để tạo thông báo riêng. Nếu có hai kết quả trùng khớp thì mật khẩu sẽ giống nhau.

Bán kính tàu sân bay có đai thép phải có khả năng thực hiện các hoạt động phân loại để hỗ trợ CHAP. Vì vậy, anh ta phải có quyền truy cập vào bản sao mật khẩu của người dùng của mình. Mật khẩu gốc của người dùng được lưu trữ trong cơ sở dữ liệu Steel-Belted của Radius Carrier. Xác thực SQL hoặc LDAP BindName lấy mật khẩu bằng cách sử dụng truy vấn cơ sở dữ liệu, việc lấy mật khẩu có thể được sử dụng để tạo thông báo nếu nó ở dạng văn bản gốc của biểu mẫu.

Thông tin và thuộc tính của nó. Đối tượng bảo vệ thông tin.

Thông tin là thông tin về con người, sự kiện, đồ vật, hiện tượng, sự kiện và quá trình.

Thuộc tính thông tin

Tính khách quan của thông tin. Khái niệm về tính khách quan của thông tin là tương đối. Khách quan hơn là thông tin mà các phương pháp xử lý mang lại ít tính chủ quan hơn. Ví dụ, khi quan sát một bức ảnh của một vật thể tự nhiên, sẽ có nhiều thông tin khách quan hơn so với khi quan sát bức vẽ của cùng một vật thể. Trong quá trình xử lý thông tin, tính khách quan của thông tin luôn giảm sút.

Tính đầy đủ của thông tin. Tính đầy đủ của thông tin đặc trưng cho tính đầy đủ của dữ liệu cho việc ra quyết định. Dữ liệu càng đầy đủ thì phạm vi phương pháp xử lý được sử dụng càng rộng và càng dễ dàng chọn phương pháp đưa ra ít lỗi nhất trong quy trình thông tin.

Sự đầy đủ của thông tin. Đây là mức độ tương ứng của nó với tình hình thực tế. Thông tin không đầy đủ có thể được tạo ra khi thông tin mới được tạo ra dựa trên dữ liệu không đầy đủ hoặc không đáng tin cậy. Tuy nhiên, dữ liệu đầy đủ và đáng tin cậy có thể dẫn đến việc tạo ra thông tin không đầy đủ nếu áp dụng các phương pháp không đầy đủ cho chúng.

Sự sẵn có của thông tin. Đây là thước đo khả năng thu thập thông tin. Thiếu quyền truy cập vào dữ liệu hoặc thiếu các phương pháp thích hợp để xử lý dữ liệu dẫn đến thực tế là không thể truy cập được thông tin.

Sự liên quan của thông tin. Đây là mức độ tương ứng của thông tin với thời điểm hiện tại. Vì quy trình thông tin được mở rộng theo thời gian nên thông tin đáng tin cậy và đầy đủ nhưng lỗi thời có thể dẫn đến những quyết định sai lầm. Nhu cầu tìm kiếm hoặc phát triển một phương pháp xử lý dữ liệu phù hợp có thể dẫn đến sự chậm trễ trong việc thu thập thông tin đến mức không cần thiết.

Đối tượng bảo vệ là thông tin được lưu trữ, xử lý và truyền đi trong hệ thống (thông tin) máy tính. Đặc điểm của loại thông tin này là:

Biểu diễn thông tin nhị phân trong hệ thống, bất kể bản chất vật lý của vật mang thông tin gốc;

Mức độ tự động hóa cao trong xử lý và truyền tải thông tin;

Sự tập trung số lượng lớn thông tin trong CC.

Đối tượng bảo vệ thông tin.

Đối tượng bảo vệ thông tin là thông tin, phương tiện lưu trữ hoặc quy trình thông tin cần được bảo vệ khỏi sự truy cập, sửa đổi và sao chép trái phép của bên thứ ba.

Đối tượng chính của bảo vệ thông tin

Nguồn thông tin chứa thông tin bí mật;

Các hệ thống và công cụ xử lý thông tin bí mật (phương tiện kỹ thuật để nhận, xử lý, lưu trữ và truyền thông tin (TSPI);

TSPI đặt tại cơ sở để xử lý thông tin mật và bí mật. Chữ viết tắt được chấp nhận chung là VTSS (phương tiện và hệ thống kỹ thuật phụ trợ). VTSS bao gồm các phương tiện kỹ thuật liên lạc qua điện thoại mở, hệ thống báo động, đài phát thanh, v.v., cũng như các cơ sở được thiết kế để xử lý thông tin với mức sử dụng hạn chế.

Thông tin ngày nay là một nguồn tài nguyên quan trọng, việc mất đi nó sẽ gây ra những hậu quả khó chịu. Việc mất dữ liệu bí mật của công ty có nguy cơ tổn thất tài chính vì thông tin thu được có thể bị đối thủ cạnh tranh hoặc kẻ tấn công sử dụng. Để ngăn chặn những tình huống không mong muốn như vậy, tất cả các công ty và tổ chức hiện đại đều sử dụng các phương pháp bảo mật thông tin.

Bảo mật hệ thống thông tin (IS) là toàn bộ khóa học mà tất cả các lập trình viên và chuyên gia trong lĩnh vực phát triển IS đều tham gia. Tuy nhiên, việc biết các loại mối đe dọa thông tin và công nghệ bảo vệ là cần thiết đối với tất cả những người làm việc với dữ liệu mật.

Các loại mối đe dọa thông tin

Loại mối đe dọa thông tin chính mà toàn bộ công nghệ được tạo ra ở mọi doanh nghiệp chống lại là những kẻ tấn công truy cập trái phép vào dữ liệu. Những kẻ tấn công lên kế hoạch trước cho các hành động phạm tội, có thể được thực hiện thông qua truy cập trực tiếp vào thiết bị hoặc thông qua tấn công từ xa bằng các chương trình được thiết kế đặc biệt để đánh cắp thông tin.

Ngoài hành động của hacker, các công ty còn thường xuyên phải đối mặt với tình trạng mất mát thông tin do gián đoạn phần mềm và phần cứng.

Trong trường hợp này, tài liệu bí mật không rơi vào tay kẻ tấn công mà bị mất và không thể khôi phục hoặc mất quá nhiều thời gian để khôi phục. Lỗi trong hệ thống máy tính có thể xảy ra vì những lý do sau:

• Mất thông tin do hư hỏng phương tiện lưu trữ – ổ cứng;
• Lỗi trong hoạt động của phần mềm;
• Sự cố phần cứng do hư hỏng hoặc hao mòn.

Các phương pháp bảo vệ thông tin hiện đại

Công nghệ bảo vệ dữ liệu dựa trên việc sử dụng các phương pháp hiện đại để ngăn chặn rò rỉ và mất mát thông tin. Ngày nay có sáu phương pháp bảo vệ chính:

• Cho phép;
• Ngụy trang;
• Quy định;
• Điều khiển;
• cưỡng bức;
• Sự xúi giục.

Tất cả các phương pháp này đều nhằm mục đích xây dựng một công nghệ hiệu quả giúp loại bỏ tổn thất do sơ suất và đẩy lùi thành công các loại mối đe dọa khác nhau. Chướng ngại vật là một phương pháp bảo vệ vật lý của hệ thống thông tin, nhờ đó kẻ tấn công không thể xâm nhập vào khu vực được bảo vệ.

Che giấu là một phương pháp bảo vệ thông tin liên quan đến việc chuyển đổi dữ liệu sang dạng không phù hợp với nhận thức của những người không có thẩm quyền. Giải mã đòi hỏi kiến ​​thức về nguyên tắc.

