Bài giảng Giáo trình cơ bản về an toàn thông tin.              Phòng thí nghiệm bảo mật thông tin

Khái niệm bảo mật thông tin Bảo mật thông tin đề cập đến việc bảo mật thông tin và cơ sở hạ tầng hỗ trợ khỏi những tác động vô tình hoặc cố ý mang tính chất tự nhiên hoặc nhân tạo có thể gây ra thiệt hại không thể chấp nhận được cho các đối tượng quan hệ thông tin, bao gồm chủ sở hữu và người sử dụng thông tin và cơ sở hạ tầng hỗ trợ. Bảo vệ thông tin là tập hợp các biện pháp nhằm đảm bảo an ninh thông tin.

Các vấn đề về bảo mật thông tin Bảo mật thông tin là một trong những khía cạnh quan trọng nhất của bảo mật toàn diện. Các sự kiện sau đây mang tính minh họa: Trong Học thuyết An toàn Thông tin của Liên bang Nga, việc bảo vệ khỏi sự truy cập trái phép vào tài nguyên thông tin, đảm bảo an ninh hệ thống thông tin và viễn thông được coi là thành phần quan trọng của lợi ích quốc gia; Trong thời gian Gần 500 nỗ lực đã được thực hiện để xâm nhập mạng máy tính của Ngân hàng Trung ương Liên bang Nga. Năm 1995, 250 tỷ rúp đã bị đánh cắp. Theo FBI, thiệt hại do tội phạm máy tính ở Mỹ năm 1997 lên tới 136 triệu USD.

Các vấn đề về bảo mật thông tin Theo báo cáo “Tội phạm và An ninh Máy tính - 1999: Vấn đề và Xu hướng”, 32% số người được hỏi đã liên hệ với các cơ quan thực thi pháp luật về tội phạm máy tính; 30% số người được hỏi cho biết IP của họ đã bị những kẻ tấn công tấn công; 57% - bị tấn công qua Internet; 55% ghi nhận trường hợp vi phạm an toàn thông tin do chính nhân viên của mình thực hiện; 33% - không thể trả lời câu hỏi “máy chủ web và hệ thống của bạn có bị tấn công không?” thương mại điện tử?».

Các vấn đề bảo mật thông tin Nghiên cứu bảo mật thông tin toàn cầu năm 2004 do công ty tư vấn Ernst & Young thực hiện đã xác định các khía cạnh chính sau: Chỉ 20% số người được hỏi tin rằng tổ chức của họ giải quyết các vấn đề bảo mật thông tin ở cấp quản lý cấp cao; Theo những người được hỏi, “thiếu nhận thức về vấn đề an toàn thông tin” là trở ngại chính cho việc tạo dựng một hệ thống an toàn thông tin hiệu quả. Chỉ 28% ghi nhận “tăng cường đào tạo nhân viên trong lĩnh vực an toàn thông tin” là nhiệm vụ ưu tiên; “Hành động trái pháp luật của nhân viên khi làm việc với hệ thống thông tin” được xếp thứ hai về mức độ phổ biến của các mối đe dọa an toàn thông tin, sau virus, Trojan và sâu Internet. Chưa đến 50% số người được hỏi có đào tạo nhân viên trong lĩnh vực an toàn thông tin; Chỉ 24% số người được hỏi tin rằng bộ phận bảo mật thông tin của họ xứng đáng được điểm cao nhất vì đáp ứng được nhu cầu kinh doanh của tổ chức; Chỉ 11% số người được hỏi tin rằng các quy định được các cơ quan chính phủ áp dụng trong lĩnh vực bảo mật đã cải thiện đáng kể tình trạng bảo mật thông tin của họ.

Các mối đe dọa bảo mật thông tin Mối đe dọa bảo mật thông tin (IS) là một sự kiện, hành động, quá trình hoặc hiện tượng tiềm ẩn có thể dẫn đến thiệt hại cho lợi ích của ai đó. Một nỗ lực để thực hiện một mối đe dọa được gọi là một cuộc tấn công. Việc phân loại các mối đe dọa an toàn thông tin có thể được thực hiện theo một số tiêu chí: theo khía cạnh an toàn thông tin (tính sẵn sàng, tính toàn vẹn, tính bảo mật); bởi các thành phần IS bị nhắm tới bởi các mối đe dọa (dữ liệu, chương trình, phần cứng, cơ sở hạ tầng hỗ trợ); bằng phương pháp thực hiện (hành động vô tình hoặc cố ý mang tính chất tự nhiên hoặc nhân tạo); theo vị trí của nguồn đe dọa (bên trong hoặc bên ngoài IS được đề cập).

Thuộc tính của thông tin Bất kể các loại mối đe dọa cụ thể, hệ thống thông tin phải đảm bảo các thuộc tính cơ bản của thông tin và hệ thống xử lý nó: khả năng tiếp cận - khả năng có được thông tin hoặc dịch vụ thông tin trong thời gian có thể chấp nhận được; tính toàn vẹn – đặc tính liên quan và nhất quán của thông tin, bảo vệ thông tin khỏi bị phá hủy và thay đổi trái phép; bảo mật - bảo vệ khỏi sự truy cập trái phép vào thông tin.

Ví dụ về việc thực hiện đe dọa vi phạm bí mật Một số thông tin được lưu trữ và xử lý trong hệ thống thông tin phải được giấu kín với người ngoài. Việc truyền thông tin này có thể gây thiệt hại cho cả tổ chức và chính hệ thống thông tin. Thông tin bí mật có thể được chia thành thông tin chủ đề và thông tin dịch vụ. Thông tin độc quyền (ví dụ: mật khẩu người dùng) không liên quan đến một lĩnh vực chủ đề cụ thể, nhưng việc tiết lộ thông tin đó có thể dẫn đến truy cập trái phép vào tất cả thông tin. Thông tin chủ đề chứa thông tin mà việc tiết lộ có thể dẫn đến thiệt hại (kinh tế, đạo đức) cho một tổ chức hoặc cá nhân. Phương tiện tấn công có thể là nhiều phương tiện kỹ thuật khác nhau (nghe lén cuộc hội thoại, mạng), các phương pháp khác (chuyển mật khẩu truy cập trái phép, v.v.). Một khía cạnh quan trọng là tính liên tục của việc bảo vệ dữ liệu trong toàn bộ vòng đời lưu trữ và xử lý dữ liệu. Một ví dụ về vi phạm là việc lưu trữ dữ liệu sao lưu có thể truy cập được.

Ví dụ về mối đe dọa vi phạm tính toàn vẹn dữ liệu Một trong những mối đe dọa được thực hiện thường xuyên nhất đối với bảo mật thông tin là trộm cắp và giả mạo. Trong hệ thống thông tin, những thay đổi trái phép đối với thông tin có thể dẫn đến tổn thất. Tính toàn vẹn thông tin có thể được chia thành tĩnh và động. Ví dụ về vi phạm tính toàn vẹn tĩnh là: nhập dữ liệu không chính xác; sửa đổi dữ liệu trái phép; vi-rút sửa đổi mô-đun phần mềm; Ví dụ về vi phạm tính toàn vẹn động: vi phạm tính nguyên tử của giao dịch; sao chép dữ liệu; giới thiệu các gói bổ sung vào lưu lượng mạng.

Phần mềm độc hại Một cách để thực hiện một cuộc tấn công là đưa phần mềm độc hại vào hệ thống. Loại này phần mềm kẻ tấn công sử dụng để: giới thiệu phần mềm độc hại khác; giành quyền kiểm soát hệ thống bị tấn công; tiêu thụ mạnh mẽ tài nguyên; thay đổi hoặc phá hủy các chương trình và/hoặc dữ liệu. Theo cơ chế phân phối, chúng được phân biệt: virus - mã có khả năng lây lan bằng cách đưa vào các chương trình khác; sâu là mã có thể độc lập khiến các bản sao của chính nó lan truyền khắp IP và được thực thi.

Phần mềm độc hại Trong GOST R “Bảo vệ thông tin. Đối tượng thông tin. Các yếu tố ảnh hưởng đến thông tin. Quy định chung" đưa ra khái niệm về virus như sau: Virus phần mềm là một dạng thực thi hoặc được giải thích. Mã chương trình, có đặc tính phân phối trái phép và tự sao chép trong hệ thống tự động ah hoặc mạng viễn thông nhằm mục đích sửa đổi hoặc phá hủy phần mềm và/hoặc dữ liệu được lưu trữ trong hệ thống tự động.

Ví dụ về việc thực hiện mối đe dọa từ chối truy cập Lỗi dịch vụ (từ chối truy cập vào hệ thống thông tin) là một trong những mối đe dọa được thực hiện thường xuyên nhất đối với an ninh thông tin. Về các thành phần IS, loại mối đe dọa này có thể được chia thành các loại sau: sự từ chối của người dùng (miễn cưỡng, không có khả năng làm việc với IS); lỗi bên trong của hệ thống thông tin (lỗi trong quá trình cấu hình lại hệ thống, lỗi phần mềm và phần cứng, phá hủy dữ liệu); sự cố của cơ sở hạ tầng hỗ trợ (gián đoạn hệ thống thông tin liên lạc, cung cấp điện, phá hủy và hư hỏng cơ sở).

Khái niệm tấn công vào hệ thống thông tin Tấn công là bất kỳ hành động hoặc chuỗi hành động nào nhằm khai thác các điểm yếu của hệ thống thông tin và dẫn đến vi phạm chính sách bảo mật. Cơ chế bảo mật – phần mềm và/hoặc phần cứng, phát hiện và/hoặc ngăn chặn một cuộc tấn công. Dịch vụ bảo mật là dịch vụ cung cấp bảo mật được xác định theo chính sách cho hệ thống và/hoặc dữ liệu được truyền hoặc xác định việc thực hiện một cuộc tấn công. Dịch vụ sử dụng một hoặc nhiều cơ chế bảo mật.

Phân loại các cuộc tấn công Phân loại các cuộc tấn công vào hệ thống thông tin có thể được thực hiện theo một số tiêu chí: Theo nơi xuất xứ: Các cuộc tấn công cục bộ (nguồn của kiểu tấn công này là người dùng và/hoặc chương trình hệ thống cục bộ); Tấn công từ xa(nguồn gốc của cuộc tấn công là người dùng từ xa, dịch vụ hoặc ứng dụng); Do tác động lên hệ thống thông tin Các cuộc tấn công tích cực (kết quả là làm gián đoạn hệ thống thông tin); Tấn công thụ động (tập trung vào việc lấy thông tin từ hệ thống mà không làm gián đoạn hoạt động của hệ thống thông tin);

Tấn công mạng I. Tấn công thụ động Tấn công thụ động là đòn tấn công mà đối phương không có cơ hội sửa đổi tin nhắn được truyền đi và chèn tin nhắn của bạn vào kênh thông tin giữa người gửi và người nhận. Mục tiêu của cuộc tấn công thụ động chỉ có thể là nghe tin nhắn được truyền đi và phân tích lưu lượng truy cập.

Tấn công mạng Một cuộc tấn công tích cực là cuộc tấn công trong đó kẻ thù có khả năng sửa đổi các tin nhắn được truyền đi và chèn vào các tin nhắn của chính mình. Các loại tấn công chủ động sau đây được phân biệt: Từ chối dịch vụ - Tấn công DoS (Denial of Service) Vi phạm từ chối dịch vụ hoạt động bình thường dịch vụ mạng. Kẻ thù có thể chặn tất cả tin nhắn được gửi đến một người nhận cụ thể. Một ví dụ khác về cuộc tấn công như vậy là việc tạo ra lưu lượng truy cập đáng kể, dẫn đến dịch vụ mạng không thể xử lý các yêu cầu từ các máy khách hợp pháp. Một ví dụ kinh điển về cuộc tấn công như vậy trong mạng TCP/IP là cuộc tấn công SYN, trong đó kẻ tấn công gửi các gói khởi tạo việc thiết lập kết nối TCP nhưng không gửi các gói hoàn tất việc thiết lập kết nối này. Kết quả là máy chủ có thể bị quá tải và máy chủ có thể không kết nối được với người dùng hợp pháp.

Tấn công mạng Sửa đổi luồng dữ liệu - tấn công "người ở giữa" Sửa đổi luồng dữ liệu có nghĩa là thay đổi nội dung của tin nhắn được chuyển tiếp hoặc thay đổi thứ tự của tin nhắn.

Tấn công mạng Tái sử dụng Tái sử dụng có nghĩa là thu thập dữ liệu một cách thụ động và sau đó chuyển tiếp dữ liệu đó để có được quyền truy cập trái phép - đây được gọi là tấn công phát lại. Trên thực tế, các cuộc tấn công phát lại là một kiểu giả mạo, nhưng do chúng là một trong những lựa chọn tấn công phổ biến nhất để giành quyền truy cập trái phép nên chúng thường được coi là một kiểu tấn công riêng biệt.

