9 소프트웨어 도구 및 정보 보호 방법. 소프트웨어 및 하드웨어 정보 보안

배아 이식 후 임신 징후

정보보호 소프트웨어란 본 문서에 포함된 특수 프로그램을 의미합니다. 소프트웨어 CS는 보호 기능의 수행만을 위한 것입니다.

메인으로 소프트웨어 도구정보 보안에는 다음이 포함됩니다.

  • * CS 사용자의 식별 및 인증을 위한 프로그램
  • * CS 리소스에 대한 사용자 액세스를 제한하는 프로그램;
  • * 정보 암호화 프로그램;
  • * 정보 자원(시스템 및 응용 프로그램 소프트웨어, 데이터베이스, 컴퓨터 교육 도구 등)을 무단 수정, 사용 및 복사로부터 보호하기 위한 프로그램.

식별 하에 규정과 관련하여 이해되어야 합니다. 정보 보안 CS는 CS 주제의 고유한 이름에 대한 명확한 인식을 이해합니다. 인증이란 제시된 이름이 주어진 주체와 일치하는지 확인하는 것을 의미한다( 주체인증)5.

정보 보안 소프트웨어에는 다음이 포함됩니다.

  • * 잔여 정보의 파괴를 위한 프로그램(블록 단위 랜덤 액세스 메모리, 임시 파일 등);
  • * COP의 보안과 관련된 이벤트의 감사 프로그램(등록 로그), 이러한 이벤트의 발생에 대한 증거 및 복구 가능성을 보장합니다.
  • * 범죄자와 함께 일을 모방하는 프로그램(기밀로 의심되는 정보를 받도록 주의를 산만하게 함)
  • * CS 보안 등의 테스트 통제를 위한 프로그램

정보 보안 소프트웨어의 이점은 다음과 같습니다.

  • * 복제 용이성;
  • * 유연성(특정 CS의 정보 보안에 대한 위협의 특성을 고려하여 다양한 사용 조건에 적응하는 능력);
  • * 사용 용이성 - 암호화와 같은 일부 소프트웨어 도구는 "투명"(사용자에게 보이지 않음) 모드에서 작동하지만 다른 도구는 사용자에게 새로운(다른 프로그램과 비교하여) 기술이 필요하지 않습니다.
  • * 정보 보안에 대한 새로운 위협을 고려하여 변경함으로써 개발 가능성이 거의 무제한입니다.

쌀. 4

쌀. 다섯

정보 보안 소프트웨어의 단점은 다음과 같습니다.

  • * 보호 프로그램의 기능에 필요한 자원의 소비로 인한 CS의 효율성 감소;
  • * 낮은 성능(암호화와 같은 하드웨어 보호의 유사한 기능을 수행하는 것과 비교)
  • * 침입자가 이를 우회할 수 있는 근본적인 가능성을 만드는 많은 소프트웨어 보호 도구의 도킹(COP의 소프트웨어에서 배열이 아님, 그림 4 및 5)
  • * COP 운영 중 소프트웨어 보호 도구의 악의적인 수정 가능성.

레벨 보안 운영 체제

운영 체제는 모든 시스템에서 가장 중요한 소프트웨어 구성 요소입니다. 컴퓨터따라서 전반적인 보안은 각 특정 OS에서 보안 정책의 구현 수준에 크게 좌우됩니다. 정보 시스템.

수술실 가족 윈도우 시스템 2000, Millenium은 원래 가정용 컴퓨터에서 작동하도록 설계된 클론입니다. 이러한 운영 체제는 보호 모드 권한 수준을 사용하지만 추가 검사를 수행하지 않으며 보안 설명자 시스템을 지원하지 않습니다. 결과적으로 모든 응용 프로그램은 읽기 및 쓰기 액세스로 사용 가능한 전체 RAM에 액세스할 수 있습니다. 네트워크 보안 조치가 있지만 구현 수준은 높지 않습니다. 더욱이 에서 Windows 버전 XP는 근본적인 실수를 저질렀습니다. 문자 그대로 몇 개의 패킷이 컴퓨터의 "정지"로 이어질 수 있었고, 이는 OS의 명성을 크게 훼손했습니다. 후속 버전에서는 이 클론의 네트워크 보안을 개선하기 위해 많은 단계를 거쳤습니다6 .

운영 체제 생성 윈도우 비스타, 7은 이미 MicroSoft의 훨씬 더 안정적인 개발입니다. 하드디스크에 있는 다양한 사용자의 파일을 안정적으로 보호하는 진정한 다중 사용자 시스템입니다. ). 이러한 운영 체제는 보호 모드의 기능을 적극적으로 사용합니다. 인텔 프로세서, 그리고 자신이 프로세스 외부에서 추가 액세스를 제공하기를 원하지 않는 한 다른 프로그램으로부터 프로세스의 데이터와 코드를 안정적으로 보호할 수 있습니다.

오랜 개발 기간 동안 다양한 네트워크 공격과 보안 버그가 고려되었습니다. 수정 사항은 업데이트 블록 형태로 나왔습니다(영어 서비스 팩).

복제의 또 다른 분기는 UNIX 운영 체제에서 확장됩니다. 이 OS는 원래 네트워크 및 다중 사용자로 개발되었으므로 즉시 정보 보안 도구가 포함되었습니다. 널리 퍼진 거의 모든 UNIX 클론은 개발 과정에서 많은 발전을 이루었으며 수정되면서 이 기간 동안 발견된 모든 공격 방법을 고려했습니다. 충분히 입증되었습니다: LINUX(S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. 당연히 위의 모든 사항이 적용됩니다. 최신 버전이러한 운영 체제. 이러한 시스템의 주요 오류는 더 이상 완벽하게 작동하는 커널과 관련이 없지만 시스템 및 응용 프로그램 유틸리티와 관련이 있습니다. 오류가 있으면 시스템의 전체 안전 여유가 손실되는 경우가 많습니다.

주요 구성 요소:

로컬 보안 관리자 - 무단 액세스를 담당하고, 사용자의 로그인 자격 증명을 확인하고, 다음을 지원합니다.

감사 - 사용자 행동의 정확성 확인

계정 관리자 - 사용자의 작업 및 시스템 상호 작용에 대한 데이터베이스 지원.

보안 모니터 - 사용자에게 개체에 대한 충분한 액세스 권한이 있는지 확인합니다.

감사 로그 - 사용자 로그인에 대한 정보, 파일, 폴더 작업 수정 사항이 포함되어 있습니다.

인증 팩 - 시스템 파일을 분석하여 교체되었는지 확인합니다. MSV10은 기본 패키지입니다.

Windows XP 추가:

아카이브 사본에 비밀번호를 지정할 수 있습니다.

파일 교체 보호

차별화 시스템 ... 비밀번호를 입력하고 사용자 계정을 생성하여. 이러한 권한을 가진 사용자가 보관을 수행할 수 있습니다.

NTFS: 파일 및 폴더 액세스 제어

XP 및 2000에서 - 사용자 액세스 권한의 보다 완전하고 심층적인 차별화.

EFS - 데이터에 대한 액세스를 제한하기 위해 정보(파일 및 폴더)의 암호화 및 암호 해독을 제공합니다.

암호화 보호 방법

암호화는 데이터를 보호하는 과학입니다. 그녀는 네 가지 중요한 보안 문제(기밀성, 인증, 무결성 및 상호 작용 참가자 제어)에 대한 솔루션을 찾고 있습니다. 암호화는 암호화-복호화 키를 사용하여 데이터를 읽을 수 없는 형태로 변환하는 것입니다. 암호화를 사용하면 의도하지 않은 사람에게 정보를 비밀로 유지하여 기밀성을 유지할 수 있습니다.

암호학은 정보를 변환하는 수학적 방법의 검색 및 연구에 종사합니다(7).

현대 암호화에는 네 가지 주요 섹션이 있습니다.

대칭 암호 시스템;

공개 키 암호 시스템;

전자 서명 시스템;

핵심 관리.

암호화 방법을 사용하는 주요 방향은 통신 채널(예: 전자 메일)을 통한 기밀 정보 전송, 전송된 메시지 인증, 암호화된 미디어에 정보(문서, 데이터베이스) 저장입니다.

드라이브 암호화

암호화된 디스크는 다른 파일이나 프로그램을 포함할 수 있는 컨테이너 파일입니다(이 암호화된 파일에서 직접 설치 및 실행할 수 있음). 이 디스크는 컨테이너 파일의 암호를 입력한 후에만 사용할 수 있습니다. 그러면 다른 디스크가 컴퓨터에 나타나 시스템에서 논리적 디스크로 인식하고 이 디스크로 작업하는 것은 다른 디스크로 작업하는 것과 다르지 않습니다. 디스크를 분리한 후 논리 드라이브사라지고 "보이지 않는" 상태가 됩니다.

현재까지 암호화된 디스크를 만드는 가장 일반적인 프로그램은 DriveCrypt, BestCrypt 및 PGPdisk입니다. 각각은 원격 해킹으로부터 안정적으로 보호됩니다.

