Otillåten åtkomst till information är oplanerad bekantskap, bearbetning, kopiering, användning av olika virus, inklusive de som förstör mjukvaruprodukter, samt modifiering eller förstörelse av information i strid med de etablerade reglerna för åtkomstkontroll.

Därför i sin tur är skyddet av information från obehörig åtkomst utformat för att förhindra en angripare från att komma åt informationsbäraren. Det finns tre huvudområden för att skydda dator- och nätverksinformation från obehörig åtkomst:

- fokuserar på att förhindra inkräktaren från att komma åt datormiljön och är baserad på speciella tekniska metoder för användaridentifiering;

- är förknippad med skyddet av datormiljön och är baserad på skapandet av speciell programvara;

- i samband med användning av särskilda medel för att skydda datorinformation från obehörig åtkomst.

Man bör komma ihåg att olika tekniker och olika medel används för att lösa vart och ett av problemen. Kraven på skyddsutrustning, deras egenskaper, de funktioner de utför och deras klassificering, samt termer och definitioner för skydd mot obehörig åtkomst anges i de styrande dokumenten från Statens tekniska kommission:

– “Automatiska system. Skydd mot obehörig åtkomst till information. AS-klassificering och krav på informationsskydd”;

– ”Datorteknikens medel. Skydd mot obehörig åtkomst till information. Indikatorer för säkerhet från obehörig åtkomst till information”;

- "Skydd mot obehörig åtkomst till information. Termer och definitioner". Tekniska medel som redskapsskyddsfunktioner kan delas in i:

o inbyggd;

o extern.

De inbyggda metoderna för att skydda en persondator och programvara (Fig. 3.12) inkluderar lösenordsskydd för BIOS, operativsystem och DBMS. Dessa verktyg kan uppriktigt sagt vara svaga - BIOS med ett administratörslösenord, Win95/98 lösenordsskydd, men kan också vara mycket starkare - BIOS utan administratörslösenord, Windows NT lösenordsskydd, ORACLE DBMS. Att använda styrkorna hos dessa verktyg kan avsevärt stärka systemet för att skydda information från obehörig åtkomst.

Externa verktyg är designade för att ersätta de inbyggda verktygen för att förbättra skyddet eller komplettera dem med saknade funktioner.

Dessa inkluderar:

– pålitlig starthårdvara;

– hårdvaru-mjukvarukomplex för att dela upp användarrättigheter.

– medel för stark autentisering av nätverksanslutningar.

Pålitlig starthårdvara är en produkt, ibland kallad ett "elektroniskt lås", vars funktioner är att säkert identifiera användaren, samt att kontrollera integriteten hos datorprogramvaran. Vanligtvis är detta ett personligt datorexpansionskort, med nödvändig programvara lagrad antingen i kortets flashminne eller på datorns hårddisk.

Principen för deras agerande är enkel. Under startprocessen startar BIOS- och anti-manipuleringsskyddskorten. Den frågar efter användar-ID och jämför det med det som är lagrat i kortets flashminne. Identifieraren kan dessutom skyddas med ett lösenord. Sedan startar kortets eller datorns inbyggda operativsystem (oftast är detta en variant av MS-DOS), varefter mjukvarans integritetskontroll startar. Som regel kontrolleras systemområdena på startdisken, startfiler och filer som användaren har angett för verifiering. Verifieringen utförs antingen på basis av den imiterade infogningen av GOST 28147-89-algoritmen eller på basis av hashfunktionen för GOST R 34.11-34-algoritmen eller en annan algoritm. Testresultatet jämförs med det som finns lagrat i kortets flashminne. Om, som ett resultat av jämförelsen, vid kontroll av identifieraren eller systemets integritet, en skillnad med standarden avslöjas, kommer kortet att blockera ytterligare arbete och visa ett motsvarande meddelande på skärmen. Om kontrollerna är positiva överför kortet kontrollen till persondatorn för ytterligare laddning av operativsystemet.

Alla identifierings- och integritetskontroller loggas. Fördelarna med enheter i denna klass är deras höga tillförlitlighet, enkelhet och låga pris. I frånvaro av fleranvändararbete på datorn är skyddsfunktionerna för detta verktyg vanligtvis tillräckliga.

Hårdvarusystem för att separera åtkomsträttigheter används när flera användare arbetar på samma dator, om uppgiften är att separera deras åtkomsträttigheter till varandras data. Lösningen på detta problem är baserad på: 01 att förbjuda användare från att starta vissa applikationer och processer; Q Tillåter användare och applikationer de kör endast en viss typ av dataåtgärd.

Genomförandet av förbud och tillstånd uppnås på olika sätt. Som regel, i processen att starta operativsystemet, lanseras också programmet för skydd mot obehörig åtkomst. Den finns i datorns minne som en inbyggd modul och styr användaråtgärder för att starta applikationer och komma åt data. Alla användaråtgärder registreras i en logg som endast är tillgänglig för säkerhetsadministratören. Med hjälp av denna klass förstår de vanligtvis medlen för skydd mot obehörig åtkomst. De är hårdvaru-mjukvarukomplex som består av en hårdvarudel - ett pålitligt datorstartkort, som nu dessutom kontrollerar integriteten av programvaran för själva anti-manipuleringssystemet på hårddisken, och en mjukvarudel - ett administratörsprogram, en invånare modul. Dessa program finns i en speciell katalog och är endast tillgängliga för administratören. Dessa system kan även användas i ett enanvändarsystem för att begränsa användaren från att installera och köra program som han inte behöver i sitt arbete.

Starka nätverksanvänds när driften av arbetsstationer som en del av ett nätverk ställer krav för att skydda arbetsstationsresurser från hotet om obehörig åtkomst till arbetsstationen från nätverket och ändringar i antingen information eller programvara, samt lansering av en otillåten process. Skydd mot UA från nätverkssidan uppnås genom stark autentisering av nätverksanslutningar. Denna teknik kallas virtuell privat nätverksteknik.

En av huvuduppgifterna för skydd mot obehörig åtkomst är att tillhandahålla tillförlitlig användaridentifikation (Fig. 3.13) och förmågan att autentisera alla nätverksanvändare som kan identifieras unikt genom att han:

- representerar sig själv.

Vad vet användaren? Ditt namn och lösenord. Lösenordsautentiseringsscheman är baserade på denna kunskap. Nackdelen med dessa scheman är att han behöver komma ihåg komplexa lösenord, vilket väldigt ofta inte händer: antingen väljs lösenordet svagt, eller så skrivs det helt enkelt ner i en anteckningsbok, på ett papper, etc. I fallet med med endast lösenordsskydd vidtas lämpliga åtgärder för att säkerställa hanteringen av skapande lösenord, deras lagring, för att övervaka utgången av deras användning och avlägsnande i tid. Kryptografiskt stängning av lösenord kan till stor del lösa detta problem och göra det svårare för en angripare att kringgå autentiseringsmekanismen.