Các phương pháp tiếp cận đảm bảo an ninh thông tin Để bảo vệ AIS, có thể xây dựng các quy định sau: Bảo mật thông tin dựa trên các quy định và yêu cầu của luật, tiêu chuẩn và văn bản quy định hiện hành; Bảo mật thông tin của AIS được đảm bảo bằng tổ hợp các công cụ phần mềm và phần cứng cũng như các biện pháp tổ chức hỗ trợ chúng; An ninh thông tin của AIS phải được đảm bảo ở mọi khâu xử lý dữ liệu công nghệ và trong mọi chế độ vận hành, kể cả trong quá trình sửa chữa, bảo trì;

Các phương pháp tiếp cận để đảm bảo an ninh thông tin Để bảo vệ AIS, có thể xây dựng các quy định sau: Các công cụ bảo vệ phần mềm và phần cứng không được làm suy giảm đáng kể các tính năng cơ bản. đặc điểm chức năng AIS; Một phần không thể thiếu của công tác bảo mật thông tin là việc đánh giá hiệu quả của các biện pháp bảo mật, được thực hiện bằng phương pháp có tính đến toàn bộ đặc tính kỹ thuật của đối tượng được đánh giá, bao gồm các giải pháp kỹ thuật và việc triển khai thực tế; Bảo vệ AIS phải bao gồm giám sát hiệu quả của thiết bị bảo vệ. Việc giám sát này có thể được thực hiện định kỳ hoặc được bắt đầu khi người sử dụng AIS cần.

Tính hệ thống của bảo mật thông tin có nghĩa là Tính hệ thống trong việc phát triển và triển khai hệ thống bảo mật thông tin liên quan đến việc xác định mối đe dọa có thể bảo mật thông tin và lựa chọn các phương pháp và phương tiện nhằm chống lại các mối đe dọa này. Các giải pháp phải mang tính hệ thống, nghĩa là bao gồm một tập hợp các biện pháp để chống lại toàn bộ các mối đe dọa.

Tính liên tục của việc bảo vệ Tính liên tục của việc bảo vệ giả định rằng tập hợp các biện pháp nhằm đảm bảo an ninh thông tin phải được thực hiện liên tục theo thời gian và không gian. Sự bảo vệ đối tượng thông tin phải được đảm bảo trong quá trình thực hiện các quy định và công việc sửa chữa, trong quá trình thiết lập và cấu hình các hệ thống và dịch vụ thông tin.

Sự đầy đủ hợp lý Việc xây dựng và bảo trì hệ thống an ninh thông tin đòi hỏi phải có kinh phí nhất định, đôi khi là đáng kể. Đồng thời, không thể tạo ra một hệ thống bảo vệ toàn diện. Khi lựa chọn một hệ thống bảo vệ, cần phải tìm ra sự thỏa hiệp giữa chi phí bảo vệ đối tượng thông tin và những tổn thất có thể xảy ra khi các mối đe dọa thông tin được nhận ra.

Tính linh hoạt trong quản lý và ứng dụng Các mối đe dọa đối với an ninh thông tin rất đa dạng và không được xác định trước. Để các biện pháp đối phó thành công, cần có khả năng thay đổi các phương tiện được sử dụng, nhanh chóng kích hoạt hoặc loại trừ các phương tiện bảo vệ dữ liệu đã sử dụng và thêm các cơ chế bảo vệ mới.

Tính mở của các thuật toán và cơ chế bảo mật Bản thân các công cụ bảo mật thông tin có thể gây ra mối đe dọa cho hệ thống hoặc đối tượng thông tin. Để ngăn chặn loại mối đe dọa này, cần có các thuật toán và cơ chế bảo vệ cho phép xác minh độc lập về bảo mật và tuân thủ các tiêu chuẩn, cũng như khả năng sử dụng chúng cùng với các biện pháp bảo vệ dữ liệu khác.

Dễ áp dụng các biện pháp và phương tiện bảo vệ Khi thiết kế hệ thống bảo mật thông tin, cần nhớ rằng việc thực hiện các biện pháp và phương tiện được đề xuất sẽ được thực hiện bởi người dùng (thường không phải là chuyên gia trong lĩnh vực bảo mật thông tin). Do đó, để tăng hiệu quả của các biện pháp bảo vệ, thuật toán làm việc với chúng phải dễ hiểu đối với người dùng. Ngoài ra, các công cụ và cơ chế bảo mật thông tin được sử dụng không được làm gián đoạn công việc bình thường của người dùng với hệ thống tự động (làm giảm đáng kể năng suất, tăng độ phức tạp của công việc, v.v.).

Các phương pháp đảm bảo an ninh thông tin Hãy xem xét một ví dụ về phân loại các phương pháp được sử dụng để đảm bảo an ninh thông tin: chướng ngại vật - một phương pháp chặn đường đi đến thông tin của kẻ tấn công; kiểm soát truy cập – một phương pháp bảo vệ bằng cách điều chỉnh việc sử dụng tài nguyên thông tin hệ thống; che giấu là một phương pháp bảo vệ thông tin thông qua việc chuyển đổi mật mã; quy định là một phương pháp bảo vệ thông tin tạo điều kiện cho việc xử lý tự động, theo đó khả năng truy cập trái phép được giảm thiểu; ép buộc là một phương pháp bảo vệ trong đó nhân viên buộc phải tuân thủ các quy tắc xử lý, truyền tải và sử dụng thông tin; xúi giục là một phương pháp bảo vệ trong đó người dùng được khuyến khích không vi phạm các phương thức xử lý, truyền tải và sử dụng thông tin thông qua việc tuân thủ các tiêu chuẩn đạo đức và đạo đức.

Các phương tiện bảo vệ hệ thống thông tin Các phương tiện này có thể được phân loại theo các tiêu chí sau: phương tiện kỹ thuật - các loại điện, điện tử và thiết bị máy tính; phương tiện vật lý – được thực hiện dưới dạng các thiết bị và hệ thống tự động; phần mềm – phần mềm được thiết kế để thực hiện chức năng bảo mật thông tin; công cụ mật mã – thuật toán toán học cung cấp các phép biến đổi dữ liệu để giải quyết các vấn đề bảo mật thông tin; phương tiện tổ chức – một tập hợp các biện pháp tổ chức, kỹ thuật, tổ chức và pháp lý; các phương tiện luân lý và đạo đức - được thực hiện dưới dạng các chuẩn mực đã phát triển cùng với sự phổ biến của máy tính và công nghệ thông tin; phương tiện lập pháp - một tập hợp các hành vi lập pháp quy định các quy tắc sử dụng IP, xử lý và chuyển giao thông tin.

Thông tin hóa các hoạt động chính trị - xã hội, kinh tế và quân sự của đất nước và do đó, sự phát triển nhanh chóng của hệ thống thông tin đi kèm với sự gia tăng đáng kể các cuộc tấn công vào thông tin từ cả nhà nước nước ngoài và từ các phần tử tội phạm và công dân không có quyền truy cập vào Nó. Không còn nghi ngờ gì nữa, trong tình hình hiện nay, một trong những nhiệm vụ hàng đầu mà nhà nước pháp quyền phải đối mặt là giải quyết mâu thuẫn sâu sắc giữa mức độ bảo mật thực sự hiện có và cần thiết đối với nhu cầu thông tin của cá nhân, xã hội và chính nhà nước, cung cấp cho họ những thông tin cần thiết. Bảo mật thông tin Dành cho giáo viên và sinh viên các trường đại học chuyên ngành “An toàn thông tin”, các chuyên gia bảo mật, nhà quản lý và giám đốc điều hành công ty.

A. V. Artemov - Bảo mật thông tin. Đọc toàn bộ bài giảng trực tuyến

Người đánh giá:

Ứng viên Khoa học Kinh tế, Phó Giáo sư Khoa Doanh nhân và Tiếp thị, Cơ quan Giáo dục Ngân sách Nhà nước Liên bang về Giáo dục Chuyên nghiệp Đại học "Đại học Bang - UNPC" N.A. Lebedeva

A. V. Artemov, Ứng viên Khoa học Kỹ thuật, Phó Giáo sư Khoa Điện tử, Khoa học Máy tính và An toàn Thông tin, Cơ quan Giáo dục Ngân sách Nhà nước Liên bang về Giáo dục Chuyên nghiệp Đại học "Đại học Bang - UNPC"

An ninh thông tin là một thành phần quyết định của an ninh quốc gia Nga

Câu hỏi nghiên cứu:

1. Vị trí an toàn thông tin trong hệ thống an ninh quốc gia Nga: khái niệm, cấu trúc và nội dung.

2. Các văn bản quản lý cơ bản quy định về vấn đề an toàn thông tin.

3. Các mối đe dọa hiện đại tới an ninh thông tin ở Nga

Câu 1. Vị trí an toàn thông tin trong hệ thống an ninh quốc gia Nga: khái niệm, cấu trúc và nội dung

Thông tin hóa các hoạt động chính trị - xã hội, kinh tế và quân sự của đất nước và do đó, sự phát triển nhanh chóng của hệ thống thông tin đi kèm với sự gia tăng đáng kể các cuộc tấn công vào thông tin từ cả nhà nước nước ngoài và từ các phần tử tội phạm và công dân không có quyền truy cập vào Nó. Không còn nghi ngờ gì nữa, trong tình hình hiện nay, một trong những nhiệm vụ hàng đầu mà nhà nước pháp quyền phải đối mặt là giải quyết mâu thuẫn sâu sắc giữa mức độ bảo mật thực sự hiện có và cần thiết đối với nhu cầu thông tin của cá nhân, xã hội và chính nhà nước, đảm bảo thông tin của họ. bảo vệ. trong đó dưới sự bảo mật thông tin (IS) của cá nhân, xã hội, nhà nước và các hệ thống viễn thông và tự động hiện đạiđược hiểu trạng thái an ninh của môi trường thông tin tương ứng với lợi ích (nhu cầu) của cá nhân, xã hội và nhà nước trong lĩnh vực thông tin, đảm bảo các cơ hội hình thành, sử dụng và phát triển của họ, bất kể sự hiện diện của các mối đe dọa bên trong và bên ngoài.

Bảo mật thông tin được xác định khả năng của nhà nước (xã hội, cá nhân):

– để đảm bảo, với một xác suất nhất định, các nguồn thông tin và luồng thông tin đầy đủ và được bảo vệ để hỗ trợ sinh kế và khả năng tồn tại của họ, hoạt động và phát triển bền vững;

– chống lại những nguy hiểm và đe dọa thông tin, tiêu cực ảnh hưởng thông tin về ý thức và tâm lý cá nhân và xã hội của con người, cũng như trên mạng máy tính và các nguồn thông tin kỹ thuật khác;

– phát triển các kỹ năng cá nhân và nhóm cũng như kỹ năng hành vi an toàn;

– duy trì sự sẵn sàng liên tục về các biện pháp thích hợp trong chiến tranh thông tin, bất kể ai áp đặt nó.

Không một lĩnh vực nào của cuộc sống trong xã hội hiện đại có thể hoạt động nếu không có cấu trúc thông tin phát triển. Nguồn thông tin quốc gia ngày nay là một trong những nguồn sức mạnh kinh tế và quân sự chính của nhà nước. Thâm nhập vào tất cả các lĩnh vực hoạt động của nhà nước, thông tin có được một biểu hiện chính trị, vật chất và chi phí cụ thể. Trong bối cảnh đó, vấn đề bảo mật thông tin của Liên bang Nga như một phần không thể thiếu của an ninh quốc gia và bảo vệ thông tin đang trở thành một trong những nhiệm vụ ưu tiên của chính phủ.

Ở bất kỳ quốc gia nào, an ninh mạng đều được coi trọng đặc biệt. Trong quá trình phát triển, nhiệm vụ này trải qua nhiều giai đoạn tùy thuộc vào nhu cầu của nhà nước, khả năng, phương pháp và phương tiện thu thập thông tin (đặc biệt là thông tin tình báo), chế độ pháp lý của nhà nước và nỗ lực thực sự của nhà nước để đảm bảo bảo vệ thông tin. .

Một giai đoạn quan trọng trong việc hình thành và hoàn thiện một hệ thống như vậy ở nước ta là giai đoạn những năm 70–80. Kể từ đầu những năm 70. Trong hoạt động tình báo của các quốc gia hàng đầu trên thế giới, việc sử dụng quy mô lớn các phương tiện tình báo kỹ thuật đã bắt đầu. Thập niên 80, được đánh dấu bằng tiến bộ khoa học và công nghệ nhanh chóng, đặc biệt là trong lĩnh vực quân sự, đã tạo động lực mới để tăng cường hơn nữa khả năng của các phương tiện kỹ thuật của cơ quan tình báo nước ngoài: có tới 70% thông tin tình báo thu được vào thời điểm đó bằng các phương tiện kỹ thuật.

Tình hình hiện nay đòi hỏi phải cải thiện hệ thống các biện pháp chống lại các cơ quan tình báo nước ngoài. Là nhiệm vụ quan trọng quốc gia và là một trong những thành phần trong hệ thống chung chống lại tình báo kỹ thuật đã trở thành một biện pháp để bảo vệ bí mật nhà nước và chính thức.

Đến đầu những năm 90. Đã có những thay đổi về chất trong các lĩnh vực quân sự - chính trị và khoa học - kỹ thuật buộc chúng ta phải xem xét lại phần lớn chính sách của nhà nước trong lĩnh vực an ninh thông tin nói chung.

