Bảo vệ thông tin trong mạng doanh nghiệp của hệ thống thông tin kinh tế. Phần mềm thực hiện hoạt động e-mail. Một hệ thống bảo mật thông tin, giống như bất kỳ hệ thống nào, phải có một số loại hỗ trợ nhất định, dựa vào đó nó sẽ được hỗ trợ.

Định nghĩa An toàn thông tin của một tổ chức là trạng thái an toàn của môi trường thông tin của tổ chức, đảm bảo cho sự hình thành, sử dụng và phát triển của nó. Bảo vệ thông tin là một hoạt động nhằm ngăn chặn rò rỉ thông tin được bảo vệ, các tác động trái phép và vô ý đối với thông tin được bảo vệ, nghĩa là một quá trình nhằm đạt được trạng thái này. 2

Các thành phần bảo mật thông tin. bảo mật - chỉ cung cấp thông tin cho một nhóm người nhất định; tính toàn vẹn (toàn vẹn) - đảm bảo sự tồn tại của thông tin ở dạng ban đầu; Tính sẵn có - khả năng người dùng được ủy quyền nhận thông tin vào đúng thời điểm. tính xác thực - khả năng xác định tác giả của thông tin; khả năng kháng cáo - khả năng chứng minh rằng tác giả là người được tuyên bố chứ không phải ai khác. 3

Các mô hình kiểm soát truy cập để đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng khi sử dụng: Kiểm soát truy cập bắt buộc Kiểm soát truy cập có chọn lọc Kiểm soát truy cập dựa trên vai trò 4

Kiểm soát truy cập bắt buộc. Kiểm soát truy cập bắt buộc, MAC - phân định quyền truy cập của chủ thể vào đối tượng, dựa trên việc gán nhãn bảo mật cho thông tin có trong đối tượng và cấp quyền chính thức (cho phép) cho chủ thể truy cập thông tin ở mức độ bảo mật này. Đôi khi cũng được dịch là Kiểm soát truy cập cưỡng bức. Đây là phương pháp kết hợp bảo vệ và hạn chế các quyền được áp dụng cho các quy trình máy tính, dữ liệu và thiết bị hệ thống và được thiết kế để ngăn chặn việc sử dụng chúng không mong muốn5

Kiểm soát truy cập tùy ý (DAC) - Kiểm soát quyền truy cập của chủ thể vào các đối tượng dựa trên danh sách kiểm soát truy cập hoặc ma trận truy cập. Đối với mỗi cặp (chủ đề - đối tượng), phải chỉ định một danh sách rõ ràng và rõ ràng về các loại quyền truy cập được chấp nhận (đọc, viết, v.v.), nghĩa là các loại quyền truy cập được cấp phép cho một chủ đề nhất định (cá nhân hoặc nhóm cá nhân) vào một tài nguyên (đối tượng) nhất định 7

8

Kiểm soát truy cập dựa trên vai trò (RBAC) - phát triển chính sách kiểm soát truy cập có chọn lọc, trong đó quyền truy cập của các chủ thể hệ thống đối với các đối tượng được nhóm lại có tính đến các chi tiết cụ thể của ứng dụng của chúng, hình thành các vai trò, ví dụ như Quản trị viên, 1 người dùng, v.v. vai trò được thiết kế để xác định các quy tắc kiểm soát truy cập rõ ràng và dễ hiểu cho người dùng. 9

Đảm bảo an ninh trong quá trình truyền tải Thực hiện – Mã hóa là một phương pháp chuyển đổi thông tin được sử dụng để lưu trữ thông tin quan trọng trong các nguồn không đáng tin cậy hoặc truyền nó qua các kênh liên lạc không an toàn. Bao gồm 2 quá trình - quá trình mã hóa và giải mã. Cơ sở phương pháp luận là mật mã. 10

Định nghĩa khóa Khóa là thông tin bí mật được thuật toán mã hóa sử dụng khi mã hóa/giải mã tin nhắn, thiết lập và xác minh chữ ký số cũng như tính toán mã xác thực (MAC). Khi sử dụng cùng một thuật toán, kết quả mã hóa sẽ phụ thuộc vào khóa. Đối với các thuật toán mã hóa mạnh hiện đại, việc mất khóa khiến việc giải mã thông tin hầu như không thể thực hiện được. Lượng thông tin trong một khóa thường được đo bằng bit. Đối với các thuật toán mã hóa hiện đại, đặc điểm chính của độ mạnh mật mã là độ dài khóa. Mã hóa bằng khóa từ 128 bit trở lên được coi là mạnh vì phải mất nhiều năm siêu máy tính mạnh mới có thể giải mã thông tin mà không cần khóa 11

Phương thức mã hóa: mã hóa đối xứng: người ngoài có thể biết thuật toán mã hóa, nhưng một phần nhỏ thông tin bí mật không xác định được - khóa, giống nhau đối với người gửi và người nhận tin nhắn; Mã hóa bất đối xứng: người ngoài có thể biết thuật toán mã hóa và có thể cả khóa chung nhưng không biết khóa riêng, chỉ người nhận mới biết. 12

Phương tiện đảm bảo tính xác thực: Chữ ký Chữ ký số Chữ ký là một bộ ký hiệu duy nhất, được viết bằng tay, sử dụng các kỹ thuật thiết kế nhất định, nhằm mục đích nhận dạng một người. Đặc tính của chữ ký tốt Khả năng chống giả mạo. Độ lặp lại. Khả năng nhận dạng (chữ ký thường giống với họ hoặc tên). Tốc độ viết 13

Chữ ký số điện tử (EDS) là điều kiện cần thiết của tài liệu điện tử nhằm bảo vệ tài liệu điện tử này khỏi bị giả mạo, thu được do chuyển đổi mật mã thông tin bằng cách sử dụng khóa riêng của chữ ký số điện tử và cho phép xác định chủ sở hữu của khóa chữ ký chứng chỉ, cũng như để chứng minh sự không có sự bóp méo thông tin trong một tài liệu điện tử, đồng thời cũng đảm bảo tính không bác bỏ của người ký. Vì các tài liệu được ký có độ dài thay đổi (và khá lớn), nên trong sơ đồ chữ ký số, chữ ký thường không được đặt trên chính tài liệu mà trên hàm băm của nó. Hàm băm mật mã được sử dụng để tính toán hàm băm. Băm là sự chuyển đổi một mảng dữ liệu đầu vào có độ dài tùy ý thành chuỗi bit đầu ra có độ dài cố định. Những phép biến đổi như vậy còn được gọi là hàm băm. Mọi thay đổi đối với tài liệu đều dẫn đến thay đổi đối với hàm băm 14

Lược đồ chữ ký điện tử bao gồm: thuật toán tạo khóa; chức năng tính chữ ký; chức năng xác minh chữ ký. Các hàm tính toán dựa trên tài liệu và khóa bí mật của người dùng sẽ tự tính toán chữ ký. Chức năng xác minh chữ ký kiểm tra xem chữ ký đã cho có khớp với tài liệu đã cho và khóa chung của người dùng hay không. Khóa chung của người dùng được công khai nên bất kỳ ai cũng có thể xác minh chữ ký trên một tài liệu nhất định 15

Chữ ký số cung cấp khả năng xác thực nguồn của tài liệu. Tùy thuộc vào chi tiết của định nghĩa tài liệu, các trường như “tác giả”, “thay đổi đã thực hiện”, “dấu thời gian”, v.v. có thể được ký. Bất kỳ thay đổi vô tình hoặc cố ý nào đối với tài liệu (hoặc chữ ký) sẽ thay đổi hàm băm và do đó làm mất hiệu lực chữ ký. Không thể từ bỏ quyền tác giả. Vì bạn chỉ có thể tạo chữ ký chính xác bằng cách biết khóa riêng và chỉ chủ sở hữu mới biết nên chủ sở hữu không thể từ chối chữ ký của anh ta trên tài liệu. 16

Phương tiện ủy quyền và xác thực: Mật khẩu là một từ hoặc bộ ký tự bí mật được thiết kế để xác nhận danh tính hoặc quyền hạn. Bẻ khóa mật khẩu là một nhiệm vụ tốn nhiều tài nguyên, thường được giải quyết bằng cái gọi là phương pháp vũ phu - tức là tìm kiếm đơn giản. Khóa - thông tin bí mật được một nhóm người hạn chế biết đến, thường được sử dụng ở dạng mã hóa. Sinh trắc học là công nghệ nhận dạng cá nhân sử dụng các thông số sinh lý của đối tượng (dấu vân tay, mống mắt, v.v.). 17

Bảo vệ dữ liệu trong mạng máy tính đang trở thành một trong những vấn đề mở nhất trong các hệ thống thông tin và máy tính hiện đại. Cho đến nay, ba nguyên tắc cơ bản về bảo mật thông tin đã được xây dựng với nhiệm vụ đảm bảo: - tính toàn vẹn dữ liệu - bảo vệ khỏi các lỗi dẫn đến mất thông tin hoặc phá hủy thông tin; - bí mật thông tin; - sự sẵn có của thông tin cho người dùng được ủy quyền.

Phương tiện bảo vệ - phương tiện bảo vệ vật chất; - phần mềm (chương trình chống virus, hệ thống phân phối điện, phần mềm kiểm soát truy cập); - các biện pháp bảo vệ hành chính (tiếp cận cơ sở, phát triển chiến lược bảo mật của công ty, v.v.).

phương tiện bảo vệ vật lý là hệ thống lưu trữ và sao chép thông tin. Trong các mạng cục bộ nơi một hoặc hai máy chủ được cài đặt, hệ thống thường được cài đặt trực tiếp vào các khe trống của máy chủ. Trong các mạng công ty lớn, ưu tiên dành cho máy chủ lưu trữ chuyên dụng, tự động lưu trữ thông tin từ ổ cứng của máy chủ và máy trạm vào một thời điểm nhất định do quản trị viên mạng đặt ra, đưa ra báo cáo về quá trình sao lưu được thực hiện. Các mẫu máy chủ lưu trữ phổ biến nhất là Storage Express System ARCserve dành cho Windows của Intel.

Để chống lại vi-rút máy tính, các chương trình chống vi-rút thường được sử dụng nhiều nhất và việc bảo vệ phần cứng ít phổ biến hơn. Tuy nhiên, gần đây có xu hướng kết hợp các phương pháp bảo vệ phần mềm và phần cứng. Trong số các thiết bị phần cứng, thẻ chống vi-rút đặc biệt được sử dụng, lắp vào các khe cắm mở rộng tiêu chuẩn của máy tính. Tập đoàn Intel đã đề xuất một công nghệ đầy hứa hẹn để bảo vệ chống lại vi-rút trong mạng, bản chất của công nghệ này là quét hệ thống máy tính trước khi chúng khởi động. Ngoài các chương trình diệt virus, vấn đề bảo vệ thông tin trên mạng máy tính còn được giải quyết bằng cách đưa ra biện pháp kiểm soát truy cập và phân định quyền hạn của người dùng. Với mục đích này, các công cụ tích hợp sẵn của hệ điều hành mạng được sử dụng, nhà sản xuất lớn nhất trong số đó là Novell Corporation.

Để ngăn chặn sự xâm nhập trái phép vào mạng máy tính, một phương pháp kết hợp được sử dụng - mật khẩu + nhận dạng người dùng bằng “chìa khóa” cá nhân. “Chìa khóa” là một thẻ nhựa (từ tính hoặc có vi mạch tích hợp - thẻ thông minh) hoặc các thiết bị khác nhau để nhận dạng một cá nhân bằng thông tin sinh trắc học - mống mắt, dấu vân tay, kích thước bàn tay, v.v. Máy chủ và máy trạm mạng, được trang bị thiết bị thông minh đầu đọc thẻ và phần mềm đặc biệt, tăng đáng kể mức độ bảo vệ chống truy cập trái phép. Thẻ thông minh kiểm soát truy cập cho phép bạn thực hiện các chức năng như kiểm soát lối vào, truy cập vào thiết bị PC, chương trình, tệp và lệnh.

Hệ thống Kerberos - cơ sở dữ liệu chứa thông tin về tất cả tài nguyên mạng, người dùng, mật khẩu, khóa thông tin, v.v.; - một máy chủ ủy quyền, có nhiệm vụ xử lý các yêu cầu của người dùng về việc cung cấp một hoặc một loại dịch vụ mạng khác. Khi nhận được yêu cầu, nó sẽ truy cập cơ sở dữ liệu và xác định quyền của người dùng để thực hiện một thao tác cụ thể. Mật khẩu người dùng không được truyền qua mạng, do đó làm tăng mức độ bảo mật thông tin; - Máy chủ cấp vé (máy chủ cấp quyền) nhận từ máy chủ ủy quyền một “pass” có tên và địa chỉ mạng của người dùng, thời gian yêu cầu cũng như một “khóa” duy nhất. Gói chứa "pass" cũng được truyền ở dạng mã hóa. Máy chủ cấp phép, sau khi nhận và giải mã “pass”, sẽ kiểm tra yêu cầu, so sánh các “khóa” và, nếu giống hệt nhau, sẽ cho phép sử dụng thiết bị hoặc chương trình mạng.

Khi các doanh nghiệp mở rộng hoạt động, số lượng thuê bao tăng lên và các chi nhánh mới xuất hiện, nảy sinh nhu cầu tổ chức quyền truy cập cho người dùng từ xa (nhóm người dùng) vào tài nguyên máy tính hoặc thông tin tại các trung tâm công ty. Để tổ chức truy cập từ xa, đường dây cáp và kênh vô tuyến thường được sử dụng nhất. Về vấn đề này, việc bảo vệ thông tin được truyền qua các kênh truy cập từ xa đòi hỏi một cách tiếp cận đặc biệt. Cầu nối và bộ định tuyến truy cập từ xa sử dụng phân đoạn gói - chia chúng và truyền chúng song song trên hai đường dây - điều này khiến không thể “chặn” dữ liệu khi “hacker” kết nối trái phép vào một trong các đường dây. Quy trình nén các gói được truyền được sử dụng khi truyền dữ liệu đảm bảo rằng dữ liệu “bị chặn” không thể được giải mã. Cầu truy cập từ xa và bộ định tuyến có thể được lập trình theo cách mà không phải tất cả tài nguyên của trung tâm công ty đều có sẵn cho người dùng từ xa

Hiện nay, các thiết bị đặc biệt đã được phát triển để kiểm soát việc truy cập vào mạng máy tính qua đường quay số. Một ví dụ là mô-đun Thiết bị bảo mật cổng từ xa (PRSD) do AT&T phát triển, bao gồm hai khối có kích thước bằng một modem thông thường: Khóa RPSD (khóa), được cài đặt trong văn phòng trung tâm và Khóa RPSD (chìa khóa), được kết nối với modem của người dùng từ xa. Khóa và Khóa RPSD cho phép bạn đặt một số cấp độ bảo vệ và kiểm soát truy cập: - mã hóa dữ liệu được truyền qua đường dây bằng các khóa kỹ thuật số được tạo; - kiểm soát truy cập dựa trên ngày trong tuần hoặc thời gian trong ngày

Chiến lược tạo bản sao lưu và khôi phục cơ sở dữ liệu liên quan trực tiếp đến chủ đề bảo mật. Thông thường, các hoạt động này được thực hiện ngoài giờ làm việc ở chế độ hàng loạt. Trong hầu hết các DBMS, sao lưu và phục hồi dữ liệu chỉ được phép đối với người dùng có quyền rộng rãi (quyền truy cập ở cấp quản trị viên hệ thống hoặc chủ sở hữu cơ sở dữ liệu); việc chỉ định mật khẩu nhạy cảm như vậy trực tiếp trong các tệp xử lý hàng loạt là điều không mong muốn. Để không lưu trữ mật khẩu một cách rõ ràng, bạn nên viết một chương trình ứng dụng đơn giản mà chính nó sẽ gọi các tiện ích sao chép/khôi phục. Trong trường hợp này, mật khẩu hệ thống phải được “cố định” vào mã của ứng dụng được chỉ định. Nhược điểm của phương pháp này là mỗi lần thay đổi mật khẩu, chương trình này phải được biên dịch lại.

Tại mỗi doanh nghiệp, không phân biệt quy mô, loại hình tài sản, ngành nghề hoạt động đều sử dụng cùng một loại phương thức, phương pháp bảo vệ, thực hiện mô hình hệ thống bảo vệ. Khối phương pháp bảo vệ bao gồm chướng ngại vật, quy định, kiểm soát truy cập, che đậy, xúi giục và ép buộc.

Các trở ngại (phương pháp vật lý), ví dụ như lắp đặt hàng rào xung quanh doanh nghiệp, hạn chế tiếp cận các tòa nhà và cơ sở, lắp đặt hệ thống báo động, an ninh. Kiểm soát truy cập được thực hiện về mặt vật lý và bằng phần mềm và phần cứng. Việc che giấu liên quan đến việc sử dụng phần mềm mật mã. Khuyến khích - người dùng tuân thủ các tiêu chuẩn đạo đức khi xử lý và sử dụng thông tin. Quy định ngụ ý sự hiện diện của các hướng dẫn và quy định để xử lý thông tin và lệnh cấm ngụ ý sự hiện diện của các quy phạm pháp luật được quy định trong các văn bản quy định và xác định trách nhiệm pháp lý trong trường hợp vi phạm chúng.

Các phương pháp và phương pháp bảo vệ được liệt kê ở trên được kết hợp thành bốn hệ thống con được cài đặt trong hệ thống thông tin: Hệ thống con kiểm soát truy cập Hệ thống con đăng ký và kế toán Hệ thống con mật mã Hệ thống con toàn vẹn

Hệ thống con kiểm soát truy cập bảo vệ quyền truy cập vào hệ thống thông tin bằng phần mềm (mật khẩu) và phần mềm và phần cứng (khóa điện tử, đĩa mềm khóa, thiết bị nhận dạng người dùng dựa trên đặc điểm sinh trắc học, v.v.).

Hệ thống con đăng ký và kế toán đăng ký vào một tạp chí điện tử đặc biệt dành cho người dùng và chương trình có quyền truy cập vào hệ thống, tệp, chương trình hoặc cơ sở dữ liệu, thời gian vào và ra khỏi hệ thống và các hoạt động khác do người dùng thực hiện.

Hệ thống con mật mã là một tập hợp các chương trình đặc biệt mã hóa và giải mã thông tin. Sự hiện diện của hệ thống con mật mã đặc biệt cần thiết trong các hệ thống thông tin dùng cho kinh doanh điện tử.

Hệ thống con để đảm bảo tính toàn vẹn của thông tin bao gồm sự hiện diện về an ninh vật lý của thiết bị và phương tiện máy tính, sự sẵn có của các công cụ kiểm tra chương trình và dữ liệu cũng như việc sử dụng các phương tiện bảo mật được chứng nhận

Tính không đồng nhất về phạm vi hoạt động của các tổ chức, công ty, ngân hàng khác nhau khiến việc xác định các chiến lược bảo vệ và quản lý thông tin trong trường hợp vi phạm hoặc khủng hoảng nghiêm trọng là cần thiết một cách khách quan. Cách tiếp cận này khuyến khích phát triển các khái niệm bảo mật thông tin khác nhau tùy thuộc vào quy mô của tổ chức (nhỏ, vừa, lớn), lĩnh vực hoạt động (tài chính, ngân hàng, sản xuất, thương mại) và đặc điểm quốc gia và khu vực. Phân tích rủi ro thông tin liên quan đến việc xác định những gì cần được bảo vệ, khỏi ai và làm thế nào để bảo vệ nó. Mức độ bảo mật thông tin hợp lý được lựa chọn chủ yếu vì lý do khả thi về mặt kinh tế.

Tổng công ty là một hiệp hội của các tổ chức, cá nhân dựa trên lợi ích nghề nghiệp chung, một trong những hình thức công ty cổ phần dành cho các doanh nghiệp lớn, trong đó có ngân hàng.

Các tập đoàn lớn có đặc điểm là có cấu trúc phức tạp, phân bố theo địa lý với cấu trúc đa cấp và đa liên kết. Quy mô hoạt động và khối lượng sản phẩm và dịch vụ có thể mang tính khu vực hoặc toàn cầu.

Một đặc điểm nổi bật và khác biệt của mạng máy tính doanh nghiệp là việc xây dựng chúng thường diễn ra trong vài năm. Trong các mạng như vậy, thiết bị từ các nhà sản xuất khác nhau và các thế hệ khác nhau hoạt động, tức là. thiết bị, cả hiện đại nhất và lạc hậu nhất, không phải lúc nào cũng tập trung vào việc cộng tác, truyền tải và xử lý dữ liệu. Khi mạng công ty phát triển cả về số lượng và chất lượng, nhiệm vụ quản lý chúng ngày càng trở nên phức tạp hơn và đòi hỏi những phương tiện quản lý mạng mới trên toàn bộ doanh nghiệp. Các công cụ như vậy phải độc lập với giao thức, có thể mở rộng và cung cấp khả năng quản lý mạng tập trung.

Hiện nay, người tiêu dùng đang tìm kiếm giải pháp để hợp nhất các chi nhánh khác nhau không chỉ trong một tập đoàn mà còn cả các khu vực trên toàn quốc. Mục tiêu chính của việc sáp nhập các chi nhánh là tạo ra một không gian thông tin duy nhất và các chức năng dịch vụ chung. Các giải pháp hiện đại có thể cung cấp cho người tiêu dùng một hệ thống thống nhất để quản lý và giám sát (giám sát) tài nguyên mạng công ty, giảm chi phí, kết hợp mạng dữ liệu và điện thoại cũng như bảo vệ khỏi truy cập trái phép.

Tài nguyên thông tin cấp công ty đặc biệt dễ bị tổn thương và cần được bảo vệ chất lượng cao và đáng tin cậy, vì cấu trúc thông tin của các tổ chức loại công ty không đồng nhất và bao gồm một tập hợp các hệ thống phân tán, công nghệ, cơ sở dữ liệu, ngân hàng dữ liệu và các nhiệm vụ cục bộ.

Trong các tổ chức lớn, các loại hoạt động khác nhau có sự hỗ trợ thông tin khác nhau. Dữ liệu từ các bộ phận khác nhau (trong trường hợp không tích hợp) có thể được sao chép, lưu trữ ở các định dạng khác nhau, bổ sung cho nhau trong một số lĩnh vực chủ đề và đồng thời không thể tiếp cận được với các chuyên gia, v.v. Tập đoàn thường không có cơ hội sử dụng tối đa toàn bộ nguồn thông tin đa dạng. Tình trạng này gây khó khăn, phức tạp và tốn kém trong việc tạo ra và vận hành các hệ thống bảo vệ một cách đáng tin cậy.