Vad kan en användare ha? Naturligtvis är en speciell nyckel en unik identifierare, såsom en pekminnesplatta (I-knapp), en e-token, ett smartkort eller en kryptografisk nyckel på vilken dess inmatning i användardatabasen är krypterad. Ett sådant system är det mest stabila, dock kräver det att användaren alltid har en identifierare med sig, som oftast är fäst vid nyckelbrickan och antingen glöms bort hemma eller förloras. Det blir korrekt om administratören utfärdar identifierare på morgonen och skriver om det i en logg och tar tillbaka dem för lagring på kvällen, återigen gör en logginmatning.

Vad är en användare? Det här är funktionerna som bara är inneboende för denna användare, bara för honom, vilket ger biometrisk identifiering. En identifierare kan vara ett fingeravtryck, ett irismönster, ett palmavtryck etc. För närvarande är detta den mest lovande riktningen i utvecklingen av identifieringsverktyg. De är pålitliga och kräver samtidigt inte att användaren har ytterligare kunskap om någonting eller permanent besittning av någonting. Med utvecklingen av teknik och kostnaden för dessa medel blir tillgängliga för varje organisation.

Garanterad verifiering av användarens identitet är uppgiften för olika identifierings- och autentiseringsmekanismer.

Varje användare (grupp av användare) av nätverket tilldelas en specifik särskiljande funktion - en identifierare, och den jämförs med den godkända listan. Det är dock bara den deklarerade identifieraren i nätverket som inte kan ge skydd mot obehörig anslutning utan att verifiera användarens identitet.

Processen att verifiera användarens identitet kallas autentisering. Det sker med hjälp av en speciell särskiljande funktion som presenteras av användaren - en autentiseringsenhet som är inneboende i honom. Autentiseringens effektivitet bestäms först och främst av varje användares särdrag.

Specifika mekanismer för identifiering och autentisering i nätverket kan implementeras baserat på följande informationssäkerhetsverktyg och -procedurer:

– lösenord;

- Tekniska medel.

– hjälpmedel för biometri.

– kryptografi med unika nycklar för varje användare.

Frågan om tillämpligheten av ett eller annat medel avgörs beroende på de identifierade hoten, de tekniska egenskaperna hos det skyddade objektet. Det kan inte entydigt sägas att användning av hårdvara med hjälp av kryptografi kommer att ge systemet större tillförlitlighet än användning av mjukvara.

Analys av ett informationsobjekts säkerhet och identifiering av hot mot dess säkerhet är en extremt komplex procedur. En lika komplicerad procedur är valet av teknik och skyddsmedel för att eliminera de identifierade hoten. Det är bättre att anförtro lösningen av dessa problem till specialister med rik erfarenhet.

Vägledningsdokument

Datorfaciliteter

Skydd mot obehörig åtkomst till information

Indikatorer för säkerhet mot obehörig åtkomst till
information

Godkänd genom beslut av ordföranden i statens tekniska kommission under
Ryska federationens president
30 mars 1992

Detta vägledande dokument fastställer en klassificering av datorutrustning efter skyddsnivån mot obehörig åtkomst till information baserat på en lista med säkerhetsindikatorer och en uppsättning krav som beskriver dem.

SVT förstås som en uppsättning mjukvara och tekniska element i databehandlingssystem som kan fungera självständigt eller som en del av andra system.

Godkända förkortningar

AC - automatiserat system

CD - designdokumentation

KSZ - en uppsättning skyddsmedel

NSD - obehörig åtkomst

DRP - regler för åtkomstkontroll

SVT - datoranläggningar

1. Allmänna bestämmelser

1.1. Dessa indikatorer innehåller kraven på säkerheten för fortbildning från obehörig åtkomst till information.

1.2. CBT-säkerhetsindikatorer gäller för generell systemprogramvara och operativsystem (med hänsyn till datorarkitekturen).

Specifika listor med indikatorer bestämmer säkerhetsklasserna för CBT.

Det är inte tillåtet att minska eller ändra listan över indikatorer som motsvarar en specifik säkerhetsklass för CVT.

Varje indikator beskrivs av en uppsättning krav.

Ytterligare krav för SVT-säkerhetsindikatorn och efterlevnad av dessa ytterligare krav diskuteras specifikt.

1.3. Krav på indikatorer implementeras med hjälp av mjukvara och hårdvara.

Helheten av alla skyddsmedel är ett komplex av skyddsmedel.

KSZ-dokumentationen bör vara en integrerad del av designdokumentationen för SVT.

1.4. Sju klasser av CVT-säkerhet från UA till information är etablerade. Den lägsta klassen är den sjunde, den högsta är den första.

Klasserna är indelade i fyra grupper, som skiljer sig åt i kvalitetsnivån för skydd:

Den första gruppen innehåller bara en sjunde klass;

Den andra gruppen kännetecknas av diskretionärt skydd och innehåller den sjätte och femte klassen;

Den tredje gruppen kännetecknas av obligatoriskt skydd och innehåller den fjärde, tredje och andra klassen;

Den fjärde gruppen kännetecknas av verifierat skydd och innehåller endast den första klassen.

1.5. Valet av CVT-säkerhetsklass för automatiserade system skapade på basis av säker CVT beror på säkerhetsklassificeringen av informationen som behandlas i AS, driftsförhållanden och platsen för systemobjekten.

1.6. Användningen av kryptografiska informationsskyddsverktyg i CVT-paketet i enlighet med GOST 28147-89 kan användas för att förbättra garantierna för skyddets kvalitet.

2. Krav på säkerhetsindikatorer

2.1. Säkerhetsindikatorer

2.1.1. Listan över indikatorer för säkerhetsklasser för SVT ges i tabellen.

Beteckningar:

- "-" - inga krav för denna klass;

- "+" - nya eller ytterligare krav,

- "=" - kraven sammanfaller med kraven för CVT för föregående klass.

Namn på indikator	Säkerhetsklass
Diskretionär tillträdeskontrollprincip
Obligatorisk princip för tillträdeskontroll
Rensa minne
Modulisolering
Dokumentmärkning
Skydd av in- och utdata till främmande fysiska medier
Koppla en användare till en enhet
Identifiering och autentisering
Designsäkring
Registrering
Användarinteraktion med CSP
Tillförlitlig återhämtning
Integritet för KSZ
Modifieringskontroll
Distributionskontroll
Arkitektur garanterar
Testning
Användarguide
Guide till QPS
Testdokumentation
Design (projekt) dokumentation

2.1.2. Uppsättningarna av krav för indikatorer för varje klass som anges i detta avsnitt är minimikraven.

2.1.3. Den sjunde klassen tilldelas fortbildningen, som var föremål för krav på skydd mot obehörig åtkomst till information, men vid bedömning visade sig säkerheten för fortbildningen vara lägre än nivån för kraven för den sjätte klassen.