Thứ nhất, công nghệ thông tin đã thay đổi căn bản khối lượng và tầm quan trọng của thông tin lưu chuyển trong các phương tiện kỹ thuật truyền tải và xử lý thông tin. Thứ hai, ở Nga, trên thực tế, sự độc quyền của nhà nước đối với các nguồn thông tin đã trở thành quá khứ, đặc biệt là quyền tìm kiếm, tiếp nhận và phổ biến thông tin của công dân đã được quy định trong hiến pháp. Thứ ba, cơ chế hành chính quản lý an toàn thông tin trước đây tỏ ra kém hiệu quả, đồng thời nhu cầu phối hợp liên ngành trong lĩnh vực này ngày càng tăng một cách khách quan. Thứ tư, liên quan đến việc Nga ngày càng tham gia vào quá trình phân công lao động quốc tế, tăng cường liên hệ kinh tế, văn hóa và nhân đạo với các quốc gia khác, nhiều biện pháp hạn chế chế độ nhằm tạo điều kiện thuận lợi cho việc bảo vệ thông tin, chẳng hạn như hệ thống khu vực. đóng cửa với du khách công dân ngoại quốc, đã trở nên không thể chấp nhận được.

Trong điều kiện hiện nay, xét đến các mối đe dọa được coi là an toàn thông tin của cá nhân, xã hội và nhà nước, cần xem xét các vấn đề, nhiệm vụ đảm bảo an toàn thông tin, đó là một nhiệm vụ không thể thiếu. một phần không thể thiếuđảm bảo an ninh quốc gia của bất kỳ quốc gia nào trong cộng đồng thế giới ở giai đoạn phát triển mới - giai đoạn hình thành xã hội thông tin. Đặc điểm nổi bật của một xã hội như vậy là điều kiện hiển nhiên của sự phát triển kinh tế, xã hội, khoa học và tổng thể của đất nước. triển khai rộng rãi công nghệ thông tin mới đảm bảo thông tin hóa xã hội một cách hiệu quả, từ đó đảm bảo an ninh thông tin của xã hội, bao gồm cung cấp cho xã hội thông tin, sản phẩm thông tin, dịch vụ và kiến ​​thức chất lượng cao, ngày nay là nguồn lực chiến lược quan trọng nhất của đất nước . Thông tin hóa cá nhân và xã hội là định hướng chiến lược, quan trọng nhất trong các hoạt động của nhà nước, xác định các ưu tiên và sự phát triển chính trị, kinh tế xã hội ổn định, an toàn trong mọi lĩnh vực, bao gồm cả thông tin và hoạt động trong cộng đồng thế giới. Điều này được khẳng định bằng những bước đi thực tế của các nước hàng đầu trên thế giới và Nga, được khẳng định bằng việc họ thông qua một số đạo luật pháp lý và các văn bản khác:

– 2000 – “Hiến chương Okinawa của Hiệp hội Thông tin Toàn cầu” (do Tổng thống thay mặt Nga ký);

– 2000 theo Khái niệm An ninh Quốc gia Liên bang Nga (được phê duyệt bởi Nghị định của Tổng thống, được sửa đổi ngày 10 tháng 1 năm 2000);

– 2000 – Các chương trình mục tiêu liên bang “Phát triển môi trường thông tin giáo dục thống nhất (2001–2005)”, “ Nga điện tử»;

– 25 tháng 7 năm 2007 – chương trình “Chiến lược phát triển xã hội thông tin ở Nga” (được Hội đồng An ninh Liên bang Nga thông qua);

– 2002 – Chương trình mục tiêu liên bang “Nước Nga điện tử giai đoạn 2002–2010” (được phê duyệt theo Nghị định của Chính phủ Nga ngày 28 tháng 1 năm 2002 số 65);

– 2007 “Chiến lược phát triển xã hội thông tin ở Nga” (được Hội đồng Bảo an Liên bang Nga phê duyệt ngày 25 tháng 7 năm 2007) và các chiến lược khác.

Câu 2. Văn bản điều chỉnh cơ bản quy định về vấn đề an toàn thông tin

Xét Khái niệm An ninh Quốc gia Nga được phê chuẩn bởi Nghị định của Tổng thống Liên bang Nga ngày 17 tháng 12 năm 1997 số 1300 (được sửa đổi ngày 10 tháng 1 năm 2000), phản ánh “Hiến chương Okinawa của Xã hội Thông tin Toàn cầu”, Có thể lập luận rằng trong đó hệ thống lợi ích quốc gia của Nga được quyết định bởi sự kết hợp của các lợi ích chính sau:

cá nhân - bao gồm việc cung cấp thực sự các quyền và tự do theo hiến pháp, an toàn cá nhân, cải thiện chất lượng và mức sống, phát triển thể chất, tinh thần và trí tuệ;

– xã hội – bao gồm việc củng cố nền dân chủ, đạt được và duy trì sự hòa hợp công cộng, tăng cường hoạt động sáng tạo của người dân và sự hồi sinh tinh thần của nước Nga;

– các quốc gia – bao gồm bảo vệ trật tự hiến pháp, chủ quyền và toàn vẹn lãnh thổ của Nga, thiết lập sự ổn định chính trị, kinh tế và xã hội, thực thi luật pháp vô điều kiện và duy trì luật pháp và trật tự, đồng thời phát triển hợp tác quốc tế trên cơ sở quan hệ đối tác.

Khái niệm này xác định lợi ích quốc gia của Nga trong lĩnh vực thông tin.

Lợi ích quốc gia của Nga xác định sự cần thiết phải tập trung nỗ lực của xã hội và nhà nước vào việc giải quyết những vấn đề nhất định. Đó là:

– tuân thủ các quyền hiến định và quyền tự do của công dân trong lĩnh vực thu thập và trao đổi thông tin;

– Bảo vệ các giá trị tinh thần dân tộc; – thúc đẩy di sản văn hóa, quốc gia, các tiêu chuẩn đạo đức và đạo đức công cộng;

– đảm bảo quyền của công dân được tiếp nhận thông tin đáng tin cậy;

- Phát triển công nghệ viễn thông hiện đại. Các hoạt động có hệ thống của nhà nước nhằm thực hiện các nhiệm vụ này sẽ cho phép Liên bang Nga trở thành một trong những trung tâm phát triển của thế giới trong thế kỷ 21. Đồng thời, việc sử dụng thông tin để thao túng ý thức quần chúng là không thể chấp nhận được. Cần bảo vệ nguồn thông tin nhà nước khỏi bị rò rỉ các thông tin quan trọng về chính trị, kinh tế, khoa học, kỹ thuật và quân sự.

Theo Khái niệm này, điều quan trọng nhất nhiệm vụ bảo mật thông tin là:

– thiết lập sự cân bằng cần thiết giữa nhu cầu trao đổi thông tin tự do và hạn chế cho phép sự phân phối của nó;

– cải thiện cấu trúc thông tin, đẩy nhanh sự phát triển và phổ biến rộng rãi các công nghệ thông tin mới, thống nhất các phương tiện tìm kiếm, thu thập, lưu trữ, xử lý và phân tích thông tin, có tính đến việc Nga gia nhập cơ sở hạ tầng thông tin toàn cầu;

– phát triển khuôn khổ pháp lý điều chỉnh phù hợp và sự phối hợp, với vai trò lãnh đạo của Cơ quan Thông tin và Truyền thông Chính phủ Liên bang dưới sự chỉ đạo của Tổng thống Liên bang Nga về hoạt động của các cơ quan chính phủ liên bang và các cơ quan khác, những người giải quyết rắc rối hỗ trợ bảo mật thông tin;

- Phát triển viễn thông trong nước phương tiện thông tin, ưu tiên phân phối của chúng ở thị trường trong nước so với các sản phẩm tương tự nước ngoài;

– bảo vệ các nguồn thông tin nhà nước, chủ yếu trong các cơ quan chính phủ liên bang và các doanh nghiệp công nghiệp quốc phòng.

Học thuyết An toàn Thông tin của Liên bang Nga ngày 09/09/2001 số Pr-1895 là một tập hợp các quan điểm chính thức về mục tiêu, mục tiêu, nguyên tắc và phương hướng chính trong việc đảm bảo an ninh thông tin của Liên bang Nga. Nó làm cơ sở:

– xây dựng chính sách nhà nước trong lĩnh vực an ninh thông tin ở Liên bang Nga;

– chuẩn bị các đề xuất nhằm cải thiện sự hỗ trợ về mặt pháp lý, phương pháp, khoa học, kỹ thuật và tổ chức cho an ninh thông tin;

– phát triển các chương trình mục tiêu nhằm đảm bảo an ninh thông tin ở Liên bang Nga.

Cấu trúc của Giáo lý bao gồm 4 phần và 11 chương. Trong phần đầu tiên " An ninh thông tin của Liên bang Nga"được cho khái niệm về bảo mật thông tin, lợi ích quốc gia của cá nhân, xã hội và nhà nước trong lĩnh vực thông tin được nêu bật. Chúng được quy định chi tiết hơn trong Học thuyết hơn là trong Khái niệm An ninh Quốc gia.

Các mục tiêu chiến lược và hiện tại trong chính sách đối nội và đối ngoại của nhà nước nhằm đảm bảo an ninh thông tin được hình thành trên cơ sở các lợi ích thông tin sau:

– cá nhân – bao gồm việc thực hiện các quyền hiến định của con người và công dân trong việc tiếp cận thông tin, sử dụng thông tin vì lợi ích của việc thực hiện các hoạt động không bị pháp luật cấm, về thể chất, tinh thần và phát triển trí tuệ, cũng như trong việc bảo vệ thông tin nhằm đảm bảo an ninh cá nhân;

– xã hội – nhằm đảm bảo lợi ích của cá nhân trong lĩnh vực này, củng cố nền dân chủ, tạo ra một nhà nước xã hội hợp pháp, đạt được và duy trì sự hòa hợp công cộng cũng như đổi mới tinh thần của nước Nga;

– các quốc gia – có trách nhiệm tạo điều kiện cho sự phát triển hài hòa cơ sở hạ tầng thông tin của Nga, thực hiện các quyền và tự do hiến pháp của con người và công dân trong lĩnh vực thu thập và sử dụng thông tin để đảm bảo tính bất khả xâm phạm của hệ thống hiến pháp, chủ quyền và toàn vẹn lãnh thổ của Nga, sự ổn định chính trị, kinh tế và xã hội, trong việc cung cấp luật pháp và trật tự vô điều kiện, phát triển hợp tác quốc tế bình đẳng và cùng có lợi.

Các loại mối đe dọa an ninh thông tin và nguồn gốc của chúng được xác định. Chúng cũng được quy định chi tiết, không giống như Khái niệm An ninh Quốc gia.

Trong phần thứ hai “Các phương pháp đảm bảo an toàn thông tin”:

– được xác định phương pháp chungđảm bảo an ninh thông tin của Liên bang Nga;

– tiết lộ các tính năng của việc cung cấp bảo mật thông tin ở Liên bang Nga trong nhiều lĩnh vực khác nhauĐời sống xã hội;

– Hợp tác quốc tế trong lĩnh vực an toàn thông tin được xác định.

Trong phần thứ ba “Những quy định cơ bản của chính sách nhà nước về đảm bảo an ninh thông tin của Liên bang Nga” chứa:

– Nguyên tắc đảm bảo chính sách của nhà nước;

– các biện pháp ưu tiên thực hiện chính sách nhà nước nhằm đảm bảo an ninh thông tin của Liên bang Nga.

Phần thứ tư" Cơ sở tổ chức của hệ thống an ninh thông tin của Liên bang Nga" thiết lập các chức năng chính của hệ thống bảo mật thông tin và cơ sở tổ chức của nó.

Bài giảngvề bảo mật thông tin.