Vì trước đây các vấn đề về an ninh công nghệ thông tin ở nước ta được giải quyết chủ yếu là để bảo vệ bí mật nhà nước, nên giờ đây các vấn đề cụ thể về bảo vệ ngân hàng hoặc các doanh nghiệp khác rất cần có giải pháp và mãi đến nay chúng mới được tích hợp với hệ thống thế giới. Việc bảo vệ thông tin trong một lĩnh vực hoạt động kinh doanh cụ thể có một số tính năng quan trọng liên quan đến tác động của bảo mật thông tin đối với tổ chức. Điều quan trọng nhất trong số đó:

Ưu tiên các yếu tố kinh tế, thị trường và quan hệ tài sản;

Sử dụng các hệ thống mở, tạo hệ thống con bảo mật thông tin bằng các công cụ có sẵn rộng rãi trên thị trường;

Ý nghĩa pháp lý của thông tin cung cấp sự bảo vệ pháp lý cho các tài liệu, nguồn thông tin, quy trình thông tin theo luật pháp đã được thiết lập của Liên bang Nga.

Nhu cầu trao đổi thông tin không chỉ giữa những người dùng phân tán về mặt địa lý của tập đoàn mà còn với thế giới bên ngoài đòi hỏi phải sử dụng mạng lưới thế giới toàn cầu. Khi được kết nối với Internet, việc làm việc với các dịch vụ của nó sẽ làm tăng đáng kể phạm vi đe dọa đối với thông tin được xử lý trong tập đoàn.

Dịch vụ Internet được chia thành mở và đóng. Một dịch vụ mở liên quan đến sự tương tác của người dùng công ty với các cấu trúc bên ngoài. Dịch vụ đóng áp dụng cho người dùng mạng của công ty, bao gồm cả những người dùng ở xa. Một dịch vụ Internet tích hợp cung cấp cả dịch vụ dạng đóng và dạng mở.

Vì mục đích bảo mật thông tin của công ty, cơ sở hạ tầng cần thiết được tạo ra, các chương trình đáng tin cậy để tương tác với Internet được sử dụng, đòi hỏi phải tuân thủ các quy tắc sau khi công ty làm việc với Internet:

Hãy lưu mật khẩu của bạn một cách cẩn thận và thay đổi nó nếu bạn nghi ngờ;

Không để máy tính không được giám sát trong phiên giao tiếp;

Sau khi nhận được thông tin cần thiết, hãy kết thúc hoàn toàn phiên liên lạc trước khi truy cập các trang web khác;

Sử dụng mã hóa các tin nhắn xảy ra trên mạng và hơn thế nữa.

Khi tạo mạng công ty, luật bảo vệ thông tin sẽ được tính đến và các tiêu chuẩn trách nhiệm pháp lý đối với các vi phạm bảo mật thông tin được phát triển. Toàn cầu hóa mạng máy tính hiện đại là một không gian thực tế không bị kiểm soát bởi bất kỳ ai, nơi này liên tục được bổ sung hàng megabyte thông tin khác nhau. Dưới chiêu bài thông tin hữu ích, máy tính bị nhiễm nhiều loại vi-rút (phần mềm độc hại) khác nhau. Thông qua Internet, mọi người có thể bị tấn công, đánh cắp dữ liệu bí mật, cơ sở dữ liệu bị phá hủy, v.v.

Chúng tôi có thể xây dựng các yêu cầu cơ bản sau để bảo vệ mạng công ty và các đối tượng thông tin khỏi phần mềm độc hại.

Sử dụng phần mềm, phần cứng và công cụ bảo mật được cấp phép.

Tiến hành chứng nhận đối tượng thông tin về việc tuân thủ các yêu cầu của văn bản quy định về bảo vệ, bao gồm cả việc kiểm tra sự hiện diện của các khả năng chưa được công bố.

Xác định và ấn định danh sách các công cụ phần mềm được chấp nhận sử dụng, lệnh cấm tuyệt đối đối với việc sử dụng phần mềm không có trong gói.

Sử dụng các công cụ chống phần mềm độc hại hiện đại để bảo vệ và đảm bảo cập nhật kịp thời.

Phát triển các tài liệu tổ chức và quản trị cần thiết để bảo vệ các đối tượng khỏi phần mềm độc hại và đặc tả các phương pháp phòng ngừa nhằm ngăn chặn chúng xâm nhập vào mạng, đảm bảo người dùng nhận thức được các dấu hiệu chung về sự xuất hiện của phần mềm độc hại.

Phát triển các phương pháp sao lưu, lưu trữ và khôi phục tài nguyên phần mềm và thông tin khi chúng bị nhiễm hoặc hư hỏng do vi-rút, đồng thời đảm bảo lưu trữ đáng tin cậy các mẫu phần mềm và tài nguyên thông tin gốc ở nơi an toàn.

Đảm bảo kiểm tra thường xuyên các cơ sở máy tính để phát hiện nhiễm phần mềm độc hại.

Ngoài cấp độ lập pháp, cấp quản lý cũng không kém phần quan trọng. Ban quản lý của mỗi tập đoàn phải nhận thức được sự cần thiết phải duy trì chế độ an ninh và phân bổ các nguồn lực phù hợp cho mục đích này. Điều chính mà cấp quản lý phải thực hiện là xây dựng chính sách bảo mật thông tin phù hợp với định hướng chung của doanh nghiệp.

Mục tiêu chính của các biện pháp được thực hiện ở cấp quản lý là xây dựng chương trình làm việc trong lĩnh vực bảo mật thông tin và đảm bảo thực hiện chương trình đó. Nhiệm vụ của quản lý là phân bổ các nguồn lực cần thiết và theo dõi tình hình hoạt động. Cơ sở của chương trình là chính sách bảo mật đa cấp phản ánh cách tiếp cận của tổ chức trong việc bảo vệ tài sản và lợi ích thông tin của mình. Việc sử dụng hệ thống thông tin gắn liền với một số rủi ro nhất định. Khi rủi ro cao đến mức không thể chấp nhận được thì phải thực hiện các biện pháp bảo vệ. Việc đánh giá lại rủi ro định kỳ là cần thiết để giám sát hiệu quả của các hoạt động an ninh và tính đến các điều kiện thay đổi.

Để duy trì chế độ bảo mật thông tin, các biện pháp, công cụ phần mềm và phần cứng đặc biệt quan trọng, vì mối đe dọa chính đối với hệ thống máy tính nằm ở chúng: lỗi phần cứng, lỗi phần mềm, lỗi của người dùng và quản trị viên, v.v.

Các cơ chế chính để đảm bảo an ninh thông tin của mạng doanh nghiệp là:

Nhận dạng và xác thực;

Kiểm soát truy cập;

Ghi âm và ghi âm;

Mật mã và an ninh mạng;

Che chắn.

Việc che chắn trong mạng công ty được thực hiện bằng tường lửa. Tường lửa ngăn chặn người dùng vi phạm các quy tắc bảo mật thông tin do quản trị viên đặt ra. Màn hình không cho phép truy cập vào các máy chủ không bắt buộc phải thực hiện nhiệm vụ của người dùng.

Tường lửa có thể được triển khai trong phần mềm và phần cứng. Việc triển khai phần mềm rẻ hơn nhưng kém hiệu quả hơn và đòi hỏi tài nguyên hệ thống máy tính đáng kể. Tường lửa phần cứng được sản xuất dưới dạng các tổ hợp kỹ thuật phần cứng và phần mềm đặc biệt hoạt động dưới sự kiểm soát của các hệ điều hành chuyên dụng hoặc thông thường được sửa đổi để thực hiện các chức năng bảo vệ.

1. Bạn chỉ cần tập trung vào các sản phẩm được chứng nhận.

2. Bạn nên chọn nhà cung cấp hệ thống an ninh sẽ cung cấp đầy đủ các dịch vụ, tức là: không chỉ doanh số bán hàng và bảo hành do mọi người cung cấp mà còn cả các dịch vụ lắp đặt và cấu hình (nếu cần), đào tạo nhân viên cách làm việc với thiết bị bảo vệ và hỗ trợ các hệ thống đã mua.

3. Chọn hệ thống bảo mật cung cấp khả năng kiểm soát truy cập trong nhiều hệ điều hành khác nhau.

4. Bạn nên tập trung vào các hệ thống có đặc điểm vận hành tốt nhất, chẳng hạn như: độ tin cậy cao, khả năng tương thích với nhiều phần mềm khác nhau, giảm hiệu suất máy trạm ở mức tối thiểu, bắt buộc phải có các phương tiện để kiểm soát tập trung các cơ chế bảo vệ từ nơi làm việc của quản trị viên bảo mật, thông báo kịp thời về quản trị viên về tất cả các sự kiện NSD tại máy trạm.

5. Khi lựa chọn, không chỉ chú ý đến chi phí của các khoản tiền đó mà còn chú ý đến mức chi phí dự kiến ​​cho việc vận hành và bảo trì chúng.

Việc xử lý thông tin cấu thành bí mật thương mại đòi hỏi phải đảm bảo tính bảo mật và thiết kế cẩn thận ở giai đoạn tạo ra sở hữu trí tuệ. Thiết kế bao gồm: kiểm tra hệ thống tự động và xây dựng các văn bản tổ chức, hành chính; lựa chọn, mua, lắp đặt, cấu hình và vận hành thiết bị bảo vệ; đào tạo nhân viên làm việc với các thiết bị bảo hộ sẵn có; dịch vụ bảo mật thông tin; kiểm tra định kỳ hệ thống an toàn thông tin.

Công việc đó nên được thực hiện bởi các chuyên gia vì những tính toán sai lầm ở giai đoạn khảo sát và thiết kế hệ thống bảo mật thông tin có thể dẫn đến những vấn đề và tổn thất nghiêm trọng trong quá trình xây dựng và vận hành.

Có tính đến đặc thù của mạng công ty, các tài liệu được phát triển phải đưa ra giải pháp cho các nhiệm vụ sau:

Bảo vệ chống xâm nhập vào mạng công ty và chống rò rỉ thông tin từ mạng qua các kênh liên lạc;

Phân định các luồng thông tin giữa các phân đoạn mạng;

Bảo vệ các tài nguyên mạng quan trọng nhất khỏi bị can thiệp vào quá trình hoạt động bình thường;

Bảo vệ các công việc và tài nguyên quan trọng khỏi bị truy cập trái phép (NSD);

Bảo vệ bằng mật mã các tài nguyên thông tin quan trọng nhất.

Hiện tại, không có một giải pháp làm sẵn nào (phần cứng, phần mềm hoặc giải pháp khác) cung cấp khả năng thực hiện đồng thời các chức năng của tất cả các nhiệm vụ được liệt kê.

Điều này được giải thích bởi thực tế là, một mặt, các yêu cầu của từng người dùng cụ thể đối với việc thực hiện các biện pháp bảo vệ nhất định là khác nhau đáng kể, mặt khác, mỗi nhiệm vụ được giải quyết bằng các phương tiện cụ thể. Hãy xem xét một số công cụ thực hiện các chức năng này.

Bảo vệ chống lại sự xâm nhập mạng và rò rỉ thông tin từ mạng. Phương tiện chính để thực hiện mối đe dọa như vậy là kênh kết nối mạng công ty với Internet toàn cầu.

Việc sử dụng tường lửa là giải pháp phổ biến nhất. Chúng cho phép bạn xác định và triển khai các quy tắc kiểm soát truy cập cho cả người dùng bên ngoài và nội bộ của mạng công ty, ẩn cấu trúc mạng khỏi người dùng bên ngoài nếu cần, chặn việc gửi thông tin đến các địa chỉ “bị cấm” và cuối cùng, chỉ cần kiểm soát việc sử dụng của Internet.

Phân định các luồng thông tin giữa các phân đoạn mạng. Tùy thuộc vào bản chất của thông tin được xử lý trong một phân đoạn mạng cụ thể và phương thức tương tác giữa các phân đoạn, các tùy chọn khác nhau sẽ được triển khai. Phổ biến nhất là việc sử dụng tường lửa, được khuyến khích khi tổ chức tương tác giữa các phân đoạn qua Internet. Theo quy định, phương pháp này được sử dụng khi mạng đã có tường lửa được thiết kế để kiểm soát các luồng thông tin giữa mạng nội bộ và Internet, giúp ngăn ngừa các chi phí không cần thiết - khả năng của các công cụ sẵn có được sử dụng đầy đủ hơn.

Ưu tiên hàng đầu là bảo vệ các tài nguyên mạng quan trọng nhất khỏi bị can thiệp vào các hoạt động thông thường. Tài nguyên quan trọng nhất trong mạng công ty là máy chủ. Cách chính để can thiệp vào hoạt động bình thường của chúng là thực hiện các cuộc tấn công bằng cách sử dụng các lỗ hổng trong phần cứng và phần mềm mạng. Trong trường hợp này, cuộc tấn công có thể được thực hiện cả từ bên ngoài (Internet) và từ mạng nội bộ, chẳng hạn bởi một trong các nhân viên. Vấn đề chính không chỉ nằm ở việc phát hiện và đăng ký kịp thời một cuộc tấn công, điều mà nhiều công cụ có thể thực hiện, mà còn nằm ở việc chống lại nó, vì ngay cả việc bắt giữ kẻ tấn công (dựa trên kết quả đăng ký) cũng sẽ chẳng mang lại chút an ủi nào nếu công ty mạng bị tê liệt một thời gian do một cuộc tấn công thành công.

Bảo vệ các công việc và tài nguyên quan trọng khỏi bị truy cập trái phép có các tính năng sau. Cho đến nay, nhiều hệ thống tự động đã hoạt động và tiếp tục hoạt động, chỉ tập trung vào các cơ chế bảo vệ tích hợp của các hệ điều hành khác nhau (thường là hệ thống mạng), cung cấp khả năng bảo vệ đầy đủ (với quản trị thích hợp) thông tin trên máy chủ. Nhưng số lượng máy chủ trong mạng công ty chỉ chiếm 1-3% tổng số máy trạm xử lý thông tin được bảo vệ. Đồng thời, đại đa số máy trạm (khoảng 90%) chạy MS DOS hoặc Windows và không có bất kỳ biện pháp bảo mật nào, vì các hệ điều hành này không có cơ chế bảo mật tích hợp.

Một tình huống phát sinh - thông tin quan trọng, quyền truy cập không bị giới hạn dưới bất kỳ hình thức nào, có thể được xử lý ở nơi làm việc không được bảo vệ. Trong những trường hợp này, nên sử dụng các phương tiện bảo vệ bổ sung, đặc biệt là các phương tiện bảo vệ bằng mật mã (để bảo vệ khóa mật mã); quy định và ghi nhật ký hành động của người dùng; phân biệt quyền của người dùng để truy cập vào tài nguyên cục bộ.

Các nguồn thông tin quan trọng nhất phải được bảo vệ bằng mật mã. Mã hóa là một cách đáng tin cậy để bảo vệ dữ liệu khỏi bị người khác truy cập và sử dụng cho mục đích riêng của họ. Điểm đặc biệt của những quỹ như vậy ở Nga là việc sử dụng chúng được pháp luật quy định chặt chẽ. Hiện tại, các sản phẩm thông tin được thiết kế để mã hóa trong mạng công ty chỉ được cài đặt tại các máy trạm nơi lưu trữ thông tin có tầm quan trọng rất cao hoặc xử lý thanh toán tiền mặt điện tử (ví dụ: trong hệ thống Ngân hàng-Khách hàng).

Để bảo vệ toàn diện hệ thống thông tin và công nghệ của doanh nghiệp, nên sử dụng các công cụ phần mềm và phần cứng của các công ty lớn. Họ có thể cung cấp một loạt các dịch vụ và cơ sở vật chất đầy đủ hơn và theo cách thức công nghệ tiên tiến hơn.

Vì bảo vệ thông tin trong các tập đoàn là một vấn đề phức tạp nên không có phương tiện chữ ký số và mã hóa nào có thể giúp ích nếu các thành phần bảo vệ khác không được xem xét. Hầu hết các cơ cấu doanh nghiệp trên thực tế không coi mối đe dọa rò rỉ thông tin qua các kênh kỹ thuật (thông qua hệ thống cung cấp điện, đường dây điện thoại, cơ sở kỹ thuật, thiết bị ghi thông tin bí mật, v.v.) là có thật, mặc dù theo một số tổ chức có liên quan đến vấn đề bảo mật thông tin, đây là một trong những kênh bị đánh cắp thông tin phổ biến nhất hiện nay.

Kiểm soát chất lượng bảo mật thông tin tại các địa điểm là trách nhiệm của các tổ chức đã vượt qua kỳ kiểm tra đặc biệt và được công nhận trong hệ thống chứng nhận chung. Họ chịu hoàn toàn trách nhiệm pháp lý và tài chính cho hành động của mình. Hiện tại, có hai loại tổ chức trên thị trường cung cấp dịch vụ trong lĩnh vực này: những tổ chức có giấy phép nhưng không được Ủy ban Kỹ thuật Nhà nước (hiện là Cơ quan Kiểm soát Kỹ thuật và Xuất khẩu Liên bang) công nhận là tổ chức chứng nhận và những tổ chức đó có cả giấy phép và chứng nhận. Sự khác biệt giữa họ là mặc dù cả hai đều có thể tiến hành kiểm tra các tổ chức thuộc loại thứ nhất (thường là các tổ chức nhà thầu phụ), nhưng họ không có quyền phê duyệt giấy chứng nhận sự phù hợp và phải nộp đơn xin cấp giấy chứng nhận này cho một trong các tổ chức. tổ chức chứng nhận hoặc trực tiếp đến Ủy ban Kỹ thuật Nhà nước.

Mỗi doanh nghiệp, ngân hàng, tùy theo điều kiện hoạt động cụ thể, đều yêu cầu phải có hệ thống bảo mật thông tin được cá nhân hóa. Việc xây dựng một hệ thống như vậy chỉ có thể thực hiện được bởi các công ty có giấy phép cho loại hoạt động cụ thể.

Lấy ví dụ về ngân hàng, hệ thống bảo mật thông tin được cá nhân hóa phải tương xứng với mức độ quan trọng và bí mật của thông tin. Chi phí của nó không được vượt quá thiệt hại có thể xảy ra do vi phạm tính bảo mật của thông tin được bảo vệ. Nhưng đồng thời, việc khắc phục hệ thống bảo mật sẽ không hiệu quả về mặt kinh tế so với những lợi ích có thể có được từ việc truy cập, phá hủy, sửa đổi hoặc chặn thông tin được bảo vệ. Để xác định mức độ phù hợp của chi phí của hệ thống bảo vệ, mức độ thiệt hại và xác suất xảy ra của nó phải được so sánh với chi phí cung cấp bảo vệ. Vì chi phí thực sự của thông tin khá khó ước tính nên đánh giá định tính của chuyên gia thường được sử dụng. Nguồn thông tin được phân loại là quan trọng khi kinh doanh nếu chúng có tầm quan trọng đặc biệt trong bất kỳ vấn đề nào, v.v.

Mức độ bảo mật thông tin phải được xác định chính thức dựa trên mức độ bảo mật của thông tin đang được xử lý và mức độ thiệt hại do vi phạm bảo mật. Xác định mức độ bảo mật cần thiết là đặc quyền của ban quản lý ngân hàng. Nó có thể rất khác nhau tùy thuộc vào mục tiêu chiến lược và chiến thuật của ngân hàng, công nghệ xử lý thông tin được sử dụng, quan điểm riêng của ban quản lý, thành phần nhân viên phục vụ, thành phần các công cụ tự động và nhiều lý do khác. Điều quan trọng khi xác định mức độ bảo mật thông tin là các yêu cầu của khuôn khổ pháp lý và cơ quan chính phủ.

Mức độ bảo mật thông tin trong hệ thống ngân hàng tự động cũng được xác định bởi lĩnh vực cụ thể của các mối đe dọa vi phạm bảo mật. Danh sách đầy đủ các mối đe dọa trong thế giới máy tính hiện đại dài hơn một trang. Một đánh giá cụ thể về khả năng xảy ra của từng mối đe dọa cần được xác định trên một hệ thống ngân hàng cụ thể.

Các sản phẩm phần mềm hiện có trên thị trường liên quan đến phương pháp bảo mật thông tin đều có hệ thống kiểm soát truy cập. Từ quan điểm tổ chức, các biện pháp giới thiệu người dùng mới vào hệ thống vẫn do các dịch vụ bảo mật quyết định. Một ví dụ là điền vào biểu mẫu để có quyền truy cập hệ thống, trong đó có danh sách các nhiệm vụ chức năng, danh sách các thao tác trong một nhiệm vụ chức năng cụ thể và danh sách các hành động mà người vận hành được phép thực hiện. Bảng câu hỏi được phê duyệt bởi ban quản lý ngân hàng, dịch vụ bảo mật và dịch vụ hỗ trợ. Sau các bước này, người vận hành cần biết hai mật khẩu để đăng nhập vào hệ thống: mật khẩu người giám sát để đăng nhập vật lý vào máy tính và mật khẩu cá nhân để đăng nhập vào hệ thống.

Trong hầu hết các trường hợp, tội phạm máy tính đều do nhân viên ngân hàng thực hiện. Một số ngân hàng thích tuyển dụng đội ngũ nhân viên phát triển phần mềm. Người phát triển hệ thống biết mọi thứ về hệ thống, mọi điểm yếu của nó, anh ta biết cách sửa đổi thông tin để không ai phát hiện ra. Không ai ngoài anh ta có thể duy trì hệ thống tốt hơn. Như thực tế cho thấy, việc thực hiện tội phạm máy tính được tạo điều kiện thuận lợi do vi phạm các quy định và quy tắc lưu trữ thông tin.

Hiện nay, xã hội nói chung phụ thuộc vào máy tính nên ngày nay vấn đề bảo mật thông tin đang là vấn đề của toàn xã hội.

Bảo vệ thông tin đã trở thành một ngành khoa học, kỹ thuật và công nghệ độc lập, phát triển năng động. Các xu hướng hiện đại trong bảo vệ thông tin tuân theo các xu hướng chung trong sự phát triển của hệ thống và công nghệ máy tính: tích hợp, tiêu chuẩn hóa, tính di động, tính minh bạch.

Sự phát triển trong lĩnh vực an ninh thông tin tiếp tục phát triển nhanh chóng. Nhu cầu về các sản phẩm phần mềm có đảm bảo an toàn thông tin ngày càng tăng. Các vấn đề về mạng vẫn là vấn đề cấp bách nhất.