2.2. Krav på säkerhetsindikatorer av sjätte klassen

Dessutom bör kontroller tillhandahållas för att begränsa fördelningen av åtkomsträttigheter.

Registrering av evenemang i enlighet med klausul , sätt att skydda registreringsinformation och möjligheten till auktoriserad bekantskap med den;

Funktionen av mekanismen som övervakar KSZ:s integritet.

Dessutom bör KSZ innehålla en mekanism som implementerar diskretionära DRP:er, både för explicita användaråtgärder och för dolda sådana, och därigenom säkerställa skyddet av objekt från UA (d.v.s. från åtkomst som inte är tillåten ur en given DRPs synvinkel) . Med "explicit" menar vi här åtgärder som utförs med hjälp av systemverktyg - systemmakron, instruktioner för högnivåspråk, etc., och med "dolda" - andra åtgärder, inklusive att använda egna program för att arbeta med enheter.

Diskretionära DRP:er för system av denna klass är ett tillägg till mandat DRP:er.

Dessutom bör följande testas:

Drift av den pålitliga återställningsmekanismen.

2.5.16. Guide till KSZ.

Dokumentet är adresserat till säkerhetsadministratören och måste innehålla:

Beskrivning av kontrollerade funktioner;

Vägledning om generering av KSZ;

Beskrivning av starten av CVT, procedurer för att kontrollera startens korrekthet, procedurer för att arbeta med registreringsverktyg;

Guide för betrodda återställningsverktyg.

2.5.17. Testdokumentation

Dokumentationen måste ge en beskrivning av de tester och prövningar som CVT:n utsattes för (s. ), samt testresultaten.

2.5.18. Design (projekt) dokumentation.

Samma dokumentation krävs som för fjärde klass KBT (sid.). Dessutom krävs:

Högnivåspecifikation av KSZ och dess gränssnitt;

Verifiering av överensstämmelse med högnivåspecifikationen för CSZ-skyddsmodellen.

2.6. Krav på indikatorer för den andra klassen av säkerhet

2.6.1. Diskretionär princip för åtkomstkontroll.

Dessa krav inkluderar liknande krav för den tredje klassen (klausul ).

När man överväger frågor relaterade till att erhålla information lagrad och bearbetad i datorsystem, antogs de huvudsakliga metoderna för obehörig åtkomst vara följande:

Övervinna verktyg för programvaruskydd;

Otillåten kopiering av information;

Avlyssning av information i kommunikationskanaler;

Använda programvarubokmärken;

Använda hårdvarubokmärken;

Avlyssning av falsk elektromagnetisk strålning och pickuper (PEMIN).

När vi överväger skyddsmetoder kommer vi inte att separera dem enligt ovanstående metoder, eftersom samma metoder i många fall visar sig vara ett effektivt sätt att förhindra olika typer av obehörig åtkomst.

De viktigaste skyddsmetoderna är följande:

Autentisering av användare vid registreringen av deras befogenheter;

Fysiskt skydd av datorsystem;

Identifiering av bokmärken för programvara och hårdvara;

Informationskodning.

Dessa (och andra) metoder i olika kombinationer är implementerade i mjukvara och hårdvara-mjukvara för att skydda datorinformation från obehörig åtkomst. Några av dessa system kommer att beskrivas nedan.

För att skydda datorinformation bör naturligtvis hela skalan av organisatoriska och tekniska åtgärder tillämpas, inklusive fysiskt skydd av territoriet, införandet av åtkomstkontroll, implementering av linjärt och rumsligt brus, identifiering av inbyggda enheter, etc. Men de är karakteristiska för alla informationssystem, därför kommer de inte att beaktas här separat.

Autentisering av användare vid registreringen av deras befogenheter. Differentiering av användaråtkomst till datorresurser är förknippad med användningen av sådana begrepp som identifiering och autentisering.

Identifiering är tilldelningen till ett subjekt (person) eller objekt (dator, disk, etc.) av en enskild bild, namn eller nummer genom vilket det kommer att kännas igen i systemet.

Autentisering - autentisering av ett objekt eller subjekt baserat på dess identifieringsegenskaper.

Autentisering kan utföras av en person, en hårdvaruenhet eller ett program i ett datorsystem. Automatiska autentiseringsenheter använder vanligtvis:

individuella fysiologiska tecken: fingeravtryck (fig. 185), handflatans kontur (fig. 189), bild av näthinnan, etc.

Ris. 185. Utseendet på enheten för fingeravtrycksautentisering

Ris. 186. Extern vy av autentiseringsenheten längs konturen av handflatans lösenord;

speciella enhetsidentifierare (Metogu), gjorda i form av nyckelbrickor - "piller", magnetiska plastkort, etc., identifierade med hjälp av speciella informationsläsningsanordningar (se fig. 187).

Ris. 187. Läsare installerad på en dator

Var och en av dessa funktioner har sina egna fördelar och nackdelar. Så till exempel är lösenord ofta triviala och lätta att gissa, dessutom brukar användarna skriva ner dem i anteckningsblock; individuella fysiologiska tecken på en person kan förändras (till exempel ett snitt på ett finger); enhetsidentifierare kan förloras av användaren eller bli stulen från denne. Därför försöker de för närvarande i autentiseringssystem att kombinera olika typer av identifieringsfunktioner: ett lösenord är ett handavtryck, ett lösenord är ett magnetkort, etc.

Som ett resultat av autentisering bestäms användarens auktoritet av åtkomst till datorsystemresurserna (filer, databaser, minnessegment) och av de typer av operationer som utförs (läsning, skrivning, exekvering, etc.).

Autentisering är en fundamentalt nödvändig process som är inneboende i alla säkerhetssystem, information, dess roll ökar särskilt med fjärråtkomst till nätverket.

Det fysiska skyddet av datorsystem innebär användning av sådana enheter som skulle utesluta åtkomst till information utan att kränka den fysiska integriteten hos en persondator.

I ett antal fall är det grundläggande att tillämpa åtgärder som utesluter hemlig (inklusive regelbunden) åtkomst till en dator i syfte att kopiera eller ändra information. För att lösa detta problem är medlen för fysiskt skydd de bäst lämpade.

1. Försegling av systemenheten och andra delar av datorsystemet med speciella sigill eller sigill av chefen för säkerhetstjänsten.