Bài giảng 1. Khái niệm về an toàn thông tin. Các thành phần chính. Tầm quan trọng của vấn đề 4

Khái niệm bảo mật thông tin 4

Các thành phần chính của bảo mật thông tin 5

Tầm quan trọng và độ phức tạp của vấn đề an toàn thông tin 6

Bài giảng 2: Mở rộng cách tiếp cận hướng đối tượng trong bảo mật thông tin 8

Về sự cần thiết của cách tiếp cận hướng đối tượng đối với an ninh thông tin 8

Các khái niệm cơ bản của phương pháp hướng đối tượng 8

Áp dụng cách tiếp cận hướng đối tượng để xem xét các hệ thống được bảo vệ 10

Nhược điểm của cách tiếp cận truyền thống về bảo mật thông tin từ quan điểm khách quan 12

Bài giảng 3. Các mối đe dọa phổ biến nhất 14

Định nghĩa và tiêu chí cơ bản để phân loại mối đe dọa 14

Một số ví dụ về các mối đe dọa khả năng tiếp cận 16

Phần mềm độc hại 17

Bài giảng 4: Mức độ pháp lý về an toàn thông tin 22

Mức độ pháp lý về bảo mật thông tin là gì và tại sao nó quan trọng 22

Rà soát pháp luật Nga trong lĩnh vực an ninh thông tin 22

Các hành vi pháp lý chung ảnh hưởng đến vấn đề an toàn thông tin 22

Bài giảng 5: Tiêu chuẩn và thông số kỹ thuật an toàn thông tin 35

Các khái niệm cơ bản 35

Cơ chế bảo mật 36

Cấp an toàn 38

Bảo mật thông tin của hệ thống phân tán. Khuyến nghị X.800 40

Dịch vụ An ninh Mạng 40

Cơ chế an ninh mạng 41

Quản trị an ninh 42

ISO/IEC 15408 “Tiêu chí đánh giá an toàn công nghệ thông tin” 43

Các khái niệm cơ bản 43

Yêu cầu chức năng 45

Yêu cầu tin cậy bảo mật 46

Tiêu chí hài hòa các nước châu Âu 47

Giải thích Sách Cam về Cấu hình Mạng 48

Văn bản hướng dẫn của Ủy ban Kỹ thuật Nhà nước Nga 50

Bài giảng 6. Cấp độ quản lý an toàn thông tin 53

Các khái niệm cơ bản 53

Chính sách bảo mật 53

Chương trình bảo mật 56

Đồng bộ chương trình bảo mật với vòng đời của hệ thống 56

Bài giảng 7: Quản lý rủi ro 59

Các khái niệm cơ bản 59

Các giai đoạn chuẩn bị quản lý rủi ro 60

Các giai đoạn chuẩn bị quản lý rủi ro 61

Các giai đoạn chính của quản lý rủi ro 62

Bài giảng 8: Mức độ thủ tục bảo mật thông tin 65

Các loại biện pháp chính ở cấp độ thủ tục 65

Quản lý nhân sự 65

Phòng thủ vật lý 66

Bảo trì 68

Xử lý vi phạm an ninh 70

Lập kế hoạch khắc phục 70

Bài 9: Các biện pháp cơ bản về phần mềm và phần cứng 73

Các khái niệm cơ bản về mức độ bảo mật thông tin phần mềm và phần cứng 73

Các tính năng của hệ thống thông tin hiện đại có ý nghĩa quan trọng từ quan điểm bảo mật 74

An toàn kiến ​​trúc 75

Bài giảng 10: Nhận dạng và xác thực, Access Control 78

Nhận dạng và xác thực 78

Các khái niệm cơ bản 78

Xác thực mật khẩu 79

Mật khẩu dùng một lần 80

Máy chủ xác thực Kerberos 80

Nhận dạng/xác thực bằng sinh trắc học 81

Kiểm soát truy cập 82

Các khái niệm cơ bản 82

Kiểm soát truy cập dựa trên vai trò 84

Kiểm soát truy cập trong môi trường Java 87

Cách tiếp cận khả thi để kiểm soát truy cập trong môi trường đối tượng phân tán 89

Bài giảng 11 Mô hình hóa và kiểm toán, mã hóa, kiểm soát tính toàn vẹn. Ghi chép và kiểm tra 91

Các khái niệm cơ bản 91

Kiểm toán tích cực 92

Các khái niệm cơ bản 92

Các thành phần và kiến ​​trúc chức năng 93

Mã hóa 94

Kiểm soát tính toàn vẹn 97

Chứng thư số 98

Bài 12: Che chắn, phân tích chứng khoán. Che chắn 100

Các khái niệm cơ bản 100

Các khía cạnh kiến ​​trúc 101

Phân loại tường lửa 103

Phân tích chứng khoán 105

Bài giảng 13: Đảm bảo tính sẵn sàng cao 107

Sẵn có 107

Các khái niệm cơ bản 107

Khái niệm cơ bản về tính sẵn sàng cao 108

Khả năng chịu lỗi và vùng rủi ro 109

Đảm bảo khả năng chịu lỗi 110

Phần mềm trung gian 111

Đảm bảo khả năng phục vụ 112

Bài giảng 14: Đường hầm và điều khiển 114

Đào hầm 114

Quản lý 115

Các khái niệm cơ bản 115

Khả năng của các hệ thống điển hình 116

Bài giảng 15: Kết luận 119

Bảo mật thông tin là gì. Các thành phần chính của bảo mật thông tin. Tầm quan trọng và độ phức tạp của vấn đề an toàn thông tin 119

Các cấp lập pháp, hành chính và thủ tục 119

Các biện pháp phần mềm và phần cứng 122

Bài giảng 1. Khái niệm về an toàn thông tin. Các thành phần chính. Tầm quan trọng của vấn đề

Bảo mật thông tin (IS) cần được hiểu là bảo vệ quyền lợi của các chủ thể trong quan hệ thông tin

Khái niệm bảo mật thông tin

Cụm từ “bảo mật thông tin” có thể có ý nghĩa khác nhau trong các bối cảnh khác nhau.

Trong Học thuyết An toàn Thông tin của Liên bang Nga, thuật ngữ " Bảo mật thông tin" được sử dụng theo nghĩa rộng. Điều này đề cập đến tình trạng bảo vệ lợi ích quốc gia trong lĩnh vực thông tin.

Trong Luật Liên bang Nga "Về việc tham gia các hoạt động quốc tế trao đổi thông tin" Bảo mật thông tinđược định nghĩa tương tự - là tình trạng an toàn của môi trường thông tin của xã hội, bảo đảm cho sự hình thành, sử dụng và phát triển của nó vì lợi ích của công dân, tổ chức và nhà nước.

TRONG khóa học này sự chú ý của chúng tôi sẽ tập trung vào việc lưu trữ, xử lý và truyền thông tin, bất kể nó được mã hóa bằng ngôn ngữ nào (tiếng Nga hay bất kỳ ngôn ngữ nào khác), ai hoặc nguồn của nó là gì và nó có tác động tâm lý gì đối với mọi người. Vì vậy thuật ngữ " Bảo mật thông tin" sẽ được dùng theo nghĩa hẹp.

Dưới bảo mật thông tin chúng ta sẽ hiểu tính bảo mật của thông tin và cơ sở hạ tầng hỗ trợ khỏi các tác động vô tình hoặc cố ý có tính chất tự nhiên hoặc nhân tạo có thể gây ra không thể chấp nhận được gây thiệt hại cho các chủ thể quan hệ thông tin, bao gồm chủ sở hữu, người sử dụng thông tin và cơ sở hạ tầng hỗ trợ.

Bảo vệ dữ liệu là một tập hợp các biện pháp nhằm đảm bảo an ninh thông tin.

Do đó, cách tiếp cận đúng đắn về mặt phương pháp đối với các vấn đề an toàn thông tin bắt đầu bằng việc xác định chủ thể của các mối quan hệ thông tin và lợi ích của các chủ thể này liên quan đến việc sử dụng hệ thống thông tin (IS). Các mối đe dọa đối với an ninh thông tin là mặt trái của việc sử dụng công nghệ thông tin.

Hai hệ quả quan trọng có thể được rút ra từ tình huống này:

Việc giải thích các vấn đề liên quan đến an toàn thông tin đối với các loại đối tượng khác nhau có thể khác nhau đáng kể. Để minh họa, chỉ cần so sánh chế độ tổ chức chính phủ và cơ sở giáo dục là đủ.

Bảo mật thông tin không chỉ giới hạn ở việc bảo vệ chống truy cập trái phép vào thông tin; về cơ bản nó là một khái niệm rộng hơn. Chủ thể quan hệ thông tin có thể bị (chịu tổn thất và/hoặc thiệt hại về tinh thần) không chỉ do truy cập trái phép mà còn do sự cố hệ thống gây gián đoạn công việc. Hơn nữa, đối với nhiều tổ chức mở (ví dụ: các tổ chức giáo dục), việc bảo vệ thực tế chống lại việc truy cập thông tin trái phép không phải là vấn đề quan trọng hàng đầu.

Quay trở lại vấn đề thuật ngữ, chúng tôi lưu ý rằng thuật ngữ “ bảo mật máy tính" (như một sự tương đương hoặc thay thế cho bảo mật thông tin) đối với chúng ta dường như quá hẹp. Máy tính chỉ là một trong những thành phần của hệ thống thông tin.

Theo định nghĩa về bảo mật thông tin, nó không chỉ phụ thuộc vào máy tính mà còn phụ thuộc vào cơ sở hạ tầng hỗ trợ, bao gồm hệ thống cung cấp điện, nước và nhiệt, điều hòa không khí, thông tin liên lạc và tất nhiên là nhân viên bảo trì. Cơ sở hạ tầng này có giá trị riêng của nó, nhưng chúng ta sẽ chỉ quan tâm đến việc nó ảnh hưởng như thế nào đến việc thực hiện các chức năng mà hệ thống thông tin giao cho nó.

Xin lưu ý rằng trong định nghĩa về bảo mật thông tin, tính từ “không thể chấp nhận được” được đặt trước danh từ “thiệt hại”. Rõ ràng, không thể bảo hiểm cho tất cả các loại thiệt hại, càng không thể thực hiện được điều này một cách khả thi về mặt kinh tế khi chi phí cho các thiết bị và biện pháp bảo vệ không vượt quá mức thiệt hại dự kiến. Điều này có nghĩa là bạn phải chịu đựng điều gì đó và bạn chỉ nên bảo vệ bản thân khỏi những gì bạn không thể chấp nhận được. Đôi khi những thiệt hại không thể chấp nhận được như vậy lại gây tổn hại đến sức khỏe hoặc tình trạng của con người môi trường, nhưng thường thì ngưỡng không thể chấp nhận được có biểu hiện vật chất (tiền tệ) và mục tiêu của việc bảo vệ thông tin là giảm mức độ thiệt hại xuống các giá trị có thể chấp nhận được.

Các thành phần chính của bảo mật thông tin

Phạm vi lợi ích của các chủ đề liên quan đến việc sử dụng hệ thống thông tin có thể được chia thành các loại sau: đảm bảo tính sẵn sàng, tính toàn vẹn và tính bảo mật nguồn thông tin và cơ sở hạ tầng hỗ trợ.

Đôi khi các thành phần chính của bảo mật thông tin bao gồm bảo vệ chống sao chép thông tin trái phép, nhưng theo quan điểm của chúng tôi, đây là một khía cạnh quá cụ thể với cơ hội thành công đáng ngờ nên chúng tôi sẽ không nêu bật nó.

Hãy giải thích các khái niệm về tính sẵn sàng, tính toàn vẹn và tính bảo mật:

khả dụng– đây là cơ hội để có được dịch vụ thông tin cần thiết trong thời gian hợp lý.

Dưới chính trựcĐiều này hàm ý tính liên quan và nhất quán của thông tin, khả năng bảo vệ thông tin khỏi bị phá hủy và thay đổi trái phép.

Cuối cùng, bảo mật– đây là sự bảo vệ chống lại việc truy cập trái phép vào thông tin.

Hệ thống thông tin được tạo ra (có được) để có được một số dịch vụ thông tin nhất định. Nếu vì lý do này hay lý do khác, các dịch vụ này được cung cấp cho người dùng. trở nên bất khả thi, điều này rõ ràng gây thiệt hại cho mọi chủ thể trong quan hệ thông tin. Do đó, không so sánh khả năng tiếp cận với các khía cạnh khác, chúng tôi nhấn mạnh đây là yếu tố quan trọng nhất của bảo mật thông tin.

Vai trò hàng đầu của khả năng tiếp cận đặc biệt rõ ràng trong các loại hệ thống quản lý khác nhau - sản xuất, vận tải, v.v. Bề ngoài ít kịch tính hơn nhưng cũng có những hậu quả rất khó chịu - cả về vật chất và tinh thần - có thể do không có sẵn các dịch vụ thông tin được nhiều người sử dụng (bán vé đường sắt và máy bay, dịch vụ ngân hàng, v.v.) trong thời gian dài. .

Tính toàn vẹn có thể được chia thành tĩnh (được hiểu là tính bất biến của các đối tượng thông tin) và động (liên quan đến việc thực thi đúng hành động phức tạp(giao dịch)). Đặc biệt, các biện pháp kiểm soát tính toàn vẹn động được sử dụng khi phân tích luồng thông điệp tài chính nhằm phát hiện hành vi trộm cắp, sắp xếp lại hoặc sao chép các thông điệp riêng lẻ.

Tính toàn vẹn hóa ra lại là khía cạnh quan trọng nhất của bảo mật thông tin trong trường hợp thông tin đóng vai trò là “hướng dẫn hành động”. Công thức thuốc, quy trình điều trị, bộ và đặc điểm các thành phần, liệu trình Quy trình công nghệ- tất cả những điều này đều là ví dụ về thông tin, việc vi phạm tính toàn vẹn của thông tin có thể gây tử vong theo đúng nghĩa đen. Việc bóp méo thông tin chính thức, có thể là văn bản luật hoặc trang máy chủ Web của một tổ chức chính phủ, cũng là điều khó chịu.

Bảo mật là khía cạnh phát triển nhất của bảo mật thông tin ở nước ta; Thật không may, việc triển khai thực tế các biện pháp đảm bảo tính bảo mật của hệ thống thông tin hiện đại ở Nga đang gặp phải những khó khăn nghiêm trọng. Thứ nhất, thông tin về các kênh kỹ thuật rò rỉ thông tin bị đóng nên hầu hết người dùng không thể nắm bắt được những rủi ro tiềm ẩn. Thứ hai, có rất nhiều thách thức pháp lý và kỹ thuật cản trở việc sử dụng mật mã tùy chỉnh như một phương tiện chính để đảm bảo quyền riêng tư.