TRƯỜNG ĐẠI HỌC NHÀ NƯỚC BELARUSIAN

Công việc cuối cùng trên
"Cơ bản về công nghệ thông tin"

học viên thạc sĩ

Khoa điều khiển học

Kozlovsky Evgeniy

Lãnh đạo:

Phó Giáo sư Anishchenko Vladimir Viktorovich,

Nghệ thuật. giáo viên Kozhich Pavel Pavlovich

Minsk - 2008

ERP – Hệ thống hoạch định nguồn lực doanh nghiệp

MRP II- Kế hoạch yêu cầu vật liệu

MRP II– Lập kế hoạch nguồn lực sản xuất

Phần mềm – phần mềm

CIS– Hệ thống thông tin doanh nghiệp

SVT – cơ sở máy tính

NSD - truy cập trái phép

Hệ thống thông tin doanh nghiệp đã trở thành một phần trong cuộc sống của chúng ta. Trong thế giới hiện đại, thật khó để tưởng tượng một doanh nghiệp phát triển thành công được quản lý mà không có sự tham gia của một hệ thống như vậy.

Do hệ thống thông tin doanh nghiệp lưu trữ thông tin, việc vi phạm tính toàn vẹn hoặc bảo mật có thể dẫn đến sự sụp đổ của toàn bộ doanh nghiệp nên vấn đề bảo vệ thông tin trong hệ thống thông tin doanh nghiệp là rất cấp bách.

Công việc này có một số mục tiêu. Một trong số đó là việc phân tích cấu trúc của hệ thống thông tin doanh nghiệp. Dựa trên phân tích này, việc phân loại của họ sẽ được thực hiện. Ngoài ra, một trong những mục tiêu của công việc này là nghiên cứu các cơ chế bảo vệ dữ liệu trong các loại hệ thống thông tin doanh nghiệp khác nhau. Ngoài ra, mục tiêu là điều tra các mối đe dọa hiện có đối với hệ thống thông tin của công ty và phân tích các phương pháp nhằm giảm thiểu hoặc loại bỏ hoàn toàn chúng. Về vấn đề này, một nghiên cứu sẽ được tiến hành về các phương pháp kiểm soát truy cập hiện có và phân tích khả năng ứng dụng của chúng trong một số điều kiện nhất định.

Thuật ngữ công ty xuất phát từ tiếng Latin tập đoàn- Liên hiệp. Tổng công ty là một hiệp hội các doanh nghiệp hoạt động dưới sự kiểm soát tập trung và giải quyết các vấn đề chung. Theo quy định, các tập đoàn bao gồm các doanh nghiệp có trụ sở ở các khu vực khác nhau và thậm chí ở các quốc gia khác nhau (các tập đoàn xuyên quốc gia).

Hệ thống thông tin doanh nghiệp (CIS) là hệ thống quản lý tích hợp dành cho một tập đoàn phân bố theo địa lý, dựa trên phân tích dữ liệu chuyên sâu, sử dụng rộng rãi các hệ thống hỗ trợ thông tin ra quyết định, quản lý tài liệu điện tử và công việc văn phòng.

Lý do triển khai hệ thống thông tin doanh nghiệp:

· truy cập nhanh chóng vào thông tin được trình bày đáng tin cậy và thuận tiện;

· tạo ra một không gian thông tin thống nhất;

· đơn giản hóa việc đăng ký và xử lý dữ liệu;

· loại bỏ việc đăng ký hai lần cùng một dữ liệu;

· đăng ký thông tin theo thời gian thực;

· giảm chi phí lao động, phân bổ đồng đều giữa tất cả những người tham gia vào hệ thống kế toán, lập kế hoạch và quản lý;

· tự động hóa việc hợp nhất dữ liệu cho cơ cấu tổ chức phân tán.

Tất cả các hệ thống thông tin của công ty có thể được chia thành hai nhóm nhỏ. Một trong số chúng bao gồm một hệ thống duy nhất được lắp ráp trên cơ sở mô-đun và có mức độ tích hợp cao. Cái còn lại là một tập hợp, mặc dù được tích hợp với nhau bằng cách sử dụng các dịch vụ và giao diện, nhưng vẫn là các ứng dụng không đồng nhất.

Lớp đầu tiên chủ yếu bao gồm các hệ thống ERP hiện đại.

Hệ thống ERP (Enterprise Resource Planning System) là hệ thống thông tin doanh nghiệp được thiết kế để tự động hóa kế toán và quản lý. Theo quy định, hệ thống ERP được xây dựng trên cơ sở mô-đun và ở mức độ này hay mức độ khác, bao gồm tất cả các quy trình chính của công ty.

Trong lịch sử, khái niệm ERP đã trở thành sự phát triển của các khái niệm đơn giản hơn về MRP (Lập kế hoạch nhu cầu nguyên vật liệu) và MRP II (Lập kế hoạch nguồn lực sản xuất). Các công cụ phần mềm được sử dụng trong hệ thống ERP cho phép lập kế hoạch sản xuất, mô hình hóa luồng đơn đặt hàng và đánh giá khả năng triển khai chúng trong các dịch vụ và bộ phận của doanh nghiệp, liên kết nó với hoạt động bán hàng.

Hệ thống ERP dựa trên nguyên tắc tạo ra một kho dữ liệu duy nhất chứa tất cả thông tin kinh doanh của công ty và cung cấp quyền truy cập đồng thời vào nó cho bất kỳ số lượng nhân viên doanh nghiệp cần thiết nào được trao quyền thích hợp. Việc thay đổi dữ liệu được thực hiện thông qua các chức năng (chức năng) của hệ thống. Các chức năng chính của hệ thống ERP: duy trì các thông số kỹ thuật về thiết kế và công nghệ xác định thành phần của sản phẩm được sản xuất, cũng như nguồn nguyên liệu và hoạt động cần thiết cho quá trình sản xuất của chúng; xây dựng kế hoạch bán hàng và sản xuất; lập kế hoạch yêu cầu về nguyên liệu, linh kiện, thời gian và khối lượng cung cấp để hoàn thành kế hoạch sản xuất; quản lý hàng tồn kho và mua sắm: duy trì hợp đồng, thực hiện mua sắm tập trung, đảm bảo hạch toán và tối ưu hóa hàng tồn kho kho, xưởng; hoạch định năng lực sản xuất từ ​​quy hoạch quy mô lớn đến việc sử dụng máy móc, thiết bị riêng lẻ; quản lý tài chính hoạt động, bao gồm lập kế hoạch tài chính và giám sát việc thực hiện kế hoạch đó, kế toán tài chính và quản lý; quản lý dự án, bao gồm các giai đoạn lập kế hoạch và nguồn lực.

Chúng thường có lõi bao gồm một số mô-đun chính mà nếu không có mô-đun này thì hệ thống không thể hoạt động. Trong số những thứ khác, bộ này còn bao gồm một hệ thống bảo mật, đảm nhận hầu hết các chức năng liên quan đến bảo vệ thông tin trong toàn bộ hệ thống và trong từng mô-đun tích hợp nói riêng. Cách tiếp cận này rất thuận tiện vì nhiều lý do:

Các cơ chế đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu trong hệ thống như vậy được thống nhất tối đa. Điều này cho phép quản trị viên tránh những sai sót khi định cấu hình các mô-đun hệ thống khác nhau, điều này có thể dẫn đến các lỗ hổng bảo mật.

Hệ thống này có mức độ tập trung cao và cho phép bạn quản lý việc bảo vệ hệ thống thông tin công ty của mình một cách dễ dàng và đáng tin cậy.

Những lợi thế của các hệ thống như vậy bao gồm:

Sử dụng hệ thống ERP cho phép bạn sử dụng một chương trình tích hợp thay vì nhiều chương trình riêng biệt.

Hệ thống kiểm soát truy cập thông tin được triển khai trong hệ thống ERP được thiết kế (kết hợp với các biện pháp bảo mật thông tin doanh nghiệp khác) để chống lại cả các mối đe dọa bên ngoài (ví dụ: gián điệp công nghiệp) và các mối đe dọa nội bộ (ví dụ: trộm cắp).

Một nghiên cứu về các trường đại học ở liên bang, hầu hết là trường quốc doanh, cho thấy rằng trong lĩnh vực tự động hóa nhất, tài chính, 42% trong số họ chỉ sử dụng các ứng dụng văn phòng hoặc sử dụng giấy tờ theo cách cũ. Nhưng ngay cả khi mức độ tự động hóa tương đối cao, các mô-đun thường không được kết nối với nhau theo bất kỳ cách nào. Và cần có khoảng mười hệ thống con như vậy: lập kế hoạch tài chính, quản lý bất động sản, quản lý dự án, quản lý chất lượng, báo cáo, môi trường công cụ, v.v. Theo ước tính thận trọng nhất, khi phát triển từng sản phẩm, chỉ riêng chi phí lao động sẽ là khoảng 25 nghìn đô la. Có tính đến việc 25-40% tổng chi phí tạo ra một sản phẩm phần mềm được chi cho việc phát triển, ước tính kết quả phải là tăng ít nhất 2,5-4 lần. Hỗ trợ cho hệ thống đã triển khai sẽ tiêu tốn thêm 140-240 nghìn đô la hàng năm. Vì vậy, ý tưởng cho rằng việc phát triển nội bộ là rẻ là một ảo tưởng nảy sinh khi thiếu các biện pháp kiểm soát chi phí hiệu quả.

Các hệ thống ERP hiện đại có thể thích ứng khá thành công với công việc của các tổ chức giáo dục. Tuy nhiên, điều cần lưu ý là khi triển khai các hệ thống như vậy, cần phải tính đến một số tính năng vốn có trong hệ thống thông tin của các tổ chức đó.

Sự hiện diện của một số hệ thống con chuyên biệt giải quyết các vấn đề khá độc lập. Dữ liệu được sử dụng bởi mỗi hệ thống con có tính chuyên môn cao, tức là. độc lập với các ứng dụng hệ thống thông tin khác. Ví dụ, trong một trường đại học, người ta có thể phân biệt các hệ thống con như phòng kế toán, thư viện, phòng biên tập và xuất bản, các ứng dụng xử lý quá trình giáo dục, v.v. Mặt khác, tất cả các hệ thống con đều được đặt trong cùng một không gian thông tin và được kết nối với nhau (một hệ thống dữ liệu tham chiếu duy nhất, kết quả hoạt động của một ứng dụng này làm cơ sở cho hoạt động của ứng dụng khác, v.v.).

Yêu cầu xuất bản một phần đáng kể thông tin IP, cùng với việc cung cấp giao diện truy cập vào dữ liệu hệ thống thông tin của công ty cho người dùng bên thứ ba.

Theo tôi, loại hệ thống thứ hai dễ bị ảnh hưởng bởi các lỗ hổng bảo mật hơn do lỗi trong cấu hình bảo mật của ứng dụng. Như đã lưu ý, mặc dù có sự tích hợp nhất định, nhưng trên thực tế, các hệ thống như vậy là một tập hợp các sản phẩm độc lập riêng biệt. Theo đó, mỗi người trong số họ sử dụng các phương pháp riêng để đảm bảo tính toàn vẹn, bảo mật và sẵn có của dữ liệu và yêu cầu cấu hình riêng. Nếu chúng ta cũng tính đến thực tế là các bộ phận của một hệ thống như vậy không phải lúc nào cũng tương thích với nhau, thì rõ ràng là để các ứng dụng hoạt động cùng nhau, đôi khi cần phải hy sinh tính bảo mật. Việc phân cấp các hệ thống như vậy thường không cho phép quản trị viên giám sát việc phân định quyền truy cập trong hệ thống.

Trước khi xem xét các lỗ hổng của hệ thống thông tin doanh nghiệp, chúng tôi sẽ giới thiệu một số định nghĩa.

Dưới truy cập thông tin có nghĩa là làm quen với thông tin, xử lý thông tin, đặc biệt là sao chép, sửa đổi hoặc tiêu hủy thông tin.

Sự khác biệt được thực hiện giữa việc truy cập thông tin được phép và không được phép.

- Đây là quyền truy cập vào thông tin không vi phạm các quy tắc kiểm soát truy cập đã được thiết lập.

dùng để điều chỉnh quyền truy cập của các chủ thể truy cập vào các đối tượng truy cập.

được đặc trưng bởi sự vi phạm các quy tắc kiểm soát truy cập đã được thiết lập. Một người hoặc quy trình có quyền truy cập trái phép vào thông tin sẽ vi phạm các quy tắc kiểm soát truy cập. Truy cập trái phép là loại vi phạm máy tính phổ biến nhất.

Quyền riêng tư dữ liệu là trạng thái được cung cấp cho dữ liệu và xác định mức độ bảo vệ cần thiết. Về cơ bản, bảo mật thông tin là đặc tính của thông tin chỉ được biết đối với các đối tượng được thừa nhận và xác minh (được ủy quyền) của hệ thống (người dùng, quy trình, chương trình). Đối với các đối tượng khác của hệ thống, thông tin này không được biết.

Chủ thể- đây là thành phần hoạt động của hệ thống có thể gây ra luồng thông tin từ đối tượng đến chủ thể hoặc thay đổi trạng thái của hệ thống.

Một đối tượng- một thành phần thụ động của hệ thống lưu trữ, nhận hoặc truyền thông tin. Truy cập một đối tượng có nghĩa là truy cập thông tin mà nó chứa.

Chính trực thông tinđược đảm bảo nếu dữ liệu trong hệ thống không khác biệt về mặt ngữ nghĩa với dữ liệu được đưa ra trong tài liệu nguồn, tức là. trừ khi có sự bóp méo hoặc phá hủy vô tình hoặc cố ý.

Chính trực thành phần hoặc tài nguyên hệ thống là đặc tính của một thành phần hoặc tài nguyên không thay đổi về mặt ngữ nghĩa khi hệ thống hoạt động trong các điều kiện bị biến dạng ngẫu nhiên hoặc có chủ ý hoặc có ảnh hưởng phá hoại.

khả dụng thành phần hoặc nguồn của hệ thống là thuộc tính của một thành phần hoặc tài nguyên có thể truy cập được" đối với các chủ thể hợp pháp được ủy quyền của hệ thống.

Dưới mối đe dọa an ninh Hệ thống thông tin của công ty hiểu được những tác động có thể xảy ra đối với nó, trực tiếp hoặc gián tiếp có thể làm tổn hại đến tính bảo mật của hệ thống đó.

Thiệt hại về an ninh ngụ ý vi phạm tính bảo mật của thông tin được chứa và xử lý trong hệ thống thông tin của công ty. Khái niệm về tính dễ bị tổn thương của hệ thống thông tin doanh nghiệp có liên quan chặt chẽ với khái niệm về mối đe dọa an ninh.

Tính dễ bị tổn thương Hệ thống thông tin doanh nghiệp là một thuộc tính nhất định của hệ thống có thể làm xuất hiện và thực hiện các mối đe dọa.

Tấn công trên hệ thống máy tính là hành động do kẻ tấn công thực hiện, bao gồm tìm kiếm và khai thác lỗ hổng hệ thống cụ thể. Vì vậy, một cuộc tấn công là việc thực hiện một mối đe dọa an ninh.

Chống lại các mối đe dọa bảo mật là mục tiêu của việc bảo vệ hệ thống xử lý thông tin.

An toàn hoặc hệ thống an toàn là một hệ thống có các biện pháp bảo mật nhằm chống lại các mối đe dọa an ninh một cách thành công và hiệu quả.

Bộ thiết bị bảo vệ là tập hợp các phần mềm, phần cứng được tạo ra và hỗ trợ nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của doanh nghiệp. Khu phức hợp được tạo và duy trì theo chính sách bảo mật được tổ chức thông qua.

Chính sách bảo mật là một tập hợp các quy tắc, quy tắc và khuyến nghị thực tế nhằm điều chỉnh hoạt động của các phương tiện bảo vệ hệ thống thông tin của công ty khỏi một loạt các mối đe dọa bảo mật nhất định.

Hệ thống thông tin của công ty, giống như bất kỳ hệ thống thông tin nào, đều phải đối mặt với các mối đe dọa về bảo mật. Hãy phân loại các mối đe dọa này.

1. Vi phạm bảo mật thông tin trong hệ thống thông tin doanh nghiệp

2. vi phạm tính toàn vẹn của thông tin trong hệ thống thông tin của doanh nghiệp.

3. từ chối dịch vụ đối với hệ thống thông tin của công ty

Chúng ta hãy xem xét kỹ hơn những mối đe dọa này.

Các mối đe dọa bảo mật nhằm mục đích tiết lộ thông tin bí mật hoặc mật. Khi những mối đe dọa này được triển khai, thông tin sẽ được những người không có quyền truy cập vào thông tin đó biết đến. Theo thuật ngữ bảo mật máy tính, mối đe dọa về quyền riêng tư xảy ra bất cứ khi nào có quyền truy cập trái phép vào một số thông tin độc quyền được lưu trữ trên hệ thống máy tính hoặc được truyền từ hệ thống này sang hệ thống khác.

Các mối đe dọa vi phạm tính toàn vẹn của thông tin được lưu trữ trong hệ thống máy tính hoặc được truyền qua kênh liên lạc nhằm mục đích thay đổi hoặc bóp méo thông tin, dẫn đến vi phạm chất lượng hoặc phá hủy hoàn toàn thông tin đó. Tính toàn vẹn của thông tin có thể bị kẻ tấn công cố ý vi phạm cũng như do những ảnh hưởng khách quan từ môi trường xung quanh hệ thống. Mối đe dọa này đặc biệt liên quan đến các hệ thống truyền tải thông tin, mạng máy tính và hệ thống viễn thông. Không nên nhầm lẫn các hành vi cố ý vi phạm tính toàn vẹn của thông tin với thay đổi được ủy quyền, được thực hiện bởi người được ủy quyền vì mục đích chính đáng (ví dụ: thay đổi đó là sự điều chỉnh định kỳ của một cơ sở dữ liệu nhất định).

Các mối đe dọa gián đoạn (từ chối dịch vụ) nhằm mục đích tạo ra các tình huống trong đó các hành động cố ý nhất định làm giảm hiệu suất của CIS hoặc chặn quyền truy cập vào một số tài nguyên của nó. Ví dụ: nếu một người dùng hệ thống yêu cầu quyền truy cập vào một dịch vụ và một người khác thực hiện hành động để chặn quyền truy cập đó thì người dùng đầu tiên sẽ bị từ chối dịch vụ. Việc chặn quyền truy cập vào tài nguyên có thể là vĩnh viễn hoặc tạm thời.

Các mối đe dọa có thể được phân loại theo một số thông số

· Theo mức độ thiệt hại gây ra:

o giới hạn mà sau đó công ty có thể bị phá sản;

o đáng kể nhưng không dẫn đến phá sản;

o không đáng kể, công ty có thể bù đắp theo thời gian.

theo xác suất xảy ra:

o mối đe dọa rất có thể xảy ra;

o mối đe dọa có thể xảy ra;

o mối đe dọa không thể xảy ra.

· vì lý do ngoại hình:

o thiên tai;

o hành động có chủ ý.

· Theo tính chất thiệt hại gây ra:

o vật chất;

o đạo đức;

· Theo tính chất tác động:

o hoạt động;

o thụ động.

· liên quan đến đối tượng:

o nội bộ;

o bên ngoài.

· Các nguồn đe dọa từ bên ngoài là:

o đối thủ cạnh tranh không lành mạnh;

o các nhóm và tổ chức tội phạm;

o các cá nhân, tổ chức thuộc bộ máy hành chính, quản lý.

Nguồn gốc của các mối đe dọa nội bộ có thể là:

o Quản trị doanh nghiệp;

o nhân viên;

o Phương tiện kỹ thuật hỗ trợ hoạt động sản xuất và lao động.

Tỷ lệ các mối đe dọa bên ngoài và bên trong ở mức trung bình có thể được mô tả như sau:

82% các mối đe dọa được thực hiện bởi chính nhân viên của công ty với sự tham gia trực tiếp hoặc gián tiếp của họ;

17% mối đe dọa đến từ bên ngoài - mối đe dọa từ bên ngoài;

1% các mối đe dọa được thực hiện bởi các cá nhân ngẫu nhiên.

Trong hầu hết các trường hợp, điều nguy hiểm nhất về mức độ thiệt hại gây ra là hành vi vi phạm bí mật thông tin. Hãy xem xét những cách có thể xảy ra vi phạm như vậy.

Tiết lộ là hành động cố ý hoặc bất cẩn đối với thông tin bí mật dẫn đến việc những người không được phép biết thông tin đó bị làm quen với thông tin đó. Tiết lộ được thể hiện trong việc liên lạc, truyền tải, cung cấp, chuyển tiếp, xuất bản, mất mát và các hình thức trao đổi và hành động khác với thông tin kinh doanh và khoa học. Việc công bố thông tin được thực hiện thông qua các kênh phổ biến thông tin chính thức và không chính thức. Thông tin liên lạc chính thức bao gồm các cuộc họp kinh doanh, các cuộc họp, đàm phán và các hình thức liên lạc tương tự: trao đổi các tài liệu khoa học và kinh doanh chính thức bằng cách truyền tải thông tin chính thức (thư, điện thoại, điện báo, v.v.). Truyền thông không chính thức bao gồm giao tiếp cá nhân (các cuộc họp, thư từ), triển lãm, hội thảo, hội nghị và các sự kiện công cộng khác, cũng như các phương tiện truyền thông (in, báo, phỏng vấn, đài phát thanh, truyền hình). Theo quy định, lý do tiết lộ thông tin bí mật là do nhân viên chưa hiểu đầy đủ về các quy tắc bảo vệ bí mật thương mại và không hiểu (hoặc hiểu sai) sự cần thiết phải tuân thủ cẩn thận các quy tắc đó. Điều quan trọng cần lưu ý ở đây là chủ thể trong quá trình này là nguồn (chủ sở hữu) của các bí mật được bảo vệ. Điều đáng chú ý là các tính năng thông tin của hành động này. Thông tin có ý nghĩa, có ý nghĩa, có trật tự, hợp lý, đồ sộ và thường được cung cấp theo thời gian thực. Thường có cơ hội để đối thoại. Thông tin tập trung vào một lĩnh vực chủ đề cụ thể và được ghi lại. Để có được thông tin mà kẻ tấn công quan tâm, kẻ tấn công dành hầu hết nỗ lực tối thiểu và sử dụng các phương tiện kỹ thuật hợp pháp đơn giản (máy ghi âm, giám sát video).