Genom att försegla systemenheten kan du utesluta okontrollerad obehörig åtkomst till information på hårddisken (förbigå det installerade skyddssystemet) genom att ta bort enheten och ansluta den till en annan dator. Dessutom låter den här proceduren dig eliminera risken för att hitta hårdvarubokmärken i ditt datorverktyg, naturligtvis, om du ser till att kontrollera att de saknas innan du försluter datorn. Efter att ha kontrollerat, var inte för lat för att försegla alla andra komponenter, inklusive patchkablar, eftersom modern teknik låter dig ställa in bokmärken i dem.

2. Installation av speciella insatser i "fickan" på diskettenheten, utrustad med ett lås med nyckel.

Denna åtgärd kan användas som ett sätt att skydda mot hemlig kopiering av information, från att infektera en dator med virus och programvarubokmärken.

3. Användningen av speciella lås som blockerar datorns tangentbord. Detta är ett effektivt sätt att skydda information från eventuell avsiktlig modifiering, såväl som från infektion med datavirus och installation av programvarubokmärken.

4. Organisera lagring av magnetiska och optiska medier i kassaskåp eller i låsbara specialdiskettboxar. Tillåter dig att utesluta hemlig kopiering av information från dessa medier, dess modifiering, infektion med datavirus, introduktion av programvarubokmärken.

Identifiering av program- och hårdvarubokmärken. Att eliminera programvarubokmärken i en persondator är en uppgift som i huvudsak ligger nära uppgiften att bekämpa datavirus. Faktum är att det för närvarande inte finns någon tydlig klassificering av program med potentiellt farliga effekter. Så, till exempel, brukar man urskilja trojanska hästprogram, logiska bomber, virus och några andra.

Under den "trojanska hästen" förstås som ett program utformat för att lösa några hemliga uppgifter, men förklädd till "ädla" mjukvaruprodukter. Ett klassiskt exempel på "trojaner" kan vara program som finns i vissa program för att stödja finansiella verksamheter i lokala banknätverk. Dessa program utförde operationen att kreditera till kontot för sina ägare belopp motsvarande "en halv penny". Sådana belopp som härrör från banköverföringar måste avrundas, så att de försvann obemärkt. Stölden avslöjades endast på grund av den snabba tillväxten av personliga konton för anställda som ansvarar för programvaran. Den oöverträffade tillväxten berodde på det enorma antalet omräkningsoperationer. Trojanska hästprogram inkluderar också de programvarubokmärken som diskuterats ovan.

Som regel inkluderar logiska bomber program som utför sina destruktiva handlingar när vissa villkor är uppfyllda, till exempel om den trettonde dagen i månaden infaller på fredagen, den 26 april kommer osv.

Virus, som nämnts ovan, förstås som program som kan "reproducera" och begå negativa handlingar.

Vi kan prata om villkoret för en sådan klassificering på grundval av att exemplet med bokmärkesprogrammet i en banks finansiella system också kan hänföras till en logisk bomb, eftersom händelsen att kreditera "en halv penny" till ett personligt konto skett till följd av att villkoret uppfyllts - ett bråkdelssaldo till följd av transaktioner med pengar. Den logiska bomben "Fredag ​​den trettonde" är inget annat än ett virus, eftersom den har förmågan att infektera andra program. Och i allmänhet kan bokmärkesprogram introduceras i en dator, inte bara som ett resultat av deras direkta introduktion i texten för specifika programvaruprodukter, utan också, som ett virus, genom att ange en specifik adress för framtida placering och ingångspunkter.

Av det föregående följer att för att skydda din dator från programvarubokmärken måste du uppfylla alla krav som ställs när du överväger frågorna om att bekämpa datavirus. Dessutom är det nödvändigt att utesluta okontrollerad åtkomst till dina datorfaciliteter av obehöriga personer, vilket bland annat kan säkerställas genom att använda de fysiska skyddsmedel som redan övervägts.

När det gäller frågorna om att bekämpa programvarubokmärken - lösenordsfångare, bör följande åtgärder noteras här.

1. Krav för skydd mot programsimulatorer i registreringssystemet:

Systemprocessen, som får användarens namn och lösenord under registreringen, måste ha ett eget skrivbord, oåtkomligt för andra mjukvaruprodukter;

Inmatning av användaridentifieringsfunktioner (till exempel ett lösenord) måste utföras med tangentkombinationer som inte är tillgängliga för andra applikationsprogram;

Tiden för autentisering bör vara begränsad (cirka 30 s), vilket gör det möjligt att upptäcka simulatorprogram efter en lång vistelse på monitorskärmen i registreringsfönstret.

2. Förhållanden som ger skydd mot lösenordsfångare av filtertyp:

Förhindra att du byter tangentbordslayout när du anger ett lösenord;

Ge åtkomst till konfigurationsalternativen för kedjor av programmoduler och till modulerna själva som arbetar med ett användarlösenord, endast till systemadministratören.

3. Skydd mot inträngning av ställföreträdare för programmodulerna i autentiseringssystemet ger inte några specifika rekommendationer, utan kan endast implementeras på grundval av en permanent genomtänkt policy av chefen för säkerhetstjänsten och systemadministratör; En tröst här är den låga sannolikheten att dina konkurrenter kommer att använda ersättningsprogram på grund av komplexiteten i deras praktiska implementering.

Operativsystemet Windows NT och delvis UNIX uppfyller alla ovanstående krav för skydd mot programvarubokmärken - lösenordsuppfångare.

Endast organisationer som har en licens från Federal Agency for Government Communications and Information för denna typ av verksamhet kan vara professionellt engagerade i att identifiera hårdvarubokmärken. Dessa organisationer har lämplig utrustning, metoder och utbildad personal. Hantverk kan endast avslöja de kvinnliga primitiva hårdvarubokmärkena. Om du upplever vissa ekonomiska svårigheter och inte har råd att sluta ett lämpligt kontrakt, vidta åtminstone fysiska skyddsåtgärder för din dator.

Kryptering av information ger den högsta nivån av skydd mot obehörig åtkomst. Som den enklaste typen av kodning kan vanlig datakomprimering med hjälp av arkiveringsprogram övervägas, men eftersom det endast kan skydda mot en okvalificerad användare bör arkivering inte ses som en självständig skyddsmetod. Sådan kodning gör det dock möjligt att öka den kryptografiska styrkan hos andra metoder när de används tillsammans.

Utan att beröra de huvudsakliga kodningsmetoderna kommer vi bara att överväga exempel på hårdvara-mjukvara och mjukvaruinformationssäkerhetssystem där kodning är ett av de lika elementen tillsammans med andra säkerhetsmetoder.