프로그램의 일반적인 기능: (8)

  • - 컨테이너 파일의 모든 정보 변경은 먼저 RAM에서 발생합니다. HDD항상 암호화된 상태로 유지됩니다. 컴퓨터가 정지하더라도 비밀 데이터는 암호화된 상태로 유지됩니다.
  • - 프로그램은 일정 시간이 지나면 숨겨진 논리 드라이브를 차단할 수 있습니다.
  • - 그들은 모두 임시 파일(스왑 파일)을 신뢰하지 않습니다. 스왑 파일에 들어갈 수 있는 모든 기밀 정보를 암호화할 수 있습니다. 스왑 파일에 저장된 정보를 숨기는 매우 효과적인 방법은 컴퓨터의 RAM을 늘리는 것을 잊지 않고 완전히 끄는 것입니다.
  • - 물리학 하드 드라이브일부 데이터를 다른 데이터로 덮어써도 이전 기록이 완전히 지워지지 않습니다. 을 통해 현대 수단자기현미경(Magnetic Force Microscopy - MFM)으로 복원할 수 있습니다. 이러한 프로그램을 사용하면 파일의 존재 흔적을 남기지 않고 하드 드라이브에서 파일을 안전하게 삭제할 수 있습니다.
  • - 세 가지 프로그램 모두 하드 드라이브에 안전하게 암호화된 형식으로 기밀 데이터를 저장하고 모든 응용 프로그램에서 이 데이터에 투명하게 액세스할 수 있습니다.
  • - 암호화된 컨테이너 파일이 실수로 삭제되지 않도록 보호합니다.
  • - 트로이 목마와 바이러스를 잘 처리하십시오.

사용자 식별 방법

VS에 액세스하기 전에 사용자는 자신을 식별해야 하며 네트워크 보안 메커니즘은 사용자를 인증합니다. 즉, 사용자가 실제로 그가 주장하는 사람인지 확인합니다. 보호 메커니즘의 논리적 모델에 따라 항공기는 사용자가 터미널을 통해 또는 다른 방식으로 연결되는 작업 컴퓨터에 있습니다. 따라서 식별, 인증 및 권한 부여 절차는 로컬 워크스테이션에서 세션이 시작될 때 수행됩니다.

그 후 다양한 네트워크 프로토콜이 설정되고 네트워크 리소스에 액세스하기 전에 필요한 리소스 또는 네트워크 서비스를 호스팅하기 위해 일부 원격 워크스테이션에서 식별, 인증 및 권한 부여 절차가 다시 활성화될 수 있습니다.

사용자가 터미널을 사용하여 컴퓨터 시스템에 로그온하면 시스템은 사용자의 이름과 식별 번호를 묻습니다. 사용자의 응답에 따라 컴퓨터 시스템은 사용자를 식별합니다. 네트워크에서는 상호 연결을 설정하는 개체가 서로를 식별하는 것이 더 자연스럽습니다.

비밀번호는 인증을 위한 한 가지 방법일 뿐입니다. 다른 방법이 있습니다.

  • 1. 사전 정의된 사용자 정보: 비밀번호, 개인 식별 번호, 특수 암호화 구문 사용에 대한 동의.
  • 2. 요소 하드웨어사용자 처분: 키, 자기 카드, 마이크로 회로 등
  • 3. 사용자의 특징적인 개인 기능: 지문, 망막 패턴, 신체 크기, 음성 음색 및 기타 복잡한 의학적 및 생화학적 특성.
  • 4. 실시간 사용자 행동의 특징 및 특징: 역학의 특징, 키보드 작업 스타일, 읽기 속도, 조작기 사용 능력 등
  • 5. 습관: 특정 컴퓨터 공백 사용.
  • 6. 교육, 문화, 훈련, 배경, 양육, 습관 등으로 인한 이용자의 기술 및 지식

누군가 터미널을 통해 컴퓨팅 시스템에 로그인하거나 일괄 작업을 실행하려는 경우 컴퓨팅 시스템은 사용자를 인증해야 합니다. 사용자 자신은 원칙적으로 컴퓨팅 시스템의 진위 여부를 확인하지 않습니다. 인증 절차가 단방향인 경우 이러한 절차를 단방향 객체 인증이라고 합니다(9).

정보 보호를 위한 전문 소프트웨어.

무단 액세스로부터 정보를 보호하기 위한 특수 소프트웨어 도구는 일반적으로 기본 제공 네트워크 운영 체제 도구보다 더 나은 기능과 특성을 가지고 있습니다. 암호화 프로그램 외에도 많은 다른 외부 정보 보안 도구를 사용할 수 있습니다. 가장 자주 언급되는 시스템 중 정보 흐름을 제한하는 다음 두 시스템에 유의해야 합니다.

방화벽 - 방화벽(말 그대로 방화벽 - 불 같은 벽). 로컬 네트워크와 글로벌 네트워크 사이에 특수 중간 서버가 생성되어 이를 통과하는 모든 네트워크/전송 계층 트래픽을 검사하고 필터링합니다. 이를 통해 외부에서 회사 네트워크로 무단 액세스하는 위협을 크게 줄일 수 있지만 이러한 위험을 완전히 제거할 수는 없습니다. 이 방법의 보다 안전한 변형은 가장 무도회 방법입니다. 지역 네트워크트래픽은 방화벽 서버를 대신하여 전송되므로 로컬 네트워크가 거의 보이지 않습니다.

프록시 서버(프록시 - 위임장, 권한이 있는 사람). 로컬 네트워크와 글로벌 네트워크 사이의 모든 네트워크/전송 계층 트래픽은 완전히 금지됩니다. 단순히 라우팅이 없으며 로컬 네트워크에서 글로벌 네트워크로의 호출은 특수 중개 서버를 통해 발생합니다. 당연히 이 방법을 사용하면 글로벌 네트워크에서 로컬 네트워크로의 액세스가 원칙적으로 불가능해집니다. 이 방법이 더 많은 공격에 대해 충분한 보호를 제공하지 않는다는 것도 분명합니다. 높은 수준- 예를 들어, 애플리케이션 수준에서(바이러스, Java 및 JavaScript 코드).

방화벽이 어떻게 작동하는지 자세히 살펴보겠습니다. 하드웨어 및 소프트웨어를 통해 네트워크에 대한 액세스를 중앙 집중화하고 제어하여 다른 시스템 및 네트워크의 보안 위협으로부터 네트워크를 보호하는 방법입니다. 방화벽은 여러 구성 요소(예: 방화벽 소프트웨어를 실행하는 라우터 또는 게이트웨이)로 구성된 보안 장벽입니다. 방화벽은 조직의 내부 네트워크 접근 제어 정책에 따라 구성됩니다. 들어오고 나가는 모든 패킷은 승인된 패킷만 통과하도록 허용하는 방화벽을 통과해야 합니다.

패킷 필터링 방화벽은 특정 유형의 수신 및 발신 패킷을 거부하도록 구성된 소프트웨어를 실행하는 라우터 또는 컴퓨터입니다. 패킷 필터링은 TCP 및 IP 패킷 헤더(발신인 및 대상 주소, 해당 포트 번호 등)에 포함된 정보를 기반으로 합니다.

전문가 수준 방화벽 - 네트워크, 세션 및 응용 프로그램의 세 가지 OSI 모델 수준에서 수신된 패킷의 내용을 확인합니다. 이 작업을 수행하기 위해 특수 패킷 필터링 알고리즘을 사용하여 각 패킷을 승인된 패킷의 알려진 패턴과 비교합니다.

방화벽을 만드는 것은 차폐 문제를 해결하는 것을 의미합니다. 스크리닝 문제에 대한 공식적인 설명은 다음과 같습니다. 두 세트의 정보 시스템이 있다고 하자. 화면은 한 세트에서 다른 세트의 서버로 클라이언트의 액세스를 구분하는 수단입니다. 화면은 두 시스템 세트 간의 모든 정보 흐름을 제어하여 기능을 수행합니다(그림 6). 흐름 제어는 일부 변환을 통해 필터링하는 것으로 구성됩니다.

다음 세부 수준에서 스크린(반투막)은 일련의 필터로 편리하게 표현할 수 있습니다. 각 필터는 데이터를 분석한 후 데이터를 지연(놓치지 않음)하거나 즉시 화면에서 "던질" 수 있습니다. 또한 데이터를 변환하거나 추가 분석을 위해 데이터의 일부를 다음 필터로 전송하거나 수신자를 대신하여 데이터를 처리하고 결과를 발신자에게 반환할 수 있습니다(그림 7).


쌀. 7

액세스 제어 기능 외에도 화면은 정보 교환을 기록합니다.

일반적으로 화면은 대칭이 아니므로 "내부"와 "외부"라는 개념이 정의됩니다. 이 경우 차폐 작업은 잠재적으로 적대적인 외부 영역으로부터 내부 영역을 보호하는 것으로 공식화됩니다. 따라서 인터넷에 액세스할 수 있는 조직의 회사 네트워크를 보호하기 위해 방화벽(ME)이 가장 많이 설치됩니다.

차폐는 외부 활동으로 인한 오버헤드를 줄이거나 제거하여 내부 영역의 서비스 가용성을 유지하는 데 도움이 됩니다. 공격자는 먼저 보호 메커니즘이 특히 신중하게 구성된 화면을 통과해야 하므로 내부 보안 서비스의 취약성이 줄어듭니다. 또한, 차폐 시스템은 보편적인 것과는 대조적으로 더 간단하고 따라서 더 안전한 방식으로 배열될 수 있습니다.

차폐는 또한 외부 영역으로 향하는 정보 흐름을 제어할 수 있게 하여 조직의 IS에서 기밀 체계를 유지하는 데 도움이 됩니다.

차폐는 특정 정보 서비스를 보호하는 부분적일 수 있습니다(예: 차폐 이메일).