Quản lý – ​​phương pháp bảo vệ thông tin trong đó tất cả các thành phần của hệ thống thông tin đều được kiểm soát.

Quy định là phương pháp quan trọng nhất để bảo vệ hệ thống thông tin, bao gồm việc đưa ra các hướng dẫn đặc biệt theo đó mọi thao tác với dữ liệu được bảo vệ phải được thực hiện.

Cưỡng bức – các phương pháp bảo vệ thông tin có liên quan chặt chẽ đến quy định, liên quan đến việc đưa ra một loạt các biện pháp trong đó nhân viên buộc phải tuân thủ các quy tắc đã được thiết lập. Nếu sử dụng các phương pháp gây ảnh hưởng đến người lao động trong đó họ làm theo hướng dẫn vì lý do đạo đức và cá nhân, thì chúng ta đang nói về động lực.

Video bài giảng chi tiết về bảo vệ thông tin:

Phương tiện bảo vệ hệ thống thông tin

Các phương pháp bảo vệ thông tin yêu cầu sử dụng một bộ công cụ nhất định. Để ngăn ngừa mất mát và rò rỉ thông tin bí mật, các phương tiện sau được sử dụng:

• Thuộc vật chất;
• Phần mềm và phần cứng;
• Tổ chức;
• Lập pháp;
• Tâm lý.

Các biện pháp bảo mật thông tin vật lý ngăn chặn những người không được phép truy cập vào khu vực được bảo vệ. Phương tiện cản trở vật lý chính và lâu đời nhất là lắp đặt các cửa chắc chắn, ổ khóa và thanh chắn đáng tin cậy trên cửa sổ. Để tăng cường bảo mật thông tin, các trạm kiểm soát được sử dụng khi việc kiểm soát truy cập được thực hiện bởi con người (bảo vệ) hoặc các hệ thống đặc biệt. Để tránh mất mát thông tin, cũng nên lắp đặt hệ thống phòng cháy chữa cháy. Các phương tiện vật lý được sử dụng để bảo vệ dữ liệu trên cả phương tiện giấy và phương tiện điện tử.

Phần mềm và phần cứng là thành phần không thể thiếu để đảm bảo an ninh cho các hệ thống thông tin hiện đại.

Phần cứng được thể hiện bằng các thiết bị được tích hợp vào thiết bị để xử lý thông tin. Phần mềm có nghĩa là các chương trình phản ánh tin tặc tấn công. Cũng bao gồm trong danh mục phần mềm là các gói phần mềm thực hiện việc khôi phục thông tin bị mất. Sử dụng tổ hợp thiết bị và chương trình, thông tin được sao lưu để ngăn ngừa tổn thất.

Phương tiện tổ chức gắn liền với một số phương pháp bảo vệ: quy định, quản lý, ép buộc. Các phương tiện tổ chức bao gồm việc phát triển các bản mô tả công việc, các cuộc trò chuyện với nhân viên và một loạt các biện pháp trừng phạt và khen thưởng. Với việc sử dụng hiệu quả các công cụ tổ chức, nhân viên doanh nghiệp nhận thức rõ về công nghệ làm việc với thông tin được bảo vệ, thực hiện rõ ràng nhiệm vụ của mình và chịu trách nhiệm về việc cung cấp thông tin sai lệch, rò rỉ hoặc mất dữ liệu.

Các biện pháp lập pháp là một tập hợp các quy định điều chỉnh hoạt động của những người có quyền truy cập vào thông tin được bảo vệ và xác định mức độ trách nhiệm đối với việc mất hoặc đánh cắp thông tin mật.

Phương tiện tâm lý là một tập hợp các biện pháp nhằm tạo ra sự quan tâm cá nhân của nhân viên đối với sự an toàn và tính xác thực của thông tin. Để tạo ra sự quan tâm cá nhân giữa các nhân viên, các nhà quản lý sử dụng nhiều hình thức khuyến khích khác nhau. Phương tiện tâm lý cũng bao gồm việc xây dựng văn hóa doanh nghiệp trong đó mọi nhân viên đều cảm thấy phần quan trọng hệ thống và quan tâm đến sự thành công của doanh nghiệp.

Bảo vệ dữ liệu điện tử được truyền đi

Để đảm bảo an ninh cho hệ thống thông tin, các phương pháp mã hóa và bảo vệ tài liệu điện tử ngày nay được sử dụng tích cực. Những công nghệ này cho phép truyền dữ liệu từ xa và xác thực từ xa.

Các phương pháp bảo vệ thông tin bằng mã hóa (mật mã) dựa trên việc thay đổi thông tin bằng cách sử dụng các khóa bí mật thuộc loại đặc biệt. Công nghệ mã hóa dữ liệu điện tử dựa trên các thuật toán biến đổi, phương pháp thay thế và đại số ma trận. Độ mạnh của mã hóa phụ thuộc vào mức độ phức tạp của thuật toán chuyển đổi. Thông tin được mã hóa được bảo vệ một cách đáng tin cậy khỏi mọi mối đe dọa ngoài mối đe dọa vật lý.

điện tử chữ ký số(EDS) – tham số tài liệu điện tử, dùng để xác nhận tính xác thực của nó. Chữ ký số điện tử thay thế chữ ký của công chức trên văn bản giấy và có cùng chức năng hiệu lực pháp luật. Chữ ký số dùng để xác định chủ sở hữu của nó và xác nhận sự vắng mặt của các chuyển đổi trái phép. Việc sử dụng chữ ký số không chỉ đảm bảo bảo mật thông tin mà còn giúp giảm chi phí công nghệ xử lý luồng tài liệu và giảm thời gian di chuyển tài liệu khi lập báo cáo.

Lớp bảo mật hệ thống thông tin

Công nghệ bảo vệ được sử dụng và mức độ hiệu quả của nó quyết định lớp bảo mật của hệ thống thông tin. Tiêu chuẩn quốc tế phân biệt 7 lớp bảo mật của hệ thống, được kết hợp thành 4 cấp độ:

• D – mức an toàn bằng không;
• C – hệ thống truy cập ngẫu nhiên;
• B – hệ thống có quyền truy cập bắt buộc;
• A – hệ thống có độ an toàn có thể kiểm chứng được.

Cấp độ D tương ứng với các hệ thống có công nghệ bảo vệ kém phát triển. Trong tình huống như vậy, bất kỳ người nào không có thẩm quyền đều có cơ hội tiếp cận thông tin.

Sử dụng công nghệ bảo mật kém phát triển có thể dẫn đến mất mát hoặc mất thông tin.

Cấp độ C có các lớp sau – C1 và C2. Lớp bảo mật C1 liên quan đến việc tách dữ liệu và người dùng. Một nhóm người dùng nhất định chỉ có quyền truy cập vào một số dữ liệu nhất định; cần phải xác thực để có được thông tin - xác minh tính xác thực của người dùng bằng cách yêu cầu nhập mật khẩu. Với cấp độ an toàn C1, hệ thống được bảo vệ cả phần cứng và phần mềm. Các hệ thống loại C2 được bổ sung các biện pháp để đảm bảo trách nhiệm của người dùng: nhật ký truy cập được tạo và duy trì.

Cấp độ B bao gồm các công nghệ bảo mật có các lớp Cấp độ C, cùng với một số lớp bổ sung. Lớp B1 yêu cầu chính sách bảo mật, cơ sở điện toán đáng tin cậy để quản lý nhãn bảo mật và kiểm soát truy cập được thực thi. Với hạng B1, các chuyên gia tiến hành phân tích và kiểm tra kỹ lưỡng mã nguồn và kiến ​​trúc.