Nếu chúng ta quay lại phân tích lợi ích của các loại đối tượng khác nhau trong quan hệ thông tin, thì đối với hầu hết những người thực sự sử dụng công nghệ thông tin, khả năng tiếp cận là ưu tiên hàng đầu. Điều quan trọng gần như tính chính trực là tính chính trực - ý nghĩa của việc này là gì? dịch vụ thông tin, nếu nó chứa thông tin bị bóp méo?

Cuối cùng, nhiều tổ chức cũng có vấn đề về bí mật (ngay cả các cơ sở giáo dục nêu trên cũng cố gắng không tiết lộ thông tin về lương của nhân viên) và người dùng cá nhân (ví dụ: mật khẩu).

Tầm quan trọng và độ phức tạp của vấn đề an toàn thông tin

Để minh họa điều này, chúng tôi sẽ giới hạn ở một vài ví dụ.

Trong Học thuyết An toàn Thông tin của Liên bang Nga (ở đây chúng tôi nhấn mạnh, thuật ngữ “an ninh thông tin” được sử dụng theo nghĩa rộng), bảo vệ chống truy cập trái phép vào tài nguyên thông tin, đảm bảo an ninh thông tin và hệ thống viễn thông được nhấn mạnh là thành phần quan trọng lợi ích quốc gia của Liên bang Nga trong lĩnh vực thông tin.

Theo lệnh của Tổng thống Hoa Kỳ Clinton (15 tháng 7 năm 1996, số 13010), Ủy ban được thành lập để bảo vệ cơ sở hạ tầng quan trọng khỏi các cuộc tấn công vật lý và các cuộc tấn công được thực hiện với sự trợ giúp của vũ khí thông tin. Đầu tháng 10 năm 1997, khi chuẩn bị báo cáo lên tổng thống, người đứng đầu ủy ban nói trên, Robert Marsh, đã tuyên bố rằng hiện tại cả chính phủ và khu vực riêng tư không có phương tiện bảo vệ chống lại tấn công máy tính, có khả năng làm gián đoạn mạng lưới thông tin liên lạc và mạng lưới cung cấp điện.

Tàu tuần dương tên lửa dẫn đường Yorktown của Mỹ buộc phải quay trở lại cảng do có nhiều vấn đề với phần mềm chạy trên nền tảng Windows NT 4.0 (Government Computer News, tháng 7 năm 1998). Điều này hóa ra là một tác dụng phụ của chương trình Hải quân Hoa Kỳ sử dụng phần mềm thương mại càng rộng rãi càng tốt nhằm giảm chi phí thiết bị quân sự.

Phó cục trưởng Cục tội phạm kinh tế thuộc Bộ Nội vụ Nga cho biết, tin tặc Nga đã thực hiện gần 500 nỗ lực xâm nhập vào mạng máy tính của Ngân hàng Trung ương Nga từ năm 1994 đến năm 1996. Năm 1995, họ đã đánh cắp 250 tỷ rúp (ITAR-TASS, AP, ngày 17 tháng 9 năm 1996).

Như đã báo cáo Tạp chí Internet Tuần ngày 23 tháng 3 năm 1998, tổn thất của các công ty lớn do xâm nhập máy tính tiếp tục gia tăng, bất chấp chi phí cho các sản phẩm bảo mật tăng cao. Theo một nghiên cứu chung của Viện An toàn Thông tin và FBI, thiệt hại do tội phạm máy tính gây ra lên tới 136 triệu USD vào năm 1997, tăng 36% so với năm 1996. Mỗi tội phạm máy tính gây thiệt hại khoảng 200.000 USD.

Vào giữa tháng 7 năm 1996, General Motors đã thu hồi 292.860 xe Pontiac, Oldsmobile và Buick đời 1996 và 1997 do sự cố phần mềm động cơ có thể gây cháy.

Vào tháng 2 năm 2001, hai cựu nhân viên của Commerce One đã sử dụng mật khẩu quản trị viên để xóa các tập tin khỏi máy chủ nằm trong dự án lớn trị giá hàng triệu đô la cho một khách hàng nước ngoài. May mắn thay, đã có một bản sao dự phòng của dự án nên thiệt hại thực sự chỉ giới hạn ở chi phí điều tra và bảo vệ trước những sự cố tương tự trong tương lai. Vào tháng 8 năm 2002, bọn tội phạm đã ra hầu tòa.

Một sinh viên đã mất học bổng trị giá 18.000 USD vào Đại học Michigan vì bạn cùng phòng của cô đã sử dụng thông tin đăng nhập chung của họ và gửi tên nạn nhân của cô. e-mail với việc từ chối học bổng.

Rõ ràng là có rất nhiều ví dụ tương tự, chúng ta có thể nhớ lại những trường hợp khác - không thiếu những vi phạm an toàn thông tin và không nằm ngoài dự kiến. Chỉ riêng “Vấn đề 2000” đã có giá trị bao nhiêu - nỗi xấu hổ và nhục nhã của cộng đồng lập trình!

Khi phân tích các vấn đề liên quan đến bảo mật thông tin, cần phải tính đến những đặc thù của khía cạnh bảo mật này, trong đó bảo mật thông tin là một phần không thể thiếu của công nghệ thông tin - một lĩnh vực đang phát triển với tốc độ nhanh chưa từng thấy. Điều quan trọng ở đây không phải là quá nhiều quyết định cá nhân (luật pháp, khóa huấn luyện, sản phẩm phần mềm và phần cứng) ở mức hiện đại, cũng như các cơ chế tạo ra các giải pháp mới cho phép bạn sống theo tốc độ tiến bộ kỹ thuật.

Thật không may, công nghệ lập trình hiện đại không cho phép tạo ra các chương trình không có lỗi, điều này không góp phần vào sự phát triển nhanh chóng của các công cụ bảo mật thông tin. Cần giả định rằng cần phải thiết kế các hệ thống đáng tin cậy (bảo mật thông tin) bằng cách sử dụng các thành phần (chương trình) không đáng tin cậy. Về nguyên tắc, điều này có thể thực hiện được nhưng đòi hỏi phải tuân thủ các nguyên tắc kiến ​​trúc nhất định và giám sát trạng thái bảo mật xuyên suốt. vòng đời LÀ.

Hãy đưa ra thêm một vài con số. Vào tháng 3 năm 1999, báo cáo thường niên lần thứ tư, Các vấn đề và xu hướng: Khảo sát an ninh và tội phạm máy tính của CSI/FBI năm 1999, đã được xuất bản. Báo cáo ghi nhận sự gia tăng mạnh về số lượng cuộc gọi đến các cơ quan thực thi pháp luật liên quan đến tội phạm máy tính (32% trong số những người được khảo sát); 30% số người được hỏi cho biết hệ thống thông tin của họ bị tấn công bởi những kẻ tấn công bên ngoài; 57% số người được hỏi bị tấn công qua Internet; trong 55% trường hợp, nhân viên của họ đã quan sát thấy vi phạm. Đáng chú ý là 33% số người trả lời câu hỏi “Máy chủ Web và hệ thống thương mại điện tử của bạn có bị hack trong 12 tháng qua không?” Họ trả lời “Tôi không biết”.

Trong một báo cáo tương tự được công bố vào tháng 4 năm 2002, các con số đã thay đổi, nhưng xu hướng vẫn giữ nguyên: 90% số người được hỏi (chủ yếu từ các công ty lớn và cơ quan chính phủ) cho biết tổ chức của họ đã gặp phải các vi phạm an ninh thông tin trong 12 tháng qua; 80% ghi nhận tổn thất tài chính do những vi phạm này; 44% (223 người trả lời) có thể và/hoặc sẵn sàng định lượng thiệt hại, tổng cộng lên tới hơn 455 triệu đô la. Thiệt hại lớn nhất gây ra hành vi trộm cắp và giả mạo (lần lượt hơn 170 và 115 triệu USD).

Các kết quả đáng báo động tương tự được nêu trong bài đánh giá của InformationWeek được xuất bản ngày 12 tháng 7 năm 1999. Chỉ có 22% số người được hỏi cho biết không có vi phạm về an toàn thông tin. Cùng với sự lây lan của virus, số lượng các cuộc tấn công từ bên ngoài cũng tăng mạnh.

Sự gia tăng số lượng các cuộc tấn công không phải là vấn đề lớn nhất. Điều tệ hơn là các lỗ hổng mới trong phần mềm liên tục được phát hiện (chúng tôi đã chỉ ra những hạn chế của công nghệ hiện đại lập trình) và kết quả là các kiểu tấn công mới xuất hiện.

Vì vậy, trong một bức thư thông tin từ Trung tâm Bảo vệ Cơ sở hạ tầng Quốc gia Hoa Kỳ (NIPC) ngày 21 tháng 7 năm 1999, có thông tin cho rằng trong khoảng thời gian từ ngày 3 tháng 7 đến ngày 16 tháng 7 năm 1999, 9 vấn đề phần mềm đã được xác định, rủi ro của chúng đã được đánh giá. ở mức trung bình hoặc cao (tổng số lỗ hổng được phát hiện là 17). Trong số các nền tảng điều hành "bị ảnh hưởng" có hầu hết các loại Unix, Windows, MacOS, vì vậy không ai có thể yên tâm vì các lỗi mới ngay lập tức bắt đầu được những kẻ tấn công tích cực sử dụng.

Trong điều kiện như vậy, hệ thống bảo mật thông tin phải có khả năng chống chọi với nhiều cuộc tấn công khác nhau, cả các cuộc tấn công bên ngoài và nội bộ, tự động và phối hợp. Đôi khi cuộc tấn công kéo dài trong tích tắc; Đôi khi việc thăm dò các điểm dễ bị tấn công được thực hiện chậm rãi và kéo dài hàng giờ nên hoạt động đáng ngờ gần như không bị phát hiện. Mục tiêu của kẻ tấn công có thể là vi phạm tất cả các thành phần bảo mật thông tin - tính sẵn sàng, tính toàn vẹn hoặc tính bảo mật.

Bài giảng 2: Mở rộng cách tiếp cận hướng đối tượng trong lĩnh vực bảo mật thông tin 1

Bài giảng này đặt ra nền tảng phương pháp luận của khóa học. Các khái niệm cần thiết của cách tiếp cận hướng đối tượng được xây dựng ngắn gọn; theo đó, các mức độ biện pháp trong lĩnh vực bảo mật thông tin với một số lượng nhỏ các thực thể trên mỗi thực thể được xác định.

Về sự cần thiết của cách tiếp cận hướng đối tượng đối với an toàn thông tin

Những nỗ lực tạo ra các hệ thống lớn vào những năm 60 đã bộc lộ nhiều vấn đề về lập trình, vấn đề chính là sự phức tạp của các hệ thống được tạo và duy trì. Những kết quả nghiên cứu trong lĩnh vực công nghệ lập trình lần đầu tiên lập trình có cấu trúc, sau đó cách tiếp cận hướng đối tượng.

Cách tiếp cận hướng đối tượng là nền tảng của công nghệ lập trình hiện đại, một phương pháp đã được chứng minh để xử lý độ phức tạp của hệ thống. Có vẻ tự nhiên và hơn nữa, mong muốn mở rộng cách tiếp cận này sang các hệ thống bảo mật thông tin là điều tự nhiên và cần thiết, đối với hệ thống này, đối với lập trình nói chung, vấn đề phức tạp đã đề cập sẽ xảy ra.

Khó khăn này có gấp đôi. Đầu tiên, không chỉ các hệ thống phần cứng và phần mềm cần được bảo vệ phức tạp mà bản thân các biện pháp bảo mật cũng phức tạp. Thứ hai, mức độ phức tạp của họ tài liệu quy định đang tăng lên nhanh chóng, chẳng hạn như hồ sơ bảo vệ dựa trên “Tiêu chí chung”, sẽ được thảo luận thêm. Sự phức tạp này ít rõ ràng hơn nhưng cũng không thể bỏ qua; Bước đầu cần xây dựng họ tài liệu theo nguyên tắc đối tượng.

Bất kỳ phương pháp hợp lý nào để giải quyết vấn đề phức tạp đều dựa trên nguyên tắc "deide et impera" - "chia ra và cai trị". Trong bối cảnh này, nguyên tắc này có nghĩa là một hệ thống (bảo mật thông tin) phức tạp ở cấp cao nhất phải bao gồm một số lượng nhỏ các thành phần tương đối độc lập. Tính độc lập tương đối dưới đây được hiểu là giảm thiểu số lượng kết nối giữa các thành phần. Sau đó sự phân hủy các thành phần được chọn ở giai đoạn đầu tiên phải tuân theo, v.v. đến mức độ chi tiết nhất định. Kết quả là hệ thống được trình bày dưới dạng phân cấp với nhiều mức độ trừu tượng.

Câu hỏi quan trọng nhất đặt ra khi thực hiện nguyên tắc “chia để trị” là, nói đúng ra, chia như thế nào. Đã đề cập ở trên cách tiếp cận cấu trúc dựa trên phân rã thuật toán khi các yếu tố chức năng của hệ thống được làm nổi bật. Vấn đề chính của cách tiếp cận cấu trúc là nó không thể áp dụng được ở giai đoạn đầu của quá trình phân tích và mô hình hóa lĩnh vực chủ đề, khi các thuật toán và hàm chưa được phát triển.