Rò rỉ là việc tiết lộ thông tin bí mật một cách không kiểm soát ra bên ngoài tổ chức hoặc vòng tròn của những người được giao phó thông tin đó.

Thông tin bị rò rỉ thông qua các kênh kỹ thuật khác nhau. Được biết, thông tin thường được truyền hoặc truyền bằng năng lượng hoặc vật chất. Đây có thể là sóng âm (âm thanh) hoặc bức xạ điện từ hoặc một tờ giấy (văn bản viết), v.v. Khi tính đến điều này, có thể lập luận rằng, về bản chất vật lý, có thể có các cách truyền thông tin sau: tia sáng, sóng âm, sóng điện từ, vật chất và các chất... Theo đó, các kênh rò rỉ thông tin được phân loại thành hình ảnh, quang học, âm thanh, điện từ và vật chất. Kênh rò rỉ thông tin thường được hiểu là đường dẫn vật lý từ nguồn thông tin bí mật đến kẻ tấn công, qua đó kẻ tấn công có thể truy cập vào thông tin được bảo vệ. Để hình thành kênh rò rỉ thông tin, cần có một số điều kiện không gian, năng lượng và thời gian nhất định, cũng như sự hiện diện của thiết bị thích hợp về phía kẻ tấn công để nhận, xử lý và ghi thông tin.

Truy cập trái phép là hành vi cố ý thu thập thông tin bí mật một cách bất hợp pháp bởi một người không có quyền truy cập các bí mật được bảo vệ. Việc truy cập trái phép vào các nguồn thông tin bí mật được thực hiện theo nhiều cách khác nhau: từ hợp tác chủ động, thể hiện ở mong muốn tích cực “bán” bí mật, đến việc sử dụng nhiều phương tiện khác nhau để xâm nhập vào bí mật thương mại. Để thực hiện những hành động này, kẻ tấn công thường phải xâm nhập vào cơ sở hoặc tạo ra các trạm kiểm soát và quan sát đặc biệt gần nó - cố định hoặc di động, được trang bị các phương tiện kỹ thuật hiện đại nhất. Nếu chúng tôi tiến hành từ một cách tiếp cận tích hợp để đảm bảo an ninh thông tin thì bộ phận này sẽ tập trung vào việc bảo vệ thông tin, cả khỏi bị tiết lộ và rò rỉ thông qua các kênh kỹ thuật cũng như khỏi sự truy cập trái phép của các đối thủ cạnh tranh và những kẻ tấn công. Cách tiếp cận này nhằm phân loại các hành động góp phần thu thập thông tin bí mật một cách bất hợp pháp cho thấy tính linh hoạt của các mối đe dọa và tính chất nhiều mặt của các biện pháp bảo vệ cần thiết để đảm bảo an ninh thông tin toàn diện.

Có tính đến những điều trên, vẫn còn phải xem xét câu hỏi về những điều kiện nào góp phần vào việc thu thập thông tin bí mật một cách bất hợp pháp.

Theo thống kê thì thế này:

Tiết lộ (nhân viên nói quá nhiều) - 32%;

Truy cập trái phép thông qua hối lộ và xúi giục hợp tác từ các đối thủ cạnh tranh và các nhóm tội phạm - 24%;

Thiếu sự kiểm soát phù hợp và các điều kiện nghiêm ngặt để đảm bảo an ninh thông tin tại công ty - 14%;

Trao đổi kinh nghiệm sản xuất truyền thống - 12%;

Sử dụng hệ thống thông tin không kiểm soát - 10%;

Sự hiện diện của các điều kiện tiên quyết làm nảy sinh tình huống xung đột giữa các nhân viên - 8%;

Số liệu thống kê trên cho thấy, điểm dễ bị tổn thương nhất trong hệ thống bảo mật hệ thống thông tin doanh nghiệp chính là chính các nhân viên, những người vô tình hoặc cố ý vi phạm an ninh hệ thống thông tin.

Dựa trên các phương pháp tác động, tất cả các biện pháp nhằm giảm thiểu các mối đe dọa được chia thành:

Pháp lý (lập pháp);

Đạo đức và đạo đức;

Hành chính;

Thuộc vật chất;

Phần cứng và phần mềm.

Các biện pháp bảo mật CIS được liệt kê có thể được coi là một chuỗi các rào cản hoặc ranh giới để bảo vệ thông tin. Để có được thông tin được bảo vệ, bạn cần phải vượt qua liên tục một số dòng bảo vệ. Chúng ta hãy xem xét kỹ hơn về họ.

Tuyến phòng thủ đầu tiên cản đường một người đang cố gắng thực hiện truy cập trái phép vào thông tin là hoàn toàn hợp pháp. Khía cạnh bảo vệ thông tin này gắn liền với nhu cầu tuân thủ các tiêu chuẩn pháp lý khi truyền và xử lý thông tin. Các biện pháp pháp lý để bảo vệ thông tin bao gồm luật, nghị định và các quy định khác có hiệu lực tại quốc gia quy định các quy tắc xử lý thông tin có mức sử dụng hạn chế và trách nhiệm pháp lý đối với các hành vi vi phạm thông tin đó. Bằng cách này, họ ngăn chặn việc sử dụng thông tin trái phép và đóng vai trò ngăn chặn những kẻ vi phạm tiềm năng.

Tuyến phòng thủ thứ hai được hình thành bằng các biện pháp đạo đức và đạo đức . Khía cạnh đạo đức của việc tuân thủ các yêu cầu bảo vệ có tầm quan trọng rất lớn. Điều rất quan trọng là những người có quyền truy cập vào máy tính phải làm việc trong môi trường đạo đức và đạo đức lành mạnh.

Các biện pháp đối phó về đạo đức và đạo đức bao gồm tất cả các loại chuẩn mực hành vi đã hoặc đang phát triển theo truyền thống trong xã hội khi máy tính lan rộng trong nước. Những chuẩn mực này phần lớn không bắt buộc, giống như những quy định của pháp luật, nhưng việc không tuân thủ thường dẫn đến suy giảm uy tín của một cá nhân, một nhóm cá nhân hoặc tổ chức. Các tiêu chuẩn đạo đức và đạo đức có thể vừa bất thành văn (ví dụ, các tiêu chuẩn được chấp nhận rộng rãi về tính trung thực, lòng yêu nước, v.v.) và được chính thức hóa trong một bộ quy tắc hoặc quy định nhất định. Ví dụ: Quy tắc ứng xử chuyên nghiệp của Hiệp hội người dùng máy tính Hoa Kỳ coi những hành động phi đạo đức, cố ý hoặc vô ý:

Làm xáo trộn hoạt động bình thường của hệ thống máy tính;

Gây ra chi phí tài nguyên không hợp lý (thời gian máy tính, bộ nhớ, kênh liên lạc, v.v.);

Vi phạm tính toàn vẹn của thông tin (được lưu trữ và xử lý);

Vi phạm lợi ích của người dùng hợp pháp khác, v.v.

Rào cản thứ ba ngăn chặn việc sử dụng thông tin trái phép là các biện pháp hành chính. Quản trị viên ở mọi cấp bậc, có tính đến các quy phạm pháp luật và khía cạnh xã hội, xác định các biện pháp hành chính để bảo vệ thông tin.

Các biện pháp bảo vệ hành chính liên quan đến các biện pháp mang tính chất tổ chức. Họ điều chỉnh:

quy trình hoạt động của CIS;

Sử dụng tài nguyên CIS;

Hoạt động của nhân viên;

Thứ tự mà người dùng tương tác với hệ thống nhằm gây khó khăn hơn hoặc không thể xảy ra các mối đe dọa bảo mật.

Các biện pháp hành chính bao gồm:

Xây dựng các quy tắc xử lý thông tin trong CIS;

Một tập hợp các hành động khi thiết kế và trang bị các trung tâm máy tính và các cơ sở CIS khác (có tính đến ảnh hưởng của thiên tai, hỏa hoạn, an ninh cơ sở, v.v.);

Một tập hợp các hành động trong quá trình lựa chọn và đào tạo nhân sự (kiểm tra nhân viên mới, làm quen với quy trình làm việc với thông tin bí mật, xử phạt nếu vi phạm các quy tắc xử lý thông tin đó; tạo điều kiện để nhân viên lạm dụng sẽ không có lợi , vân vân.);

Tổ chức kiểm soát truy cập đáng tin cậy;

Tổ chức ghi chép, lưu trữ, sử dụng và tiêu hủy tài liệu, phương tiện chứa thông tin mật;

Phân phối chi tiết kiểm soát truy cập (mật khẩu, quyền hạn, v.v.);

Tổ chức kiểm soát bí mật công việc của người dùng và nhân viên CIS;

Một tập hợp các hành động trong quá trình thiết kế, phát triển, sửa chữa và sửa đổi thiết bị và phần mềm (chứng nhận phần cứng và phần mềm được sử dụng, ủy quyền nghiêm ngặt, xem xét và phê duyệt tất cả các thay đổi, kiểm tra việc tuân thủ các yêu cầu bảo mật, ghi lại các thay đổi, v.v.).

Điều quan trọng cần lưu ý là cho đến khi các biện pháp bảo vệ hành chính máy tính hiệu quả được thực hiện thì các biện pháp khác chắc chắn sẽ không hiệu quả. Các biện pháp bảo vệ hành chính và tổ chức có vẻ nhàm chán và thường xuyên so với các biện pháp đạo đức và đạo đức và thiếu tính cụ thể so với phần cứng và phần mềm. Tuy nhiên, chúng đại diện cho một rào cản mạnh mẽ đối với việc sử dụng thông tin bất hợp pháp và là cơ sở đáng tin cậy cho các cấp độ bảo vệ khác.

Biên giới thứ tư là các biện pháp bảo vệ vật chất . Các biện pháp bảo vệ vật lý bao gồm nhiều loại thiết bị hoặc cấu trúc cơ, điện và điện tử được thiết kế đặc biệt để tạo chướng ngại vật vật lý trên các tuyến đường xâm nhập và truy cập có thể có của những kẻ vi phạm tiềm năng vào các thành phần hệ thống và thông tin được bảo vệ.

Biên giới thứ năm là bảo vệ phần cứng và phần mềm . Chúng bao gồm các thiết bị điện tử khác nhau và các chương trình đặc biệt thực hiện các phương pháp bảo vệ sau một cách độc lập hoặc kết hợp với các phương tiện khác:

Nhận dạng (công nhận) và xác thực (xác thực) các chủ thể (người dùng, quy trình) của CIS;

Hạn chế quyền truy cập vào tài nguyên CIS;

Kiểm soát tính toàn vẹn dữ liệu;

Đảm bảo bí mật dữ liệu;

Đăng ký và phân tích các sự kiện xảy ra ở CIS;

Dự trữ tài nguyên và các thành phần của CIS.

Dựa trên phương pháp thực hiện, tất cả các biện pháp ngăn chặn các mối đe dọa đối với hệ thống thông tin của doanh nghiệp có thể được chia như sau.

Bàn 1. Ưu điểm và nhược điểm của các biện pháp chống lại mối đe dọa CIS

Thật không may, việc kiểm soát ở dạng thuần túy càng ít được áp dụng khi hệ thống thông tin càng lớn. Ngoài ra, câu hỏi ngay lập tức được đặt ra về tính thích hợp của việc thu thập dữ liệu này, bởi vì hầu như không thể xử lý chúng kịp thời hoặc điều này đòi hỏi phải thành lập một bộ phận riêng dành riêng cho công việc cụ thể này. Chúng ta không được quên rằng hầu hết dữ liệu đều có liên quan trong một thời gian rất ngắn.

Lệnh cấm là một công cụ rất thiếu linh hoạt. Lệnh cấm sử dụng phương tiện lưu trữ ngoại tuyến có thể làm nảy sinh những vấn đề mới liên quan đến thực tế là một nửa số bộ phận đã sử dụng chúng để liên lạc với thế giới bên ngoài: e-mail áp đặt các hạn chế về kích thước của tệp được chuyển, cơ quan thuế chấp nhận báo cáo kế toán chỉ trên đĩa mềm, v.v. Ngoài ra, chúng ta không được quên một vấn đề như sự thoải mái khi làm việc cơ bản. Những nhân viên luôn cảm thấy bị kiểm soát, gặp phải những hạn chế nghiêm trọng khi làm việc với máy tính, Internet, gửi thư hoặc nói chuyện qua điện thoại chẳng hạn, sẽ trở nên lo lắng, cáu kỉnh và tích tụ sự bất mãn trong bản thân. Đương nhiên, sớm hay muộn, điều này sẽ dẫn đến việc mất đi một nhân viên có giá trị hoặc khiến nhân viên đó muốn cố gắng lách những hạn chế và cấm đoán này.

Từ tất cả những điều trên, chúng ta có thể kết luận rằng việc kiểm soát và giới hạn bằng cách đặt ra tất cả những điều cấm có thể tưởng tượng được và không thể tưởng tượng được là vô nghĩa. Tốt hơn là nên xác định nhóm người, do tính chất công việc của họ, có quyền truy cập vào thông tin bí mật, sau đó thiết lập một hệ thống phân định quyền truy cập một cách thành thạo, mặc dù thực tế là việc duy trì một hệ thống như vậy sẽ đòi hỏi phải thiết lập và quản lý cẩn thận. bảo trì cẩn thận.

Do đó, rõ ràng là một trong những bước chính hướng tới việc đảm bảo tính bảo mật của thông tin là phân định quyền truy cập của nhân viên vào các tài nguyên của hệ thống thông tin doanh nghiệp nhằm hạn chế phạm vi thông tin có sẵn cho một nhân viên cụ thể ở giới hạn cần thiết cho thực hiện nhiệm vụ chính thức của mình.

Hãy xem xét các cơ chế kiểm soát truy cập phù hợp nhất.

Mô hình kiểm soát truy cập tùy ý được xác định bởi hai thuộc tính:

Tất cả các chủ thể, đối tượng đã được xác định;

Quyền truy cập của chủ thể vào các đối tượng hệ thống được xác định dựa trên cơ sở một số quy tắc bên ngoài hệ thống.

Thành phần chính của hệ thống kiểm soát truy cập tùy ý là ma trận truy cập. Ma trận truy cập - kích thước ma trận \S\ X \0\, có hàng tương ứng với chủ đề và cột tương ứng với đối tượng. Hơn nữa, mỗi phần tử của ma trận truy cập M Với R xác định quyền truy cập của chủ thể Sđến đối tượng ồ,Ở đâu R- nhiều quyền truy cập.

Khi sử dụng cơ chế kiểm soát truy cập tùy ý, các yêu cầu sau sẽ áp dụng cho cơ chế đó:

Hệ thống bảo mật phải kiểm soát quyền truy cập của các chủ thể được đặt tên (người dùng) vào các đối tượng được đặt tên (tệp, chương trình, ổ đĩa, v.v.).

Đối với mỗi cặp (chủ đề - đối tượng) trong cơ sở máy tính (CT), phải chỉ định danh sách rõ ràng và rõ ràng các loại quyền truy cập được chấp nhận (đọc, ghi, v.v.), tức là: những loại quyền truy cập được ủy quyền cho một chủ thể nhất định (cá nhân hoặc nhóm cá nhân) vào một tài nguyên (đối tượng SVT nhất định).

Hệ thống bảo mật phải chứa một cơ chế thực hiện các quy tắc kiểm soát truy cập tùy ý.

Kiểm soát truy cập phải được áp dụng cho mọi đối tượng, mọi chủ thể (cá nhân hoặc nhóm cá thể ngang nhau).

Cơ chế thực hiện nguyên tắc kiểm soát truy cập tùy ý phải cung cấp khả năng thay đổi được ủy quyền trong các quy tắc hoặc quyền kiểm soát truy cập (APR), bao gồm khả năng thay đổi được ủy quyền trong danh sách người dùng SVT và danh sách các đối tượng được bảo vệ.

Quyền thay đổi các quy tắc chung phải được trao cho các thực thể được chỉ định (hành chính, dịch vụ an ninh, v.v.).

Phải có các biện pháp kiểm soát để hạn chế sự phổ biến của quyền truy cập.

Ưu điểm của chính sách bảo mật tùy ý bao gồm việc triển khai hệ thống kiểm soát truy cập tương đối đơn giản. Điều này là do thực tế là hầu hết các hệ thống máy tính phổ biến hiện nay đều đảm bảo tuân thủ các yêu cầu của chính sách bảo mật cụ thể này.

Nhược điểm của chính sách bảo mật tùy ý bao gồm tính chất tĩnh của các quy tắc kiểm soát truy cập được xác định trong đó. Chính sách bảo mật này không tính đến động lực thay đổi trạng thái hệ thống máy tính. Ngoài ra, khi sử dụng chính sách bảo mật tùy ý, câu hỏi đặt ra là xác định các quy tắc phân phối quyền truy cập và phân tích tác động của chúng đối với tính bảo mật của hệ thống máy tính. Trong trường hợp chung, khi sử dụng chính sách bảo mật này, hệ thống bảo mật, khi cho phép chủ thể truy cập vào một đối tượng, được hướng dẫn bởi một bộ quy tắc nhất định, sẽ phải đối mặt với một nhiệm vụ không thể giải quyết được về mặt thuật toán - để kiểm tra xem hành động của nó có dẫn đến một vi phạm an ninh hay không.

Đồng thời, có các mô hình hệ thống máy tính thực hiện các chính sách bảo mật tùy ý và cung cấp các thuật toán xác minh bảo mật.

Tuy nhiên, nhìn chung, chính sách kiểm soát truy cập tùy ý không cho phép triển khai hệ thống bảo vệ thông tin rõ ràng và chính xác trong hệ thống máy tính. Điều này thúc đẩy việc tìm kiếm các chính sách bảo mật khác, tiên tiến hơn.

Mô hình kiểm soát truy cập bắt buộc (có thẩm quyền) dựa trên kiểm soát truy cập bắt buộc (Kiểm soát truy cập bắt buộc),được xác định bởi bốn điều kiện:

Tất cả các chủ thể và đối tượng của hệ thống được xác định duy nhất;

Một mạng lưới các mức độ bảo mật thông tin đã được chỉ định;

Mỗi đối tượng hệ thống được ấn định một mức độ bảo mật xác định giá trị của thông tin chứa trong đó;

Mỗi chủ thể của hệ thống được chỉ định một cấp độ truy cập xác định mức độ tin cậy của anh ta trong hệ thống máy tính.

Mục tiêu chính của chính sách bảo mật bắt buộc là ngăn chặn rò rỉ thông tin từ các đối tượng có mức truy cập cao đến các đối tượng có mức truy cập thấp, tức là. chống lại sự xuất hiện của các luồng thông tin bất lợi trong hệ thống máy tính từ trên xuống dưới.

Theo nhiều cách, mục đích phát triển của nó là loại bỏ những thiếu sót của các mô hình ma trận. Cái gọi là mô hình bảo vệ đa cấp đã được phát triển. Chúng liên quan đến việc chính thức hóa quy trình gán quyền truy cập thông qua việc sử dụng cái gọi là nhãn nhạy cảm hoặc thông tin xác thực được gán cho các chủ thể và đối tượng truy cập. Do đó, đối với chủ thể truy cập, chẳng hạn, các nhãn có thể được xác định phù hợp với mức độ truy cập thông tin của người đó và đối với đối tượng truy cập (chính dữ liệu) - bằng các dấu hiệu bảo mật thông tin. Các thuộc tính độ nhạy được ghi lại trong nhãn đối tượng. Quyền truy cập của từng chủ thể và đặc điểm quyền riêng tư của từng đối tượng được hiển thị dưới dạng tập hợp các cấp độ quyền riêng tư và tập hợp các danh mục quyền riêng tư. Mức độ bảo mật có thể lấy một trong các chuỗi giá trị cố định được sắp xếp chặt chẽ, ví dụ: bí mật, bí mật, sử dụng chính thức, không được phân loại, v.v.

Cơ sở để thực hiện kiểm soát truy cập là:

So sánh chính thức nhãn của chủ thể đã yêu cầu quyền truy cập và nhãn của đối tượng được yêu cầu quyền truy cập.

Đưa ra quyết định về việc cấp quyền truy cập dựa trên các quy tắc nhất định, cơ sở của quy tắc này là để chống lại việc giảm mức độ bảo mật của thông tin được bảo vệ.

Do đó, mô hình đa cấp ngăn chặn khả năng cố ý hoặc vô tình giảm mức độ bảo mật của thông tin được bảo vệ. Nghĩa là, mô hình này ngăn thông tin di chuyển từ các đối tượng có mức độ bảo mật cao và tập hợp các danh mục truy cập hẹp sang các đối tượng có mức độ bảo mật thấp hơn và tập hợp các danh mục truy cập rộng hơn.

Các yêu cầu đối với cơ chế ủy quyền như sau:

Mỗi chủ thể và đối tượng truy cập phải được liên kết với các nhãn phân loại phản ánh vị trí của chúng trong hệ thống phân cấp tương ứng (nhãn bảo mật). Thông qua các nhãn này, chủ thể phải chỉ định các cấp độ phân loại cho các đối tượng (mức độ dễ bị tổn thương, danh mục quyền riêng tư, v.v.), là sự kết hợp của các danh mục phân cấp và không phân cấp. Các nhãn này sẽ làm cơ sở cho nguyên tắc kiểm soát truy cập bắt buộc.

Khi dữ liệu mới được nhập vào hệ thống, hệ thống bảo mật phải yêu cầu và nhận nhãn phân loại cho dữ liệu này từ người dùng được ủy quyền. Khi một đối tượng mới được phép thêm vào danh sách người dùng, nhãn phân loại phải được gán cho đối tượng đó. Nhãn phân loại bên ngoài (của chủ thể, đối tượng) phải tương ứng chính xác với nhãn phân loại bên trong (trong hệ thống an ninh).

Hệ thống bảo mật phải thực hiện nguyên tắc bắt buộc về kiểm soát truy cập liên quan đến tất cả các đối tượng có quyền truy cập rõ ràng và ẩn từ bất kỳ đối tượng nào:

Một chủ thể chỉ có thể đọc một đối tượng nếu phân loại theo cấp bậc ở cấp độ phân loại của chủ thể không nhỏ hơn phân loại theo cấp bậc ở cấp độ phân loại của đối tượng. Trong trường hợp này, các phạm trù thứ bậc ở cấp độ phân loại của đối tượng phải bao gồm tất cả các phạm trù thứ bậc ở cấp độ phân loại của đối tượng;

Một chủ thể chỉ ghi vào một đối tượng nếu cấp độ phân loại của chủ thể trong phân loại theo cấp bậc không lớn hơn cấp độ phân loại của đối tượng trong phân loại theo cấp bậc. Trong trường hợp này, tất cả các danh mục phân cấp ở cấp độ phân loại của đối tượng phải được đưa vào các danh mục phân cấp ở cấp độ phân loại của đối tượng.