Cấp an toàn B2 là điển hình cho nhiều hệ thống hiện đại và giả định:

• Cung cấp nhãn bảo mật cho tất cả tài nguyên hệ thống;
• Đăng ký các sự kiện liên quan đến việc tổ chức các kênh trao đổi bộ nhớ bí mật;
• Cấu trúc cơ sở tính toán đáng tin cậy thành các mô-đun được xác định rõ ràng;
• Chính sách bảo mật chính thức;
• Khả năng chống chịu của hệ thống cao trước các cuộc tấn công từ bên ngoài.

Lớp B3 giả định, ngoài lớp B1, còn thông báo cho quản trị viên về các nỗ lực vi phạm chính sách bảo mật, phân tích sự xuất hiện của các kênh bí mật, có cơ chế phục hồi dữ liệu sau lỗi phần cứng hoặc.

Cấp A bao gồm một, lớp bảo mật cao nhất - A. Lớp này bao gồm các hệ thống đã được kiểm tra và nhận được xác nhận tuân thủ các thông số kỹ thuật cấp cao nhất chính thức.

Video bài giảng chi tiết về bảo mật hệ thống thông tin:

1. Quảng cáo khái niệm bí ẩn và sự bảo vệ

   Tóm tắt >> Tiếp thị

   Đảm bảo an toàn, an ninh cô ấy tài sản cũng như tính mạng và sức khoẻ cô ấy người lao động. Thông tin về...bảo vệ thuộc về thương mại thông tin. TRONG Những đất nước khác nhau có những lĩnh vực ưu tiên khác nhau sự bảo vệ thuộc về thương mại thông tin (thuộc về thương mại bí mật). Vì thế...

2. Quảng cáo bí ẩn và tiếp thị

   Tóm tắt >> Tiếp thị

   Khung pháp lý cung cấp bảo lãnh sự bảo vệ quyền của doanh nhân được thuộc về thương mại thông tin, - đây trước hết là... những khía cạnh chính, người ta có thể lưu ý ngay cô ấy tầm quan trọng và tính liên tục của các hoạt động tiếp thị. Đầu tiên...

3. Hợp pháp sự bảo vệ thông tin

   Tóm tắt >> Nhà nước và pháp luật

   ... thông tin, hiển thị thông qua nội dung thông tin. 2. thông tin không bị lão hóa về mặt thể chất. 3. khả năng tách biệt thông tin khỏi cô ấy... Liên bang Nga độc lập xác định các phương pháp sự bảo vệ thông tin, thành phần thuộc về thương mại bí mật được truyền đạt cho anh ta bởi...

4. Sự bảo vệ thông tin tại doanh nghiệp (1)

   Tóm tắt >> Khoa học máy tính

   Các lĩnh vực (hành chính, khoa học và kỹ thuật, thuộc về thương mại vân vân.). Vì thế câu hỏi sự bảo vệ thông tin(ZI) ngày càng mua lại nhiều hơn... và các phương tiện truyền thông giấy thông tin. Để ngăn chặn khả năng rò rỉ thông tin qua cô ấy sao chép vào bên ngoài...

Khái niệm và bản chất của bảo mật thông tin

Ngăn chặn truy cập trái phép vào thông tin;

Tạo điều kiện hạn chế việc phổ biến thông tin;

Bảo vệ quyền sở hữu và xử lý thông tin của chủ sở hữu;

Ngăn chặn rò rỉ, trộm cắp, mất mát, phá hủy trái phép, sao chép, sửa đổi, bóp méo, chặn, tiết lộ thông tin, tác động trái phép và vô ý đến thông tin đó;

Duy trì tính đầy đủ, độ tin cậy, tính toàn vẹn, độ tin cậy, bảo mật thông tin, v.v.

Cơ sở phương pháp luậnĐể làm rõ bản chất và định nghĩa của khái niệm bảo vệ thông tin thì phải có định nghĩa về khái niệm bảo vệ một cách tổng thể, không phân biệt đối tượng bảo vệ.

Trong từ điển giải thích, thuật ngữ bảo vệ được hiểu theo hai cách: là một quá trình bảo vệ, cứu, cứu khỏi ai đó một điều gì đó khó chịu, thù địch, nguy hiểm và là một tập hợp các phương pháp, phương tiện và biện pháp được thực hiện để ngăn chặn điều gì đó. Như vậy, nội dung trong các định nghĩa này trùng khớp về nghĩa - đây là sự phòng ngừa, phòng ngừa một điều gì đó nguy hiểm, thù địch. Nếu chúng ta liên hệ quy định này với việc bảo vệ thông tin thì điều nguy hiểm nhất đối với chủ sở hữu thông tin là hành vi vi phạm tình trạng thành lập thông tin, và do đó nội dung của việc bảo vệ phải là việc ngăn chặn hành vi vi phạm đó.

Vi phạm trạng thái của bất kỳ thông tin nào bao gồm vi phạm an toàn vật lý nói chung hoặc đối với một chủ sở hữu nhất định (toàn bộ hoặc một phần), tính toàn vẹn về cấu trúc và khả năng truy cập đối với người dùng được ủy quyền. Vi phạm tình trạng của thông tin bí mật, bao gồm cả thông tin cấu thành bí mật nhà nước, còn bao gồm cả vi phạm tính bảo mật của thông tin đó (đóng cửa với người ngoài).

Thành phần thứ hai của bản chất bảo vệ thông tin - phương pháp triển khai nội dung - trong từ điển giải thích, như đã lưu ý, được trình bày dưới dạng một quy trình hoặc một tập hợp các phương pháp, phương tiện và hoạt động.

Bảo vệ thông tin bao gồm một tập hợp các phương pháp, phương tiện và hoạt động nhất định, nhưng sẽ là sai lầm nếu chỉ giới hạn phương pháp thực hiện ở điều này. Việc bảo vệ thông tin phải có tính hệ thống, hệ thống ngoài phương pháp, phương tiện, biện pháp còn bao gồm các thành phần khác: đối tượng bảo vệ, cơ quan bảo vệ, người sử dụng thông tin. Đồng thời, việc bảo vệ không nên là một cái gì đó tĩnh tại mà là một quá trình liên tục. Nhưng quá trình này không tự xảy ra mà xảy ra do hoạt động của con người. Theo định nghĩa, hoạt động không chỉ bao gồm quá trình mà còn bao gồm mục tiêu, phương tiện và kết quả. Việc bảo vệ thông tin không thể thiếu mục đích, không hiệu quả và được thực hiện nếu không có sự trợ giúp của một số phương tiện nhất định. Vì vậy, hoạt động phải là phương thức thực hiện nội dung bảo vệ.

Bảo vệ dữ liệu– các hoạt động nhằm ngăn ngừa mất mát và rò rỉ thông tin mật và mất thông tin mở được bảo vệ.

Mục đích bảo vệ thông tin– kết quả mong muốn của việc bảo vệ thông tin. Mục đích của việc bảo vệ thông tin có thể là để ngăn ngừa thiệt hại cho chủ sở hữu, người sở hữu hoặc người sử dụng thông tin do có thể rò rỉ thông tin và/hoặc tác động trái phép và vô ý đến thông tin.