경계 인터페이스는 일종의 이스케이프라고도 생각할 수 있습니다. 보이지 않는 물체는 특히 고정된 도구 세트로 공격하기 어렵습니다. 이러한 의미에서 웹 인터페이스는 특히 하이퍼텍스트 문서가 동적으로 생성될 때 자연스럽게 안전합니다. 각 사용자는 자신이 보고자 하는 것만 봅니다. 동적으로 생성된 하이퍼텍스트 문서와 관계형 데이터베이스의 표현 사이에 유추를 그리는 것이 가능하며 웹의 경우 가능성이 훨씬 더 넓습니다.

웹 서비스의 차폐 역할은 데이터베이스 테이블과 같은 다른 리소스에 액세스할 때 이 서비스가 중개(보다 정확하게는 통합) 기능을 수행할 때도 명확하게 나타납니다. 요청의 흐름을 제어할 뿐만 아니라 데이터의 실제 구성을 숨깁니다.

보안의 아키텍처 측면

범용 운영 체제를 사용하여 네트워크 환경에 내재된 위협에 대처하는 것은 불가능합니다. Universal OS는 명백한 버그 외에도 불법적으로 권한을 얻는 데 사용할 수 있는 일부 기능이 포함되어 있는 거대한 소프트웨어입니다. 현대 기술프로그래밍은 그런 큰 프로그램을 안전하게 만들지 않습니다. 또한 복잡한 시스템을 처리하는 관리자가 변경 사항의 모든 결과를 항상 고려할 수 있는 것은 아닙니다. 마지막으로, 범용 다중 사용자 시스템에서 보안 허점은 사용자 자신에 의해 지속적으로 생성됩니다(약하거나 거의 변경되지 않는 비밀번호, 잘못 설정된 액세스 권한, 무인 터미널 등). 유일한 유망한 경로는 단순성으로 인해 공식 또는 비공식 검증을 허용하는 전문 보안 서비스의 개발과 관련이 있습니다. 방화벽은 다양한 네트워크 프로토콜의 유지 관리와 관련된 추가 분해를 허용하는 도구일 뿐입니다.

방화벽은 보호된(내부) 네트워크와 외부 환경(외부 네트워크 또는 회사 네트워크의 기타 세그먼트) 사이에 있습니다. 첫 번째 경우에는 외부 ME에 대해 말하고 두 번째 경우에는 내부 ME에 대해 말합니다. 개인의 관점에 따라 외부 방화벽은 첫 번째 또는 마지막(그러나 유일한 것은 아님) 방어선으로 간주될 수 있습니다. 첫 번째 - 외부 침입자의 눈으로 세상을 보는 경우. 마지막 - 회사 네트워크의 모든 구성 요소를 보호하고 내부 사용자의 불법 행위를 방지하기 위해 노력하는 경우.

방화벽은 활성 감사 도구를 포함하기에 이상적인 장소입니다. 한편으로는 첫 번째 방어선과 마지막 방어선 모두에서 수상한 활동의 ​​탐지는 나름대로 중요하다. 반면 ME는 외부 환경과의 연결을 끊기까지 의심스러운 활동에 대해 임의의 강력한 대응을 구현할 수 있습니다. 사실, 두 보안 서비스의 연결은 원칙적으로 접근성 공격을 용이하게 하는 간격을 생성할 수 있음을 인식해야 합니다.

방화벽에 회사 리소스에 대한 액세스가 필요한 외부 사용자의 식별/인증을 할당하는 것이 좋습니다(네트워크에 대한 싱글 사인온 개념 지원 포함).

방어 분리 원칙에 따라 보호하기 위해 외부 연결일반적으로 2성분 차폐가 사용됩니다(그림 8 참조). 기본 필터링(예: 접근성 공격에 위험한 SNMP 관리 프로토콜 패킷 차단 또는 "블랙리스트"에 포함된 특정 IP 주소를 가진 패킷 차단)은 경계 라우터(다음 섹션 참조)에서 수행되며, 그 뒤에는 다음이 포함됩니다. 소위 비무장지대(조직의 외부 정보 서비스(웹, 전자 메일 등)가 배치되는 중간 수준의 보안 신뢰를 갖는 네트워크) 및 기업 네트워크의 내부 부분을 보호하는 주 방화벽.

이론적으로 방화벽(특히 내부 방화벽)은 다중 프로토콜이어야 하지만 실제로는 TCP/IP 계열의 프로토콜이 너무 지배적이어서 다른 프로토콜에 대한 지원은 보안에 해로운 과도하게 보일 수 있습니다(서비스가 복잡할수록 더 취약합니다).


쌀. 8

일반적으로 네트워크 트래픽 양이 급격히 증가하는 경향이 있으므로 외부 및 내부 방화벽 모두 병목 현상이 발생할 수 있습니다. 이 문제를 해결하는 방법 중 하나는 ME를 여러 하드웨어 부분으로 나누고 특수 중개 서버를 구성하는 것입니다. 기본 방화벽은 들어오는 트래픽을 유형별로 대략적으로 분류하고 적절한 중개자(예: HTTP 트래픽을 분석하는 중개자)에 필터링을 위임할 수 있습니다. 나가는 트래픽은 외부 웹 서버의 페이지 캐싱과 같은 기능적으로 유용한 작업도 수행할 수 있는 중간 서버에 의해 먼저 처리되어 일반적으로 네트워크와 특히 주 방화벽의 부하를 줄입니다.

회사 네트워크에 외부 채널이 하나만 포함된 상황은 규칙이 아니라 예외입니다. 반대로, 일반적인 상황은 기업 네트워크가 지리적으로 분산된 여러 세그먼트로 구성되어 있고 각 세그먼트는 인터넷에 연결되어 있는 경우입니다. 이 경우 각 연결은 자체 실드로 보호되어야 합니다. 보다 정확하게는 기업의 외부 방화벽이 복합적인 방화벽으로 모든 구성요소의 통합 관리(관리 및 감사) 문제를 해결하기 위해 필요하다고 볼 수 있습니다.

복합 기업 방화벽(또는 그 구성 요소)의 반대는 개인 방화벽과 개인 차폐 장치입니다. 전자는 개인용 컴퓨터에 설치되어 개인용 컴퓨터만을 보호하는 소프트웨어 제품입니다. 후자는 개별 장치에서 구현되며 홈 오피스 네트워크와 같은 소규모 로컬 영역 네트워크를 보호합니다.

방화벽을 배포할 때 앞서 논의한 아키텍처 보안의 원칙을 따라야 합니다. 기본적으로 단순성과 관리 용이성, 심층 방어, 안전하지 않은 상태로의 전환 불가능을 고려해야 합니다. 또한 외부 위협뿐만 아니라 내부 위협도 고려해야 합니다.

정보의 보관 및 복제 시스템

안정적이고 효율적인 데이터 아카이빙 시스템의 구성은 네트워크 정보의 안전성 확보를 위한 가장 중요한 과제 중 하나입니다. 한두 대의 서버가 설치된 소규모 네트워크에서는 보관 시스템을 서버의 여유 슬롯에 직접 설치하는 것이 가장 자주 사용됩니다. 대규모 기업 네트워크에서는 전용 전문 보관 서버를 구성하는 것이 가장 바람직합니다.

이러한 서버는 다음 위치에서 정보를 자동으로 보관합니다. 하드 드라이브로컬 영역 네트워크 관리자가 지정한 시간에 서버 및 워크스테이션에 백업 보고서를 발행합니다.

특별한 가치가 있는 기록 보관 정보의 저장은 특별한 보안 공간에 구성되어야 합니다. 전문가들은 화재나 자연재해에 대비하여 가장 중요한 데이터의 중복 아카이브를 다른 건물에 보관할 것을 권장합니다. 자기 디스크 고장 시 데이터 복구를 보장하기 위해 최근 가장 많이 사용되는 디스크 어레이 시스템은 RAID(Redundant Arrays of Inexpensive Disks) 표준을 준수하는 단일 장치로 작동하는 디스크 그룹입니다. 이 어레이는 최고 속도의 데이터 쓰기/읽기, 데이터를 완전히 복원하고 "핫" 모드에서 실패한 디스크를 교체하는 기능을 제공합니다(어레이의 나머지 디스크를 끄지 않고).

디스크 어레이의 구성은 여러 수준에서 구현된 다양한 기술 솔루션을 제공합니다.

RAID 레벨 0은 단순히 데이터 스트림을 둘 이상의 드라이브로 분할합니다. 이 솔루션의 장점은 어레이에서 사용되는 디스크 수에 비례하여 I/O 속도가 증가한다는 것입니다.

RAID 레벨 1은 소위 "미러" 디스크의 구성으로 구성됩니다. 데이터를 기록하는 동안 시스템의 메인 디스크의 정보가 미러 디스크에 복제되며, 메인 디스크에 장애가 발생하면 "미러" 디스크가 즉시 작동됩니다.

RAID 레벨 2 및 3은 데이터가 비트 레벨에서 디스크에 분산되는 쓰기 시 병렬 디스크 어레이 생성을 제공합니다.

RAID 레벨 4 및 5는 데이터 스트림이 어레이의 디스크에 분산되는 0 레벨의 수정입니다. 차이점은 레벨 4에서 중복 정보를 저장하기 위해 특수 디스크가 할당되고 레벨 5에서 ​​중복 정보가 어레이의 모든 디스크에 분산된다는 것입니다.