Việc thực hiện các quy định bắt buộc về đường bộ phải mang lại khả năng hỗ trợ và thay đổi cấp độ phân loại đối tượng và đối tượng theo các đối tượng được chỉ định đặc biệt.

SVT phải triển khai trình quản lý truy cập, tức là. trước hết là một công cụ chặn tất cả các yêu cầu từ chủ thể đến đối tượng và thứ hai, hạn chế quyền truy cập theo nguyên tắc kiểm soát truy cập đã chỉ định. Đồng thời, quyết định về việc cấp phép yêu cầu truy cập chỉ nên được đưa ra nếu nó được cho phép đồng thời bởi cả DRP tùy ý và bắt buộc. Vì vậy, không chỉ một hành động truy cập đơn lẻ mà cả các luồng thông tin cũng phải được kiểm soát.

Thực tiễn cho thấy các mô hình bảo vệ đa cấp gần với nhu cầu thực tế hơn nhiều so với các mô hình ma trận và là cơ sở tốt để xây dựng các hệ thống kiểm soát truy cập tự động. Hơn nữa, vì các danh mục riêng lẻ cùng cấp là tương đương nhau nên để phân biệt chúng bằng mô hình đa cấp (bắt buộc) thì cần phải sử dụng mô hình ma trận. Với sự trợ giúp của các mô hình đa cấp, công việc quản trị có thể đơn giản hóa đáng kể. Hơn nữa, điều này áp dụng cho cả cài đặt ban đầu của chính sách truy cập hạn chế (không yêu cầu mức độ chi tiết cao như vậy trong việc thiết lập mối quan hệ chủ thể-đối tượng) và việc đưa các đối tượng mới và chủ thể truy cập vào sơ đồ quản trị sau đó.

Mô hình phân định luồng thông tin dựa trên việc chia tất cả các luồng thông tin có thể có giữa các đối tượng hệ thống thành hai tập hợp riêng biệt: một tập hợp các luồng thông tin thuận lợi và một tập hợp các luồng thông tin không thuận lợi. Mục đích của việc triển khai mô hình phân định luồng thông tin là để đảm bảo rằng các luồng thông tin bất lợi không thể xảy ra trong hệ thống máy tính.

Mô hình phân định luồng thông tin trong hầu hết các trường hợp được sử dụng kết hợp với các loại cơ chế khác, ví dụ, với các mô hình phân định truy cập tùy ý hoặc bắt buộc. Theo quy định, việc triển khai mô hình phân định các luồng thông tin trên thực tế là một nhiệm vụ khó giải quyết, đặc biệt nếu cần bảo vệ hệ thống máy tính khỏi sự xuất hiện của các luồng thông tin bất lợi theo thời gian.

Kiểm soát truy cập dựa trên vai trò là sự phát triển của chính sách kiểm soát truy cập tùy ý; trong trường hợp này, quyền truy cập của các chủ thể hệ thống đối với các đối tượng được nhóm lại có tính đến các đặc điểm cụ thể của ứng dụng của chúng, tạo thành các vai trò.

Đặt vai trò cho phép bạn xác định các quy tắc kiểm soát truy cập rõ ràng và dễ hiểu hơn đối với người dùng hệ thống máy tính. Kiểm soát truy cập dựa trên vai trò cho phép bạn triển khai các quy tắc kiểm soát truy cập linh hoạt thay đổi linh hoạt trong quá trình vận hành hệ thống máy tính. Dựa trên kiểm soát truy cập dựa trên vai trò, kiểm soát truy cập bắt buộc có thể được triển khai, cùng với những điều khác.

Mục đích của việc triển khai mô hình môi trường phần mềm biệt lập là xác định thứ tự tương tác an toàn giữa các chủ thể hệ thống, đảm bảo không thể ảnh hưởng đến hệ thống bảo mật và sửa đổi các tham số hoặc cấu hình của nó, điều này có thể dẫn đến thay đổi chính sách kiểm soát truy cập do phần mềm triển khai. hệ thống an ninh.

Mô hình hộp cát được triển khai bằng cách cách ly các chủ thể hệ thống với nhau và bằng cách kiểm soát việc tạo các chủ thể mới để chỉ những chủ thể trong danh sách được xác định trước mới có thể hoạt động trong hệ thống. Đồng thời, phải giám sát tính toàn vẹn của các đối tượng hệ thống có ảnh hưởng đến chức năng của các đối tượng được kích hoạt.

Môi trường thông tin doanh nghiệp của Đại học Bang Bêlarut bao gồm hàng chục ứng dụng và dịch vụ được viết vào các thời điểm khác nhau. Hầu hết chúng là các đối tượng ActiveX, còn lại là các ứng dụng web. Trong hầu hết các trường hợp, tất cả chúng đều độc lập và không có công cụ tích hợp để tổ chức tương tác. Trong trường hợp này, sự lựa chọn rõ ràng là mô hình truy cập dựa trên vai trò, là sự phát triển của mô hình kiểm soát truy cập tùy ý. Việc triển khai bất kỳ mô hình nào khác trong điều kiện hệ thống thông tin doanh nghiệp của Đại học Bang Belarus là gần như không thể.

Sự khác biệt về quyền truy cập vào các hệ thống không đồng nhất và tích hợp kém như vậy có thể được xây dựng bằng cách phân bổ quyền của người dùng để truy cập các ứng dụng nhất định dựa trên tư cách thành viên của họ trong các nhóm tương ứng trên bộ điều khiển miền, cũng như quyền thực thi các thủ tục được lưu trữ trên các máy chủ cơ sở dữ liệu trên đó. mọi người đều làm việc với các thành phần hệ thống thông tin.

So sánh các hệ thống được trình bày, chúng ta có thể nói rằng trong ERP, hệ thống chịu trách nhiệm hoàn toàn về việc xác thực và ủy quyền người dùng. Ngoài xác thực mật khẩu truyền thống, nó còn cung cấp một loạt các cơ chế khác được cung cấp bởi các mô hình hệ thống thông tin doanh nghiệp khác nhau.

Hệ thống bảo mật của hệ thống thông tin tích hợp yếu chỉ định các quy trình xác thực và ủy quyền cho các công cụ tích hợp của bộ điều khiển miền Microsoft Windows, giúp giảm đáng kể chi phí vận hành và đảm bảo hoạt động khá đáng tin cậy. Tuy nhiên, các công cụ quản lý người dùng Microsoft Windows không hướng đến việc sử dụng như vậy và do đó không hoàn toàn thuận tiện cho việc kiểm soát việc phân bổ quyền truy cập, điều này ảnh hưởng tiêu cực đến tính bảo mật của hệ thống thông tin công ty.

Từ những điều trên, có thể suy ra rằng một ứng dụng có thể quản lý tập trung quyền truy cập của người dùng vào một số ứng dụng nhất định sẽ đơn giản hóa đáng kể công việc của quản trị viên hệ thống thông tin công ty BSU và cũng sẽ cho phép giám sát cẩn thận hơn quyền truy cập dữ liệu của người dùng từ nhiều ứng dụng khác nhau. Điều này rõ ràng sẽ dẫn đến sự cải thiện đáng kể về hiệu suất của hệ thống bảo mật.

Vì vậy, tôi phải đối mặt với nhiệm vụ tạo ra một hệ thống như vậy. Chúng ta hãy xem xét chi tiết hơn các tính năng của việc giải quyết một vấn đề như vậy.

Khi thiết kế một hệ thống như vậy, cần phải tính đến một số tính năng cần thiết cho hoạt động bình thường của cả ứng dụng nói riêng và toàn bộ hệ thống thông tin của công ty nói chung.

Vì hệ thống quản lý người dùng trong Windows Active Directory không chỉ có thể được sử dụng để cung cấp quyền truy cập vào tài nguyên của hệ thống thông tin công ty BSU, do đó, cần tính đến điều này khi vận hành ứng dụng để người dùng không bị mất các quyền mà họ thực sự cần và không nhận được những quyền không cần thiết. Với mục đích này, hệ thống tổ chức một cơ chế lưu trữ các quyền ưu tiên của người dùng được gán cho anh ta không phải bởi hệ thống kiểm soát truy cập này mà bằng cách sử dụng các công cụ Windows Active Directory.

Tình huống tương tự cũng xảy ra trong phần quản lý người dùng trên máy chủ SQL. Tuy nhiên, như đã đề cập ở trên, cơ chế phân định quyền truy cập của BGU khi truy cập tài nguyên máy chủ SQL được xây dựng trên cơ sở vai trò, nghĩa là không cần lưu trữ dữ liệu về quyền truy cập của người dùng đối với từng đối tượng của một SQL cụ thể. máy chủ. Tất cả dữ liệu này được lưu trữ trong quyền nhóm trên máy chủ. Do đó, hệ thống kiểm soát truy cập chỉ cần lưu trữ các trường như tên máy chủ, tên cơ sở dữ liệu và tên vai trò người dùng.

Chúng ta hãy xem xét kỹ hơn về hệ thống phân phối quyền truy cập.

Hệ thống này là một ứng dụng web được triển khai bằng ASP.NET 1.1 và sử dụng máy chủ cơ sở dữ liệu Microsoft SQL Server 2000 SP3.

Cơ sở dữ liệu bao gồm các bảng sau:

· Các bảng cơ bản

o Người dùng – lưu trữ mã định danh đối tượng người dùng, tên người dùng, tên người dùng và, nếu cần, thông tin văn bản bổ sung.

o Ứng dụng – lưu trữ mã định danh ứng dụng, tên ứng dụng và thông tin văn bản bổ sung nếu cần.

o WinADGroups – lưu trữ mã định danh đối tượng nhóm, tên của nó và thông tin văn bản bổ sung nếu cần.

o SQLGroups - lưu trữ mã định danh nhóm, tên, tên máy chủ, cơ sở dữ liệu và vai trò được liên kết với nhóm này và, nếu cần, thông tin văn bản bổ sung.

· Bàn phụ trợ

o SQLGroups2Apps

o WinGroups2Apps

o Nhóm người dùngPriorSQL

o Nhóm người dùngPriorWinGroups

Các bảng chính lưu trữ dữ liệu về người dùng, ứng dụng và nhóm trên bộ điều khiển miền cũng như các vai trò trên các máy chủ SQL khác nhau. Các bảng phụ trợ cung cấp các mối quan hệ nhiều-nhiều tồn tại trong hệ thống.

Các bảng được truy cập bằng cách sử dụng hàng chục thủ tục được lưu trữ. Việc sử dụng các thủ tục được lưu trữ, cũng như các tham số SQL, cho phép bạn bảo vệ ứng dụng một cách hiệu quả khỏi việc tiêm SQL, đây là một trong những cách chính để hack các ứng dụng web sử dụng cơ sở dữ liệu trong những năm gần đây. Sơ đồ bakhza dữ liệu được hiển thị trong hình.

Ứng dụng này bao gồm 8 trang .aspx được thiết kế để kiểm soát quyền truy cập. Chúng ta hãy xem xét kỹ hơn cách ứng dụng hoạt động.

Sử dụng trang WinGroupsAdd.aspx để thêm ID nhóm vào hệ thống trên bộ điều khiển miền. Người dùng nhập tên nhóm. Hệ thống tìm kiếm các nhóm trên bộ điều khiển miền và cung cấp danh sách các nhóm có tên giống nhau. Người dùng chọn nhóm mong muốn, nếu cần, nhập mô tả văn bản của nhóm này và nhấn nút lưu. Dữ liệu nhóm được lưu trữ trong cơ sở dữ liệu ứng dụng.

Sử dụng trang WinGroupsEdit.aspx, người dùng có thể chỉnh sửa thông tin đã nhập trước đó về nhóm, cụ thể là mô tả văn bản của nhóm. Nút xóa sẽ xóa tất cả thông tin về một nhóm trong hệ thống, đồng thời cung cấp cơ chế xóa người dùng khỏi nhóm này, miễn là họ đã được hệ thống này thêm vào đó. Bảng UserPriorWinGroups được sử dụng để kiểm tra.

Trang SQLGroupsAdd.aspx được sử dụng để thêm dữ liệu vào hệ thống để sử dụng các nhóm trên máy chủ SQL. Người dùng nhập tên máy chủ, tên cơ sở dữ liệu và vai trò trong cơ sở dữ liệu thích hợp. Nếu cần, người dùng nhập mô tả văn bản của nhóm này và nhấn nút Lưu. Dữ liệu nhóm được lưu trữ trong cơ sở dữ liệu ứng dụng.

Bằng cách sử dụng trang SQLGroupsEdit.aspx, người dùng có thể chỉnh sửa thông tin đã nhập trước đó về nhóm, cụ thể là mô tả văn bản của nhóm. Các trường còn lại không thể chỉnh sửa được vì việc thực hiện những thay đổi đó yêu cầu phải tạo một nhóm người dùng mới. Nút xóa sẽ xóa tất cả thông tin về một nhóm trong hệ thống, đồng thời cung cấp cơ chế xóa người dùng khỏi nhóm này, miễn là họ đã được hệ thống này thêm vào đó. Bảng UserPriorSQLGroups được sử dụng để kiểm tra.

Trang ApplicationAdd.aspx được sử dụng để thêm ứng dụng vào hệ thống. Trên trang này, người dùng có thể nhập tên ứng dụng, mô tả văn bản của ứng dụng đó và cũng có thể chọn các nhóm cần thiết để làm việc với ứng dụng này cả trên máy chủ SQL và trên bộ điều khiển miền. Việc lựa chọn được thực hiện từ danh sách các nhóm tương ứng có sẵn trong cơ sở dữ liệu hệ thống. Nút lưu sẽ ghi nhớ dữ liệu tương ứng trong hệ thống và nút hủy sẽ đưa bạn trở lại trang cũ mà không thực hiện bất kỳ hành động nào. Nó sẽ chỉ xóa tất cả dữ liệu đã nhập.

Bằng cách sử dụng ApplicationEdit.aspx, bạn có thể thay đổi mô tả của ứng dụng cũng như tập hợp các nhóm cần thiết để sử dụng ứng dụng đó. Khi bạn nhấp vào nút lưu. Hệ thống sẽ cập nhật dữ liệu trong cơ sở dữ liệu của mình và cũng thay đổi quyền của người dùng có quyền truy cập vào ứng dụng này cho phù hợp.

Trang UserAdd.aspx được thiết kế để thêm người dùng vào hệ thống. Quá trình này hoạt động như sau. Người dùng nhập toàn bộ hoặc một phần tên người dùng để thêm vào hệ thống. Một tìm kiếm được thực hiện trên bộ điều khiển miền. Sau đó người dùng được cung cấp một danh sách các tùy chọn tên người dùng phù hợp. Người dùng miền cần thiết sẽ được chọn và các ứng dụng cần thiết sẽ được chọn cho miền đó. Nút lưu sẽ ghi nhớ dữ liệu tương ứng trong hệ thống và nút hủy sẽ đưa bạn trở lại trang cũ mà không thực hiện bất kỳ hành động nào. Nó sẽ chỉ xóa tất cả dữ liệu đã nhập.

Sử dụng UserEdit.aspx, người dùng có thể thêm hoặc xóa quyền truy cập vào một ứng dụng cụ thể cũng như xóa người dùng khỏi cơ sở dữ liệu ứng dụng.

Bài viết này phân tích các hệ thống thông tin của công ty: cấu trúc và cơ chế bảo mật của chúng. Tất cả các hệ thống thông tin của công ty được chia thành 2 loại: hệ thống tích hợp cao, đại diện nổi bật là hệ thống ERP và hệ thống tích hợp yếu được xây dựng từ hàng chục ứng dụng riêng biệt, đôi khi hoàn toàn không liên quan. Kiểm soát truy cập trong phần lớn chúng được xây dựng trên cơ sở mô hình tùy ý dựa trên vai trò để phân định quyền của người dùng với kiểm soát truy cập tập trung.

Một phân tích về các mối đe dọa hiện có đối với hệ thống thông tin của công ty cũng như các cách để ngăn chặn chúng đã được thực hiện. Thống kê cho thấy vấn đề chính của chúng ta hiện nay là vấn đề bảo vệ khỏi những hành động cẩu thả hoặc tội phạm của nhân viên công ty. Các phương pháp bảo vệ chống lại những hành động như vậy được phân tích, trong đó phương pháp chính là phương pháp hạn chế quyền truy cập của người dùng vào hệ thống thông tin của công ty.

Một nghiên cứu đã được thực hiện trên các phương pháp kiểm soát truy cập hiện có và phân tích khả năng ứng dụng của chúng trong một số điều kiện nhất định. Một phương pháp đã được chọn phù hợp nhất để tổ chức kiểm soát quyền truy cập vào các nguồn thông tin doanh nghiệp của Đại học Bang Belarus. Dựa trên đó, một ứng dụng đã được xây dựng cho phép bạn quản lý quyền truy cập của người dùng vào các tài nguyên của hệ thống thông tin công ty này. Nó cung cấp khả năng giao tiếp giữa các ứng dụng, hệ thống quản lý cơ sở dữ liệu và các đối tượng Active Directory. Hệ thống được phát triển cho phép bạn quản lý toàn cầu quyền truy cập vào các ứng dụng không đồng nhất. Hệ thống kiểm soát truy cập linh hoạt cho phép bạn hướng dẫn phát triển các ứng dụng mới và hỗ trợ quản lý các ứng dụng đã được viết mà không thực hiện bất kỳ thay đổi nào đối với mã của chúng.

1. Malyuk A. A. Bảo mật thông tin: nền tảng khái niệm và phương pháp luận về bảo vệ thông tin. Moscow: Đường dây nóng-Telecom, 2004.

2. Belov E.B. Los V.P. Cơ bản về bảo mật thông tin. Moscow: Đường dây nóng-Telecom, 2006.

3. Romanets Yu.V. Timofeev P.A. Bảo vệ thông tin trong hệ thống máy tính và mạng. Matxcơva: Đài phát thanh và truyền thông 2001.

4. Yarochkin V.I. - Giáo trình An toàn thông tin dành cho sinh viên đại học. - M.: Dự án học thuật; Gaudeamus.

5. Noel Simpson. Truy cập và thao tác Active Directory với ASP. MẠNG LƯỚI.

6. Joe Kaplan, Ryan Dunn. Hướng dẫn lập trình dịch vụ thư mục dành cho nhà phát triển .NET (Chuỗi phát triển Microsoft .NET)

7. Matthew MacDonald. Bắt đầu ASP.NET 1.1 bằng C#: Từ người mới đến chuyên nghiệp (Novice to Professional).

8. Hank Meyne, Scott Davis Phát triển ứng dụng web với ASP.NET và C#.

9. Robin Duson SQL Server 2000. Lập trình. Mátxcơva: Binom, 2003.

10. P. Shumkov ADO.NET và việc tạo ra các ứng dụng cơ sở dữ liệu trong môi trường Microsoft Visual Studio.NET Moscow: Dialog-MEPhI, 2004

Thư mục hoạt động.................................................................. .................................................... ........................................................... ................................................. 31 , 36

ERP................................................................................. .................................................................. ............................................ ...................... 3 , 5 , 6 , 7 , 8 , 30 , 35 , 39

MRP................................................................................. .................................................................. ............................................ ................................................................. ........ 3 , 6

Tấn công ............................................................................................................................................................................................... 11

khả dụng .................................................................................................................................................................................. 10

Bộ thiết bị bảo vệ .......................................................................................................................................................... 11

Quyền riêng tư dữ liệu ......................................................................................................................................................... 9

Truy cập trái phép vào thông tin ............................................................................................................................... 9

Một đối tượng ............................................................................................................................................................................................. 10

Chính sách bảo mật ................................................................................................................................................................ 11

Quy tắc kiểm soát truy cập .................................................................................................................................................... 9

Quyền truy cập thông tin được ủy quyền ................................................................................................................................... 9

Chủ thể ............................................................................................................................................................................................ 10

Thiệt hại về an ninh ...................................................................................................................................................................... 10

Tính dễ bị tổn thương ..................................................................................................................................................................................... 10

Chính trực ............................................................................................................................................................................ 10, 12

1. http://xakep.ru là một trong những trang web tiên tiến nhất của Nga chuyên phân tích các lỗ hổng hệ thống thông tin, cách khai thác chúng, các cách khả thi để hack hệ thống và bảo vệ chúng.

2. http://www.webxakep.ru – trang web dành riêng cho việc hack hệ thống thông tin, cũng như các biện pháp bảo vệ chống lại các cuộc tấn công.

3. http://msdn.microsoft.com - trang web hướng đến các nhà phát triển tập trung vào các giải pháp công nghệ của Microsoft, chứa tài liệu về các sản phẩm của công ty, ví dụ về mã, bài viết kỹ thuật, tài liệu tham khảo và đào tạo, các bản cập nhật mới nhất, tiện ích mở rộng, tin tức mới nhất, người đăng ký diễn đàn .

4. http://microsoft.com – trang web thực tế của Microsoft

5. http://sdn.sap.com/ là cổng thông tin dành cho các nhà phát triển tập trung vào các giải pháp công nghệ của SAP, công ty hàng đầu thế giới về thị trường ERP và các sản phẩm doanh nghiệp. Tài nguyên Internet chính dành riêng cho mọi thứ liên quan đến tài nguyên thông tin SAP

Slide 1 – Slide tiêu đề Trang trình bày 2 – Giới thiệu. Bàn thắng.

Slide 3 – Khái niệm về CIS Slide 4 – Phân loại CIS

Slide 5 – Phân loại các mối đe dọa Slide 6 – Phân loại các mối đe dọa

Slide 7 – Nguồn gốc của các mối đe dọa Slide 8 – Các biện pháp ngăn chặn các mối đe dọa

Slide 9 – Biện pháp chống lại các mối đe dọa Slide 10 – Cơ chế kiểm soát truy cập

Slide 11 – CIS BSU Slide 12 – Mô hình DB cho hệ thống đã phát triển

Slide 13 – Demo ứng dụng Slide 14 – Kết luận

1. Afanasyev, D. Office XP/ D. Afanasyev, S. Barichev, O. Plotnikov. – M.: Kudits-Obraz, 2002. – 344 tr.

2. Akhmetov, K.S. Giới thiệu về Microsoft Windows XP / K.S. Akhmetov. – M.: Ấn bản tiếng Nga, 2001. – 210 tr.

3. Bott, Ed. Windows XP / E. Bott, K. Sichert. – Peter, 2006. – 1068 tr.

4. Willett, E. Office XP. Kinh thánh của người dùng / E. Willett; [Bản dịch. từ tiếng Anh Dereva E.N. và những người khác], 2002. – 843 tr.