Khái niệm bảo mật thông tin, như một hệ thống quan điểm về mục tiêu, phương pháp đảm bảo an ninh thông tin và phương tiện bảo vệ thông tin, nói chung phải trả lời ba câu hỏi đơn giản:

Những gì để bảo vệ?

Bảo vệ khỏi cái gì?

Làm thế nào để bảo vệ?

Với câu hỏi “Bảo vệ cái gì?” Khái niệm đối tượng bảo hộ có liên quan.

Đối tượng bảo vệ– thông tin hoặc vật mang thông tin, hoặc quy trình thông tin cần được bảo vệ theo mục đích đã nêu của việc bảo vệ thông tin;

Đối tượng bảo vệ- thông tin, phương tiện kỹ thuật và công nghệ để xử lý thông tin, trong đó cần đảm bảo an toàn thông tin.

Thuộc tính quan trọng của thông tin là giá trị của nó, tức là chi phí thiệt hại do bị phá hủy, mất mát hoặc tiết lộ. Ngoài ra, điểm đặc biệt của thông tin là nó không biến mất khi tiêu dùng và không được chuyển giao hoàn toàn trong quá trình trao đổi (không giống như tiền, nó vẫn thuộc về người dùng cũ). Một mặt, nó “không thể chia cắt”, nghĩa là nó chỉ có ý nghĩa khi có một khối lượng thông tin đủ đầy đủ, mặt khác, chất lượng của nó tăng lên khi bổ sung thêm các dữ liệu mới đáng tin cậy, nghĩa là có thể dần dần tích lũy thông tin và ở những phần nhỏ. Vì vậy, trước khi trả lời câu hỏi đầu tiên, cần phải hiểu rõ thông tin nào có thể cần được bảo vệ. (Ví dụ: đây có thể là toàn bộ khối lượng dữ liệu được tích lũy và tạo ra trong công ty có ý nghĩa thương mại, thông tin về nhà cung cấp và nhà sản xuất, người bán và đại lý, hợp đồng và khách hàng, kế hoạch của công ty, giá tối đa, tiền thưởng cho đại lý và trung gian , tên và địa chỉ của nhân viên, chi phí sản xuất, tiếp thị và nghiên cứu phân tích).

Bước tiếp theo là tách các đối tượng được bảo vệ này theo giá trị thông tin chúng chứa và xác định các hệ thống nguy hiểm tiềm tàng cho phép truy cập chúng. Do đó, tất cả các phương tiện truy xuất thông tin trái phép được mô tả đều gắn liền với phương tiện cụ thể mà chúng dự định hoạt động. Dựa trên những điều trên, chúng ta thực tế có thể trả lời câu hỏi đầu tiên. Nếu bạn biết ít nhất một cách tổng quát các phương thức hoạt động cơ bản của những kẻ tấn công và khả năng của thiết bị của chúng thì sẽ không mất nhiều thời gian.

Nhiều dịch vụ bảo vệ của các công trình thương mại lớn thực hiện thành công các hoạt động nhằm thu thập thông tin về khách hàng, đối tác hoặc đối thủ cạnh tranh tiềm năng. Họ kiểm soát chặt chẽ nhân viên của mình để tránh rò rỉ bí mật. Chúng ta không được quên rằng việc Nga hội nhập vào các tổ chức quốc tế, tham gia vào các công ty và dự án chung khiến các doanh nhân trong nước trở thành đối tượng chú ý của các cơ quan tình báo tư nhân và thậm chí cả nhà nước của phương Tây và phương Đông.

Câu hỏi “Bảo vệ khỏi cái gì?” gắn liền với khái niệm mối đe dọa. Mối đe dọa– khả năng gây ảnh hưởng vô tình hoặc cố ý bất hợp pháp dẫn đến mất hoặc tiết lộ thông tin. Thông thường, các nguồn đe dọa bên trong và bên ngoài được phân biệt.

Với câu hỏi “Làm thế nào để bảo vệ thông tin?” Khái niệm về hệ thống bảo mật thông tin vốn đã được kết nối.

Hệ thống bảo mật thông tin– một tập hợp các cơ quan và/hoặc người biểu diễn, công nghệ bảo vệ thông tin mà họ sử dụng, cũng như các đối tượng bảo vệ, được tổ chức và hoạt động theo các quy tắc được thiết lập bởi các văn bản pháp lý, tổ chức, hành chính và quy định liên quan về bảo vệ thông tin.

Mục tiêu chính của việc bảo vệ thông tin là:

Ngăn ngừa rò rỉ, trộm cắp, mất mát, bóp méo, giả mạo thông tin;

Ngăn chặn các mối đe dọa đối với an ninh của cá nhân, xã hội và nhà nước;

Ngăn chặn các hành động trái phép nhằm tiêu hủy, sửa đổi, bóp méo, sao chép, chặn thông tin;

Ngăn chặn các hình thức can thiệp bất hợp pháp khác vào tài nguyên thông tin và hệ thống thông tin;

Bảo đảm chế độ pháp lý về thông tin văn bản là đối tượng tài sản;

Bảo vệ quyền hiến định của công dân trong việc giữ bí mật cá nhân và bảo mật dữ liệu cá nhân có sẵn trong hệ thống thông tin;

Giữ bí mật nhà nước về thông tin văn bản theo quy định của pháp luật;

Bảo đảm quyền lợi của các chủ thể trong quá trình thông tin và trong việc phát triển, sản xuất và sử dụng hệ thống thông tin, công nghệ và phương tiện hỗ trợ chúng.

Phù hợp với các mục tiêu này, quy trình bảo mật thông tin phải đảm bảo duy trì tính toàn vẹn và bảo mật của nó.

Phân loại và đặc điểm của phương pháp, phương tiện bảo vệ cơ bản

Cho đến nay, nhiều công cụ, phương pháp, biện pháp và hoạt động khác nhau đã được phát triển để bảo vệ thông tin. Điêu nay bao gôm:

Phần cứng và phần mềm,

Đóng thông tin mật mã,

Các biện pháp vật lý

Sự kiện tổ chức

Biện pháp pháp lý

Phương tiện đạo đức và đạo đức.

Đôi khi tất cả các phương tiện bảo vệ này được chia thành kỹ thuật và phi kỹ thuật, và các phương tiện kỹ thuật bao gồm phần cứng, phần mềm và đóng thông tin mật mã, còn lại là các phương tiện phi kỹ thuật.

Phần cứng – thiết bị được tích hợp trực tiếp vào công nghệ máy tính hoặc các thiết bị giao tiếp với nó thông qua giao diện tiêu chuẩn. Bảo vệ phần cứng bao gồm các thiết bị điện tử, cơ điện tử và quang điện khác nhau. Ví dụ: trình tạo mã được thiết kế để tự động tạo mã nhận dạng cho thiết bị, thiết bị đo các đặc điểm cá nhân của một người (giọng nói, dấu vân tay) nhằm mục đích nhận dạng người đó (nhận dạng sinh trắc học), v.v. Một nhóm thiết bị bảo mật phần cứng đặc biệt và được sử dụng rộng rãi nhất là thiết bị mã hóa thông tin (phương pháp mã hóa).

Phần mềm – Đây là những chương trình và gói phần mềm đặc biệt được thiết kế để bảo vệ thông tin trong IP. Phần mềm bảo mật bao gồm các chương trình đặc biệt được thiết kế để thực hiện các chức năng bảo mật và được bao gồm trong phần mềm của hệ thống xử lý dữ liệu. Bảo vệ phần mềm là loại bảo vệ phổ biến nhất, được hỗ trợ bởi các đặc tính tích cực của công cụ này như tính linh hoạt, linh hoạt, dễ triển khai, khả năng thay đổi và phát triển gần như không giới hạn, v.v.