Hårdvaru-mjukvarukomplex "Accord". Den innehåller en enkortskontroll som ansluts till en ledig datorplats, en kontaktautentiseringsenhet, programvara och DS199x Touch Memory personliga identifierare i form av en surfplatta. Kontaktenheten (informationsavdragare) är installerad på datorns frontpanel, och autentisering utförs genom att röra "surfplattan" (identifierare) mot avdragaren. Autentiseringsprocessen utförs innan operativsystemet laddas. sam-

Informationsredigering tillhandahålls som en tilläggsfunktion och utförs med hjälp av ytterligare programvara.

Hård- och mjukvarukomplex "Dallas LockЗ.1". Ger stora möjligheter att skydda information, inklusive: tillhandahåller användarregistrering innan operativsystemet laddas och endast vid uppvisande av ett personligt elektroniskt Touch Memory-kort och inmatning av ett lösenord; implementerar automatisk och påtvingad blockering av datorn med släckning av skärmen under frånvaro av en registrerad användare; ger garanterad radering av filer när de raderas; utför brusimmun kodning av filer.

Programvara för informationssäkerhet "Cobra". Utför användarautentisering med lösenord och differentiering av deras befogenheter. Låter dig arbeta i transparent krypteringsläge. Ger en hög grad av informationsskydd i persondatorer.

Programvaruskyddssystem "Sneg-1.0". Utformad för att kontrollera och begränsa åtkomst till information som lagras i en persondator, samt för att skydda informationsresurserna på en arbetsstation för lokalt nätverk. "Sneg-1.0" inkluderar ett certifierat informationskodningssystem "Rimfrost", byggt med en standardalgoritm för kryptografisk datakonvertering GOST 28147-89.

Som ett exempel på ett system som endast kodar information kan vi nämna Krypton-ZM-enheten.

Vi påminner om att detta underavsnitt handlade om skyddsmetoder som är unika för datornätverk. Fullständigt skydd av information i datoranläggningar är dock omöjligt utan en integrerad tillämpning av alla ovanstående organisatoriska och tekniska åtgärder.

Om ditt företags arbete är relaterat till fullgörandet av en statlig order, kan du troligen inte göra utan att få en licens att arbeta med statshemligheter och därför kontrollera utrustningen för närvaron av eventuellt inbäddade "bokmärken" och för närvaron och risk för tekniska kanaler för informationsläckage. Men om det inte finns något sådant behov, kan du i vissa fall göra det på egen hand, eftersom kostnaden för sådant arbete fortfarande är ganska hög.

Användningen av datorer och automatiserade tekniker leder till ett antal problem för ledningen av organisationen. Datorer, ofta nätverksanslutna, kan ge tillgång till en enorm mängd av en mängd olika data. Därför är människor oroliga för informationssäkerheten och riskerna i samband med att automatisera och ge mycket mer tillgång till konfidentiella, personliga eller andra kritiska uppgifter. Elektroniska lagringsmedier är ännu mer sårbara än pappersmedier: data som placeras på dem kan förstöras, kopieras och diskret modifieras.

Antalet datorbrott ökar, och omfattningen av datormissbruk ökar också. Enligt amerikanska experter ökar skadorna från databrott med 35 procent per år. En av anledningarna är mängden pengar som mottagits till följd av brottet: medan det genomsnittliga datorbrottet kostar 560 000 dollar, kostar ett bankrån bara 19 000 dollar.

Enligt US University of Minnesota lämnade 93 % av företagen som förlorade åtkomsten till sina data i mer än 10 dagar sin verksamhet, och hälften av dem förklarade sin insolvens omedelbart.

Antalet anställda i en organisation med tillgång till datorutrustning och informationsteknik växer ständigt. Tillgången till information är inte längre begränsad till en smal krets av personer från organisationens högsta ledning. Ju fler människor har tillgång till informationsteknik och datautrustning, desto fler möjligheter till databrott uppstår.

Vem som helst kan vara databrottsling.

Den typiska datorbrottslingen är inte en ung hackare som använder sin telefon och hemdator för att få tillgång till stora datorer. Den typiska databrottslingen är en anställd som får tillgång till ett system som han är en icke-teknisk användare av. I USA står datorbrott som begås av anställda för 70-80 procent av de årliga datorrelaterade förlusterna.

tecken databrott:

stöld av datordelar;

program stöld;

fysisk förstörelse av utrustning;

förstörelse av data eller program;

Dessa är bara de mest uppenbara tecknen som du bör vara uppmärksam på när du identifierar databrott. Ibland tyder dessa tecken på att ett brott redan har begåtts eller att skyddsåtgärder inte vidtas. De kan också indikera närvaron av sårbarheter och indikera var ett säkerhetsintrång finns. Medan tecken kan hjälpa till att identifiera ett brott eller missbruk, kan skyddsåtgärder hjälpa till att förhindra det.

Skydd av information är en aktivitet för att förhindra förlust och läckage av skyddad information.

Informationssäkerhet avser åtgärder för att skydda information från obehörig åtkomst, förstörelse, ändring, avslöjande och förseningar i åtkomst. Informationssäkerhet innefattar åtgärder för att skydda processerna för att skapa data, deras inmatning, bearbetning och utmatning.

Informationssäkerhet säkerställer att följande uppnås mål:

konfidentialitet för viktig information;

integriteten hos information och relaterade processer (skapande, input, bearbetning och output);

tillgång till information när den behövs;

Redovisning för alla processer relaterade till information.

Under kritisk data hänvisar till data som kräver skydd på grund av sannolikheten för skada och dess omfattning i händelse av oavsiktligt eller avsiktligt avslöjande, ändring eller förstörelse av data. Kritisk data inkluderar även data som, om den missbrukas eller avslöjas, kan negativt påverka en organisations förmåga att uppnå sina mål; personuppgifter och andra uppgifter, vars skydd krävs enligt dekret från Ryska federationens president, Ryska federationens lagar och andra stadgar.

Alla säkerhetssystem kan i princip öppnas. Ett sådant skydd anses vara effektivt, vars kostnad för hackning står i proportion till värdet av den information som erhålls i detta fall.

När det gäller medlen för skydd mot obehörig åtkomst definieras sju säkerhetsklasser (1 - 7) av datorutrustning och nio klasser (1A, 1B, 1C, 1G, 1D, 2A, 2B, 3A, 3B) av automatiserade system. För datorutrustning är den lägsta klass 7, och för automatiserade system - 3B.

Tekniska, organisatoriska och mjukvaruverktyg för att säkerställa säkerhet och skydd mot obehörig åtkomst

Det finns fyra skyddsnivåer för dator- och informationsresurser:

Förebyggandeförutsätter att endast auktoriserad personal har tillgång till skyddad information och teknologi.