중복 정보의 사용을 기반으로 하는 네트워크의 신뢰성 및 데이터 보호 향상은 디스크 어레이와 같은 개별 네트워크 요소 수준에서뿐만 아니라 네트워크 운영 체제 수준에서도 구현됩니다. 예를 들어 Novell은 Netware 운영 체제의 내결함성 버전인 SFT(System Fault Tolerance)를 구현합니다.

  • - SFT 레벨 I. 첫 번째 레벨은 FAT 및 디렉토리 항목 테이블의 추가 사본 생성, 새로 기록된 각각의 즉각적인 검증을 제공합니다. 파일 서버데이터 블록 및 각 하드 디스크의 중복성은 디스크 볼륨의 약 2%입니다.
  • - SFT 레벨 II에는 "미러" 디스크를 생성하는 기능과 디스크 컨트롤러, 전원 공급 장치 및 인터페이스 케이블의 복제 기능이 추가로 포함되었습니다.
  • - SFT 레벨 III 버전은 로컬 네트워크에서 복제된 서버의 사용을 허용하며 그 중 하나는 "마스터"이고 두 번째는 모든 정보의 사본을 포함하는 "마스터 "서버.

보안 분석

보안 분석 서비스는 취약점을 신속하게 제거하기 위해 취약점을 식별하도록 설계되었습니다. 이 서비스는 그 자체로는 어떤 것에도 보호하지 않지만 공격자가 이를 악용하기 전에 보안 격차를 감지(및 수정)하는 데 도움이 됩니다. 우선, 내 말은 아키텍처 문제(제거하기 어렵습니다)가 아니라 관리 오류 또는 소프트웨어 버전 업데이트에 대한 부주의로 인해 나타나는 "운영" 격차를 의미합니다.

위에서 논의한 능동적 감사 도구와 같은 보안 분석 시스템(보안 스캐너라고도 함)은 지식의 축적과 사용을 기반으로 합니다. 이 경우 보안 격차에 대한 지식을 의미합니다. 보안 격차를 찾는 방법, 심각도 및 해결 방법입니다.

따라서 이러한 시스템의 핵심은 사용 가능한 기능 범위를 결정하고 거의 지속적인 업데이트가 필요한 취약성의 기반입니다.

원칙적으로 맬웨어(특히 바이러스)의 존재, 취약한 사용자 암호, 잘못 구성된 운영 체제, 안전하지 않은 네트워크 서비스, 제거된 패치, 응용 프로그램의 취약성 등 매우 다른 성격의 공백을 감지할 수 있습니다. 그러나 네트워크 스캐너가 가장 효과적이며(TCP/IP 계열 프로토콜이 우세하기 때문에) 바이러스 백신 도구(10)도 마찬가지입니다. 안티바이러스 보호를 별도의 보안 서비스로 간주하지 않고 보안 분석 도구로 분류합니다.

스캐너는 수동 분석, 즉 구성 파일, 관련된 포트 등을 연구하고 공격자의 행동을 시뮬레이션하여 취약점을 탐지할 수 있습니다. 발견된 일부 취약점은 자동으로 복구될 수 있으며(예: 감염된 파일의 치료), 다른 취약점은 관리자에게 보고됩니다.

보안 분석 시스템이 제공하는 제어는 반응적이고 지연되는 특성을 가지며 새로운 공격에 대해 보호하지 않지만 방어는 계층화되어야 하며 경계 중 하나로서 보안 제어가 상당히 적절하다는 점을 기억해야 합니다. 대부분의 공격은 일상적인 것으로 알려져 있습니다. 알려진 보안 허점이 수년간 패치되지 않은 상태로 남아 있기 때문에 가능합니다.

소프트웨어 및 하드웨어 정보 보호 도구에 대한 요구 사항은 러시아 FSTEC 지침에 공식화되어 있습니다. 2013년 2월 18일자 러시아 FSTEC 명령 No. 21 "개인 데이터가 개인 데이터 정보 시스템에서 처리될 때 개인 데이터의 보안을 보장하기 위한 조직적 및 기술적 조치의 구성 및 내용 승인 시"는 다음을 보장하기 위한 조치를 제공합니다. 정보 시스템에서 처리되는 개인 데이터의 보안. 이것은 불법 또는 랜덤 액세스데이터, 파괴, 수정, 차단, 복사, 제공, 개인 데이터 배포 및 개인 데이터와 관련된 기타 불법 행위.

개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안은 운영자 또는 운영자를 대신하여 개인 데이터를 처리하는 사람에 의해 보장됩니다.

개인정보의 보안을 확보하기 위한 조치는, 특히 현재를 무력화하기 위해 그러한 도구의 사용이 필요한 경우 규정된 방식으로 적합성 평가 절차를 통과한 정보 시스템의 정보 보안 도구의 사용을 통해 구현됩니다. 개인 데이터의 보안에 대한 위협.

운영자가 독립적으로 또는 계약에 따라 참여하여 개인 데이터 보안을 보장하기 위해 개인 데이터 보호 시스템의 프레임워크 내에서 구현된 조치의 효율성 평가 법인기밀 정보의 기술적 보호를 위한 활동을 수행할 수 있는 면허가 있는 개인 기업가. 이 평가는 적어도 3년에 한 번 수행됩니다.

개인 데이터 및 사용된 정보 기술의 보안에 대한 현재 위협을 고려하여 개인 데이터 보호 시스템의 프레임워크 내에서 구현된 개인 데이터의 보안을 보장하기 위한 조치에는 다음이 포함됩니다.

  • 접근 주체 및 접근 객체의 식별 및 인증;
  • 액세스 객체에 대한 액세스 주체의 액세스 제어;
  • 소프트웨어 환경의 제한;
  • 개인 데이터가 저장 및(또는) 처리되는 기계 저장 매체의 보호
  • 보안 이벤트 등록;
  • 바이러스 백신 보호;
  • 침입 탐지(방지);
  • 개인 데이터 보안의 통제(분석);
  • 정보 시스템 및 개인 데이터의 무결성 보장
  • 개인 데이터의 가용성 보장
  • 가상화 환경 보호;
  • 보호 기술적 수단;
  • 정보 시스템, 그 수단, 통신 및 데이터 전송 시스템의 보호;
  • 정보 시스템의 장애 또는 중단 및(또는) 개인 데이터 보안에 대한 위협으로 이어질 수 있는 사건(하나의 이벤트 또는 이벤트 그룹)을 식별하고 이에 대응합니다.
  • 정보 시스템 및 개인 데이터 보호 시스템의 구성 관리.

방화벽

방화벽통과하는 네트워크 패킷을 필터링하는 하드웨어 및(또는) 소프트웨어 측정의 집합입니다. 주요 임무는 무단 액세스로부터 컴퓨터 네트워크 또는 개별 장치를 보호하는 것입니다.

예를 들어, 인터넷 게이트웨이의 새로운 인증 버전인 인터넷 제어 서버(ICS) 방화벽은 기밀 정보와 개인 데이터를 보호하도록 설계되었습니다. 2012년 4월 19일 No. 2623의 FSTEC 인증서가 있습니다. 화면의 주요 특징은 다음과 같습니다.

  • 네 번째 보안 등급에 대한 RD "컴퓨터 시설. 방화벽. 정보에 대한 무단 액세스로부터 보호. 정보에 대한 무단 액세스로부터 보안 표시기"의 요구 사항을 준수합니다.
  • 사용자와 CS는 4차, 3차, 2차 ISPD(개인 데이터 정보 시스템) 등급을 가질 수 있습니다.
  • 단락 보호 등급까지 개인 데이터 정보 시스템의 일부로 사용할 수 있습니다.
  • 장애 또는 장비 장애 발생 시 방화벽 속성을 복원하는 기능
  • 인증 능력 네트워크 주소, 입력 및 출력 네트워크 인터페이스를 고려한 필터링 덕분입니다.
  • 네트워크 패킷의 중요한 필드를 고려하여 필터링하는 기능
  • 각 네트워크 패킷의 독립적인 필터링;
  • 정보 무결성에 대한 통제 조직 및 소프트웨어 부품;
  • 진단 및 작업 규제에 사용되는 서비스 프로토콜 패킷 필터링 네트워크 장치;
  • 로컬 액세스 요청의 경우 관리자의 인증 및 식별
  • 인증된 프록시 서버를 통해 HTTP 트래픽 모니터링 및 URL 및 REG-EXP 기반 액세스 정책 구현;
  • 차단된 네트워크 트래픽에 대한 로깅 시스템;
  • 제품의 소프트웨어 부분의 무결성은 체크섬을 사용하는 제어 시스템에 의해 수행됩니다.
  • 필요한 경우: 인증된 하드웨어 방화벽 구매 가능성.

방화벽(방화벽)이란 무엇입니까?

방화벽두 개 이상의 네트워크를 연결하는 하드웨어와 소프트웨어의 조합이며 보안 제어의 중심점이기도 합니다. 방화벽은 소프트웨어와 하드웨어 소프트웨어 모두에서 구현할 수 있습니다. XXI 세기 초. 하드웨어 방화벽 사용에 대한 관심이 높아지고 있습니다. 일반적으로 수행되는 기능에 맞게 조정된 네트워크 운영 체제가 있는 랙에 내장된 특수 컴퓨터입니다.

일반적으로 방화벽은 조직의 회사 네트워크와 인터넷 사이에 설치되어 다른 사람들이 회사 네트워크에 액세스하는 것을 차단합니다. 방화벽은 바이러스로부터 기업 이메일을 보호할 수 없습니다. 특수 바이러스 백신 프로그램이 이러한 목적을 수행합니다.