Đóng mật mã(mã hóa) thông tin bao gồm việc chuyển đổi thông tin được bảo vệ trong đó vẻ bề ngoài nội dung của dữ liệu riêng tư không thể được xác định. Bảo vệ mật mã các chuyên gia đặc biệt chú ý, coi đây là thông tin đáng tin cậy nhất và đối với thông tin được truyền qua đường dây liên lạc đường dài, là phương tiện duy nhất để bảo vệ thông tin khỏi bị đánh cắp.

Phương tiện vật lý bao gồm các thiết bị và cấu trúc kỹ thuật khác nhau ngăn chặn sự xâm nhập vật lý của kẻ tấn công vào các đối tượng được bảo vệ và bảo vệ nhân sự (thiết bị an ninh cá nhân), tài nguyên vật chất và tài chính, thông tin khỏi các hành động bất hợp pháp. Ví dụ về các thiết bị vật lý: ổ khóa cửa ra vào, thanh chắn trên cửa sổ, thiết bị điện tử báo động chống trộm và như thế.

Phương tiện tổ chức thực hiện quy định phức tạp của họ đối với các hoạt động sản xuất trong IP và các mối quan hệ của người biểu diễn trên cơ sở pháp lý theo cách tiết lộ, rò rỉ và truy cập trái phép ĐẾN thông tin bí mật trở nên không thể thực hiện được hoặc bị cản trở đáng kể do các biện pháp tổ chức. Tập hợp các biện pháp này được nhóm bảo mật thông tin thực hiện nhưng phải nằm dưới sự kiểm soát của người quản lý đầu tiên.

Phương tiện lập pháp các biện pháp bảo vệ được xác định bởi các hành vi lập pháp của quốc gia, trong đó quy định các quy tắc sử dụng, xử lý và truyền tải thông tin bị hạn chế và thiết lập các hình phạt nếu vi phạm các quy tắc này.

Phương tiện luân lý và đạo đức các biện pháp bảo vệ bao gồm tất cả các loại chuẩn mực hành vi đã được phát triển theo truyền thống trước đây, đang nổi lên khi sở hữu trí tuệ và CNTT lan rộng khắp đất nước và thế giới hoặc được phát triển đặc biệt. Các tiêu chuẩn đạo đức và luân lý có thể bất thành văn (ví dụ như tính trung thực) hoặc được chính thức hóa trong một bộ (điều lệ) quy tắc hoặc quy định nhất định. Các quy định này, theo quy định, không được phê duyệt về mặt pháp lý, nhưng vì việc không tuân thủ dẫn đến giảm uy tín của tổ chức nên chúng được coi là bắt buộc.

Các biện pháp bảo vệ thông tin:

tổ chức– các biện pháp có tính chất hạn chế, giảm xuống mức quy định việc truy cập và sử dụng các phương tiện kỹ thuật xử lý thông tin.

Tổ chức và kỹ thuật– cung cấp tính năng chặn các kênh có thể rò rỉ thông tin thông qua các phương tiện kỹ thuật sử dụng các thiết bị đặc biệt được lắp đặt trên các bộ phận kết cấu của tòa nhà, mặt bằng và phương tiện kỹ thuật xử lý thông tin.

Kỹ thuật– mua, lắp đặt và sử dụng các phương tiện kỹ thuật xử lý thông tin được bảo vệ khỏi các ảnh hưởng khác nhau.

Người ta thường phân biệt những điều chính sau đây các loại thiết bị bảo hộ:

Quy định

Đạo đức và đạo đức

tổ chức

Kỹ thuật.

Quy định– bao gồm luật pháp và các hành vi pháp lý khác, cũng như các cơ chế thực hiện chúng, điều chỉnh các mối quan hệ thông tin trong xã hội.

Đạo đức và đạo đức- Các quy tắc và chuẩn mực hành vi nhằm mục đích
đảm bảo an ninh thông tin, không được quy định trong luật pháp hay hành chính, mà được hỗ trợ trong các nhóm thông qua truyền thống và cơ chế dư luận.

tổ chức– các quy tắc, biện pháp và biện pháp điều chỉnh việc truy cập, lưu trữ, ứng dụng và chuyển giao thông tin, được thực thi bằng các biện pháp hành chính. Nếu không tuân theo các quy tắc này, việc lắp đặt bất kỳ phương tiện bảo vệ kỹ thuật nào, thậm chí đắt tiền nhất, sẽ dẫn đến lãng phí tiền bạc cho một tổ chức mà các vấn đề về tổ chức chưa được giải quyết ở cấp độ thích hợp. Và điều này đúng với bất kỳ kênh rò rỉ nào.

Phương tiện kỹ thuật– đây là những tổ hợp phần cứng và phần mềm đặc biệt được thiết kế để ngăn chặn rò rỉ thông tin đã xử lý hoặc lưu trữ bằng cách ngăn chặn truy cập trái phép vào thông tin đó bằng các phương tiện truy xuất kỹ thuật.

Hệ thống thực bảo vệ bao gồm tất cả các loại công cụ được liệt kê và theo quy định, được tạo ra bằng cách tích hợp chúng. Khó khăn chính trong việc tạo ra nó là nó phải đáp ứng đồng thời hai nhóm yêu cầu đối lập trực tiếp: cung cấp khả năng bảo vệ thông tin đáng tin cậy và không tạo ra những bất tiện đáng chú ý. Thông thường chỉ có một chuyên gia đủ trình độ mới có thể kết hợp các yêu cầu này. Ngoài ra, hệ thống bảo vệ phải phù hợp với các mối đe dọa có thể xảy ra, với sự đánh giá bắt buộc về cả khả năng xảy ra của chúng và mức độ thiệt hại thực sự do mất hoặc tiết lộ thông tin lưu hành trong một phương tiện nhất định.

Thông tin được bảo vệ

Thông tin được bảo vệ– thông tin độc quyền và được bảo vệ theo yêu cầu của các văn bản pháp luật hoặc yêu cầu do chủ sở hữu thông tin thiết lập.

Các đối tượng chính của bảo mật thông tin nhà nước bao gồm:

Nguồn thông tin chứa thông tin cấu thành bí mật nhà nước, bí mật thương mại và các thông tin bí mật khác;

Hệ thống hình thành việc phổ biến và sử dụng các tài nguyên thông tin, bao gồm các hệ thống thông tin thuộc nhiều loại và mục đích khác nhau, công nghệ thông tin, các quy định và thủ tục thu thập, xử lý, lưu trữ và truyền thông tin, nhân viên khoa học, kỹ thuật và dịch vụ;

Cơ sở hạ tầng thông tin, bao gồm các trung tâm xử lý và phân tích thông tin, các kênh trao đổi thông tin viễn thông, cơ chế bảo đảm hoạt động của hệ thống và mạng viễn thông, bao gồm cả hệ thống và phương tiện an ninh thông tin.

Bảo mật thông tin của các đối tượng được liệt kê tạo điều kiện cho hoạt động đáng tin cậy của các tổ chức nhà nước và công cộng, pháp nhân và cá nhân. Các phương tiện xử lý, tích lũy, lưu trữ và truyền tải nó không ngừng được cải tiến. Thông tin là một danh mục có giá trị, giá trị thực tế hoặc tiềm năng, giống như bất kỳ loại giá trị nào khác, được chủ sở hữu hoặc người sở hữu nó bảo vệ và bảo vệ.