Upptäcktinnebär tidig upptäckt av brott och övergrepp, även om skyddsmekanismer har kringgåtts.

Begränsningminskar mängden förluster om brottet inträffade, trots åtgärder för att förebygga och upptäcka det.

Återhämtningsäkerställer effektiv rekonstruktion av information i närvaro av dokumenterade och verifierade återhämtningsplaner.

Skyddsåtgärder– Det är de åtgärder som ledningen infört för att säkerställa informationssäkerheten. Skyddsåtgärder inkluderar utveckling av administrativa riktlinjer, installation av hårdvaruenheter eller ytterligare program, vars huvudsakliga syfte är att förebygga brott och missbruk.

Bildandet av en informationssäkerhetsregim är ett komplext problem. Åtgärder för att komma till rätta med det kan delas in i fyra nivåer:

- lagstiftande: lagar, förordningar, standarder, etc.;

- administrativ: allmänna åtgärder som vidtas av organisationens ledning;

- förfarande: särskilda säkerhetsåtgärder för människor;

- mjukvara och hårdvara: särskilda tekniska åtgärder.

För närvarande är det mest detaljerade lagstiftningsdokumentet i Ryssland inom området informationssäkerhet strafflagen. I avsnittet "Brott mot allmän säkerhet" finns ett kapitel "Brott inom datorinformationssfären". Den innehåller tre artiklar - "Olaglig tillgång till datorinformation", "Skapande, användning och distribution av skadliga program för datorer" och "Brott mot reglerna för drift av datorer, datorsystem eller deras nätverk". Brottsbalken skyddar alla aspekter av informationssäkerhet - tillgänglighet, integritet, konfidentialitet, och föreskriver påföljder för "förstöring, blockering, modifiering och kopiering av information, störning av datorn, datorsystemet eller deras nätverk."

Överväg några åtgärder för att skydda datasystemens informationssäkerhet.

1. Användarautentisering. Denna åtgärd kräver att användare slutför procedurer för att logga in på datorn, med hjälp av detta som ett sätt att identifiera sig i början av arbetet. För att autentisera identiteten för varje användare måste unika lösenord, som inte är kombinationer av användarens personuppgifter, användas för användaren. Det är nödvändigt att implementera säkerhetsåtgärder vid administrering av lösenord, och att bekanta användarna med de vanligaste misstagen som gör att databrott kan begås. Om din dator har ett inbyggt standardlösenord måste du ändra det.

En ännu mer tillförlitlig lösning är att organisera åtkomstkontroll till lokaler eller till en specifik nätverksdator med hjälp av plastidentifieringskort med en integrerad mikrokrets - de så kallade smarta korten. Deras tillförlitlighet beror främst på omöjligheten att kopiera eller smida på ett hantverksmässigt sätt. Att installera en speciell läsare för sådana kort är möjligt inte bara vid ingången till lokalerna där datorer finns, utan också direkt på arbetsstationer och nätverksservrar.

Det finns också olika anordningar för att identifiera en person med biometrisk information - genom iris, fingeravtryck, handstorlekar, etc.

2. Lösenordsskydd.

Följande regler är användbara för lösenordsskydd:

Dela inte ditt lösenord med någon;

Lösenordet måste vara svårt att gissa;

För att skapa ett lösenord måste du använda gemener och versaler, och ännu bättre, låt datorn skapa lösenordet själv;

Det är att föredra att använda långa lösenord, eftersom de är säkrare är det bäst att lösenordet består av 6 eller fler tecken;

lösenordet ska inte visas på datorskärmen när det skrivs in;

Lösenord får inte finnas på utskrifter;

· skriv inte ner lösenord på bordet, väggen eller terminalen, det måste sparas i minnet;

lösenordet måste ändras regelbundet och inte göras enligt schemat;

Positionen som lösenordsadministratör bör vara den mest pålitliga personen;

När en anställd slutar ska lösenordet ändras.

Anställda måste signera för lösenord.

En organisation som hanterar kritisk data måste utveckla och implementera auktoriseringsprocedurer som bestämmer vilka användare som ska ha tillgång till viss information och applikationer.

Organisationen bör upprätta en policy där användningen av datorresurser, erhållande av tillstånd att komma åt information och applikationer och erhållande av ett lösenord kräver tillstånd från vissa överordnade.

Om informationen behandlas på en stor datorcentral är det nödvändigt att kontrollera den fysiska åtkomsten till datorn. Tekniker som stockar, lås och pass och vakter kan vara lämpliga. Den informationssäkerhetsansvarige ska veta vem som har rätt att ta sig in i lokalen med datorutrustning och avvisa obehöriga därifrån.

4. Försiktighetsåtgärder vid arbete.

inaktivera oanvända terminaler;

stäng rummen där terminalerna är belägna;

rotera datorskärmar så att de inte är synliga från sidan av dörren, fönster och andra platser som inte är kontrollerade;

installera specialutrustning som begränsar antalet misslyckade åtkomstförsök eller ringer tillbaka för att verifiera identiteten på användare som använder telefoner för att komma åt en dator

· använda program för att inaktivera terminalen efter en viss period av icke-användning;

stäng av systemet under icke-arbetstid;

· använda system som tillåter, efter att en användare loggat in på systemet, att informera honom om tidpunkten för hans senaste session och antalet misslyckade försök att upprätta en session efter det. Detta kommer att göra användaren till en del av loggkontrollsystemet.

5. Fysisk säkerhet.

Skyddade datorsystem måste vidta åtgärder för att förhindra, upptäcka och minimera skador från brand, översvämning, föroreningar, höga temperaturer och strömstörningar.

Brandlarm och brandsläckningssystem bör kontrolleras regelbundet. PC-datorer kan skyddas med kapslingar så att de inte skadas av brandsläckningssystemet. Brandfarligt material bör inte förvaras i dessa datasalar.

Rumstemperaturen kan styras med luftkonditionering och fläktar, samt bra inomhusventilation. För höga temperaturproblem kan uppstå i ställ för kringutrustning eller på grund av att luftventiler är blockerade i terminaler eller datorer, så de måste kontrolleras regelbundet.

Det är tillrådligt att använda luftfilter, som hjälper till att rena luften från ämnen som kan skada datorer och diskar. Det borde vara förbjudet att röka, äta och dricka nära datorn.

Datorer bör placeras så långt bort som möjligt från källor med stora mängder vatten, såsom rörledningar.