GHI CHÚ BÀI GIẢNG

theo tỷ lệ

Bảo mật thông tin

1. Phần. Nguyên tắc cơ bản về bảo mật thông tin 2

Chủ đề 1. Bản chất của bảo mật thông tin 2

Chủ đề 2. Phân loại thông tin bí mật 3

Chủ đề 3. Khái niệm hiện đại về IS 5

2. Phần. Lỗ hổng, mối đe dọa, mô hình kẻ xâm nhập 6

Chủ đề 4. Mối đe dọa IS 6

Chủ đề 5. Mô hình không chính thức của người phạm tội 8

Chủ đề 6. Các kênh rò rỉ và truy cập thông tin trái phép 10

3. Phần. Phương tiện kẻ tấn công sử dụng 13

Chủ đề 7. Phương tiện kỹ thuật thu thập thông tin 13

Chủ đề 8. Công cụ phần mềm thu thập thông tin 14

Chủ đề 9. Virus máy tính 16

4. Phần. Phương pháp bảo mật thông tin 20

Chuyên đề 10. Nguyên tắc xây dựng và phương hướng công tác xây dựng NIB 20

Chủ đề 11. Phương pháp và phương tiện đảm bảo an toàn thông tin 22

5. Phần. Cơ chế bảo mật thông tin 23

Chủ đề 12. Nhận dạng và xác thực 23

Chủ đề 13. Kiểm soát truy cập trong IS 26

Chủ đề 14. Ghi chép và kiểm toán 30

Chủ đề 15. Mã hóa 31

Chủ đề 16. Kiểm soát tính toàn vẹn 32

Mã hóa:

Kiểm soát tính toàn vẹn;

Che chắn.

Để bảo mật thông tin đáng tin cậy, việc triển khai toàn diện tất cả các cơ chế được liệt kê là cần thiết. Một số trong số chúng có thể được thực hiện đầy đủ hơn, một số khác thì không. Việc bảo vệ quyền sở hữu trí tuệ chủ yếu phụ thuộc vào việc thực hiện cơ chế nhận dạng và xác thực

Mã định danh là một tập hợp các ký tự duy nhất tương ứng duy nhất với một đối tượng hoặc chủ thể trong một hệ thống nhất định.

Nhận dạng – công nhận người tham gia vào quá trình tương tác thông tin(IW) trước khi áp dụng bất kỳ khía cạnh IS nào cho nó.

Mật khẩu là một tập hợp các ký tự bí mật cho phép bạn xác nhận sự tuân thủ của đối tượng với mã định danh do anh ta đưa ra.

Xác thực – đảm bảo sự tin cậy rằng người tham gia Internet được xác định chính xác.

Hồ sơ là một tập hợp các cài đặt và cấu hình cho một chủ thể hoặc đối tượng nhất định và xác định hoạt động của nó trong IS.

Một thực thể có thể chứng minh danh tính của mình bằng cách xuất trình ít nhất một trong các thực thể sau:

điều gì đó anh ấy biết (mật khẩu, khóa mật mã và như thế.);

thứ gì đó anh ta sở hữu (chìa khóa điện tử, thẻ thông minh, v.v.);

thứ gì đó là một phần của anh ta (đặc điểm sinh trắc học của nó).

Xác thực có thể là một chiều (thông thường đối tượng chứng minh tính xác thực của mình với hệ thống) hoặc hai chiều (tương hỗ).

Việc nhận dạng và xác thực đáng tin cậy là khó khăn vì nhiều lý do.

Trong IS, có thể không có tuyến đường đáng tin cậy giữa các bên; điều này có nghĩa là trong trường hợp chung Dữ liệu do chủ thể gửi có thể không khớp với dữ liệu nhận được và sử dụng để xác thực.

Hầu hết tất cả các thực thể xác thực đều có thể bị học, bị đánh cắp hoặc bị làm giả.

Có sự mâu thuẫn giữa một mặt là độ tin cậy của xác thực và mặt khác là sự thuận tiện của đối tượng. Vì vậy, vì lý do an toàn cần phải tần số nhất định yêu cầu người dùng nhập lại thông tin xác thực.

Việc bảo vệ càng đáng tin cậy thì càng đắt tiền.

Xác thực mật khẩu

Ưu điểm chính của xác thực mật khẩu là tính đơn giản. Lỗ hổng là phương tiện xác thực yếu nhất.

Những vi phạm chính khi tạo và sử dụng mật khẩu:

mật khẩu đơn giản,

sử dụng các giá trị tiêu chuẩn từ bất kỳ tài liệu nào không bao giờ thay đổi,

viết mật khẩu lên những mục mà nó có thể được đọc, xem trộm, v.v.

chia sẻ mật khẩu với nhân viên khác.

Các biện pháp nâng cao độ tin cậy của việc bảo vệ bằng mật khẩu:

lớp phủ hạn chế kỹ thuật(độ dài, cách sử dụng chữ cái, số, ký hiệu);

quản lý hết hạn mật khẩu;

hạn chế quyền truy cập vào tệp mật khẩu;

giới hạn số lượng nỗ lực không thành côngđăng nhập;

đào tạo người dùng;

cách sử dụng máy phát điện phần mềm mật khẩu, dựa trên các quy tắc nhất định, có thể tạo ra mật khẩu phức tạp nhưng dễ nhớ,

mật khẩu một lần.

Mật khẩu một lần

Giả sử tồn tại hàm một chiều f (nghĩa là hàm nghịch đảo của nó không thể tính được trong thời gian có thể chấp nhận được). Chức năng này được cả người dùng và máy chủ xác thực biết đến.

Để đó đi Chìa khóa bí mật K, chỉ người dùng mới biết.

Trong quá trình quản trị người dùng ban đầu, chức năng f được áp dụng cho khóa K n lần, sau đó kết quả được lưu trữ trên máy chủ.

Sau đó, quy trình xác thực người dùng như sau:

máy chủ gửi một số (n-1) đến hệ thống người dùng;

người dùng áp dụng hàm f cho khóa bí mật K (n-1) lần và gửi kết quả qua mạng đến máy chủ xác thực;

máy chủ áp dụng hàm f cho giá trị nhận được từ người dùng và so sánh kết quả với giá trị được lưu trữ trước đó. Nếu có sự trùng khớp, tính xác thực của người dùng được coi là đã thiết lập, máy chủ ghi nhớ giá trị mới (do người dùng gửi) và giảm bộ đếm (n) đi một.

Vì chức năng f không thể đảo ngược nên việc chặn mật khẩu và giành quyền truy cập vào máy chủ xác thực không cho phép ai tìm ra khóa bí mật K và dự đoán mật khẩu một lần tiếp theo.

Một cách tiếp cận khác để thực hiện mật khẩu một lần bao gồm việc tạo mật khẩu mới sau một khoảng thời gian ngắn (ví dụ: cứ sau 60 giây), cho các chương trình hoặc thẻ thông minh có thể được sử dụng. Để làm được điều này, phải đáp ứng các điều kiện sau:

Máy chủ xác thực phải biết thuật toán tạo mật khẩu và các tham số liên quan đến nó;

Đồng hồ của máy khách và máy chủ phải được đồng bộ hóa.

Xác thực bằng mã thông báo

Có sẵn trong các tùy chọn sau:

Khi hệ thống yêu cầu, mã thông báo sẽ được đưa cho nó ý nghĩa bí mật, dùng để xác nhận tính xác thực. Khi phản hồi này bị chặn, kẻ tấn công có thể bắt chước phản hồi của mã thông báo.

Mã thông báo và hệ thống có một hệ thống chung, đồng bộ để tạo mật khẩu một lần. Khi hệ thống yêu cầu, mã thông báo sẽ tạo ra mật khẩu hợp lệ trong một khoảng thời gian nhất định. Tại thời điểm này, hệ thống sẽ tạo phiên bản mật khẩu riêng để so sánh với phiên bản đã nhận.

Mã thông báo đã được đăng ký trong hệ thống (nó biết thông số bí mật của nó). Để xác thực, nó tạo ra một giá trị ngẫu nhiên mà mã thông báo sẽ biến đổi bằng tham số của nó. Hệ thống thực hiện chuyển đổi tương tự và so sánh kết quả với kết quả nhận được từ mã thông báo. Trong trường hợp này, việc chặn yêu cầu và phản hồi không mang lại lợi ích gì cho kẻ tấn công. Và không cần phải đồng bộ hóa mã thông báo và hệ thống.

Các tùy chọn sử dụng mã thông báo cùng với mật khẩu:

Mật khẩu được sử dụng để truy cập mã thông báo, mã này không hợp lệ nếu không có mật khẩu.

Mật khẩu, cùng với tham số mã thông báo, làm cơ sở để tạo mật khẩu một lần.

Mã thông báo tạo phản hồi cho hệ thống đối với yêu cầu có giá trị ngẫu nhiên dựa trên tham số của nó và mật khẩu của người dùng.

Xác thực bằng sinh trắc học

Sinh trắc học là một tập hợp các phương pháp tự động để xác định và xác thực con người dựa trên đặc điểm sinh lý và hành vi của họ.

Đặc điểm sinh lý bao gồm:

dấu vân tay,

võng mạc và giác mạc của mắt,

hình học của bàn tay và khuôn mặt.

Các đặc điểm hành vi bao gồm:

động lực chữ ký,

phong cách bàn phím.

Các đặc điểm bao gồm sinh lý và hành vi bao gồm phân tích đặc điểm giọng nói và nhận dạng giọng nói.

Nói chung, công việc với dữ liệu sinh trắc học được tổ chức như sau. Đầu tiên, cơ sở dữ liệu về đặc điểm người dùng tiềm năng được tạo và duy trì. Để làm điều này, các đặc điểm sinh trắc học của người dùng được lấy, xử lý và kết quả xử lý (được gọi là mẫu sinh trắc học) được nhập vào cơ sở dữ liệu. Tuy nhiên, dữ liệu gốc, chẳng hạn như kết quả quét ngón tay hoặc giác mạc, thường không được lưu trữ.

Trong tương lai, để xác định và đồng thời xác thực người dùng, quá trình xóa và xử lý được lặp lại, sau đó việc tìm kiếm được thực hiện trong cơ sở dữ liệu mẫu.

Nếu tìm kiếm thành công, danh tính và tính xác thực của người dùng được coi là đã được thiết lập. Để xác thực, chỉ cần so sánh với một mẫu sinh trắc học được chọn dựa trên dữ liệu đã nhập trước đó là đủ.

Thông thường, sinh trắc học được sử dụng cùng với các phương pháp xác thực khác, chẳng hạn như thẻ thông minh. Đôi khi xác thực sinh trắc học được sử dụng để kích hoạt thẻ thông minh, trong trường hợp này mẫu sinh trắc họcđược lưu trữ trên cùng một thẻ.

Sinh trắc học có thể gặp phải các mối đe dọa tương tự như các phương pháp xác thực khác.

Mẫu sinh trắc học được so sánh không phải với kết quả của quá trình xử lý ban đầu các đặc điểm của người dùng mà với những gì đến được trang so sánh.

Phương pháp sinh trắc học không đáng tin cậy hơn cơ sở dữ liệu mẫu.

Cần phải tính đến sự khác biệt giữa việc sử dụng sinh trắc học trong khu vực được kiểm soát và tại hiện trường.

Dữ liệu sinh trắc học của một người thay đổi, vì vậy cơ sở dữ liệu mẫu cần được duy trì.

Nhưng mối nguy hiểm chính là nếu dữ liệu sinh trắc học bị xâm phạm thì ít nhất toàn bộ hệ thống sẽ phải được hiện đại hóa đáng kể.

Chủ đề 13. Kiểm soát truy cập IS

Có hai hướng kiểm soát và quản lý truy cập trong IS: vật lý và logic. Kiểm soát truy cập vật lý áp dụng cho công nghệ thông tin và phần cứng, cũng như thông tin được trình bày dưới dạng in, hình ảnh và âm thanh. Kiểm soát truy cập logic - đến phần mềm và thông tin được cung cấp dưới dạng điện tử. Nó được thực hiện bằng phần mềm.

Kiểm soát truy cập logic là một cơ chế cơ bản trong các hệ thống nhiều người dùng được thiết kế để đảm bảo tính bảo mật và tính toàn vẹn của các đối tượng và ở một mức độ nào đó, tính khả dụng của chúng (bằng cách cấm dịch vụ đối với người dùng trái phép).

Kiểm soát truy cập dựa trên nhận dạng và xác thực.

Nếu chủ thể và ISS bị tách biệt về mặt địa lý thì từ quan điểm an ninh cần phải xem xét hai khía cạnh:

những gì đóng vai trò là người xác thực;

Cách tổ chức (và bảo vệ) việc trao đổi dữ liệu nhận dạng và xác thực.

Có một tập hợp các chủ thể và một tập hợp các đối tượng. Nhiệm vụ của kiểm soát truy cập logic là xác định cho mỗi cặp chủ thể-đối tượng một tập hợp các hoạt động được phép (có thể tùy thuộc vào một số điều kiện bổ sung) và kiểm soát việc thực hiện thứ tự đã thiết lập.