Chủ sở hữu thông tin được bảo vệ– một pháp nhân hoặc thể nhân, theo quyết định riêng của mình, sở hữu, sử dụng và xử lý thông tin thuộc về mình.

Chủ sở hữu thông tin được bảo vệ– pháp nhân hoặc thể nhân có thẩm quyền sở hữu, sử dụng và xử lý thông tin này theo thỏa thuận với chủ sở hữu, theo quy định của pháp luật hoặc quyết định của cơ quan hành chính.

Mỗi tiểu bang bảo vệ tài nguyên thông tin của mình. Các nguồn thông tin nhà nước, ở dạng gần đúng đầu tiên, có thể được chia thành ba nhóm lớn:

Thông tin được mở – không có hạn chế nào về việc phân phối và sử dụng thông tin đó;

Thông tin được cấp bằng sáng chế được pháp luật trong nước hoặc các hiệp định quốc tế bảo vệ như một đối tượng sở hữu trí tuệ;

Thông tin được chủ sở hữu, người sở hữu nó “đóng” và được bảo vệ bằng các cơ chế đã được chứng minh để bảo vệ bí mật nhà nước, thương mại hoặc bí mật được bảo vệ khác. Loại này thường bao gồm những thông tin mà người khác không biết, không thể được cấp bằng sáng chế hoặc cố tình không được cấp bằng sáng chế nhằm tránh hoặc giảm nguy cơ thông tin này bị đối thủ và đối thủ cạnh tranh chiếm đoạt.

Theo quy luật, chúng bảo vệ và bảo vệ không phải tất cả hoặc không phải tất cả thông tin, mà là những thông tin quan trọng nhất, có giá trị đối với chủ sở hữu của nó, hạn chế việc phân phối những thông tin đó mang lại cho anh ta một số lợi ích hoặc lợi nhuận, khả năng giải quyết hiệu quả các vấn đề mà anh ta phải đối mặt.

Thông tin nào được coi là được bảo vệ?

Đầu tiên, thông tin mật. Hiện nay, thông tin mật bao gồm những thông tin chứa đựng bí mật nhà nước.

Thứ hai, thông tin bí mật. Loại thông tin được bảo vệ này thường bao gồm thông tin chứa bí mật thương mại cũng như bí mật liên quan đến đời sống và hoạt động cá nhân (không chính thức) của công dân.

Do đó, thông tin được bảo vệ có nghĩa là thông tin mà việc sử dụng và phân phối phải chịu sự hạn chế của chủ sở hữu thông tin đó.

Thông tin được bảo vệ có các tính năng đặc biệt sau:

Chỉ chủ sở hữu (chủ sở hữu) hoặc người được anh ta ủy quyền mới có thể phân loại thông tin, nghĩa là hạn chế quyền truy cập vào thông tin đó;

Thông tin càng quan trọng đối với chủ sở hữu thì anh ta càng bảo vệ nó cẩn thận. Và để tất cả những người xem thông tin được bảo vệ này biết rằng một số thông tin cần được bảo vệ cẩn thận hơn những thông tin khác, chủ sở hữu chỉ định cho nó các mức độ bí mật khác nhau;

Thông tin được bảo vệ phải mang lại những lợi ích nhất định cho chủ sở hữu nó và biện minh cho nỗ lực và nguồn lực dành cho việc bảo vệ thông tin đó.

Do đó, một trong những đặc điểm chính của thông tin được bảo vệ là các hạn chế do chủ sở hữu thông tin áp đặt đối với việc phân phối và sử dụng thông tin đó.

Phương tiện thông tin được bảo vệ

Thông tin có thể được xem xét theo quan điểm hiển thị của nó trên một số hoặc trong một số vật thể vật chất (vật lý), trong một thời gian dài có thể bảo quản nó ở dạng tương đối không thay đổi hoặc chuyển nó từ nơi này sang nơi khác.

Người mang thông tin– đối tượng vật chất, bao gồm cả trường vật lý, trong đó thông tin được phản ánh dưới dạng ký hiệu, hình ảnh, tín hiệu, giải pháp và quy trình kỹ thuật, từ đó tạo cơ hội cho việc tích lũy, lưu trữ, truyền tải và sử dụng thông tin.

Các phương tiện tương tự được sử dụng để ghi lại cả thông tin được phân loại và không được phân loại.

Theo quy định, người mang thông tin bí mật và bí mật được chủ sở hữu thông tin này bảo vệ. Điều này là do thực tế là nếu đối thủ hoặc người được bảo vệ thông tin này có được quyền truy cập trái phép, nhà cung cấp dịch vụ có thể trở thành nguồn thông tin mà từ đó người này có thể lấy bất hợp pháp thông tin mà anh ta quan tâm và được bảo vệ khỏi anh ta.

Phương tiện thông tin được bảo vệ có thể được phân loại như sau:

Nhân loại;

Tài liệu;

Sản phẩm (mặt hàng);

Các chất và vật liệu;

Điện từ, nhiệt, bức xạ và bức xạ khác;

Thủy âm, địa chấn và các lĩnh vực khác; hình dạng hình học của các tòa nhà, kích thước của chúng, v.v.

Bộ não con người là một hệ thống cực kỳ phức tạp, lưu trữ và xử lý thông tin đến từ thế giới bên ngoài. Đặc tính của não là phản ánh và nhận thức thế giới bên ngoài, tích lũy lượng thông tin khổng lồ, bao gồm cả thông tin bí mật, trong trí nhớ của nó, đương nhiên đặt con người lên vị trí hàng đầu với tư cách là người mang thông tin bí mật. Một người, với tư cách là người lưu giữ thông tin bí mật và bí mật, có khả năng (ngoài việc nhận thông tin đó từ bên ngoài) để tạo ra thông tin mới, bao gồm cả thông tin bí mật. Là người mang thông tin được bảo vệ, anh ta có thể có cả những đặc điểm tích cực và tiêu cực.

Điều tích cực là nếu không có sự đồng ý của chủ thể - người vận chuyển thông tin được bảo vệ, hay như người ta cũng nói, người vận chuyển bí mật, theo quy định, không có thông tin nào có thể được trích xuất khỏi trí nhớ của anh ta. Anh ta có thể đánh giá tầm quan trọng của thông tin anh ta có trong trí nhớ và xử lý nó một cách phù hợp. Anh ta cũng có thể xếp hạng những người tiêu dùng thông tin được bảo vệ, nghĩa là biết anh ta có thể tin tưởng ai và thông tin gì. Đồng thời, anh ta có thể nhầm lẫn về tính trung thực của người sử dụng thông tin được bảo vệ hoặc cản trở việc cố tình không bảo vệ thông tin bí mật hoặc bí mật được giao phó cho anh ta trong dịch vụ hoặc công việc của mình: phạm tội phản quốc cao độ (gián điệp, đưa tiết lộ bí mật quốc gia, bí mật chính thức cho kẻ thù, v.v.) hoặc tiết lộ bí mật cho bạn bè, người thân.

Tài liệu- cố định trên vật chất trung gian thông tin với các chi tiết cho phép nhận dạng nó. Tài liệu là vật mang thông tin có thể rất đa dạng về hình thức: giấy, phim và phim ảnh, băng và đĩa từ, băng và thẻ đục lỗ, v.v. Thông tin được ghi trên phương tiện có thể ở dạng văn bản, hình vẽ, công thức, đồ thị, bản đồ. , Vân vân.