5. Zaiden, M. Word 2000 / M. Zaiden. – M.: Phòng thí nghiệm. kiến thức cơ bản, 2000. – 336 tr.

6. Kaimin, V.A. Khoa học máy tính: hội thảo trên máy tính: sách giáo khoa / V.A. Kaimin, B.S. Kasaev; Hồng ngoại M. – M, 2001. – 215c.

7. Kishik, A.N. Văn phòng XP. Hướng dẫn hiệu quả: Nhanh... Đơn giản... Trực quan. / MỘT. Kishik. – M.: 2002. – 426 tr.

8. Kostsov, A.V. Tất cả về máy tính cá nhân: một bộ bách khoa toàn thư lớn / A.V. Kostsov, V.M. Kostsov. – M.: Martin, 2004. – 718 tr.

9. Kotsyubinsky, A.O. Microsoft Office XP: Phiên bản mới nhất của chương trình / A.O. Kotsyubinsky. – M.: Triumph, 2001. – 469 tr.

10. Kotsyubinsky, A.O. Trình đọc để làm việc trên máy tính: sách giáo khoa. trợ cấp / A.O. Kotsyubinsky, A.O. Groshev. – M.: Triumph, 2003. – 496 tr.

11. Krupnik, A. Tìm kiếm trên Internet / A. Krupnik. – St. Petersburg: Peter, 2001. – 209 tr.

12. Krupsky, A.Yu. Trình soạn thảo văn bản Microsoft Word. Bảng tính Microsoft Excel: sách giáo khoa / A.Yu. Krupsky, N.A. Feoktistov; Bộ Giáo dục Ros. Liên bang, Moscow. Viện Nhà nước và công ty bán tại. M.: Dashkov và K. - M., 2004. - 135 tr.

13. Levin A. Hướng dẫn ngắn gọn về cách làm việc trên máy tính / A. Levin. – M.: Nhà xuất bản A. Levin, 2001.

14. Levkovich, O.A. Nguyên tắc cơ bản của kiến ​​thức máy tính / O. A. Levkovich, E. S. Shelkoplyasov, T. N. Shelkoplyasova. – Minsk: TetraSystems, 2004. – 528 tr.

15. Lozovsky, L.Sh. Internet thật thú vị! / L.Sh. Lozovsky, L.A. Ratnovsky. – M.: Infra-M, 2000.

16. Makarova, N.V. Tin học: Hội thảo về công nghệ máy tính: sách giáo khoa. trợ cấp / N.V. Makarova [và những người khác]; sửa bởi N.V. Makarova. – M.: Tài chính và Thống kê, 2000. – 255 tr.

17. Olifer, V.G. Mạng máy tính. Nguyên tắc, công nghệ, giao thức / V.G. Olifer, N.A. Olifer. – St. Petersburg: Peter, 2000.

18. Popov, V.B. Nguyên tắc cơ bản của công nghệ máy tính: sách giáo khoa. trợ cấp / V.B. Popov; Tài chính và thống kê. – M., 2002. – 703 tr.

19. Perepelkin, V. Người dùng máy tính cá nhân. Khóa học hiện đại / V. Perepelkin. – Rostov n/d: Phoenix, 2002. – 703 tr.

20. Đá, MD Máy tính cá nhân của bạn. Vấn đề và giải pháp / MD Đá, P. Alfred. – M.: Kinh tế, 2001.

21. Yakushina, E. Nghiên cứu Internet, tạo trang Web / E. Yakushina. – St.Petersburg: Peter, 2001.

22. Sách giáo khoa về HTML dành cho người mới bắt đầu [Tài nguyên điện tử] / Portal Postroyka.ru. M., 2007. – Chế độ truy cập: http://www.postroika.ru/html/content2.html. – Ngày truy cập: 21/09/2008.

23. Ủy ban chứng nhận cấp cao của Cộng hòa Belarus [Tài nguyên điện tử] / Ủy ban chứng nhận cấp cao của Belarus. – Minsk, 2007. – Phương thức truy cập: http://vak.org.by/ – Ngày truy cập: 18/11/2008.

Gửi công việc tốt của bạn trong cơ sở kiến ​​thức thật đơn giản. Sử dụng mẫu dưới đây

Các sinh viên, nghiên cứu sinh, các nhà khoa học trẻ sử dụng nền tảng kiến ​​thức trong học tập và công việc sẽ rất biết ơn các bạn.

Đăng trên http://www.allbest.ru/

• Giới thiệu
• 1.3 Những quy định cơ bản của hệ thống an toàn thông tin
• 2.1 Đối tượng và đối tượng bảo vệ
• 2.3 Công nghệ bảo mật thông tin hiện đại
• 2.4 Hiệu lực bảo vệ thông tin
• Danh mục văn bản quy định chi tiết hoạt động trong lĩnh vực an toàn thông tin:
• 3. Cải tiến các biện pháp nhằm nâng cao hiệu quả của các biện pháp bảo vệ hệ thống thông tin doanh nghiệp Khoảng cách cung cấp điện
• 3.1 Nhược điểm của việc tổ chức bảo vệ mạng doanh nghiệp
• 3.2 Sự kiện tổ chức
• 3.3 Hoạt động kỹ thuật
• Phần kết luận
• Thư mục

Giới thiệu

Sự phát triển hiện đại của nền kinh tế thế giới được đặc trưng bởi sự phụ thuộc ngày càng tăng của thị trường vào một lượng thông tin lưu thông đáng kể bên trong nó.

Ngày nay, xã hội hoàn toàn phụ thuộc vào dữ liệu được nhận, xử lý và truyền đi. Vì lý do này, bản thân dữ liệu trở nên có giá trị cao. Và giá thông tin hữu ích càng cao thì độ an toàn của nó càng cao.

Tính liên quan của đề tài là do tác động của một số yếu tố nhằm nâng cao khả năng bảo vệ hệ thống thông tin doanh nghiệp, nhằm hoàn thiện cơ chế kinh tế của các doanh nghiệp hiện đại hoạt động trong nền kinh tế thị trường và ứng dụng các tiến bộ công nghệ hiện đại. .

Theo quan điểm trên, các hành vi lập pháp, cả ở Nga và nước ngoài, quy định một số lượng đáng kể các quy tắc nhằm điều chỉnh việc tạo, sử dụng, chuyển giao và bảo vệ thông tin dưới mọi hình thức.

Giá trị đặc biệt là thông tin chứa dữ liệu cá nhân, bí mật chính thức, bí mật thương mại, thông tin bị hạn chế, bí mật ngân hàng, bí mật nhà nước, thông tin nội bộ, thông tin bí mật và các thông tin khác.

Vấn đề bảo mật thông tin rất nhiều mặt và phức tạp, đòi hỏi sự kết hợp cần thiết của các biện pháp lập pháp, tổ chức, phần mềm và kỹ thuật hiện hành.

Việc rò rỉ bất kỳ thông tin nào cũng có thể ảnh hưởng đến hoạt động của doanh nghiệp. Thông tin đó đóng một vai trò đặc biệt, việc mất vỏ cây có thể dẫn đến những thay đổi lớn trong bản thân doanh nghiệp và tổn thất vật chất.

Trong cuộc sống hàng ngày của một người, sự an toàn của thông tin về cuộc sống của anh ta phụ thuộc vào anh ta. Nhưng tình huống hoàn toàn khác khi chúng tôi có nghĩa vụ cung cấp dữ liệu về bản thân theo quy định của pháp luật cho bên thứ ba và cụ thể là cho người sử dụng lao động. Trong tình huống này, nhân viên chuyển thông tin bí mật về bản thân để bảo quản an toàn. Hơn nữa, người sử dụng lao động chịu trách nhiệm về sự an toàn của dữ liệu. Anh ta có nghĩa vụ bảo vệ thông tin về nhân viên khỏi sự tấn công của bên thứ ba và chịu trách nhiệm về việc phổ biến dữ liệu này.

Mục đích của công việc này là xác định các yêu cầu đối với hệ thống bảo mật của hệ thống thông tin công ty.

Mục tiêu công việc:

1. Xác định các vấn đề có vấn đề trong hệ thống bảo vệ hệ thống thông tin doanh nghiệp về khoảng cách cung cấp điện.

2. Xây dựng danh mục các mối đe dọa và yêu cầu đối với hệ thống bảo vệ hệ thống thông tin doanh nghiệp về khoảng cách cấp điện.

3. Luận giải cơ cấu rủi ro thông tin đối với hệ thống thông tin doanh nghiệp về khoảng cách cung cấp điện.

4. Lựa chọn và biện minh cho các phương pháp, phương tiện kỹ thuật nhằm nâng cao hiệu quả bảo vệ hệ thống thông tin doanh nghiệp trong khoảng cách cung cấp điện.

Đối tượng của nghiên cứu là một hệ thống tiêu chuẩn để bảo vệ hệ thống thông tin doanh nghiệp "mạng nội bộ" của khu cung cấp điện Moscow-Smolensk của chi nhánh Công ty Cổ phần Đường sắt Nga, nơi có các tòa nhà và lãnh thổ riêng.

Đối tượng nghiên cứu là các phương pháp và phương tiện kỹ thuật bảo vệ hệ thống thông tin doanh nghiệp trong khoảng cách cung cấp điện.

Ý nghĩa thực tế và việc triển khai các kết quả thu được giúp tạo ra các biện pháp tổ chức bảo vệ mạng công ty, phù hợp với các điều kiện cụ thể, có tính đến đặc thù của đối tượng cũng như các loại thông tin và người dùng khác nhau.

Các tác giả nghiên cứu các vấn đề của A.V. Sokolov (Giáo sư, Trưởng Khoa Khoa học Máy tính và Phần mềm, Viện Công nghệ Điện tử Moscow) và V.F. Shangin (Giáo sư, Tiến sĩ Khoa học Kỹ thuật) từ năm 1978 đến nay, đã đề cập đến các vấn đề hiện tại về bảo mật thông tin khi sử dụng hệ thống phân tán của công ty và mạng quy mô doanh nghiệp, bảo mật Internet.

bảo vệ thông tin mạng công ty

1. Cơ sở lý luận xây dựng mạng lưới doanh nghiệp

1.1 Khái niệm, thành phần, chức năng của mạng doanh nghiệp

Mạng công ty là một hệ thống phức tạp bao gồm nhiều thành phần khác nhau: máy tính thuộc nhiều loại khác nhau, từ máy tính để bàn đến máy tính lớn, phần mềm hệ thống và ứng dụng, bộ điều hợp mạng, hub, bộ chuyển mạch và bộ định tuyến, hệ thống cáp. Trong công việc này, chúng tôi sẽ xem xét mạng nội bộ của Moscow-Smolensk Khoảng cách cung cấp điện của chi nhánh Công ty Cổ phần Đường sắt Nga. Đây là một đơn vị kết cấu riêng biệt của đường sắt, là một phần của dịch vụ điện khí hóa và cung cấp điện. Đảm bảo cung cấp điện liên tục và đáng tin cậy cho tất cả người tiêu dùng, cũng như đảm bảo hoạt động đáng tin cậy của tất cả các đối tượng và thiết bị, mạng liên lạc trong khu vực được phục vụ.

Chức năng mạng nội bộ chạy nhiều loại từ các trang Web tĩnh thay thế các tài liệu in của công ty hoặc cung cấp một cách mới để chia sẻ thông tin tới các giao diện máy khách phức tạp cho các ứng dụng máy chủ văn phòng.

Các công nghệ cần thiết cho mạng nội bộ và các công cụ triển khai chúng rất phổ biến. Chúng bao gồm: giao thức TCP/IP, NFS (Hệ thống tệp mạng), trình duyệt Web (tìm kiếm và xem hệ thống), máy chủ Web, trình soạn thảo HTML, email, v.v. Truy cập thông tin dựa trên kết nối IP.

Mạng nội bộ bao gồm một số các thành phần:

1) cơ sở hạ tầng mạng,

2) máy chủ,

3) tài liệu,

4) trình duyệt,

5) ứng dụng.

Mạng nội bộ là nền tảng, cung cấp các kết nối cần thiết để cung cấp quyền truy cập thông tin cho nhân viên của tổ chức. Mạng nội bộ sử dụng giao thức mạng TCP/IP để kết nối và trao đổi dữ liệu. TCP/IP cho phép các máy tính trên mạng được đặt tên duy nhất (những tên này được gọi là địa chỉ IP). Giao thức này cũng cung cấp một cơ chế để các máy tính có thể tìm thấy nhau và kết nối. Mạng nội bộ sử dụng một giao thức khác gọi là HTTP (Giao thức truyền siêu văn bản). Nó được sử dụng để truyền văn bản, hình ảnh và siêu liên kết (nghĩa là liên kết đến các tài liệu điện tử khác) trỏ đến các trang Web. Chúng ta có thể nói rằng TCP/IP là cách chính để các máy tính giao tiếp trên mạng và HTTP là một loại lớp trên cho phép chúng trao đổi thông tin.

May chủ. Thông tin thường được đặt trên máy tính, thường được gọi là máy chủ Web. Máy chủ lưu trữ tài liệu và đáp ứng yêu cầu của người dùng để tìm kiếm và xem dữ liệu.

Tài liệu. Nội dung mạng nội bộ—tức là thông tin bạn xem—được lưu trữ trong tài liệu. Theo mặc định, chúng ở định dạng HTML (Ngôn ngữ trang điểm siêu văn bản), một định dạng văn bản bao gồm chính văn bản, các thẻ kiểm soát định dạng và siêu liên kết trỏ đến các tài liệu khác.

Trình duyệt. Để làm việc trên mạng nội bộ và xem tài liệu được lưu trữ trên máy chủ, các ứng dụng được gọi là trình duyệt sẽ được sử dụng. Họ thực hiện một số chức năng:

tìm kiếm thông tin và kết nối với máy chủ Web;

tải, định dạng và hiển thị tài liệu bằng HTML;

nhận dạng và điều hướng đến các tài liệu liên quan;

Các ứng dụng. Các ứng dụng được các nhà phát triển viết để giải quyết các vấn đề cụ thể của công ty.

Ngoài nhiều loại thiết bị mạng, mạng nội bộ còn bao gồm các thành phần phần mềm sau:

1) phần mềm của máy chủ Web nội bộ của tổ chức, chứa thông tin về các hoạt động của công ty (giá cả, lệnh quản lý, tài liệu phê duyệt và thảo luận, v.v. và được kết nối với cơ sở dữ liệu hiện có ("Kho", "Kế toán", v.v.);

2) phần mềm tổ chức hội nghị trong tổ chức để thảo luận về các đề xuất cải tiến công việc, báo cáo về các sự kiện khác nhau, v.v.;

3) Phần mềm thực hiện e-mail.

Trên mạng nội bộ có thể có phân đoạn với mức độ bảo mật khác nhau:

có sẵn miễn phí (các máy chủ khác nhau);

với quyền truy cập hạn chế;

đóng cửa để truy cập.

Nên coi mạng khoảng cách cung cấp điện của công ty là một hệ thống bao gồm nhiều lớp tương tác. Ở đáy kim tự tháp, đại diện cho mạng công ty, có một lớp máy tính - trung tâm lưu trữ và xử lý thông tin, và một hệ thống con vận chuyển đảm bảo việc truyền các gói thông tin giữa các máy tính một cách đáng tin cậy.

Hình 1. Phân cấp các lớp mạng công ty

Một lớp hệ điều hành mạng hoạt động phía trên hệ thống truyền tải, tổ chức công việc của các ứng dụng trên máy tính và cung cấp tài nguyên của máy tính để sử dụng chung thông qua hệ thống truyền tải.

Các ứng dụng khác nhau hoạt động trên hệ điều hành, nhưng do vai trò đặc biệt của hệ thống quản lý cơ sở dữ liệu, lưu trữ thông tin cơ bản của công ty ở dạng có tổ chức và thực hiện các hoạt động tìm kiếm cơ bản trên đó, lớp ứng dụng hệ thống này thường được phân bổ cho một lớp riêng biệt. của mạng công ty.

Ở cấp độ tiếp theo, có các dịch vụ hệ thống, sử dụng DBMS làm công cụ tìm kiếm thông tin cần thiết trong số hàng triệu byte được lưu trữ trên đĩa, cung cấp cho người dùng cuối thông tin này ở dạng thuận tiện cho việc ra quyết định và cũng thực hiện một số thủ tục xử lý thông tin chung cho các loại hình doanh nghiệp. Những dịch vụ này bao gồm hệ thống email, hệ thống làm việc nhóm và nhiều dịch vụ khác.

Cấp cao nhất của mạng công ty đại diện cho các hệ thống phần mềm đặc biệt thực hiện các nhiệm vụ cụ thể cho một doanh nghiệp nhất định hoặc các doanh nghiệp thuộc loại nhất định.

Mục tiêu cuối cùng của mạng công ty được thể hiện trong các chương trình ứng dụng cấp cao nhất, nhưng để chúng hoạt động thành công, điều cần thiết là các hệ thống con của các lớp khác thực hiện rõ ràng các chức năng của chúng.

Nhiệm vụ chính của quản trị viên hệ thống là đảm bảo rằng hệ thống cồng kềnh này đáp ứng tốt nhất có thể việc xử lý các luồng thông tin lưu thông giữa các nhân viên trong doanh nghiệp và cho phép họ đưa ra các quyết định kịp thời và hợp lý để đảm bảo hoạt động của doanh nghiệp.

Mạng nội bộ Moscow-Smolensk Khoảng cách Nguồn điện của Công ty Cổ phần Đường sắt Nga được cách ly với người dùng Internet bên ngoài và hoạt động như một mạng tự trị không có quyền truy cập từ bên ngoài.

Hình 2. Cấu trúc mạng cục bộ

1.2 Phân tích các nguồn đe dọa và rủi ro thông tin

Tất cả các nguồn thông tin của công ty thường xuyên phải đối mặt với các mối đe dọa khách quan và chủ quan về việc mất phương tiện truyền thông hoặc giá trị của thông tin. Mối đe dọa hoặc nguy cơ mất thông tin được hiểu là một biểu hiện đơn lẻ hoặc phức tạp, thực tế hoặc tiềm ẩn, chủ động hoặc thụ động về khả năng bất lợi của các nguồn đe dọa bên ngoài hoặc bên trong nhằm tạo ra các tình huống, sự kiện quan trọng và có tác động gây mất ổn định đối với thông tin được bảo vệ, tài liệu và cơ sở dữ liệu. Đối với các nguồn thông tin có khả năng truy cập hạn chế, phạm vi các mối đe dọa liên quan đến mất thông tin (tiết lộ, rò rỉ) hoặc mất phương tiện sẽ rộng hơn nhiều do nhiều loại kẻ tấn công ngày càng quan tâm đến các tài liệu này. Mối đe dọa chính đối với an ninh của các tài nguyên thông tin được phân phối hạn chế là sự truy cập trái phép (bất hợp pháp, trái phép) của kẻ tấn công hoặc người ngoài vào thông tin được ghi lại và do đó, việc thu thập thông tin và sử dụng bất hợp pháp hoặc thực hiện các hành động gây mất ổn định khác . Mục tiêu và kết quả của việc truy cập trái phép có thể không chỉ là thu thập thông tin có giá trị và việc sử dụng thông tin đó mà còn là sửa đổi, sửa đổi, phá hủy, giả mạo, thay thế và những thứ tương tự. Điều kiện tiên quyết để thực hiện thành công nỗ lực truy cập trái phép vào các nguồn thông tin bị hạn chế là sự quan tâm đến chúng từ phía các đối thủ cạnh tranh, một số cá nhân, dịch vụ và tổ chức nhất định. Theo quy định, thủ phạm chính của việc truy cập trái phép vào tài nguyên thông tin là nhân viên làm việc với các tài liệu, thông tin và cơ sở dữ liệu. Mất thông tin xảy ra trong hầu hết các trường hợp không phải do hành động cố ý của kẻ tấn công mà do sự thiếu chú ý và thiếu trách nhiệm của nhân viên.

Do đó, việc mất các nguồn thông tin truy cập hạn chế có thể xảy ra khi:

§ sự quan tâm của đối thủ cạnh tranh, tổ chức, công ty hoặc cá nhân đối với thông tin cụ thể,

§ sự xuất hiện của nguy cơ đe dọa do kẻ tấn công tổ chức hoặc trong các trường hợp vô tình;

§ sự hiện diện của các điều kiện cho phép kẻ tấn công thực hiện các hành động cần thiết và thu thập thông tin.

Những điều kiện này có thể bao gồm:

© thiếu công việc phân tích và kiểm soát có hệ thống để xác định và nghiên cứu các mối đe dọa, kênh và mức độ rủi ro vi phạm an ninh nguồn thông tin;

© một hệ thống bảo mật thông tin không hiệu quả hoặc sự vắng mặt của hệ thống này, tạo ra mức độ dễ bị tổn thương thông tin cao;

© công nghệ được tổ chức không chuyên nghiệp để xử lý và lưu trữ tài liệu mật;

© lựa chọn nhân sự và luân chuyển nhân sự rối loạn, không khí tâm lý khó khăn trong đội;

© thiếu hệ thống đào tạo nhân viên về các quy tắc bảo vệ thông tin bị hạn chế truy cập;

© sự thiếu kiểm soát của ban quản lý công ty đối với việc nhân viên tuân thủ các yêu cầu của văn bản quy định khi làm việc với các nguồn thông tin có quyền truy cập hạn chế;

© những cuộc viếng thăm không được kiểm soát vào cơ sở của công ty bởi những người không có thẩm quyền.

Bạn nên luôn nhớ rằng thực tế việc ghi chép tài liệu làm tăng đáng kể nguy cơ đe dọa thông tin. Các bậc thầy vĩ đại trong quá khứ không bao giờ viết ra những bí mật trong nghệ thuật của họ mà truyền miệng cho con cháu và học trò của họ. Vì vậy, bí quyết chế tạo ra nhiều món đồ độc đáo thời bấy giờ vẫn chưa được tiết lộ cho đến ngày nay.

Các hành động hiện tại được thực hiện với thông tin có thể chứa đựng mối đe dọa: thu thập, sửa đổi, rò rỉ và tiêu hủy. Những hành động này là cơ bản để xem xét thêm. Tuân thủ phân loại được chấp nhận, chúng tôi sẽ chia tất cả các nguồn đe dọa thành bên ngoài và bên trong.