6. Skydd av lagringsmedia (källdokument, band, kassetter, skivor, utskrifter).

underhålla, kontrollera och kontrollera register över informationsbärare;

Utbilda användare i de korrekta metoderna för att rengöra och förstöra lagringsmedia;

göra etiketter på informationsbärare som återspeglar graden av kritik av informationen i dem;

förstöra media i enlighet med organisationens plan;

Kommunicera alla ledningsdokument till anställda;

· förvara skivor i kuvert, lådor, metallskåp;

Rör inte ytorna på skivor som innehåller information

· Sätt försiktigt in skivor i datorn och håll dem borta från magnetfält och solljus;

Ta bort diskar och band som för närvarande inte bearbetas;

Förvara skivor ordnade på hyllor i en viss ordning;

· Ge inte lagringsmedia med kritisk information till obehöriga;

· att slänga eller ge bort skadade skivor med viktig information först efter att de har avmagnetiserats eller liknande procedur;

förstöra kritisk information på diskar genom att avmagnetisera eller fysiskt förstöra dem i enlighet med ordningen i organisationen;

· förstöra utskrifter och färgband från skrivare med kritisk information i enlighet med organisationens order;

· säkerställa säkerheten för utskrifter av lösenord och annan information som tillåter åtkomst till datorn.

7. Val av pålitlig utrustning.

Ett informationssystems prestanda och feltolerans beror till stor del på servrarnas prestanda. Om det är nödvändigt att säkerställa oavbruten drift dygnet runt av informationssystemet, används speciella feltoleranta datorer, det vill säga de vars fel på en separat komponent inte leder till maskinfel.

Informationssystemens tillförlitlighet påverkas också negativt av förekomsten av enheter som är sammansatta av komponenter av låg kvalitet och användningen av olicensierad programvara. Överdrivna besparingar på personalutbildning, köp av licensierad programvara och högkvalitativ utrustning leder till en minskning av drifttiden och betydande kostnader för den efterföljande återställningen av systemet.

8. Avbrottsfri strömförsörjning.

Ett datorsystem är energikrävande, och därför är det första villkoret för dess funktion en oavbruten tillförsel av elektricitet. En nödvändig del av informationssystemet bör vara avbrottsfri strömförsörjning för servrar och, om möjligt, för alla lokala arbetsstationer. Det rekommenderas också att duplicera strömförsörjningen med hjälp av olika stadstransformatorstationer för detta. För en kardinal lösning på problemet kan du installera reservkraftledningar från organisationens egen generator.

9. Utveckla adekvata affärskontinuitets- och återhämtningsplaner.

Syftet med affärskontinuitets- och återställningsplaner är att säkerställa att användare kan fortsätta utföra sina viktigaste uppgifter i händelse av ett IT-avbrott. Servicepersonal måste veta hur de ska gå vidare med dessa planer.

Affärskontinuitets- och återhämtningsplaner (BCRP) bör skrivas, granskas och kommuniceras till anställda regelbundet. Rutinerna i planen bör vara tillräckliga för informationens säkerhetsnivå och kriticitet. NRDC-planen kan tillämpas under förhållanden av förvirring och panik, så personalutbildning bör genomföras regelbundet.

10. Säkerhetskopiering.

En av nyckelpunkterna som säkerställer systemåterställning i händelse av en katastrof är säkerhetskopiering av arbetsprogram och data. I lokala nätverk där flera servrar är installerade installeras oftast backupsystemet direkt i servrarnas lediga platser. I stora företagsnätverk ges företräde åt en dedikerad specialiserad arkiveringsserver, som automatiskt arkiverar information från hårddiskarna på servrar och arbetsstationer vid en viss tidpunkt som ställs in av nätverksadministratören och utfärdar en rapport om säkerhetskopieringen.

För arkivinformation av särskilt värde rekommenderas det att tillhandahålla ett säkerhetsrum. Dubletter av de mest värdefulla uppgifterna lagras bäst i en annan byggnad eller till och med i en annan stad. Den senare åtgärden gör uppgifterna osårbara i händelse av brand eller annan naturkatastrof.

11. Duplicering, multiplexering och reservation av kontor.

Förutom säkerhetskopiering, som utförs i händelse av en nödsituation eller enligt ett förutbestämt schema, används speciella teknologier för ökad datasäkerhet på hårddiskar - diskspegling och skapandet av RAID-arrayer, som är en kombination av flera hårddiskar . När du skriver är informationen jämnt fördelad mellan dem, så att om en av diskarna misslyckas kan data på den återställas med hjälp av innehållet i de andra.

Clusterteknik förutsätter att flera datorer fungerar som en enda enhet. Servrar är vanligtvis klustrade. En av klusterservrarna kan fungera som en varm standby i full beredskap för att börja utföra huvudmaskinens funktioner i händelse av att den skulle misslyckas. En fortsättning på klustringstekniken är distribuerad klustring, där flera klusterservrar separerade över långa avstånd kombineras genom ett globalt nätverk.

Distribuerade kluster ligger nära konceptet med backupkontor, inriktade på att säkerställa företagets liv när dess centrala lokaler förstörs. Reservkontor är indelade i kalla, där kommunikationskablar har utförts, men det finns ingen utrustning, och heta, som kan vara en reservdatorcentral som tar emot all information från centralkontoret, ett filialkontor, ett kontor på hjul osv.

12. Reservation av kommunikationskanaler.

I avsaknad av kommunikation med omvärlden och dess underavdelningar är kontoret förlamat, därför är redundans av externa och interna kommunikationskanaler av stor betydelse. När det är överflödigt rekommenderas det att kombinera olika typer av kommunikation - kabellinjer och radiokanaler, över- och underjordsutläggning av kommunikationer etc.

När företag vänder sig mer och mer till Internet, blir deras verksamhet starkt beroende av ISP:ns funktion. Nätverksåtkomstleverantörer upplever ibland ganska allvarliga misslyckanden, så det är viktigt att behålla alla viktiga applikationer på företagets interna nätverk och ha kontrakt med flera lokala leverantörer. Man bör också överväga hur strategiska kunder ska meddelas om en ändring av e-postadress och kräva att leverantören vidtar åtgärder för att säkerställa att dess tjänster snabbt återställs efter en katastrof.

12. Skydd av data från avlyssning.

För någon av de tre huvudteknikerna för att överföra information finns det en avlyssningsteknik: för kabellinjer - anslutning till en kabel, för satellitkommunikation - med hjälp av en antenn för att ta emot en signal från en satellit, för radiovågor - radioavlyssning. Ryska säkerhetstjänster delar in kommunikation i tre klasser. Den första täcker lokala nätverk som är belägna i säkerhetszonen, det vill säga territorier med begränsad åtkomst och avskärmad elektronisk utrustning och kommunikationslinjer, och som inte har tillgång till kommunikationskanaler utanför den. Den andra klassen inkluderar kommunikationskanaler utanför säkerhetszonen som skyddas av organisatoriska och tekniska åtgärder, och den tredje klassen inkluderar oskyddade offentliga kommunikationskanaler. Användningen av andra klassens kommunikation minskar avsevärt sannolikheten för dataavlyssning.