Tài liệu, vật mang thông tin được bảo vệ, cho biết mức độ bảo mật của thông tin (phân loại bí mật), vì vậy người tiêu dùng, khi có dữ liệu đó trong tay, có thể biết ai và cách xử lý thông tin này. Mức độ bảo vệ tài liệu bí mật có thể được tổ chức có tính đến tầm quan trọng của thông tin được bảo vệ chứa trong đó. Sau đây là các đặc tính yếu của tài liệu với tư cách là vật mang thông tin được bảo vệ. Nếu một người tiêu dùng vô đạo đức có được quyền truy cập trái phép vào một tài liệu, anh ta có thể sử dụng thông tin đó cho mục đích riêng của mình (nếu nó không được mã hóa). Tài liệu cũng có thể bị mất: bị đánh cắp hoặc bị phá hủy, bị hư hỏng, v.v. Các cơ quan tình báo nước ngoài cũng thường xuyên săn lùng thông tin tài liệu hơn.

Các sản phẩm(đối tượng) với tư cách là vật mang thông tin được bảo vệ cũng khá phổ biến. Chúng có nghĩa là các mẫu và hệ thống vũ khí, quân sự và các thiết bị bí mật khác; thiết bị; hệ thống chức năng, các đơn vị, thiết bị nằm trong tổ hợp hoặc mẫu; các bộ phận cấu thành - các đơn vị lắp ráp và các bộ phận không có mục đích hoạt động độc lập và nhằm thực hiện các chức năng tương ứng như một phần của thiết bị, vũ khí, quân sự và các thiết bị khác. Hoạt động của họ với tư cách là người mang thông tin được thực hiện đồng thời với việc hoàn thành mục đích chính của họ bằng các sản phẩm này.

Chỉ có chuyên gia mới có thể xác định liệu một sản phẩm cụ thể có phải là bí mật hay không. Đặc biệt nếu điều này liên quan đến một số thành phần hoặc thiết bị.

Vật liệu và chất trong những điều kiện nhất định, chúng cũng có thể đóng vai trò là người mang thông tin được bảo vệ. Chúng bao gồm vật liệu kết cấu và vận hành, bán thành phẩm, nguyên liệu thô, nhiên liệu, v.v., được sử dụng trong sản xuất và vận hành thiết bị cũng như các bộ phận của nó. Ví dụ, lớp phủ chịu nhiệt trên tàu vũ trụ.

Các chất có thể mang thông tin về một cơ sở nhạy cảm cũng bao gồm chất thải từ các doanh nghiệp nhạy cảm (nước, không khí, lượng mưa trên mặt đất xung quanh cơ sở, v.v.). Để sử dụng được thông tin này, nó phải được giải mã bằng thiết bị đặc biệt. Một ví dụ về việc loại phương tiện vận chuyển thông tin được bảo vệ này được các cơ quan tình báo nước ngoài quan tâm như thế nào có thể là các trường hợp giam giữ các sĩ quan tình báo và nhân viên tình báo ở biên giới với các mẫu nước, đất, thực vật, v.v.

Bức xạ vô tuyến và điện từ có tần số khác nhau mang thông tin từ nguồn thông tin (máy phát vô tuyến, bộ phát) đến máy thu và là “sản phẩm” của hoạt động kỹ thuật vô tuyến và các hệ thống khác, và do đó, mang thông tin về các hệ thống này. Bức xạ vô tuyến và điện từ có thể mang cả thông tin mật và thông tin mật. Theo quy luật, việc phân phối chúng là không thể kiểm soát được và có thể bị đối thủ chặn lại. Để nhận được chúng, cần có các thiết bị và thiết bị kỹ thuật phù hợp. Chỉ có chuyên gia mới có thể đánh giá rằng thông tin bị chặn này là bí mật. Vì có thể sử dụng thông tin đó phải được giải mã trước đó.

Khái niệm và cấu trúc của các mối đe dọa đối với thông tin được bảo vệ

Một trong những đặc điểm chính của vấn đề bảo mật thông tin là yêu cầu xác định đầy đủ các mối đe dọa thông tin có thể xảy ra trong các hệ thống thông tin hiện đại. Ngay cả một yếu tố gây mất ổn định không được tính đến (không bị phát hiện, không tính đến) cũng có thể làm giảm đáng kể (và thậm chí phủ nhận) hiệu quả của việc bảo vệ.

– đây là khả năng tồn tại tiềm tàng của hành động hoặc không hành động vô tình hoặc cố ý, do đó tính bảo mật của thông tin (dữ liệu) có thể bị vi phạm.

Mối đe dọa an ninh thông tin– một tập hợp các điều kiện và yếu tố tạo ra mối nguy hiểm tiềm ẩn hoặc thực tế liên quan đến rò rỉ thông tin và/hoặc các tác động trái phép và/hoặc vô ý lên thông tin đó.

Mối đe dọa là một người, sự vật, sự kiện hoặc ý tưởng gây nguy hiểm nào đó cho các giá trị cần được bảo vệ.

Mối đe dọa– đây là cơ hội tiềm ẩn để vi phạm an ninh thông tin theo một cách nào đó.

Một nỗ lực để thực hiện một mối đe dọa được gọi là tấn công, và người thực hiện nỗ lực đó - kẻ đột nhập. Những kẻ tấn công tiềm năng được gọi nguồn đe dọa.

Các mối đe dọa đối với an ninh thông tin trong các hệ thống thông tin hiện đại là do:

Sự tác động phá hoại, bóp méo một cách vô tình và cố ý của môi trường bên ngoài;

Mức độ tin cậy của hoạt động của các công cụ xử lý thông tin;

Những ảnh hưởng ích kỷ có chủ ý của người dùng trái phép, mục đích là trộm cắp, tiết lộ, phá hủy, phá hủy, sửa đổi trái phép và sử dụng thông tin đã xử lý;

Những hành động vô ý, vô tình của nhân viên bảo trì, v.v.

Phân loại các mối đe dọa an ninh

Biểu hiện chính của các mối đe dọa được coi là sở hữu trái phép thông tin bí mật, sao chép, sửa đổi, phá hủy thông tin bí mật vì lợi ích của kẻ tấn công nhằm mục đích gây thiệt hại cả về vật chất và tinh thần. Ngoài ra, những hành động vô ý của nhân viên bảo trì và người sử dụng cũng dẫn đến những thiệt hại nhất định.

Những cách chính mà các mối đe dọa được nhận ra là:

Nguồn đại lý trong chính phủ và các cơ quan an ninh thông tin;

Tuyển dụng cán bộ của các cơ quan nhà nước, tổ chức, doanh nghiệp…;

Ngăn chặn và truy cập trái phép thông tin bằng các phương tiện thông minh kỹ thuật;

Việc sử dụng chương trình có chủ ý và ảnh hưởng toán học;

Nghe lén các cuộc trò chuyện bí mật trong khuôn viên văn phòng, phương tiện giao thông và những nơi khác mà chúng được tiến hành.