Mối quan hệ “chủ thể-đối tượng” có thể được biểu diễn dưới dạng ma trận truy cập, các hàng trong đó liệt kê các chủ đề, các cột liệt kê các đối tượng và các ô nằm ở giao điểm của các hàng và cột chứa các điều kiện bổ sung (ví dụ: thời gian và địa điểm hành động). ) và các loại quyền truy cập được phép . Ví dụ: một đoạn ma trận có thể trông như thế này:

"O" – cho biết quyền chuyển quyền truy cập cho người dùng khác,

“R” – đọc,

"W" - ghi âm,

“E” – thực hiện,

“A” – thêm thông tin

Chủ đề kiểm soát truy cập logic là một trong những chủ đề khó nhất trong lĩnh vực bảo mật thông tin. Khái niệm về một đối tượng (và thậm chí nhiều hơn về các loại quyền truy cập) thay đổi từ dịch vụ này sang dịch vụ khác. Đối với hệ điều hành, các đối tượng bao gồm các tập tin, thiết bị và tiến trình.

Liên quan đến tệp và thiết bị, quyền đọc, ghi, thực thi (đối với tệp chương trình) và đôi khi xóa và thêm thường được xem xét. Một quyền riêng biệt có thể là khả năng chuyển giao quyền truy cập cho các thực thể khác (gọi là quyền sở hữu). Các tiến trình có thể được tạo ra và hủy bỏ. Hệ điều hành hiện đại có thể hỗ trợ các đối tượng khác.

Đối với hệ thống điều khiển Cơ sở dữ liệu quan hệđối tượng dữ liệu là cơ sở dữ liệu, bảng, thủ tục. Các thao tác tìm kiếm, thêm, sửa, xóa dữ liệu có thể áp dụng cho các bảng; các đối tượng khác có các kiểu truy cập khác.

Sự đa dạng của các đối tượng và các hoạt động áp dụng cho chúng dẫn đến việc phân quyền kiểm soát truy cập logic. Mỗi dịch vụ phải tự quyết định xem có cho phép một thực thể cụ thể thực hiện một hoạt động cụ thể hay không. Mặc dù điều này phù hợp với cách tiếp cận hướng đối tượng hiện đại nhưng nó gây ra những khó khăn đáng kể.

Nhiều đối tượng có thể được truy cập bằng các dịch vụ khác nhau. Do đó, có thể truy cập các bảng quan hệ không chỉ bằng cách sử dụng các công cụ DBMS mà còn bằng cách đọc trực tiếp các tệp.

Khi xuất/nhập dữ liệu, thông tin về quyền truy cập thường bị mất (không có ý nghĩa gì đối với dịch vụ mới).

Có ba cách tiếp cận để kiểm soát truy cập logic:

Kiểm soát tùy ý

Kiểm soát cưỡng bức.

Quản lý dựa trên vai trò.

Trong trường hợp kiểm soát ngẫu nhiên, ma trận truy cập được lưu trữ dưới dạng danh sách, nghĩa là đối với mỗi đối tượng, một danh sách các đối tượng “được phép” được duy trì cùng với các quyền của họ. Hầu hết các hệ điều hành và hệ thống quản lý cơ sở dữ liệu đều thực hiện kiểm soát truy cập ngẫu nhiên. Ưu điểm chính của kiểm soát tùy ý là khả năng thiết lập quyền truy cập độc lập cho từng cặp “chủ thể-đối tượng”. Nhưng việc kiểm soát tùy tiện có một số nhược điểm.

Nhiều người dùng phải được tin cậy, không chỉ người vận hành hệ thống hay quản trị viên.

Quyền truy cập tồn tại tách biệt với dữ liệu. Không có gì cản trở việc người dùng có quyền truy cập vào thông tin mật, ghi nó vào một tệp mà mọi người đều có thể truy cập được hoặc thay thế một tiện ích hữu ích bằng một chương trình độc hại.

Khi cưỡng bức kiểm soát ma trận không được lưu trữ rõ ràng nhưng nội dung của các ô tương ứng sẽ được tính toán mỗi lần. Để đạt được điều này, nhãn bảo mật được liên kết với từng chủ thể, từng đối tượng. Kiểm soát truy cập dựa trên việc khớp nhãn bảo mật của chủ thể và đối tượng. Một chủ thể có thể đọc thông tin từ một đối tượng nếu đáp ứng đồng thời hai điều kiện sau:

mức độ bí mật của chủ thể không thấp hơn mức độ bí mật của đối tượng,

Kiểm soát truy cập dựa trên vai trò

Với số lượng người dùng lớn, hai loại kiểm soát truy cập đầu tiên trở nên cực kỳ khó quản lý. Số lượng kết nối trong chúng tỷ lệ thuận với tích của số lượng người dùng và số lượng đối tượng.

Bản chất của kiểm soát truy cập dựa trên vai trò là các thực thể trung gian—các vai trò—xuất hiện giữa người dùng và đặc quyền của họ. Đối với mỗi người dùng, một số vai trò có thể hoạt động cùng lúc, mỗi vai trò đó mang lại cho anh ta một số quyền nhất định.

BẢO MẬT THÔNG TIN HOẠT ĐỘNG NGHỀ NGHIỆP

Pozhitkova Tatyana Aleksandrovna

Sinh viên năm thứ 5, khoa “Khoa học Hàng hóa và Tổ chức Quản lý Doanh nghiệp Thương mại” TSU, Tolyatti

E-thư: Kykyha 1@ yandex . ru

Kharlamova Valentina Vladimirovna

Nghệ thuật. Giảng viên Bộ môn Nghiên cứu Hàng hóa và Tổ chức Quản lý Doanh nghiệp Thương mạiTSU, Tolyatti

Thông tin (từ tiếng Latin informatio - giải thích, trình bày) - từ giữa thế kỷ XX, một khái niệm khoa học chung bao gồm việc trao đổi thông tin giữa con người, con người và máy tự động, máy tự động và máy tự động, trao đổi tín hiệu trong thế giới động vật và thực vật, sự chuyển giao các đặc tính từ tế bào này sang tế bào khác, từ cơ thể này sang cơ thể khác; một trong những khái niệm cơ bản của điều khiển học.

Bảo vệ thông tin là tập hợp các biện pháp nhằm đảm bảo an ninh thông tin.

Theo tiêu chuẩn bảo mật thông tin, điều quan trọng nhất ở bất kỳ công ty nào là:

·Xác định mục đích đảm bảo bảo vệ thông tin hệ thống máy tính;

·Có được hệ thống quản lý an ninh thông tin hiệu quả nhất;

·Tính toán một bộ chỉ tiêu định lượng và định tính trong phạm vi phù hợp với mục tiêu đã đề ra;

·Áp dụng mọi biện pháp đảm bảo an toàn thông tin, theo dõi liên tục tình trạng hiện tại của hệ thống;

·Áp dụng các nguyên tắc quản lý bảo mật để đưa ra đánh giá đúng đắn về bảo mật thông tin tại chỗ.

Đối với các chủ thể sử dụng hệ thống thông tin, các đặc điểm sau của tài nguyên thông tin rất quan trọng: tính bảo mật, tính sẵn sàng và tính toàn vẹn.

Tính bí mật là việc bảo vệ thông tin khỏi sự truy cập trái phép. Nói cách khác, có quyền truy cập - có thông tin. Một ví dụ là việc tổ chức không tiết lộ thông tin về lương của người lao động.

Tính sẵn có là một tiêu chí đặc trưng nhanh chóng tìm thấy những thông tin cần thiết.

Tính toàn vẹn là tính trung thực và phù hợp của thông tin, bảo vệ thông tin khỏi bị truy cập và phá hủy trái phép (thay đổi). Tính toàn vẹn là khía cạnh quan trọng nhất của bảo mật thông tin khi Chúng ta đang nói về chẳng hạn như về công thức thuốc, quy trình y tế theo quy định, tiến trình của quy trình công nghệ - nếu tính toàn vẹn của thông tin trong tất cả các ví dụ được liệt kê bị vi phạm, điều này có thể dẫn đến hậu quả không thể khắc phục.

Sau khi phân tích các đặc điểm chính của tài nguyên thông tin, điều quan trọng nhất đối với người dùng IS là khả năng tiếp cận.

Đi sau nửa bước về tầm quan trọng là tính chính trực - bởi vì thông tin sẽ chẳng có ý nghĩa gì nếu nó không đúng sự thật hoặc bị bóp méo.

Ngoài ba tính năng chính của mô hình bảo mật, còn có những tính năng khác không phải lúc nào cũng bắt buộc:

· khả năng kháng cáo - không thể từ bỏ quyền tác giả;

· trách nhiệm giải trình - công nhận đối tượng truy cập và đăng ký hành động của mình;

· tính xác thực hoặc tính xác thực - một đặc tính đảm bảo rằng chủ đề hoặc tài nguyên giống hệt với đối tượng được khai báo. Là dấu hiệu đảm bảo thông tin trùng khớp với thông tin đã khai báo.

Bảo mật thông tin có thể bị tổn hại ở các mức độ khác nhau bởi các hành động được gọi là mối đe dọa. Chúng được chia thành các loại sau:

2. Hành động do tin tặc thực hiện. Điều này có nghĩa là những người chuyên nghiệp có liên quan đến tội phạm máy tính. Tin tặc sử dụng phương thức tấn công DOS. Mối đe dọa xâm nhập trái phép này có thể là công cụ để phá hủy dữ liệu, sử dụng thông tin bí mật cho mục đích bất hợp pháp và đánh cắp tài khoản Tiền bạc v.v. Tấn công kiểu DOS (viết tắt từ Từ chối dịch vụ - “từ chối dịch vụ”) - một cuộc tấn công từ bên ngoài vào các nút mạng của một tổ chức chịu trách nhiệm về công việc hiệu quả (máy chủ thư). Tin tặc gửi ồ ạt các gói dữ liệu đến các nút này, điều này dẫn đến tình trạng quá tải của chúng, do đó khiến chúng không hoạt động được trong một thời gian. Hậu quả là dẫn đến sự gián đoạn trong quy trình kinh doanh, mất khách hàng, danh tiếng, v.v.

3. Virus máy tính, phần mềm độc hại. Chúng được sử dụng rộng rãi để xâm nhập email, các nút mạng công ty, phương tiện lưu trữ và thiết bị lưu trữ thông tin, điều này có thể dẫn đến mất dữ liệu và đánh cắp thông tin. Do virus nên quá trình làm việc bị đình trệ, mất mát thời gian làm việc. Điều quan trọng cần chỉ ra là vi-rút có thể cung cấp cho kẻ tấn công quyền kiểm soát một phần hoặc toàn bộ các hoạt động của một tổ chức.

4. Thư rác. Cho đến gần đây, thư rác có thể được coi là tác nhân gây khó chịu thứ yếu nhưng hiện nay nó đã trở thành một trong những mối đe dọa chính đối với thông tin: thư rác khiến người lao động có tâm lý khó chịu, mất nhiều thời gian để loại bỏ nó khỏi các thiết bị điện tử. hộp thư, có thể đòi hỏi phải xóa các thư từ quan trọng. Và điều này lại là mất thông tin, mất khách hàng.

5. “Mối đe dọa tự nhiên.” Ngoài các yếu tố bên trong, an toàn thông tin còn có thể bị ảnh hưởng bởi các yếu tố bên ngoài: lưu trữ thông tin không đúng cách, trộm cắp phương tiện, bất khả kháng, v.v.

Chúng ta có thể rút ra một kết luận đặc biệt: trong thế giới hiện đại, sự hiện diện của một hệ thống bảo mật thông tin phát triển tốt là một trong những điều kiện chính cho khả năng cạnh tranh và thậm chí là khả năng tồn tại của bất kỳ công ty nào.

Để đảm bảo an ninh thông tin đầy đủ nhất, nhiều biện pháp bảo mật khác nhau phải hoạt động trong hệ thống, tức là phải được áp dụng đồng thời và dưới sự kiểm soát tập trung.

Hiện nay có rất nhiều phương pháp đảm bảo an toàn thông tin:

· phương tiện mã hóa thông tin được lưu trữ trên máy tính và truyền qua mạng;

· phương tiện mã hóa thông tin quan trọng được lưu trữ trên PC;

· tường lửa;

· công cụ lọc nội dung;

· công cụ bảo vệ chống virus;

· Hệ thống phát hiện lỗ hổng mạng và máy phân tích tấn công mạng.

Bất kỳ biện pháp khắc phục nào được liệt kê đều có thể được sử dụng riêng lẻ hoặc kết hợp với các biện pháp khác. Điều này làm cho phạm vi bảo vệ thông tin được mở rộng hơn, đây chắc chắn là một yếu tố tích cực.

"Khu phức hợp 3A". Nhận dạng và ủy quyền là những yếu tố hàng đầu của bảo mật thông tin. Khi cố gắng truy cập bất kỳ thông tin được bảo vệ nào, nhận dạng sẽ xác định xem bạn có phải là người dùng được ủy quyền của mạng hay không. Mục đích của việc ủy ​​quyền là xác định nguồn thông tin nào mà người dùng nhất định có quyền truy cập. Chức năng quản trị là cung cấp cho người dùng những khả năng nâng cao nhất định và xác định phạm vi hành động có thể có của người dùng trong một mạng nhất định.