다양한 사용자의 요구 사항을 충족하기 위해 세 가지 유형의 방화벽을 사용할 수 있습니다. 네트워크 계층, 응용 계층 및 연결 계층. 각 유형의 방화벽은 여러 가지 접근 방식을 사용하여 기업 네트워크를 보호합니다. 가장 많이 해서 최적의 선택, 방화벽을 더 잘 설계할 수 있습니다.

네트워크 계층 방화벽은 일반적으로 패킷 주소를 검사한 다음 회사 네트워크로 패킷을 전달할지 아니면 거부할지 결정하는 라우터 또는 특수 컴퓨터입니다. 아시다시피 패킷에는 다른 정보와 함께 보낸 사람과 받는 사람의 IP 주소가 포함되어 있습니다. 예를 들어, 주어진 호스트로부터의 모든 통신을 차단하도록 네트워크 계층 방화벽을 구성할 수 있습니다. 일반적으로 패킷은 일부 호스트의 IP 주소 집합이 포함된 파일을 사용하여 차단됩니다. 방화벽(또는 라우터)은 이러한 주소를 소스 또는 대상 주소로 사용하는 패킷을 차단해야 합니다. 유사한 IP 주소가 포함된 패킷을 감지하면 라우터가 이를 거부하여 회사 네트워크에 들어가는 것을 방지합니다. 특정 호스트를 차단하는 것을 블랙리스트라고도 합니다. 일반적으로 라우터 소프트웨어를 사용하면 특정 사용자가 아닌 전체 호스트를 블랙리스트에 추가할 수 있습니다.

라우터에 도착하는 패킷에는 이메일 메시지, HTTP(웹 페이지에 액세스하기 위한), ftp(파일을 보내거나 다운로드할 수 있는 기능)와 같은 서비스에 대한 요청 또는 로그인을 위한 텔넷 요청이 포함될 수 있습니다. 기업 시스템 (원격 액세스컴퓨터). 네트워크 계층 라우터는 각 유형의 요청을 인식하고 특정 응답을 수행합니다. 예를 들어, 라우터는 인터넷 사용자가 조직의 웹 페이지를 볼 수 있도록 프로그래밍할 수 있지만 ftp를 사용하여 회사 서버와 파일을 주고받는 것은 허용하지 않습니다.

적절하게 설치되고 구성된 네트워크 계층 방화벽은 사용자에게 매우 빠르고 투명합니다. 물론 블랙리스트에 있는 사용자의 경우 라우터는 원치 않는 방문자를 차단하는 효율성 측면에서 이름(방화벽)에 부합합니다.

일반적으로 라우터에는 적절한 소프트웨어가 함께 제공됩니다. 라우터를 프로그래밍하기 위해 라우터에 들어오는 각 패킷을 처리하는 방법을 알려주는 적절한 규칙이 특수 파일에 입력됩니다.

응용 프로그램 계층 방화벽은 일반적으로 프록시 서버로 알려진 소프트웨어를 실행하는 네트워크 호스트입니다. 프록시 서버는 두 네트워크 간의 트래픽을 관리하는 프로그램입니다. 응용 계층 방화벽을 사용할 때 기업 네트워크와 인터넷은 물리적으로 연결되어 있지 않습니다. 케이블이 연결되어 있지 않기 때문에 한 네트워크의 트래픽이 다른 네트워크의 트래픽과 섞이지 않습니다. 프록시 서버의 역할은 한 네트워크에서 다른 네트워크로 격리된 패킷 복사본을 전달하는 것입니다. 이러한 유형의 방화벽은 연결 초기화의 출처를 효과적으로 가리고 이 네트워크에서 정보를 얻으려는 인터넷 사용자로부터 회사 네트워크를 보호합니다.

프록시 서버는 네트워크 프로토콜을 이해하므로 이러한 서버를 구성하고 회사 네트워크에서 제공하는 서비스 세트를 설치할 수 있습니다.

응용 프로그램 수준 프록시를 설치할 때 사용자는 프록시 모드를 지원하는 클라이언트 프로그램을 사용해야 합니다.

따라서 응용 프로그램 계층 방화벽을 사용하면 호스트에 들어오는 트래픽의 유형과 양을 제어할 수 있습니다. 그들은 기업 네트워크와 인터넷 사이에 신뢰할 수 있는 물리적 장벽을 제공하므로 좋은 옵션보안 강화가 필요한 상황에서. 그러나 프로그램은 패킷을 분석하고 액세스 제어 결정을 내려야 하기 때문에 응용 프로그램 계층 방화벽은 네트워크 효율성을 감소시킬 수 있습니다. 이러한 방화벽을 사용하려면 가장 빠른 컴퓨터를 사용하여 프록시 서버를 설정해야 합니다.

연결 수준 방화벽은 응용 프로그램 수준 방화벽과 유사하며 둘 다 프록시 서버입니다. 그러나 연결 수준 방화벽에서는 클라이언트의 프록시 모드를 지원하는 특수 응용 프로그램을 사용할 필요가 없습니다.

연결 계층 방화벽은 각 응용 프로그램이 서비스에 대해 알 필요 없이 클라이언트와 서버 간의 통신을 설정합니다.

연결 계층 방화벽의 장점은 광범위한 프로토콜 클래스에 대한 서비스를 제공하는 반면 응용 프로그램 계층 방화벽은 모든 종류의 서비스에 대해 연결 계층 프록시가 필요하다는 것입니다. 따라서 HTTP, ftp 또는 telnet과 같은 연결 수준 방화벽을 사용하면 특별한 조치를 취하거나 응용 프로그램을 변경할 필요가 없습니다. 기존 소프트웨어를 사용하기만 하면 됩니다. 연결 수준 방화벽의 또 다른 유용한 기능은 하나의 중재 서버로만 작업할 수 있다는 것입니다. 이는 여러 서버를 등록하고 모니터링하는 것보다 쉽습니다.

방화벽을 만들 때 회사 네트워크를 통해 허용할 트래픽을 결정해야 합니다. 위에서 언급했듯이 선택한 패킷을 필터링할 라우터를 선택하거나 네트워크의 호스트 컴퓨터에서 실행되는 일부 유형의 프록시 프로그램을 사용할 수 있습니다. 결과적으로 방화벽 아키텍처는 이러한 구성을 모두 포함할 수 있습니다. 즉, 라우터와 프록시 서버를 모두 방화벽에 통합하여 기업 네트워크의 보안을 극대화할 수 있습니다.

방화벽 아키텍처에는 가장 널리 사용되는 세 가지 유형이 있습니다.

  • 양방향 마스터 방화벽;
  • 기본 방화벽 필터링;
  • 서브넷 필터링 방화벽.

필터링 마스터 방화벽과 필터링 서브넷 방화벽은 라우터와 프록시 서버의 조합을 사용합니다.

양방향 마스터 방화벽은 단일 호스트 컴퓨터가 기업 네트워크와 인터넷 사이의 구분선 역할을 하는 단순하지만 매우 안전한 구성입니다. 호스트 컴퓨터는 두 개의 개별 NIC를 사용하여 각 네트워크에 연결합니다. 양방향 마스터 방화벽을 사용하면 컴퓨터가 두 네트워크를 연결하지 않기 때문에 컴퓨터의 라우팅 기능을 차단해야 합니다. 이 구성의 한 가지 단점은 실수로 내부 네트워크에 대한 액세스를 허용할 수 있다는 것입니다.

양방향 마스터 방화벽은 응용 수준 또는 연결 수준 중개 서버 프로그램을 실행하여 작동합니다. 이미 언급했듯이 중재자 프로그램은 한 네트워크에서 다른 네트워크로의 패킷 전송을 관리합니다. 양방향(2개의 네트워크에 연결됨)인 방화벽 호스트는 두 네트워크의 패킷을 모두 확인하여 프록시 소프트웨어를 실행하고 네트워크 간의 트래픽을 관리할 수 있습니다.

필터링 마스터 방화벽은 양방향 방화벽보다 더 많은 보안을 제공합니다. 라우터를 추가하여 호스트 컴퓨터를 인터넷에서 더 멀리 옮기면 매우 효과적이고 사용하기 쉬운 방화벽을 얻을 수 있습니다. 라우터는 인터넷을 회사 네트워크에 연결하는 동시에 이를 통과하는 패킷 유형을 필터링합니다. 하나의 호스트 컴퓨터만 표시하도록 라우터를 구성할 수 있습니다. 인터넷에 연결하려는 기업 네트워크 사용자는 호스트 컴퓨터를 통해서만 연결해야 합니다. 따라서 내부 사용자는 인터넷에 직접 액세스할 수 있지만 외부 사용자의 액세스는 호스트 컴퓨터로 제한됩니다.

서브넷 필터링 방화벽은 중간 에지 네트워크를 중간에 포함하여 인터넷에서 회사 네트워크를 더욱 격리합니다. 서브넷 필터링 방화벽에서 호스트 컴퓨터는 사용자가 두 개의 개별 라우터를 통해 액세스할 수 있는 이 주변 네트워크에 배치됩니다. 그 중 하나는 기업 네트워크 트래픽을 관리하고 두 번째는 인터넷 트래픽을 관리합니다.

서브넷 필터링 방화벽은 매우 효과적인 공격 보호 기능을 제공합니다. 호스트 컴퓨터를 별도의 네트워크에 격리하여 호스트 컴퓨터에 대한 공격이 성공할 가능성을 줄이고 기업 네트워크를 손상시킬 가능성을 더욱 줄입니다.