Các yếu tố gây mất thông tin và các loại thiệt hại khác nhau là:

Tai nạn, gây ra lối thoát lỗi của thiết bị và nguồn thông tin (cháy, nổ, tai nạn, sốc, va chạm, té ngã, tiếp xúc với môi trường hóa học hoặc vật lý);

Lỗi của các yếu tố của cơ sở xử lý thông tin;

Hậu quả của các hiện tượng tự nhiên (lũ lụt, bão, sét, động đất...);

Trộm cắp, cố ý làm hư hỏng tài sản vật chất;

Tai nạn, hư hỏng thiết bị, phần mềm, không có dữ liệu;

Các lỗi trong việc tích lũy, lưu trữ, truyền tải, sử dụng thông tin, nhận thức, đọc, giải thích nội dung thông tin, tuân thủ các quy tắc, không có khả năng, giám sát, can thiệp, sai sót và bóp méo các yếu tố và dấu hiệu hoặc thông điệp riêng lẻ;

Các lỗi vận hành: vi phạm bảo mật, tràn file, lỗi ngôn ngữ quản lý dữ liệu, lỗi chuẩn bị và nhập thông tin;

Hành vi ác ý trong lĩnh vực vật chất; tính nói nhiều, tiết lộ;

Tổn thất xã hội (từ chức, sa thải, đình công, v.v.).

Các loại mối đe dọa chính: bên ngoài và bên trong. Các mối đe dọa nội bộ bao gồm cả hành động cố ý và lỗi vô ý của con người. Các mối đe dọa bên ngoài rất đa dạng.

Các tính năng của việc bảo vệ thông tin tài liệu

Tính bảo mật bao hàm việc bảo toàn các quyền đối với thông tin, không tiết lộ (bí mật) và bất biến trong mọi trường hợp ngoại trừ việc sử dụng được phép.

Thông tin bí mật– thông tin dạng văn bản, quyền truy cập bị hạn chế theo luật pháp của Liên bang Nga.

Chủ sở hữu (chủ sở hữu) thông tin bí mật có thể là:

Nhà nước và các cấu trúc (cơ thể) của nó. Trong trường hợp này, nó bao gồm thông tin là bí mật nhà nước, bí mật chính thức và các loại thông tin được bảo vệ khác thuộc về nhà nước hoặc bộ. Điều này có thể bao gồm thông tin là bí mật thương mại;

Các doanh nghiệp, liên doanh, công ty cổ phần(bao gồm cả những thông tin chung) và những thông tin khác - thông tin là tài sản của họ và tạo thành bí mật thương mại;

Theo quy định, các tổ chức công là bí mật của đảng; bí mật nhà nước và bí mật thương mại cũng có thể xảy ra;

Công dân của nhà nước: các quyền của họ (bí mật thư từ, điện thoại và điện báo, bí mật y tế, v.v.) được nhà nước đảm bảo, bí mật cá nhân là việc riêng của họ. Cần lưu ý rằng nhà nước không chịu trách nhiệm về sự an toàn của bí mật cá nhân.

Phân loại thông tin theo mức độ bảo mật của nó không quy nó cho bất kỳ loài cụ thể nào, nó trông hơi trừu tượng. Nhưng nó đưa ra ý tưởng về khả năng xếp hạng thông tin được bảo vệ theo mức độ quan trọng của nó đối với chủ sở hữu. Tất cả thông tin theo mức độ bí mật có thể được chia thành năm cấp độ:

1. Đặc biệt quan trọng (đặc biệt quan trọng);

2. Tuyệt mật (tuyệt mật);

3. Bí mật (bí mật);

4. Đối với sử dụng chính thức(không in, gửi vào danh sách);

5. Chưa được phân loại (mở).

Cần lưu ý rằng chủ sở hữu của nó xác định tính bí mật của thông tin càng cao thì mức độ bảo vệ của nó càng cao, giá trị của nó càng cao và vòng tròn những người làm quen với thông tin này càng thu hẹp.

Cần lưu ý rằng các phân loại trên chưa đầy đủ và việc phát triển chúng vẫn phải được thực hiện bởi khoa học và pháp luật.

Tất cả thông tin bí mật và một phần thông tin công khai do chủ sở hữu xác định đều được bảo vệ. Việc bảo vệ thông tin được thực hiện theo cách khác nhau, bao gồm tùy thuộc vào thành phần của thông tin và việc thông tin bí mật thuộc về ai. nhiều loại khác nhau bí mật. Tổ chức, công nghệ và mức độ bảo vệ phụ thuộc vào loại bí mật nào được bảo vệ. Không chỉ ranh giới mà cả khái niệm về một số loại bí mật và thậm chí cả thành phần của chúng vẫn chưa được xác định rõ ràng. Nghĩa là, các loại bí mật không có quy định pháp lý rõ ràng chỉ ra những căn cứ cần thiết để phân loại thông tin bí mật thành một số loại bí mật nhất định.

Cấu trúc phân loại thông tin:

Phương tiện: có tài liệu và không có tài liệu;

Quyền sở hữu: các nguồn thông tin nhà nước và ngoài nhà nước;

Điều kiện của chế độ pháp luật: bí mật nhà nước và thông tin mật.

Thông tin cá nhân– thông tin về các sự kiện, sự kiện và hoàn cảnh trong đời sống riêng tư của một công dân, cho phép xác định nhân cách của người đó. Dữ liệu cá nhân của tất cả nhân viên công ty thường được lưu trữ trong bộ phận nhân sự. Đồng thời, công ty phải chịu trách nhiệm trước nhân viên theo quy định của pháp luật Liên bang Nga nếu vi phạm chế độ bảo vệ, xử lý và thủ tục sử dụng thông tin này.

Bí mật cá nhân– thông tin cá nhân được một cá nhân bảo vệ, việc phổ biến thông tin đó có thể gây tổn hại về mặt tinh thần hoặc vật chất cho cá nhân đó.

Bí mật chính thức – thông tin chính thức, quyền truy cập bị giới hạn bởi các cơ quan chính phủ theo Bộ luật Dân sự của Liên bang Nga và luật liên bang.

bí mật thương mại– thông tin không phải là bí mật nhà nước liên quan đến thông tin sản xuất, kỹ thuật, công nghệ, quản lý tài chính và các hoạt động khác của doanh nghiệp mà việc tiết lộ (chuyển giao, rò rỉ) có thể gây tổn hại đến lợi ích của doanh nghiệp.

bí mật thương mại– thông tin không phải là bí mật nhà nước liên quan đến sản xuất, thông tin công nghệ, quản lý, tài chính và các hoạt động khác của doanh nghiệp, việc tiết lộ (chuyển giao, rò rỉ) có thể gây tổn hại đến lợi ích của doanh nghiệp.

Bí mật nghề nghiệp- thông tin liên quan đến Hoạt động chuyên môn, quyền truy cập bị hạn chế theo Hiến pháp Liên bang Nga và luật pháp liên bang. Về phía công ty tham gia cung cấp dịch vụ truyền thông, đây là thông tin từ các nhà khai thác viễn thông và các khách hàng khác, được truyền và xử lý trong tài nguyên thông tin và viễn thông của công ty.

Thông tin mở;

Thông tin bí mật;

Thông tin được bảo mật tuyệt đối.

Sự phân chia này là không đúng khi xét đến các văn bản quy định có hiệu lực trên lãnh thổ Liên bang Nga. Dựa theo pháp luật hiện hành Tại Liên bang Nga, có thể áp dụng cách phân biệt thông tin sau đây theo mức độ bảo mật:

Thông tin mở (OI);

Để sử dụng nội bộ (DVI);

Thông tin bí mật (CI).

Cần lưu ý rằng quyền phân loại thông tin là bí mật và xác định danh sách cũng như thành phần của thông tin đó thuộc về chủ sở hữu thông tin đó.

Các nguyên tắc cơ bản của bảo vệ thông tin là tính bảo mật, tính toàn vẹn và tính sẵn có, việc tuân thủ các nguyên tắc này là điều kiện cần thiết để đảm bảo tính bảo mật của các loại thông tin khác nhau.