Các mối đe dọa bên trong và bên ngoài

Người phạm tội nội bộ có thể là người thuộc các loại nhân viên sau của bộ phận dịch vụ: nhân viên dịch vụ (quản trị viên hệ thống chịu trách nhiệm vận hành và bảo trì phần cứng và phần mềm); lập trình viên bảo trì phần mềm hệ thống và ứng dụng; nhân viên kỹ thuật (công nhân tiện ích, người dọn dẹp, v.v.); nhân viên của các phòng ban doanh nghiệp được cấp quyền truy cập vào cơ sở đặt máy tính hoặc thiết bị viễn thông.

Nguồn gốc của các mối đe dọa nội bộ là:

· nhân viên của tổ chức;

· phần mềm;

· phần cứng.

Các mối đe dọa nội bộ có thể biểu hiện dưới các hình thức sau:

lỗi của người dùng và người quản trị hệ thống;

nhân viên công ty vi phạm các quy định đã được thiết lập về xử lý, chuyển giao và tiêu hủy thông tin;

lỗi trong quá trình vận hành phần mềm;

máy tính bị nhiễm virus hoặc phần mềm độc hại;

sự cố và trục trặc của thiết bị máy tính.

Những kẻ xâm nhập bên ngoài bao gồm những người không thể hiện diện trong cơ sở với thiết bị nếu không có sự kiểm soát của nhân viên doanh nghiệp.

Kẻ xâm nhập bên ngoài chặn và phân tích bức xạ điện từ từ thiết bị hệ thống thông tin.

Các nguồn đe dọa bên ngoài bao gồm:

· Các tổ chức, cá nhân;

· Thảm họa thiên nhiên;

· Tai nạn do con người gây ra;

· Thực hiện hành vi khủng bố.

Các hình thức biểu hiện của mối đe dọa bên ngoài là: ngăn chặn; phân tích và sửa đổi thông tin; truy cập trái phép vào thông tin của công ty; giám sát thông tin bởi các cơ cấu cạnh tranh, tình báo và các dịch vụ đặc biệt; tai nạn, hỏa hoạn, thảm họa do con người gây ra.

Tất cả các loại mối đe dọa (hình thức biểu hiện) mà chúng tôi đã liệt kê có thể được chia thành cố ý và vô ý, những người quan tâm và không quan tâm đến việc xảy ra mối đe dọa.

Tác động có chủ ý là hành động có mục đích của kẻ tấn công do tò mò; tin tặc tấn công; lòng kiêu hãnh bị tổn thương của một nhân viên, nỗ lực thực hiện hành vi khủng bố. Kẻ đột nhập có thể là nhân viên, khách, đối thủ cạnh tranh, lính đánh thuê, nhân viên kỹ thuật (công nhân tiện ích, người dọn dẹp, v.v.).

Nguyên nhân gây ra những tác động ngẫu nhiên ngoài ý muốn trong quá trình vận hành có thể là: các tình huống khẩn cấp do thiên tai, mất điện (tác động tự nhiên và nhân tạo); hỏng hóc và trục trặc của thiết bị; lỗi phần mềm; sai sót trong công tác nhân sự; nhiễu trong đường truyền thông tin do ảnh hưởng của môi trường.

Theo các phương pháp tác động đến đối tượng an toàn thông tin, các mối đe dọa được phân loại như sau: thông tin, phần mềm, vật lý, vô tuyến điện tử và tổ chức-pháp lý.

Các mối đe dọa thông tin bao gồm:

- truy cập trái phép vào các nguồn thông tin;

- sao chép trái phép dữ liệu trong hệ thống thông tin;

- trộm cắp thông tin từ thư viện, cơ quan lưu trữ, ngân hàng và cơ sở dữ liệu;

- vi phạm công nghệ xử lý thông tin;

- thu thập và sử dụng thông tin bất hợp pháp.

Các mối đe dọa phần mềm bao gồm:

- sử dụng các lỗi và "lỗ hổng" trong phần mềm;

- virus máy tính và phần mềm độc hại;

- lắp đặt các thiết bị "thế chấp".

Các mối đe dọa vật lý bao gồm:

- phá hủy hoặc phá hủy các cơ sở xử lý thông tin và truyền thông;

- trộm cắp phương tiện lưu trữ;

- đánh cắp khóa phần mềm hoặc phần cứng và các phương tiện bảo vệ dữ liệu mật mã;

- Ảnh hưởng đến nhân sự.

Các mối đe dọa điện tử bao gồm:

- đưa các thiết bị chặn thông tin điện tử vào các phương tiện và cơ sở kỹ thuật;

- chặn, giải mã, thay thế và phá hủy thông tin trong các kênh liên lạc.

Các mối đe dọa về mặt tổ chức và pháp lý bao gồm:

- mua sắm các công nghệ thông tin và công cụ thông tin không hoàn hảo hoặc lỗi thời;

- vi phạm các yêu cầu pháp lý và chậm trễ trong việc đưa ra các quyết định quản lý cần thiết trong lĩnh vực thông tin.

Sau khi xác định thông tin cấu thành bí mật thương mại và xác định các nguồn có, sở hữu hoặc chứa thông tin này, các phương pháp truy cập trái phép vào thông tin này được xác định bằng cách chọn từ một tập hợp các phương pháp chính để truy cập trái phép vào các nguồn thông tin bí mật.

Có thể xác định các kênh có thể rò rỉ thông tin bí mật sau đây (Hình 3):

sao chép trái phép thông tin bí mật sang phương tiện truyền thông bên ngoài và xóa thông tin đó ra ngoài lãnh thổ được kiểm soát của doanh nghiệp. Ví dụ về các phương tiện như vậy là đĩa mềm, CD-ROM, đĩa Flash, v.v.;

in thông tin bí mật và loại bỏ các tài liệu in bên ngoài lãnh thổ được kiểm soát.

Cần lưu ý rằng trong trường hợp này, có thể sử dụng cả máy in cục bộ được kết nối trực tiếp với máy tính của kẻ tấn công và máy in từ xa, tương tác được thực hiện qua mạng;

chuyển trái phép thông tin bí mật qua mạng tới các máy chủ bên ngoài nằm ngoài lãnh thổ được kiểm soát của doanh nghiệp. Ví dụ: kẻ tấn công có thể chuyển thông tin bí mật đến máy chủ tệp bên ngoài hoặc mạng nội bộ. Trong trường hợp này, để che giấu hành động của mình, trước tiên người phạm tội có thể mã hóa thông tin đã gửi hoặc truyền nó dưới dạng tệp đồ họa tiêu chuẩn.

Rủi ro thông tin, theo định nghĩa hẹp nhất, là rủi ro mất mát, thay đổi thông tin trái phép do lỗi hoạt động của hệ thống thông tin hoặc do lỗi của chúng dẫn đến tổn thất. An toàn thông tin là trạng thái an toàn của môi trường thông tin. Bảo vệ thông tin là một hoạt động nhằm ngăn chặn rò rỉ thông tin được bảo vệ, các tác động trái phép và vô ý đối với thông tin được bảo vệ, nghĩa là một quá trình nhằm đạt được trạng thái này.

An ninh thông tin của doanh nghiệp cung cấp điện sẽ được đảm bảo nếu đảm bảo rủi ro thông tin ở mức tối thiểu. Thông tin để sử dụng trong hoạt động hàng ngày, việc thiếu thông tin khách quan (bao gồm cả thông tin bí mật) cần thiết cho ban quản lý doanh nghiệp để đưa ra quyết định đúng đắn, cũng như việc ai đó phổ biến ra môi trường bên ngoài thông tin bất lợi hoặc nguy hiểm cho hoạt động của doanh nghiệp.

Để giải quyết vấn đề này, từ quan điểm tiếp cận hệ thống, nên phát triển và triển khai tại doanh nghiệp một hệ thống nhằm giảm thiểu rủi ro thông tin, là một tập hợp các cơ quan, phương tiện, phương pháp và biện pháp được kết nối với nhau để đảm bảo giảm thiểu rủi ro. rủi ro rò rỉ và phá hủy thông tin cần thiết cho hoạt động của doanh nghiệp. Những rủi ro thông tin chính của bất kỳ doanh nghiệp nào là:

nguy cơ rò rỉ và phá hủy thông tin cần thiết cho hoạt động của doanh nghiệp;

nguy cơ sử dụng thông tin sai lệch trong hoạt động của doanh nghiệp;

nguy cơ ban lãnh đạo doanh nghiệp không có thông tin cần thiết (bao gồm cả bí mật) để đưa ra quyết định đúng đắn;

nguy cơ ai đó phát tán thông tin ra môi trường bên ngoài gây bất lợi hoặc nguy hiểm cho doanh nghiệp.

Các nhiệm vụ chính được giải quyết bằng hệ thống giảm thiểu rủi ro thông tin là:

xác định thông tin cần được bảo vệ;

xác định các nguồn có, sở hữu hoặc chứa thông tin này;

xác định các cách truy cập trái phép vào thông tin này;

phát triển và thực hiện các biện pháp tổ chức và kỹ thuật để bảo vệ thông tin bí mật.

Thông tin về khoảng cách cung cấp điện của công ty có thể có bốn mức độ quan trọng sau:

không đáng kể, tức là thông tin mà việc rò rỉ hoặc tiêu hủy không gây thiệt hại cho doanh nghiệp và không ảnh hưởng đến quá trình hoạt động của doanh nghiệp.

Nguy cơ rò rỉ và phá hủy thông tin cần thiết cho hoạt động của doanh nghiệp kéo theo những hậu quả sau:

· thông tin bí mật, việc chuyển giao hoặc rò rỉ thông tin này cho những người không được phép sẽ gây thiệt hại cho doanh nghiệp và nhân viên của doanh nghiệp;

· thông tin quan trọng, nếu thiếu hoặc bị hư hỏng sẽ khiến công việc hàng ngày của nhân viên và toàn bộ doanh nghiệp không thể thực hiện được.

Rõ ràng là thông tin thuộc ba mức độ quan trọng đầu tiên phải được bảo vệ và nói chung, mức độ bảo vệ phải được xác định bởi mức độ quan trọng của thông tin. Điều này chủ yếu là do mức độ bảo vệ liên quan trực tiếp đến chi phí thực hiện, do đó, nhìn chung, việc bảo vệ thông tin bằng các biện pháp bảo mật đắt tiền là không khả thi về mặt kinh tế nếu sự rò rỉ hoặc phá hủy thông tin dẫn đến thiệt hại không đáng kể.

Thông tin ở ba cấp độ đầu tiên, theo quy định, đề cập đến bí mật kinh doanh và được xác định bởi người đứng đầu doanh nghiệp theo Nghị định của Chính phủ Liên bang Nga ngày 5 tháng 12 năm 1991 số 35 “Về danh sách thông tin không thể cấu thành bí mật thương mại được.”

Quy trình xác định thông tin cấu thành bí mật thương mại và xác định các nguồn sở hữu, sở hữu hoặc chứa đựng thông tin này phải như sau.

Theo lệnh của doanh nghiệp, các trưởng bộ phận có trách nhiệm xác định thông tin cụ thể tạo thành bí mật thương mại trong lĩnh vực công việc của họ, những người được ủy quyền truy cập thông tin này, cũng như những người mang thông tin này.

Kết quả của công việc này phải là “Danh sách thông tin cấu thành bí mật thương mại của doanh nghiệp” được người đứng đầu doanh nghiệp phê duyệt, trong đó nêu rõ thông tin đó cho từng bộ phận cơ cấu; những người mang thông tin này; các tài liệu chứa thông tin này cũng như các phương tiện (kỹ thuật) khác chứa thông tin này, nếu có.

1.3 Những quy định cơ bản của hệ thống an toàn thông tin

Một phân tích về tình hình trong lĩnh vực thông tin cho thấy rằng một khái niệm và cấu trúc bảo vệ được hình thành đầy đủ đã xuất hiện, cơ sở của nó là:

một kho vũ khí kỹ thuật bảo mật thông tin rất phát triển được sản xuất trên cơ sở công nghiệp;

một số lượng đáng kể các công ty chuyên giải quyết các vấn đề an toàn thông tin;

một hệ thống quan điểm được xác định khá rõ ràng về vấn đề này;

có kinh nghiệm thực tế đáng kể.

Và tuy nhiên, theo báo chí trong và ngoài nước, hành vi ác ý chống lại thông tin không những không giảm mà còn có chiều hướng tăng lên khá ổn định. Kinh nghiệm cho thấy để chống lại xu hướng này cần phải:

1. Tổ chức có tổ chức và có mục tiêu của quá trình bảo vệ tài nguyên thông tin. Hơn nữa, các chuyên gia chuyên nghiệp, chính quyền, nhân viên và người dùng nên tích cực tham gia vào việc này, điều này quyết định tầm quan trọng ngày càng tăng của phía tổ chức của vấn đề. Ngoài ra, việc đảm bảo an ninh thông tin không thể là việc làm một lần. Đây là một quá trình liên tục bao gồm việc biện minh và thực hiện các phương pháp, phương pháp và cách thức hợp lý nhất để cải thiện và phát triển hệ thống bảo vệ, giám sát liên tục tình trạng của hệ thống, xác định các điểm nghẽn, điểm yếu và các hành động bất hợp pháp;

2. An ninh thông tin chỉ có thể được đảm bảo khi sử dụng tích hợp toàn bộ kho phương tiện bảo mật sẵn có trong tất cả các thành phần cấu trúc của hệ thống sản xuất và ở tất cả các giai đoạn của chu trình công nghệ xử lý thông tin. Hiệu quả lớn nhất đạt được khi tất cả các phương tiện, phương pháp và biện pháp được sử dụng được kết hợp thành một cơ chế tích hợp duy nhất - hệ thống bảo mật thông tin (IPS). Đồng thời, chức năng của hệ thống phải được theo dõi, cập nhật và bổ sung tùy theo sự thay đổi của điều kiện bên ngoài và bên trong.

Do đó, chúng ta có thể hình dung hệ thống an ninh thông tin như một tập hợp tổ chức gồm các cơ quan, phương tiện, phương pháp và biện pháp đặc biệt nhằm đảm bảo bảo vệ thông tin khỏi các mối đe dọa bên trong và bên ngoài.

Hình 4. Mô hình xây dựng hệ thống bảo mật thông tin doanh nghiệp

Từ quan điểm của một cách tiếp cận có hệ thống để bảo vệ thông tin, một số yêu cầu nhất định được đặt ra. Bảo vệ thông tin phải là:

1. Liên tục. Yêu cầu này xuất phát từ thực tế là những kẻ tấn công chỉ đang tìm cơ hội để vượt qua việc bảo vệ thông tin mà chúng quan tâm.

2. Đã lên kế hoạch. Việc lập kế hoạch được thực hiện bởi mỗi dịch vụ, phát triển các kế hoạch chi tiết để bảo vệ thông tin trong lĩnh vực thẩm quyền của mình, có tính đến mục tiêu chung của doanh nghiệp (tổ chức).

3. Có mục đích. Những gì được bảo vệ là những gì cần được bảo vệ vì lợi ích của một mục tiêu cụ thể, không phải tất cả mọi thứ liên tiếp.

4. Cụ thể. Dữ liệu cụ thể cần được bảo vệ một cách khách quan, việc mất dữ liệu có thể gây ra thiệt hại nhất định cho tổ chức, sẽ được bảo vệ.

5. Hoạt động. Cần phải bảo vệ thông tin với mức độ đủ bền bỉ.

6. Đáng tin cậy. Các phương pháp và hình thức bảo vệ phải chặn một cách đáng tin cậy các đường dẫn có thể truy cập liên tục vào các bí mật được bảo vệ, bất kể hình thức trình bày, ngôn ngữ biểu đạt và loại phương tiện vật lý mà chúng được lưu trữ trên đó.

7. Phổ quát. Người ta tin rằng, tùy thuộc vào loại kênh rò rỉ hoặc phương thức truy cập trái phép, nó phải bị chặn dù nó xuất hiện ở đâu, bằng các biện pháp hợp lý và đầy đủ, bất kể tính chất, hình thức và loại thông tin.

8. Toàn diện. Để bảo vệ thông tin ở mọi thành phần cấu trúc đa dạng, tất cả các loại và hình thức bảo vệ phải được sử dụng đầy đủ. Không thể chấp nhận được việc chỉ sử dụng một số hình thức hoặc phương tiện kỹ thuật nhất định.

Bản chất phức tạp của bảo vệ xuất phát từ thực tế rằng bảo vệ là một hiện tượng cụ thể, là một hệ thống phức tạp gồm các quá trình liên kết chặt chẽ với nhau, mỗi quá trình lại có nhiều khía cạnh, tính chất và xu hướng điều hòa lẫn nhau.

Như vậy, để đảm bảo đáp ứng được yêu cầu bảo mật nhiều mặt đó, hệ thống an toàn thông tin phải đáp ứng một số điều kiện sau:

bao gồm toàn bộ tổ hợp công nghệ của hoạt động thông tin; phải đa dạng về phương tiện được sử dụng,

đa cấp với trình tự truy cập phân cấp; cởi mở với những thay đổi và bổ sung đối với các biện pháp bảo mật thông tin;

không chuẩn mực, đa dạng, khi lựa chọn phương tiện bảo vệ, bạn không thể tin tưởng vào sự thiếu hiểu biết của kẻ tấn công về khả năng của nó;

dễ bảo trì và thuận tiện cho người sử dụng sử dụng;

đáng tin cậy, bất kỳ sự cố nào của thiết bị kỹ thuật đều gây ra các kênh rò rỉ thông tin không được kiểm soát;

phức tạp, có tính toàn vẹn, nghĩa là không thể loại bỏ một phần nào của nó mà không làm hỏng toàn bộ hệ thống.

Có một số yêu cầu nhất định đối với hệ thống bảo mật thông tin:

xác định rõ ràng về quyền hạn và quyền truy cập một số thông tin nhất định của người dùng;

cung cấp cho người dùng quyền tối thiểu cần thiết để thực hiện công việc được giao;

giảm thiểu số lượng biện pháp bảo vệ được chia sẻ bởi nhiều người dùng;

ghi lại các trường hợp và nỗ lực truy cập trái phép vào thông tin bí mật;

đảm bảo đánh giá mức độ bảo mật của thông tin;

đảm bảo kiểm soát tính toàn vẹn của thiết bị bảo vệ và phản ứng ngay lập tức đối với sự cố của chúng.

Một hệ thống bảo mật thông tin, giống như bất kỳ hệ thống nào, phải có một số loại hỗ trợ riêng, dựa vào đó nó sẽ thực hiện chức năng mục tiêu của mình. Khi tính đến điều này, một hệ thống bảo mật thông tin có thể có:

1. Hỗ trợ pháp lý. Điều này bao gồm các tài liệu quy định, quy định, hướng dẫn, hướng dẫn, các yêu cầu bắt buộc trong các quy tắc trong phạm vi của chúng.

2. Hỗ trợ về mặt tổ chức. Điều này có nghĩa là việc thực hiện bảo mật thông tin được thực hiện bởi các đơn vị cấu trúc nhất định - chẳng hạn như dịch vụ bảo mật tài liệu; chế độ, truy cập và dịch vụ bảo mật; dịch vụ an toàn thông tin bằng phương tiện kỹ thuật; thông tin và dịch vụ phân tích và những dịch vụ khác.

3. Phần cứng. Dự kiến ​​các phương tiện kỹ thuật sẽ được sử dụng rộng rãi vừa để bảo vệ thông tin, vừa đảm bảo hoạt động của hệ thống an toàn thông tin.

4. Hỗ trợ thông tin. Nó bao gồm thông tin, dữ liệu, chỉ số, thông số làm nền tảng cho giải pháp cho các vấn đề đảm bảo hoạt động của hệ thống. Điều này có thể bao gồm cả các chỉ số về hệ thống truy cập, kế toán, lưu trữ và hỗ trợ thông tin để giải quyết các nhiệm vụ có tính chất khác nhau liên quan đến hoạt động của dịch vụ hỗ trợ thông tin.

5. Phần mềm. Nó bao gồm các chương trình thông tin, kế toán, thống kê và tính toán khác nhau nhằm đánh giá sự hiện diện và nguy hiểm của các kênh rò rỉ khác nhau cũng như các cách thức xâm nhập trái phép vào các nguồn thông tin bí mật;

6. Phần mềm toán học. Liên quan đến việc sử dụng các phương pháp toán học để tính toán khác nhau liên quan đến việc đánh giá mức độ nguy hiểm của các phương tiện kỹ thuật của kẻ tấn công, các khu vực và tiêu chuẩn bảo vệ cần thiết.

7. Hỗ trợ ngôn ngữ. Bộ phương tiện ngôn ngữ đặc biệt để giao tiếp giữa các chuyên gia và người dùng trong lĩnh vực an toàn thông tin.

8. Hỗ trợ về mặt quy định và phương pháp. Điều này bao gồm các chuẩn mực, quy định đối với hoạt động của các cơ quan, dịch vụ, công cụ thực hiện chức năng bảo mật thông tin, các kỹ thuật khác nhau đảm bảo hoạt động của người dùng khi thực hiện công việc của mình với các yêu cầu nghiêm ngặt về bảo mật thông tin.

Chỉ có hệ thống bảo mật mới có thể đáp ứng các yêu cầu hiện đại để đảm bảo hoạt động của doanh nghiệp và bảo vệ thông tin bí mật của doanh nghiệp. Theo hệ thống bảo mật, chúng tôi hiểu một tập hợp tổ chức gồm các cơ quan, dịch vụ, phương tiện, phương pháp và biện pháp đặc biệt nhằm đảm bảo bảo vệ lợi ích sống còn của cá nhân, doanh nghiệp và nhà nước khỏi các mối đe dọa bên trong và bên ngoài.

Giống như bất kỳ hệ thống nào, hệ thống an ninh thông tin có mục tiêu, mục tiêu, phương pháp và phương tiện hoạt động riêng, được phối hợp tại chỗ và thời gian tùy theo điều kiện.

Hiểu an ninh thông tin là “trạng thái an ninh của môi trường thông tin của xã hội, đảm bảo sự hình thành, sử dụng và phát triển vì lợi ích của công dân và tổ chức”, việc xác định các mối đe dọa đối với an ninh thông tin, nguồn gốc của các mối đe dọa này, phương pháp việc thực hiện và mục tiêu của chúng cũng như các điều kiện và hành động khác vi phạm bảo mật . Đồng thời, việc cân nhắc các biện pháp bảo vệ thông tin khỏi những hành động trái pháp luật dẫn đến thiệt hại là điều đương nhiên.