이상으로부터 다음과 같은 결론을 도출할 수 있다.

  • 1. 방화벽은 단일 라우터처럼 단순할 수도 있고 라우터 시스템과 잘 보호된 호스트처럼 복잡할 수도 있습니다.
  • 2. 기업 네트워크 내부에 방화벽을 설치하여 개별 세그먼트에 대한 보안 조치를 강화할 수 있습니다.
  • 3. 보안성 확보 외에 침입탐지 및 방지가 필요하다. 컴퓨터 바이러스. 방화벽은 이 작업을 수행할 수 없습니다.

방화벽을 사용할 때 시스템 소프트웨어가 제공하는 보호 기능을 과소평가해서는 안 됩니다. 예를 들어 운영 체제(OS) "Febos"는 다음 기능을 구현합니다.

  • 비밀번호를 기반으로 사용자를 식별하고 인증한 후 접근 권한을 부여합니다. 정보 자원그의 권한에 따라;
  • 임의적이고 의무적인 보안 정책에 따라 정보 자원에 대한 접근을 통제하고 관리합니다.
  • 모든 공개 이벤트의 등록 및 감사, 중요한 상황, 식별 및 인증의 성공 및 실패 시도, 정보 자원에 대한 액세스 작업 수행 및 거부, 주체 및 객체의 보안 속성 변경
  • 로컬 및 원격 관리, 보안 정책에 따른 사용자 권한 관리,
  • 보호되는 OS "Febos"의 보호 수단 및 시스템 구성 요소의 무결성 제어.

암호화

한때 전략적인 기술이었던 암호는 기업 네트워크와 인터넷의 급속한 발전 덕분에 이제 광범위한 활동 영역에 침투하여 사용되기 시작했습니다. 큰 금액사용자.

암호화 기술과 데이터 암호화 프로토콜은 수신측과 송신측이 전송된 정보가 제3자에 의해 가로채지 않을 것이라는 확신이 없는 상황에서 사용하도록 특별히 설계되었습니다. 전송된 정보는 가로채기는 하지만 복호화 없이는 사용할 수 없기 때문에 기밀이 보장됩니다.

기업 네트워크, 인터넷의 전자 및 디지털 지불 시스템에서 데이터를 전송하는 동안 데이터를 보호하는 데 사용되는 암호화의 기본 개념을 살펴보겠습니다.

개인 키 암호화.일부 알고리즘에 의한 암호화는 원본 메시지를 암호화된 메시지로 변환하는 것을 의미합니다. 이것은 비밀 키의 생성을 의미합니다. 암호가 없으면 메시지를 디코딩할 수 없습니다.

이러한 키는 비밀이어야 합니다. 그렇지 않으면 원치 않는 사람이 메시지를 쉽게 읽을 수 있습니다.

미국과 유럽에서 개인 키로 데이터를 암호화하기 위해 가장 잘 알려지고 사용되는 암호화 알고리즘은 DES, IDEA, RC2 - RC5입니다.

공개 키 암호화. 공개 키로 메시지를 암호화하려면 공개 키와 개인 키라는 두 개의 완전히 독립적인 키를 생성해야 합니다. 공개 키는 메시지를 암호화할 수 있지만 개인 키로만 복호화할 수 있습니다. 공개 키를 자유롭게 배포함으로써 귀하 외에는 누구도 해독할 수 없는 암호화된 메시지를 암호화하여 보낼 수 있습니다.

양방향 통신의 경우 당사자는 자체 키 쌍을 만든 다음 공개 키를 교환합니다. 전송된 메시지는 파트너의 공개 키를 사용하여 양측이 암호화하고 자신의 개인 키를 사용하여 암호를 해독합니다.

공개 키 배포 알고리즘. 공개 키 작업을 위한 또 다른 옵션은 공개 키 배포 알고리즘(Diffie-Hellman 알고리즘)입니다. 이를 통해 통신 채널을 통해 데이터를 전송하지 않고 데이터를 암호화하기 위해 하나의 공유 비밀 키를 생성할 수 있습니다.

이 알고리즘은 또한 한 쌍의 키(공개/비공개) 사용을 기반으로 하며 다음과 같이 구성됩니다.

  • 양 당사자는 자체 키 쌍을 생성합니다.
  • 그 후 그들은 공개 키를 교환합니다.
  • 자신의(비공개) 키와 다른 사람(공개) 키의 조합에서 이 알고리즘을 사용하여 양 당사자에 대해 동일하고 고유한 개인(비밀) 키가 생성됩니다.
  • 그런 다음 메시지는 단일 개인 키로 암호화되고 해독됩니다.

디지털 서명 기술.전자 서명 2011년 4월 6일 No. 63-FZ "전자 서명에 관한" 연방법에 따라 시행되었습니다. 이 법은 민법 거래에서 전자 서명 사용, 주 및 시 서비스 제공, 주 및 시 기능 수행, 기타 법적으로 중요한 조치 수행 분야의 관계를 규제합니다.

디지털 서명 기술을 통해 전송된 정보의 소유자를 고유하게 식별할 수 있습니다. 이는 전자 및 디지털 결제 시스템에 필요하며 전자 상거래에 사용됩니다.

디지털 서명을 생성하기 위해 해싱 알고리즘이 사용됩니다. 즉, 모든 파일에서 또 다른 작은 해시 파일이 형성되는 특별한 수학적 알고리즘입니다.

그 후 다음 작업이 수행됩니다.

  • 결과 해시 파일은 다음으로 암호화됩니다. 개인 키수신된 암호화된 메시지는 디지털 서명입니다.
  • 암호화되지 않은 원본 파일은 디지털 서명과 함께 상대방에게 전송됩니다.

이제 수신측은 수신된 메시지와 송신측을 인증할 수 있습니다. 이것은 다음과 같이 할 수 있습니다:

  • 수신자는 공개 키를 사용하여 디지털 서명을 해독하고 해시 파일을 복원합니다.
  • 해싱 알고리즘을 사용하여 수신자는 원래 수신된 파일에서 해시 파일을 생성합니다.
  • 받는 사람은 해시 파일의 두 복사본을 비교합니다. 이러한 파일의 일치는 전송 당사자와 수신 정보의 신뢰성을 의미합니다.

블라인드 서명 (블라인드 서명).이 중요한 알고리즘은 시스템에서 사용됩니다. 전자 지불일종의 디지털 서명입니다.

이 알고리즘은 수신측이 수신된 메시지의 암호를 해독할 수 없지만 메시지가 처리하는 대상이 누구인지는 확실히 알 수 있는 방식으로 메시지를 교환하는 것을 포함합니다. 예를 들어, e-shop의 고객이 신용 카드 번호를 알려주는 것은 바람직하지 않으며 판매자는 자신이 누구와 거래하는지 정확히 알아야 합니다. 상거래의 중개자는 판매자와 구매자 모두의 진위를 확인한 다음 고객의 계좌에서 판매자의 계좌로 돈을 이체하는 은행입니다.

해당 암호화 프로토콜 및 응용 프로그래밍 인터페이스는 컴퓨터 네트워크의 시스템 소프트웨어의 일부입니다.

컴퓨터 바이러스 보호

컴퓨터 바이러스 및 웜은 한 컴퓨터에서 다른 컴퓨터로 확산되어 컴퓨터 작동을 방해하도록 설계된 작은 프로그램입니다. 컴퓨터 바이러스는 전자 메일이나 인스턴트 메시지에 첨부 파일로 배포되는 경우가 많습니다. 따라서 이메일의 첨부 파일을 열어본 사람이 누구인지 예상하지 못하는 경우가 아니면 절대 열어서는 안 됩니다. 바이러스는 재미있는 이미지, 인사말 카드의 형태로 첨부될 수 있습니다. 컴퓨터 바이러스는 인터넷에서 다운로드하여 퍼집니다. 불법 소프트웨어나 다운로드할 수 있는 기타 파일 또는 프로그램에 숨길 수 있습니다.

문제는 오래 전에 발생했으며 즉시 널리 퍼졌습니다. 1988년 네트워크에 "모리스 바이러스"가 출현하면서 안티바이러스 도구의 다소 의도적인 개발이 실제로 시작되었습니다.

컴퓨터에 적용되는 "바이러스"라는 용어는 사우스 캐롤라이나 대학의 Fred Kogen에 의해 만들어졌습니다. "바이러스"라는 단어는 라틴어에서 유래했으며 "독"을 의미합니다. 컴퓨터 바이러스은밀히 컴퓨터 디스크에 굽는 프로그램입니다. 감염된 드라이브에서 컴퓨터를 부팅할 때마다 자동 감염이 발생합니다.

바이러스는 사용자가 승인하지 않은 작업을 수행하는 매우 복잡하고 독특한 프로그램입니다.

대부분의 바이러스가 작동하는 방식은 다음과 같습니다. 시스템 파일사용자 컴퓨터에서 바이러스가 부팅할 때마다 또는 "호출 이벤트"가 발생한 한 순간에 활동을 시작하도록 합니다.

많은 기술 혁신이 현대 컴퓨터 바이러스의 개발에 사용되지만 대부분의 바이러스는 여러 고전 체계의 모방 및 수정입니다.

바이러스는 행동 유형에 따라 다음과 같이 분류할 수 있습니다.