För att skydda information i den externa kommunikationskanalen används följande enheter: förvrängare för att skydda röstinformation, förvrängare för sändningskommunikation och kryptografiska verktyg som krypterar digital data.

Java-säkerhetsproblem är inte bara JDK-utvecklare, utan även applikationsutvecklare i huvudet. Inget programmeringsspråk kan ge 100 % säkerhet. Därför vänder vi oss till den välkända principen som säger: "Tillförlitligt försvar måste vara skiktat." Ur denna synvinkel kommer information att presenteras i detta avsnitt.

Information är en av de mest värdefulla resurserna för alla företag, så att säkerställa skyddet av information är en av de prioriterade uppgifterna. I takt med att informationens betydelse och värde ökar, ökar också vikten av att skydda den.

För att säkerställa informationens integritet och konfidentialitet är det nödvändigt att skydda information från oavsiktlig förstörelse eller obehörig åtkomst till den. Integritet förstås som omöjligheten av otillåten eller oavsiktlig förstörelse, såväl som modifiering av information. Sekretess av information förstås som omöjligheten av att en angripare obehörigt skaffar lagrad, skickad eller mottagen information.

Obehörig åtkomst hänvisar till olagliga handlingar, som ett resultat av vilka en angripare får tillgång till konfidentiell information. d.v.s. obehörig åtkomst- detta är aktiva handlingar för att skapa möjlighet att få tillgång till någon annans information utan samtycke från ägaren. Bryter in i- obehörig intrång i ett datornätverk eller i någon annans dator för att få tillgång till information.

Det finns många möjliga riktningar för informationsläckage och sätt för obehörig åtkomst till det i system och nätverk:

• avlyssning av information;
• ändring av information, dvs. göra ändringar i den;
• utbyte av författarskap av information, när en angripare kan skicka ett brev eller dokument för din räkning;
• skapa falska meddelanden;
• obehörig åtkomst till konfidentiell information;
• införandet av datavirus och så vidare.

Dessa typer av hot kan uppstå på grund av obehörig åtkomst till information.

Skydd av information från obehörig åtkomst (autentisering och auktorisering)

För att få tillgång till informationssystemets resurser är det nödvändigt att utföra tre procedurer: identifiering, autentisering och auktorisering.

Under Identifiering hänvisar till tilldelningen till användare (objekt eller ämnen av resurser) av unika namn och koder (identifierare).

Autentisering(autentisering) är proceduren för autentisering av en användare (eller objekt), enligt den angivna identifieraren. Till exempel: användarautentisering genom att jämföra lösenordet som han skrivit in med lösenordet i databasen; bekräftelse på äktheten av ett e-postmeddelande genom att kontrollera brevets digitala signatur; kontrollera kontrollsumman för en fil mot det belopp som deklarerats av författaren till denna fil. På ryska används termen främst inom området informationsteknologi.

Autentisering ska inte förväxlas med tillstånd. Auktorisering avser kontroll av auktoritet eller kontroll av användarens rätt att komma åt specifika resurser och utföra vissa operationer på dem. Auktorisering utförs för att skilja åtkomsträttigheter till nätverks- och datorresurser.

Den enkla användarautentiseringsalgoritmen består av följande steg:

• användaren anger parametrarna för sitt konto (inloggning / lösenord) och skickar dem till servern för verifiering;
• autentiseringsservern jämför de mottagna värdena med referensvärdena lagrade, som regel, i databasen;
• om data stämmer överens med referenserna, identifieras autentiseringen som framgångsrik och användaren får tillgång till informationssystemet; om data inte stämmer överens med referensvärdena återgår användaren till det första steget.

Användarkontots lösenord måste lagras på servern i en hashad form. I det här fallet kontrollerar autentiseringsservern databasen efter en post med ett specifikt användarinloggningsvärde och en lösenordshash.

För att identifiera användare kan system som är komplexa vad gäller teknisk implementering användas, som ger användarautentisering baserat på analys av hans individuella parametrar (fingeravtryck, handlinjemönster, iris, röstklang). Fysiska identifieringsmetoder förknippade med fasta medier används i stor utsträckning - ett pass i passersystem, passiva plastkort som läses av speciella enheter; aktiva plastkort som innehåller en inbäddad mikrokrets.

Elektronisk digital signatur

Ett av de mest använda sätten att säkerställa informationssäkerhet är att fastställa äktheten av dokument baserat på en elektronisk digital signatur. Asymmetriska nycklar används för att arbeta med digitala signaturer. Ägaren krypterar sitt meddelande/dokument med en privat nyckel (PrivateKey), och användare med publika nycklar (PublicKey) kan dekryptera och läsa meddelandet/dokumentet. Eftersom det bara är författaren som äger den privata nyckeln är det därför bara han som kan kryptera meddelandet. Detta bekräftar äganderätten till meddelandet.

Används ibland som en digital signatur meddelandesammanfattning, krypterad med PrivateKey. Mottagaren kan extrahera sammanfattningen av meddelandet med hjälp av PublicKey, jämföra den med sammanfattningen av själva meddelandet och verifiera meddelandets äkthet, d.v.s. i sin integritet och tillhörighet till avsändaren.

Informationsskydd i datornätverk

Lokala nätverk av företag är mycket ofta anslutna till Internet. För att skydda företags lokala nätverk används som regel brandväggar - brandväggar (brandväggar). En brandvägg är ett medel för åtkomstkontroll som låter dig dela upp nätverket i två delar (gränsen går mellan det lokala nätverket och Internet) och bilda en uppsättning regler som bestämmer villkoren för att skicka paket från en del till en annan. Skärmar kan implementeras både i hårdvara och mjukvara.

Skärmar kan ge skydd i ett företags datornätverk. Men ofta skickas information i form av objekt till en osäker webbläsare. I det här fallet måste objekt i form av en java-klass serialiseras. Att serialisera ett objekt är inte säkert. Om det serialiserade objektet representerar ett visst värde för företaget kan det också skyddas under serialiserings- och deserialiseringsstadierna. Skyddet av ett serialiserat objekt beskrivs i detalj med ett exempel.

Obs: Det finns mycket att säga om informationssäkerhet. Du kan också tänka på datavirus och antivirusprogram. Men här kommer vi bara att fokusera på de aspekter som diskuteras på webbplatsen och är av intresse för java-programmerare.