Thực tiễn cho thấy rằng để phân tích một tập hợp nguồn, đối tượng và hành động quan trọng như vậy, nên sử dụng các phương pháp mô hình hóa, trong đó hình thành một loại “thay thế” cho các tình huống thực tế. Cần lưu ý rằng mô hình không sao chép bản gốc, nó đơn giản hơn. Mô hình phải đủ tổng quát để mô tả các hành động thực tế, có tính đến độ phức tạp của chúng.

kết luận: Kinh nghiệm trong và ngoài nước cho thấy, mặc dù công nghệ thông tin mới được đưa vào thực tiễn doanh nghiệp ngày càng rộng rãi nhưng nguồn rò rỉ thông tin chính vẫn là nhân viên của các doanh nghiệp này.

Vì vậy, trước tình hình đó, cần phải hiểu rằng thực tế không thể tạo điều kiện tại doanh nghiệp loại trừ hoàn toàn việc truy cập trái phép vào nguồn thông tin bị hạn chế này mà chỉ có thể giảm đáng kể vai trò của nó trong số các nguồn thông tin khác. rò rỉ thông tin bí mật.

Do đó, các mối đe dọa đối với thông tin bị hạn chế luôn hiện hữu, rất đa dạng và tạo tiền đề cho việc mất thông tin.

Theo Viện An ninh Máy tính (CSI) và FBI, hơn 50% các vụ xâm nhập là do chính nhân viên của công ty thực hiện. Về tần suất các cuộc xâm nhập, 21% số người được hỏi cho biết họ đã gặp phải các “cuộc tấn công” tái diễn. Sửa đổi dữ liệu trái phép là hình thức tấn công phổ biến nhất và chủ yếu được sử dụng để chống lại các tổ chức tài chính và chăm sóc sức khỏe. Hơn 50% số người được hỏi coi đối thủ cạnh tranh là nguồn “tấn công” có thể xảy ra. Những người được hỏi coi trọng thực tế về việc nghe lén, xâm nhập hệ thống thông tin và các “cuộc tấn công” trong đó “kẻ tấn công” làm sai lệch địa chỉ trả lại để chuyển hướng tìm kiếm đến những người không liên quan. Những kẻ tấn công như vậy thường là những nhân viên và đối thủ cạnh tranh bất mãn.

Phân tích rủi ro thông tin cho thấy chúng gắn liền với thông tin bí mật.

Một số lý do chưa được tính đến kỹ lưỡng, chẳng hạn như thái độ thù địch cá nhân đối với người đứng đầu doanh nghiệp, mối quan hệ thương mại giữa các doanh nghiệp xấu đi, có thể dẫn đến việc xuất hiện trên các phương tiện truyền thông những thông tin bất lợi và trong một số trường hợp, thông tin nguy hiểm cho doanh nghiệp. Vì vậy, để loại bỏ hoặc ít nhất là giảm thiểu nguy cơ phổ biến thông tin này của các doanh nghiệp cạnh tranh, cần chủ động phổ biến một số thông tin đúng sự thật và trong một số trường hợp là thông tin sai lệch.

Mặc dù đề tài rất kỹ lưỡng nhưng vẫn luôn nảy sinh nhiều câu hỏi trong quá trình cải tiến hệ thống quản lý rủi ro thông tin. Mục đích của việc xây dựng quy trình phân tích rủi ro không chỉ là xác định chúng, đánh giá hậu quả của việc thực hiện chúng, đảm bảo quá trình xử lý chúng và sau đó tiến hành giám sát hiệu quả hơn nữa một cách có hệ thống. Ngoài ra, còn đảm bảo tiêu chuẩn hóa cách tiếp cận rủi ro trong mọi khía cạnh hoạt động của công ty, giúp có được bức tranh toàn cảnh và nhanh chóng về tình hình rủi ro thông tin của công ty ở bất kỳ giai đoạn hoạt động nào một cách thuận tiện và nhanh chóng. Và cũng trong việc tăng sức hấp dẫn cạnh tranh của công ty thông qua phản ứng nhanh chóng và đầy đủ trước tất cả các mối đe dọa mới đang nổi lên, trong việc tăng cường niềm tin vào bản thân công ty giữa hoạt động kinh doanh và an ninh.

2. Tổ chức bảo vệ hệ thống thông tin doanh nghiệp Khoảng cách cấp điện theo giải pháp tiêu chuẩn

2.1 Đối tượng và đối tượng bảo vệ

Đối với Khoảng cách cung cấp điện, các nguồn tài nguyên quan trọng cho cuộc sống và do đó được bảo vệ là:

1) con người (nhân sự doanh nghiệp);

2) tài sản: tài liệu, tài sản vật chất và tài chính, mẫu thành phẩm, sở hữu trí tuệ (bí quyết), thiết bị máy tính, v.v.;

3) Thông tin: trên các phương tiện hữu hình, cũng như lưu chuyển trên các kênh và thông tin liên lạc nội bộ, trong các phòng quản lý doanh nghiệp, tại các cuộc họp, hội họp;

4) Nguồn lực tài chính và kinh tế đảm bảo cho sự phát triển hiệu quả và bền vững của doanh nghiệp (lợi ích thương mại, kế hoạch kinh doanh, văn bản hợp đồng và nghĩa vụ, v.v.).

Các vật có giá trị cần được bảo vệ, chẳng hạn như thông tin bị hạn chế, bí mật ngân hàng, dữ liệu cá nhân, bí mật chính thức, bí mật thương mại, bí mật nhà nước, thông tin nội bộ và các thông tin khác mà chế độ bảo mật bắt buộc và trách nhiệm pháp lý đối với việc tiết lộ thông tin đó được thiết lập.

Dữ liệu được tạo hoặc sử dụng trong mạng thông tin của doanh nghiệp, chẳng hạn như thông tin khoa học, kỹ thuật và công nghệ liên quan đến hoạt động của doanh nghiệp cũng có giá trị.

Danh sách đầy đủ các thông tin cấu thành bí mật kinh doanh do người đứng đầu cơ quan bảo vệ thông tin lập ra ngoài các quy định có liên quan.

Các danh mục “bí mật” bao gồm thông tin đáp ứng các tiêu chí sau:

chúng không được biết đến rộng rãi hoặc không được công chúng biết đến một cách hợp pháp;

Việc sở hữu độc quyền thông tin này mang lại cho tổ chức lợi thế thương mại, lợi ích kinh tế và các lợi ích khác, đồng thời việc tiết lộ hoặc sử dụng công khai những thông tin này có thể dẫn đến thiệt hại (vật chất, đạo đức, vật chất) cho tổ chức, khách hàng hoặc đối tác của tổ chức (bí mật thương mại).

Ngân hàngbí mậtđề cập đến thông tin về các giao dịch, tài khoản và tiền gửi, chi tiết ngân hàng, cũng như thông tin về khách hàng và đại lý của Ngân hàng, những thông tin này phải được bảo vệ bắt buộc.

Dịch vụbí mậtđề cập đến thông tin mà quyền truy cập bị hạn chế bởi các cơ quan nhà nước và luật liên bang và đề cập đến thông tin không phải là bí mật ngân hàng và phải được bảo vệ bắt buộc theo danh sách thông tin bị hạn chế.

Thuộc về thương mạibí mật tổ chức nghĩa là thông tin liên quan đến thông tin khoa học, kỹ thuật, công nghệ, sản xuất, tài chính, kinh tế hoặc thông tin khác có giá trị thương mại thực tế hoặc tiềm năng do bên thứ ba không biết, không được truy cập tự do một cách hợp pháp và đối với tổ chức đó, chủ sở hữu tổ chức những thông tin đó đã được đưa vào chế độ bí mật thương mại. Việc tiết lộ (chuyển giao, rò rỉ, sử dụng rộng rãi) có thể dẫn đến thiệt hại cho tổ chức, nhà nước, khách hàng hoặc đại lý, đối tác của Công ty Cổ phần Đường sắt Nga.

Riêng tưdữ liệuđề cập đến thông tin về các sự kiện, sự kiện và hoàn cảnh trong đời sống riêng tư của công dân cho phép xác định danh tính của họ.

Tình trạngbí mật- theo định nghĩa được thông qua trong luật pháp Nga, thông tin được nhà nước bảo vệ trong lĩnh vực quân sự, chính sách đối ngoại, kinh tế, tình báo, phản gián, tìm kiếm hoạt động và các hoạt động khác, việc phổ biến thông tin này có thể gây tổn hại đến an ninh nhà nước.

Người trong cuộcthông tin- (eng. Thông tin nội bộ) - thông tin độc quyền quan trọng chưa được tiết lộ công khai của công ty, nếu được tiết lộ, có thể ảnh hưởng đến giá trị thị trường của chứng khoán của công ty. Điều này có thể bao gồm: thông tin về sự thay đổi quản lý sắp tới và chiến lược mới, về việc chuẩn bị tung ra sản phẩm mới và giới thiệu công nghệ mới, về các cuộc đàm phán thành công về việc sáp nhập các công ty hoặc việc mua cổ phần kiểm soát đang diễn ra; tài liệu báo cáo tài chính, dự báo những khó khăn của công ty; thông tin về việc chào mua công khai (đấu giá) trước khi công bố ra công chúng, v.v.

Thông tingiới hạntruy cập là thông tin có giá trị đối với chủ sở hữu của nó, việc truy cập bị hạn chế về mặt pháp lý. Ngược lại, thông tin truy cập bị hạn chế được chia thành thông tin cấu thành bí mật nhà nước và thông tin được bảo mật theo quy định của luật liên bang (thông tin bí mật).

Hợp phápVàthẩm quyền giải quyếtthông tin, thư từ kinh doanh, chuyển báo cáo thông tin kế toán giữa các máy trạm của người dùng và máy chủ cơ sở dữ liệu trong khuôn khổ hệ thống SAP R/3 tự động dành cho các bộ phận tài chính, kinh tế và kỹ thuật.

Thông tin doanh nghiệp có thể có bốn mức độ quan trọng sau:

quan trọng, tức là thông tin bị rò rỉ hoặc phá hủy sẽ đe dọa đến sự tồn tại của doanh nghiệp;

quan trọng, đó là thông tin bị rò rỉ hoặc phá hủy dẫn đến chi phí lớn;

hữu ích, tức là thông tin bị rò rỉ hoặc bị phá hủy gây ra một số thiệt hại nhưng doanh nghiệp vẫn có thể hoạt động khá hiệu quả ngay cả sau đó;

không đáng kể, tức là thông tin mà việc rò rỉ hoặc tiêu hủy không gây thiệt hại cho doanh nghiệp và không ảnh hưởng đến quá trình hoạt động của doanh nghiệp.

2.2 Các biện pháp tổ chức trong hệ thống an toàn thông tin

Các văn bản và phương pháp tổ chức, pháp lý quy định toàn bộ chu trình công nghệ làm việc của Công ty Cổ phần Đường sắt Nga, từ phương pháp lựa chọn nhân sự và thuê họ, chẳng hạn như trên cơ sở hợp đồng, đến các quy định về trách nhiệm chức năng của bất kỳ nhân viên nào. Mọi hướng dẫn hoặc quy định của công ty phải trực tiếp hoặc gián tiếp giải quyết các vấn đề an toàn và ảnh hưởng đến chức năng cũng như hiệu quả của hệ thống bảo vệ.

Một nguồn rò rỉ thông tin bí mật quan trọng là các loại tài liệu khác nhau. Ở đây cần phải tính đến sự phát triển khá nhanh chóng của công nghệ thông tin đã dẫn đến sự xuất hiện của các loại phương tiện thông tin tài liệu mới: bản in máy tính, phương tiện lưu trữ, v.v. Đồng thời, tầm quan trọng trong hoạt động thương mại của các loại văn bản giấy truyền thống: hợp đồng, thư từ, đánh giá phân tích trên thực tế không hề giảm đi.

Sự xuất hiện của các vật mang thông tin tài liệu mới không chỉ dẫn đến những khó khăn mới trong việc giải quyết vấn đề đảm bảo bảo vệ thông tin khỏi bị truy cập trái phép vào nội dung của nó mà còn dẫn đến những cơ hội mới để đảm bảo bảo vệ thông tin này. Ở đây chúng ta đang nói chủ yếu về việc lưu trữ thông tin tài liệu đặc biệt quan trọng trên phương tiện ở dạng được chuyển đổi bằng cách sử dụng các phép biến đổi mật mã.

Là một phần của các biện pháp này, các tài liệu về tổ chức và hành chính đã được phát triển và triển khai tại Khoảng cách cung cấp điện, xác định danh sách các nguồn thông tin bí mật cũng như danh sách các biện pháp phải được thực hiện để chống lại.

Tài liệu của tổ chức là chính sách bảo mật thông tin, mô tả công việc của nhân viên công ty và các quy định làm việc trên máy tính cá nhân.

Để đạt được mục tiêu này, Công ty Cổ phần Đường sắt Nga đã hoàn thành các nhiệm vụ tổ chức sau:

Một khuôn khổ pháp lý đã được tạo ra để đảm bảo việc bảo vệ thông tin bằng cách thực hiện:

- đưa ra các sửa đổi Điều lệ doanh nghiệp để trao cho ban quản lý doanh nghiệp quyền: ban hành các văn bản quản lý và hành chính quy định thủ tục xác định thông tin cấu thành bí mật kinh doanh và các cơ chế bảo vệ bí mật kinh doanh;

- bổ sung vào “Thỏa thuận tập thể” với các điều khoản quy định trách nhiệm của ban điều hành và nhân viên của doanh nghiệp liên quan đến việc xây dựng và thực hiện các biện pháp xác định và bảo vệ bí mật thương mại;

- bổ sung vào “Hợp đồng lao động” với các yêu cầu về bảo vệ bí mật thương mại và các quy định nội bộ, bao gồm cả các yêu cầu về bảo vệ bí mật thương mại;

- hướng dẫn những người được thuê về các quy tắc bảo quản bí mật thương mại bằng việc thực hiện nghĩa vụ không tiết lộ bằng văn bản.

- đưa những người vi phạm các yêu cầu bảo vệ bí mật thương mại vào trách nhiệm hành chính hoặc hình sự theo quy định của pháp luật hiện hành.

- bao gồm các yêu cầu bảo vệ bí mật thương mại trong hợp đồng đối với tất cả các loại hoạt động kinh doanh;

- yêu cầu bảo vệ lợi ích của doanh nghiệp trước chính phủ và cơ quan tư pháp;

- hủy bỏ thông tin là tài sản của doanh nghiệp nhằm thu được lợi ích và ngăn ngừa thiệt hại kinh tế cho doanh nghiệp;

- đào tạo nhân viên về các quy tắc bảo vệ thông tin bị hạn chế truy cập;

- lựa chọn cẩn thận nhân viên làm việc trong hệ thống quản lý văn phòng;

- tạo điều kiện nội bộ thuận lợi cho doanh nghiệp để bảo quản bí mật kinh doanh;

- xác định và ổn định tình hình luân chuyển nhân sự, tâm lý khó khăn trong nhóm;

- đảm bảo đánh giá mức độ bảo mật của thông tin;

- loại bỏ khỏi công việc liên quan đến bí mật thương mại của những người vi phạm các yêu cầu đã được thiết lập để bảo vệ bí mật đó;

- Thông báo cho từng người lao động của doanh nghiệp “Danh sách thông tin cấu thành bí mật thương mại của doanh nghiệp”;

- đảm bảo lưu trữ tài liệu an toàn và tiêu hủy chúng kịp thời, cũng như kiểm tra tính sẵn có của tài liệu và giám sát tính kịp thời và chính xác của việc thực hiện chúng;

- bản thảo và phiên bản của tài liệu bị tiêu hủy bởi cá nhân người thi hành, người chịu trách nhiệm cá nhân về việc tiêu hủy chúng. Việc tiêu hủy được thực hiện bằng máy cắt giấy tiêu chuẩn hoặc các phương pháp khác loại trừ khả năng đọc.

- lưu trữ thông tin bí mật trên phương tiện truyền thông và trong bộ nhớ của máy tính điện tử cá nhân ở dạng được chuyển đổi bằng cách sử dụng các phép biến đổi mật mã.

Do đó, để loại trừ quyền truy cập trái phép vào nguồn thông tin này, cả phương pháp truyền thống và phi truyền thống đều được sử dụng, cụ thể là:

· an ninh lãnh thổ, cơ sở và văn phòng, cũng như kiểm soát việc ra vào hiệu quả;

· giới thiệu một tổ chức rõ ràng của hệ thống làm việc văn phòng.

Thông tin cấu thành bí mật kinh doanh bao gồm:

- thông tin về hoạt động tài chính và kinh tế;

- thông tin về hoạt động điều hành và sản xuất;

- thông tin về hoạt động quản lý;

- thông tin về hoạt động nhân sự;

- thông tin về hoạt động kiểm soát và kiểm toán;

- thông tin về tín hiệu và truyền thông, điện khí hóa, năng lượng;

- thông tin về hợp đồng làm việc;

- thông tin về kết quả nghiên cứu của chúng tôi;

- thông tin về hoạt động y tế;

- Thông tin về việc bảo vệ thông tin và cơ sở vật chất của Công ty Cổ phần Đường sắt Nga.

Đảm bảo rằng máy tính và tài nguyên viễn thông của tổ chức được nhân viên và nhà thầu độc lập của tổ chức sử dụng đúng mục đích đã định. Tất cả người dùng máy tính đều có trách nhiệm sử dụng tài nguyên máy tính một cách khéo léo, hiệu quả, có đạo đức và hợp pháp. Hành vi vi phạm chính sách an ninh của công ty sẽ dẫn đến biện pháp kỷ luật, lên đến và bao gồm sa thải và/hoặc tố tụng hình sự.

Chính sách bảo mật không phải là những quy tắc thông thường mà mọi người đều rõ ràng. Nó được trình bày dưới dạng một tài liệu in nghiêm túc. Và để liên tục nhắc nhở người dùng về tầm quan trọng của sự an toàn, các bản sao của tài liệu này được mỗi nhân viên lưu giữ để những quy tắc này luôn hiển thị trước mắt họ trên màn hình của họ.

Chính sách bảo mật doanh nghiệp

· Quyền truy cập miễn phí vào thông tin cấu thành bí mật ngân hàng, thương mại và chính thức của Ngân hàng bị đóng nhằm bảo vệ thông tin bí mật và bảo vệ vật lý của các nhà cung cấp dịch vụ.

· Tổ chức, với tư cách là chủ sở hữu (người sở hữu) thông tin, thực hiện các biện pháp để bảo vệ bí mật ngân hàng, dữ liệu cá nhân, bí mật chính thức, bí mật thương mại và các thông tin khác theo các quyền và nghĩa vụ được quy định bởi pháp luật hiện hành.

Tài liệu tương tự

Phân tích hệ thống quản lý nhân sự và thương mại của công ty, kế toán và mức độ bảo mật của hệ thống thông tin dữ liệu cá nhân của công ty. Phát triển hệ thống con các biện pháp kỹ thuật để bảo vệ định tuyến, chuyển mạch và tường lửa ISDN.

bài tập khóa học, được thêm vào ngày 08/07/2014


Phân tích đối tượng của tin học hóa Chính sách bảo mật thông tin. Các hệ thống con bảo mật thông tin kỹ thuật: kiểm soát truy cập, giám sát video, an ninh và báo cháy, bảo vệ chống rò rỉ qua các kênh kỹ thuật, bảo vệ mạng công ty.

trình bày, thêm vào ngày 30/01/2012


Phân tích mô hình hệ thống thông tin và viễn thông doanh nghiệp. Các loại mối đe dọa an ninh thông tin. Mục đích và mục tiêu bảo mật thông tin trong doanh nghiệp. Xây dựng quy trình giám sát hệ thống quản lý an ninh thông tin trong mạng công ty.

luận văn, bổ sung 30/06/2011


Phân tích bảo mật mạng doanh nghiệp dựa trên ATM, kiến ​​trúc các đối tượng bảo mật trong công nghệ. Mô hình xây dựng hệ thống bảo mật thông tin doanh nghiệp. Phương pháp đánh giá hiệu quả kinh tế của việc sử dụng hệ thống. Các phương pháp giảm nguy cơ mất dữ liệu.

luận văn, bổ sung 29/06/2012


Phân tích đánh giá mạng công ty. Phân tích mạng lưới hiện có và các luồng thông tin. Yêu cầu đối với hệ thống quản trị và đánh dấu các phần tử mạng LAN. Phát triển hệ thống bảo vệ chống truy cập trái phép. Hướng dẫn dành cho quản trị viên hệ thống.

luận văn, bổ sung 19/01/2017


Khái niệm về bảo vệ chống vi-rút cơ sở hạ tầng thông tin, các loại mối đe dọa có thể xảy ra. Đặc điểm của phần mềm sử dụng trong PJSC "ROSBANK". Các phương tiện bảo vệ tài nguyên thông tin ngân hàng khỏi các mối đe dọa đến tính toàn vẹn hoặc bảo mật.

bài tập khóa học, được thêm vào ngày 24/04/2017


Phát triển mạng thông tin doanh nghiệp tốc độ cao dựa trên đường Ethernet với phân khúc thương mại di động cho doanh nghiệp Monarch LLC. Hoạt động lắp đặt và vận hành thiết bị. Tính toán các chỉ tiêu kinh tế kỹ thuật của dự án.

bài tập khóa học, được thêm vào ngày 11/10/2011


Cấu trúc hệ thống thông tin doanh nghiệp của tổ chức. Phát triển không gian địa chỉ và hệ thống DNS. Cấu trúc miền CIS. Lựa chọn cấu hình phần cứng và phần mềm cho máy trạm và thiết bị máy chủ. Cấu hình các dịch vụ tiêu chuẩn.

bài tập khóa học, được thêm vào ngày 29/07/2013


Phương tiện vật lý để truyền dữ liệu trong mạng cục bộ. Mạng thông tin doanh nghiệp. Thiết bị viễn thông và máy tính doanh nghiệp. Phát triển mạng thông tin doanh nghiệp dựa trên việc phân tích các công nghệ thông tin hiện đại.

luận văn, bổ sung 07/06/2015


Sự liên quan của vấn đề bảo mật thông tin. Phần mềm và phần cứng cho mạng Mineral LLC. Xây dựng mô hình bảo mật doanh nghiệp và bảo vệ chống truy cập trái phép. Giải pháp kỹ thuật bảo vệ hệ thống thông tin.