부트 바이러스는 저장 장치의 부트 섹터에 침투합니다( 하드 드라이브, 플로피 디스크, 휴대용 저장 장치). 감염된 디스크에서 운영 체제를 부팅하면 바이러스가 활성화됩니다. 그 작업은 운영 체제 로더의 작동을 방해하여 작업을 불가능하게 하거나 파일 테이블을 변경하여 특정 파일에 액세스할 수 없게 만드는 것일 수 있습니다.

파일 바이러스는 대부분 프로그램의 실행 모듈(특정 프로그램을 실행하는 데 사용되는 파일)에 내장되어 있어 프로그램 실행 시 바이러스가 활성화되어 기능에 영향을 미칩니다. 덜 일반적으로 파일 바이러스는 운영 체제 또는 응용 프로그램 소프트웨어의 라이브러리, 실행 가능한 배치 파일, 파일을 감염시킬 수 있습니다. 윈도우 레지스트리, 스크립트 파일, 드라이버 파일. 주입은 공격받은 파일의 코드를 변경하거나 수정된 ​​복사본을 만들어 수행할 수 있습니다. 따라서 파일에 있는 바이러스는 이 파일에 액세스할 때 활성화되며 사용자 또는 OS 자체에 의해 시작됩니다. 파일 바이러스는 가장 일반적인 유형의 컴퓨터 바이러스입니다.

파일 부팅 바이러스이전 두 그룹의 기능을 결합하여 컴퓨터에 심각한 위협이 될 수 있습니다.

네트워크 바이러스메일 배포, FTP 파일 액세스 및 LAN 서비스 파일 액세스와 같은 네트워크 서비스 및 프로토콜을 통해 배포됩니다. 감염이 하나의 컴퓨터 또는 하나의 로컬 네트워크 내에 남아 있지 않고 다양한 통신 채널을 통해 확산되기 시작하기 때문에 매우 위험합니다.

문서 바이러스(종종 매크로 바이러스라고도 함) 현대 사무실 시스템의 파일을 감염시킵니다( 마이크로 소프트 오피스, 오픈 오피스,...) 이러한 시스템에서 매크로를 사용할 수 있습니다. 매크로는 미리 정의된 일련의 작업인 마이크로 프로그램으로 문서에 내장되어 이 문서나 다른 기능을 수정하기 위해 문서에서 직접 호출됩니다. 매크로 바이러스의 목표는 매크로입니다.

바이러스로부터 시스템을 보호하는 가장 좋은 방법은 시스템의 메모리와 파일을 확인하고 바이러스 서명을 찾는 안티바이러스 프로그램을 정기적으로 사용하는 것입니다. 바이러스 서명은 컴퓨터 시스템에 바이러스가 있음을 나타내는 바이러스 프로그램의 고유한 특성입니다. 일반적으로 안티바이러스 프로그램에는 주기적으로 업데이트되는 바이러스 서명 데이터베이스가 포함됩니다.

바이러스 백신 프로그램이 실행되면 컴퓨터 시스템에서 데이터베이스의 서명과 유사한 서명을 검색합니다.

최고의 바이러스 백신 소프트웨어는 데이터베이스의 서명과 일치하는 항목을 찾을 뿐만 아니라 다른 방법도 사용합니다. 이러한 안티바이러스 프로그램은 신종 바이러스아직 구체적으로 확인되지 않은 경우에도 마찬가지입니다.

그러나 대부분의 바이러스는 여전히 데이터베이스와 일치하는 항목을 검색하여 무력화됩니다. 프로그램이 일치하는 항목을 찾으면 검색된 바이러스를 정리하려고 시도합니다. 기존의 바이러스 서명 데이터베이스를 지속적으로 보충하는 것이 중요합니다. 대부분의 바이러스 백신 소프트웨어 공급업체는 인터넷을 통해 업데이트 파일을 배포합니다.

다음을 사용하여 바이러스를 검사하는 세 가지 주요 방법이 있습니다. 바이러스 백신 프로그램.

첫 번째 방법은 부팅 시 바이러스를 검색하는 것입니다. 이 경우 AUTOEXEC.BAT 파일에 바이러스 백신 프로그램을 실행하는 명령이 포함되어 있습니다.

이 방법은 확실히 효과적이지만 컴퓨터의 부팅 시간을 늘리고 많은 사용자가 이 방법이 너무 번거롭다고 생각할 수 있습니다. 로딩 시 보기가 자동으로 발생한다는 장점이 있습니다.

두 번째 방법은 사용자가 바이러스 백신 프로그램으로 시스템을 수동으로 검사하는 것입니다. 이 방법은 성실하게 수행하면 첫 번째 방법만큼 효과적일 수 있습니다. 지원. 이 방법의 단점은 부주의한 사용자가 확인하는 데 몇 주 또는 몇 달이 걸릴 수 있다는 것입니다.

바이러스 감염 여부를 찾는 세 번째 방법은 전체 시스템을 너무 자주 확인하지 않고 다운로드한 각 파일을 확인하는 것입니다.

그러나 때때로 바이러스가 존재한다는 점을 염두에 두어야 합니다. 이 바이러스는 신규성 또는 활성화되기까지 오랜 시간이 걸리기 때문에 식별이 어렵습니다(바이러스는 잠복기가 있으며 이전에 잠시 숨어 있습니다. 활성화 및 확산). 다른 드라이브 및 시스템).

따라서 다음 사항에 주의해야 합니다.

  • 1. 파일 크기가 변경됩니다. 파일 바이러스는 거의 항상 감염된 파일의 크기를 변경하므로 파일, 특히 COM 또는 EXE의 크기가 몇 킬로바이트 증가한 것을 발견하면 즉시 바이러스 백신 프로그램으로 하드 드라이브를 검사해야 합니다.
  • 2. 사용 가능한 메모리의 설명할 수 없는 변경. 효과적으로 확산되기 위해서는 바이러스가 메모리에 상주해야 하므로 프로그램 실행을 위해 남겨진 RAM(Random Access Memory)의 양이 불가피하게 줄어듭니다. 따라서 사용 가능한 메모리 양을 변경하는 작업을 수행하지 않았지만 감소하는 경우 바이러스 백신 프로그램도 실행해야 합니다.
  • 3. 비정상적인 행동. 새로운 프로그램과 마찬가지로 바이러스가 컴퓨터 시스템에 로드되면 그 동작에 약간의 변화가 있습니다. 재부팅 시간의 예기치 않은 변경, 재부팅 프로세스 자체의 변경 또는 화면에 비정상적인 메시지가 표시될 수 있습니다. 이러한 모든 증상은 즉시 바이러스 백신 프로그램을 실행해야 함을 나타냅니다.

컴퓨터에서 위의 증상 중 하나라도 발견되고 바이러스 백신 프로그램이 바이러스 감염을 감지할 수 없는 경우 바이러스 백신 프로그램 자체에 주의해야 합니다. 감염. 따라서 신뢰할 수 있는 바이러스 백신 프로그램을 실행해야 합니다.

  • URL: avdesk.kiev.ua/virus/83-virus.html.

보호의 주요 방향

건설, 하드웨어 및 소프트웨어의 아키텍처 원칙 표준화 개인용 컴퓨터(PC) 및 기타 여러 가지 이유로 인해 전문가가 PC에 있는 정보에 비교적 쉽게 액세스할 수 있습니다. 개인용 컴퓨터를 여러 사람이 사용하는 경우 다양한 소비자의 정보에 대한 액세스를 제한해야 할 수 있습니다.

승인되지 않은 접근파괴적인 바이러스를 포함한 다양한 바이러스의 친숙화, 처리, 복사, 응용을 PC 정보에 참조할 것입니다. 소프트웨어 제품, 액세스 제어의 확립된 규칙을 위반하는 정보의 수정 또는 파기.

무단 액세스로부터 PC 정보를 보호하기 위해 세 가지 주요 영역이 있습니다.

- 첫 번째는 침입자가 컴퓨팅 환경에 액세스하는 것을 방지하는 데 중점을 두고 있으며 특별 프로그램그러나 - 사용자 식별의 기술적 수단;

- 두 번째는 컴퓨팅 환경 보호와 관련이 있으며 정보 보호를 위한 특수 소프트웨어 생성을 기반으로 합니다.

- 세 번째 방향은 무단 액세스(차폐, 필터링, 접지, 전자기 노이즈, 전자기 복사 수준의 감쇠 및 일치하는 부하 흡수를 통한 간섭)로부터 PC 정보를 보호하는 특수 수단의 사용과 관련됩니다.

정보 보호의 소프트웨어 방법에는 무단 액세스로부터 보호하고 복사, 수정 및 파괴로부터 정보를 보호하기 위한 특수 프로그램의 사용이 포함됩니다.

무단 액세스에 대한 보호는 다음을 제공합니다.

– 주체와 객체의 식별 및 인증

– 컴퓨팅 리소스 및 정보에 대한 액세스의 차별화

– 정보 및 프로그램으로 작업을 제어 및 등록합니다.

식별 및 인증 절차에는 주어진 주체가 자원( 신분증) 및 액세스하는 주체(또는 액세스되는 객체)가 그가 주장하는 사람인지 여부( 입증).

입력 프로그램 절차식별은 일반적으로 다양한 방법으로 사용됩니다. 이들은 주로 비밀번호(단순, 복잡, 일회성) 및 특수 식별자 또는 체크섬하드웨어, 소프트웨어 및 데이터용. 인증을 위해 하드웨어-소프트웨어 방법이 사용됩니다.