Hệ thống mã hóa thông tin giúp giảm thiểu tổn thất trong trường hợp có nỗ lực truy cập trái phép vào dữ liệu, cũng như việc chặn thông tin trong quá trình truyền hoặc truyền qua giao thức mạng. mục tiêu chính phương pháp này bảo vệ là đảm bảo việc giữ bí mật. Yêu cầu áp dụng cho các hệ thống mã hóa như cấp độ cao tính bí mật của khóa (tức là độ mạnh của mật mã) và tính hợp pháp của việc sử dụng.

Tường lửa hoạt động như một hàng rào bảo vệ giữa các mạng, kiểm soát và bảo vệ chống lại sự xâm nhập trái phép vào mạng hoặc ngược lại, các gói dữ liệu rời khỏi mạng. Tường lửa kiểm tra từng gói dữ liệu để xem địa chỉ IP đến và đi có khớp với cơ sở địa chỉ được phép hay không.

Điều quan trọng là phải giám sát và lọc email đến và đi để lưu giữ và bảo vệ thông tin bí mật. Việc tự kiểm tra các tệp đính kèm và email dựa trên các quy tắc được thiết lập trong tổ chức cho phép bạn bảo vệ nhân viên khỏi thư rác và tổ chức khỏi trách nhiệm pháp lý đối với các vụ kiện.

Quản trị viên, giống như bất kỳ người dùng được ủy quyền nào khác, có thể có quyền giám sát mọi thay đổi đối với thông tin trên máy chủ nhờ công nghệ xác minh tính toàn vẹn nội dung ổ cứng(kiểm tra tính toàn vẹn). Điều này tạo điều kiện cho việc khám phá truy cập trái phép, kiểm soát mọi hành động đối với thông tin (thay đổi, xóa, v.v.), cũng như xác định hoạt động của virus. Kiểm soát được thực hiện dựa trên phân tích tổng kiểm tra các tập tin (CRC_sums).

Hiện nay, các công nghệ chống vi-rút có thể xác định hầu hết tất cả các chương trình vi-rút và phần mềm độc hại bằng phương pháp so sánh mã mẫu trong cơ sở dữ liệu chống vi-rút với mã của tệp đáng ngờ. Các tập tin đáng ngờ có thể bị cách ly, khử trùng hoặc xóa. Các chương trình chống vi-rút có thể được cài đặt trên máy chủ tệp và thư, tường lửa và trên máy trạm hoạt động trong các hệ điều hành phổ biến (hệ thống Windows, Unix và Linux, Novell) trên nhiều loại bộ xử lý khác nhau.

Bộ lọc thư rác giảm đáng kể chi phí lao động không hiệu quả liên quan đến việc dọn dẹp các tệp khỏi thư rác, giảm tải cho máy chủ và giúp cải thiện nền tảng tâm lý trong nhóm. Ngoài ra, bộ lọc thư rác còn giảm nguy cơ lây nhiễm các loại vi-rút mới vì chúng thường có đặc điểm tương tự thư rác và bị xóa.

Để bảo vệ chống lại mối đe dọa tự nhiên tổ chức phải xây dựng và thực hiện kế hoạch phòng ngừa và loại trừ tình huống khẩn cấp(cháy, lũ lụt). Phương pháp bảo vệ dữ liệu chính là sao lưu.

Có nhiều phương tiện bảo vệ kỹ thuật thông tin khỏi bị truy cập trái phép (NSD): khóa sử dụng một lần, thẻ nhận dạng nhựa, con dấu, hệ thống quang học và hồng ngoại, hệ thống laser, khóa (cơ, cơ điện, điện tử), hệ thống điều khiển và bảo mật video.

Chính sách bảo mật thông tin là tập hợp các quy tắc, luật pháp, khuyến nghị và kinh nghiệm thực tế quyết định các quyết định quản lý và thiết kế trong lĩnh vực bảo mật thông tin. PIB là một công cụ giúp quản lý, bảo vệ và phân phối thông tin trong hệ thống. Chính sách phải xác định hành vi của hệ thống trong các tình huống khác nhau.

Chương trình chính sách bảo mật bao gồm các giai đoạn tạo công cụ bảo mật thông tin sau:

1. Tìm kiếm thông tin và tài nguyên kỹ thuật cần được bảo vệ;

2. Tiết lộ đầy đủ các mối đe dọa tiềm ẩn và các kênh rò rỉ thông tin;

3. Đánh giá tính dễ bị tổn thương và rủi ro của thông tin trong bối cảnh có vô số mối đe dọa và kênh rò rỉ;

4. Chẩn đoán các yêu cầu đối với hệ thống bảo vệ;

5. Lựa chọn công cụ bảo mật thông tin và đặc điểm của chúng;

6. Giới thiệu và tổ chức sử dụng các biện pháp, phương pháp, phương tiện bảo vệ được lựa chọn;

7. Thực hiện giám sát và quản lý tính toàn vẹn của hệ thống an ninh.

Cấp tình hình hiện tạiđược chia thành hai hệ thống: “nghiên cứu từ dưới lên” và “nghiên cứu từ trên xuống”. Đầu tiên là dựa trên thực tế là dịch vụ bảo mật thông tin, dựa trên tất cả các loại tấn công đã biết, áp dụng chúng trong thực tế để kiểm tra xem liệu cuộc tấn công này bởi người phạm tội thực sự.

Phương pháp từ trên xuống là một nghiên cứu chi tiết về tất cả các chương trình hiện có lưu trữ và xử lý thông tin. Bước đầu tiên của phương pháp này là xác định luồng thông tin nào cần được bảo vệ. Sau đó, trạng thái hiện tại của hệ thống bảo mật thông tin được phân tích để xác định các kỹ thuật bảo vệ đã triển khai, ở mức độ và mức độ nào chúng được triển khai. Ở giai đoạn thứ ba, tất cả các đối tượng thông tin được phân loại thành các nhóm theo mức độ bảo mật của nó.

Sau đó, cần tìm hiểu xem thiệt hại có thể gây ra nghiêm trọng như thế nào nếu đối tượng thông tin bị tấn công. Giai đoạn này được gọi là “tính toán rủi ro”. Thiệt hại có thể xảy ra từ một cuộc tấn công, xác suất của một cuộc tấn công như vậy và sản phẩm của chúng đều được tính toán. Câu trả lời nhận được là một rủi ro có thể xảy ra.

Ở giai đoạn quan trọng và quan trọng nhất, việc xây dựng chính sách bảo mật doanh nghiệp diễn ra sẽ mang lại sự bảo vệ đầy đủ nhất trước những rủi ro có thể xảy ra. Nhưng cần phải tính đến các vấn đề có thể phát sinh trong quá trình thực hiện chính sách bảo mật. ĐẾN vấn đề tương tự Chúng bao gồm luật pháp của đất nước và cộng đồng quốc tế, các tiêu chuẩn đạo đức và yêu cầu nội bộ của tổ chức.

Sau khi tạo chính sách bảo mật thông tin như vậy, giá trị kinh tế của nó sẽ được tính toán.

Khi kết thúc quá trình phát triển, chương trình được ban lãnh đạo công ty phê duyệt và ghi lại chi tiết. Tiếp theo đó là việc tích cực thực hiện tất cả các hợp phần được xác định trong kế hoạch. Việc tính toán lại rủi ro và sau đó sửa đổi chính sách bảo mật của công ty thường được thực hiện hai năm một lần.

Bản thân PIB được chính thức hóa dưới dạng các yêu cầu được ghi thành văn bản cho hệ thống thông tin. Có ba cấp độ của các tài liệu đó (còn gọi là chi tiết):

Tài liệu cấp cao nhất Chính sách bảo mật thông tin thể hiện quan điểm của tổ chức đối với các hoạt động trong lĩnh vực bảo mật thông tin, sự sẵn sàng tuân thủ các yêu cầu của nhà nước và quốc tế trong lĩnh vực này. Ví dụ: chúng có thể được gọi là: “Khái niệm IS”, “Chính sách IS”, “Tiêu chuẩn kỹ thuật IS”, v.v. Các tài liệu cấp cao nhất có thể được ban hành dưới hai dạng - để sử dụng bên ngoài và nội bộ.

Bao gồm tài liệu trình độ trung cấp các bên riêng lẻ bảo mật thông tin. Điều này mô tả các yêu cầu đối với việc tạo và vận hành các công cụ bảo mật thông tin cho một khía cạnh cụ thể của bảo mật thông tin.

Tài liệu mức độ thấp hơn chứa các nội quy, quy định, hướng dẫn quản trị, hướng dẫn vận hành dịch vụ bảo mật thông tin cá nhân.

Các giai đoạn của vòng đời hệ thống thông tin được chia thành: hoạch định chiến lược, phân tích, thiết kế, triển khai, thực hiện (khởi tạo) và vận hành. Chúng ta hãy xem xét từng giai đoạn một cách chi tiết:

1. Giai đoạn ban đầu (hoạch định chiến lược).

Ở giai đoạn đầu tiên, phạm vi ứng dụng của hệ thống được xác định và các điều kiện biên được thiết lập. Để làm được điều này, cần xác định tất cả các đối tượng bên ngoài mà hệ thống được phát triển sẽ tương tác và xác định bản chất của sự tương tác này. Ở giai đoạn lập kế hoạch chiến lược, tất cả các chức năng được xác định và mô tả những chức năng quan trọng nhất được cung cấp.

2. Giai đoạn làm rõ.

Ở giai đoạn làm rõ, lĩnh vực ứng dụng được phân tích và cơ sở kiến ​​trúc của hệ thống thông tin được phát triển. Hầu hết nó cần được mô tả. chức năng hệ thống và tính đến sự kết nối giữa các thành phần riêng lẻ. Ở cuối giai đoạn làm rõ, các giải pháp kiến ​​trúc và cách loại bỏ các rủi ro hàng đầu trong chương trình sẽ được phân tích.

3. Giai đoạn thiết kế.

Ở giai đoạn này, một sản phẩm hoàn chỉnh được tạo ra, sẵn sàng chuyển giao cho người dùng. Sau khi hoàn thành thiết kế, hiệu suất của phần mềm thu được sẽ được xác định.

4. Giai đoạn chuyển sang vận hành (bắt đầu).

Giai đoạn thể hiện việc chuyển giao trực tiếp phần mềm tới người dùng. Khi sử dụng hệ thống đã phát triển, nhiều vấn đề khác nhau thường được xác định đòi hỏi phải công việc bổ sung và thực hiện các điều chỉnh cho sản phẩm. Vào cuối giai đoạn này, họ tìm hiểu xem các mục tiêu đặt ra cho các nhà phát triển có đạt được hay không.

5. Ngừng hoạt động và xử lý. Kết quả của giai đoạn này là dữ liệu được chuyển sang IS mới.

Bất kỳ hệ thống thông tin nào cũng có thể hữu ích nhất trong 3-7 năm. Tiếp theo, cần phải hiện đại hóa nó. Do đó, chúng ta có thể đi đến kết luận rằng hầu hết mọi người sáng tạo đều phải đối mặt với vấn đề hiện đại hóa các hệ thống thông tin lỗi thời.

Để giải quyết vấn đề đảm bảo an ninh thông tin, điều quan trọng là phải sử dụng các biện pháp lập pháp, tổ chức và phần mềm, kỹ thuật. Việc không chú ý đến ít nhất một khía cạnh của vấn đề này có thể dẫn đến mất hoặc rò rỉ thông tin, cái giá phải trả và vai trò của thông tin đó trong đời sống xã hội hiện đại ngày càng trở nên quan trọng.

Thư mục:

1.V.A. Ignatiev, Bảo mật thông tin của doanh nghiệp thương mại hiện đại / V.A. Ignatiev - M: Stary Oskol: TNT, 2005. - 448 tr.

2. Domarev V.V., An ninh công nghệ thông tin. Phương pháp tạo hệ thống bảo vệ (chương 8)/TID Dia Soft/ - 2002. [ Tài nguyên điện tử]. - Chế độ truy cập. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (ngày truy cập 15/11/2012)

3. Zhuk E.I., Cơ sở khái niệm về bảo mật thông tin [Tài nguyên điện tử] // Ấn phẩm khoa học kỹ thuật điện tử “Khoa học và Giáo dục”, 2010. - Số 4. - Chế độ truy cập. - URL: http://techno-new.developer.stack.net/doc/143237.html (truy cập ngày 20 tháng 11 năm 2012)

4.Medvedev N.V., Tiêu chuẩn và chính sách bảo mật thông tin của hệ thống tự động // Bản tin của MSTU im. N.E. Bauman. Ser. Thiết bị đo đạc. - 2010. - Số 1. - Trang 103-111.

5. Nguyên tắc cơ bản về bảo mật thông tin: Sách giáo khoa/O.A. Akulov, D.N. Badanin, E.I. Zhuk và những người khác - M.: Nhà xuất bản MSTU im. N.E. Bauman, 2008. - 161 tr.

6. Filin S.A., Bảo mật thông tin / S.A. Con cú. - Alfa Press, 2006. - 412 tr.

7.Yarochkin V.I. An toàn thông tin: Sách giáo khoa dành cho sinh viên đại học. - tái bản lần thứ 3. - M.: Dự án học thuật: Trixta, 2005 - 544 tr.