본인 식별 및 인증 절차를 거친 후 시스템에 접속하여 소프트웨어 보호하드웨어, 소프트웨어 및 데이터의 세 가지 수준에서 정보를 제공합니다.



하드웨어 및 소프트웨어 보호컴퓨팅 리소스(개별 장치, RAM, 운영 체제, 서비스 또는 개인 프로그램사용자, 키보드, 디스플레이, 프린터, 디스크 드라이브).

데이터 수준에서 정보 보호데이터에 관한 규정에서 허용하는 조치만 실행할 수 있으며, 통신 채널을 통해 전송되는 정보의 보호도 보장합니다.

액세스 제어는 다음을 제공합니다.

– 자원의 선택적 보호(사용자 A는 데이터베이스 B에 대한 액세스를 거부하지만 데이터베이스 C에 대한 액세스는 허용함)

– 모든 유형 및 액세스 수준(관리)에 대한 액세스 제공 및 박탈

– 액세스 규칙 위반 및 위반 시도를 식별하고 문서화합니다.

– 자원 보호 및 자원에 대한 허용된 액세스에 대한 정보의 회계 및 저장.

소프트웨어 정보 보호 방법의 핵심은 암호 보호입니다. 암호 보호는 암호 해독 프로그램뿐만 아니라 소프트웨어 디버깅 및 정보 복구에 사용되는 유틸리티로 극복할 수 있습니다. 시스템 디버깅 유틸리티를 사용하면 보호를 우회할 수 있습니다. 암호 크래커는 무차별 암호 대입을 사용하여 암호를 추측합니다. 무차별 대입 조합을 사용하여 암호를 추측하는 데 필요한 시간은 암호 길이가 증가함에 따라 기하급수적으로 증가합니다.

비밀을 유지하려면 암호 선택에 대한 다음 권장 사항을 따라야 합니다.

– 최소 암호 길이는 8-10자 이상이어야 합니다.

– 비밀번호는 확장 알파벳을 사용하여 문자와 서명을 입력해야 합니다.

- 인터넷에 사용자가 설정한 유형의 암호를 결정하는 데 사용할 수 있는 일반적인 암호 사전이 있으므로 표준 단어를 암호로 사용해서는 안 됩니다.

– 보안 시스템은 특정 횟수의 로그인 시도 실패 후 로그인을 차단해야 합니다.

– 로그인 시간은 근무일의 시간으로 제한되어야 합니다.

소프트웨어 보호- 컴퓨터 및 정보 네트워크에서 정보를 보호하는 가장 일반적인 방법입니다. 일반적으로 다른 방법과 수단을 사용하기 어려울 때 사용됩니다. 사용자 인증은 일반적으로 운영 체제에서 처리합니다. 사용자는 이름으로 식별되며 비밀번호는 인증 수단으로 사용됩니다.

보호 소프트웨어는 컴퓨터 및 정보 네트워크. 목표는 정보 액세스 제어 및 차별화, 무단 작업 배제, 보안 장치 제어 등입니다. 소프트웨어 보호 도구에는 다용성, 구현 용이성, 유연성, 적응성, 시스템 사용자 정의 기능 등이 있습니다.

컴퓨터 바이러스로부터 보호하기 위해 널리 사용되는 소프트웨어. 을위한 컴퓨터 바이러스로부터 기계를 보호 , 예방 및 "치료"는 바이러스 백신 프로그램과 진단 및 예방 도구를 사용하여 바이러스가 컴퓨터 시스템에 침입하는 것을 방지하고 감염된 파일 및 디스크를 치료하며 의심스러운 작업을 감지 및 방지합니다. 바이러스 백신 프로그램은 바이러스를 탐지하고 효과적으로 제거하는 정확성, 사용 용이성, 비용 및 네트워킹 기능으로 평가됩니다.

가장 널리 사용되는 프로그램은 감염을 방지하고 바이러스를 감지하고 파괴하도록 설계되었습니다. 그 중에는 I. Danilov의 국내 안티바이러스 프로그램 DrWeb(Doctor Web)과 E. Kaspersky의 AVP(Antiviral Toolkit Pro)가 있습니다. 사용자 친화적 인 인터페이스, 프로그램 검색 도구, 부팅 시 시스템 확인 등이 있습니다. 외국 안티 바이러스 프로그램은 러시아에서도 사용됩니다.

바이러스의 탐지 및 파괴를 보장하는 절대적으로 신뢰할 수 있는 프로그램은 존재하지 않습니다. 다층 방어만이 바이러스에 대한 가장 완벽한 보호를 제공할 수 있습니다. 컴퓨터 바이러스에 대한 보호의 중요한 요소는 예방입니다. 바이러스 백신 프로그램은 정기적인 데이터 백업 및 예방 조치와 동시에 사용됩니다. 이러한 조치를 함께 사용하면 바이러스에 감염될 가능성을 크게 줄일 수 있습니다.



바이러스를 예방하기 위한 주요 조치는 다음과 같습니다.

1) 라이선스가 부여된 소프트웨어의 사용

2) 지속적으로 업데이트되는 여러 안티바이러스 프로그램을 정기적으로 사용하여 타사 파일을 전송할 때 자신의 저장 매체뿐만 아니라 "외부" 플로피 디스크 및 정보가 포함된 디스크도 검사합니다. 그리고 다시 포맷됨;

3) 모든 정보 환경(예: 인터넷)에서 컴퓨터 작업 시 다양한 보호 장비 사용. 네트워크를 통해 수신된 파일의 바이러스 검사

4) 가장 중요한 데이터 및 프로그램의 주기적인 백업.

대부분의 경우 감염 원인은 "비공식적으로" 획득한 컴퓨터 게임과 라이센스가 없는 프로그램입니다. 따라서 바이러스에 대한 확실한 보증은 프로그램을 선택하고 컴퓨터에 설치할 때와 인터넷 세션 중에 사용자의 정확성입니다. 감염확률이 아니다. 컴퓨터 네트워크라이선스가 있는 합법적인 제품만 사용하고 알 수 없는 프로그램, 특히 게임을 사용하는 친구를 컴퓨터에 절대 들여보내지 않으면 거의 0으로 줄어들 수 있습니다. 이 경우 가장 효과적인 조치는 바이러스 및 결함이 있는 프로그램바이러스가 이러한 컴퓨터에 침투하더라도 데이터에 유해한 영향을 미칩니다.

가장 알려진 방법정보 보호는 코딩(암호화, 암호화)입니다. 그것은 물리적 영향에서 구하지 않지만 다른 경우에는 신뢰할 수있는 치료법으로 사용됩니다.

코드의 특징은 다음과 같습니다. – 코딩에 사용된 문자 수 및 구조- 분류 기능을 지정하는 데 사용되는 기호의 순서입니다.

코딩 도구조회 테이블입니다. 영숫자 정보를 컴퓨터 코드로 변환하기 위한 이러한 테이블의 예는 ASCII 코드 테이블입니다.

최초의 암호화 표준은 1977년 미국에서 나타났습니다. 모든 암호 또는 코드의 강도에 대한 주요 기준은 사용 가능한 컴퓨팅 성능과 암호를 해독할 수 있는 시간입니다. 이 시간이 몇 년과 같으면 이러한 알고리즘의 안정성은 대부분의 조직과 개인에게 충분합니다. 정보를 암호화하기 위해 암호화 방식의 보호 방법이 점점 더 많이 사용되고 있습니다.

정보 보호의 암호화 방법

암호화의 일반적인 방법은 오랫동안 사용되어 왔습니다. 정보의 기밀성과 무결성을 보장하는 강력한 도구로 간주됩니다. 지금까지 암호화 방법에 대한 대안은 없습니다.

암호 알고리즘의 강도는 변환 방법의 복잡성에 따라 다릅니다. 러시아 연방 국가 기술 위원회는 데이터 암호화 도구의 개발, 판매 및 사용과 데이터 보호 도구의 인증을 담당합니다.

256개 이상의 숫자 키를 사용하는 경우 데이터 보호의 신뢰성 수준은 슈퍼컴퓨터의 수십, 수백 년 작동입니다. 상업용의 경우 40비트, 44비트 키면 충분합니다.

정보 보안의 중요한 문제 중 하나는 전자 데이터 보호 및 전자 문서. 이를 인코딩하기 위해 무단 영향으로부터 데이터 보안을 보장하기 위한 요구 사항을 충족하기 위해 전자 디지털 서명(EDS)이 사용됩니다.

전자 서명

전자 서명일련의 문자를 나타냅니다. 메시지 자체와 메시지 서명자만 알고 있는 비밀 키에 따라 다릅니다.

최초의 국내 EDS 표준은 1994년에 등장했습니다. 러시아에서 EDS 사용은 연방 기관에서 처리합니다. 정보 기술(실패).

자격을 갖춘 전문가가 사람, 건물 및 데이터를 보호하기 위해 필요한 모든 조치를 구현하는 데 참여합니다. 그들은 관련 부서의 기초를 형성하고 조직의 차장 등입니다.

기술적인 보호 수단도 있습니다.

기술적 보호 수단

기술적 보호 수단은 다양한 상황에서 사용되며 물리적 보호 수단의 일부이며 소프트웨어 및 하드웨어 시스템, 복합물 및 액세스 장치, 비디오 감시, 경보 및 기타 유형의 보호입니다.

가장 간단한 상황에서 개인용 컴퓨터에서 사용 가능한 데이터의 무단 시작 및 사용을 방지하기 위해 액세스를 제한하는 장치를 설치하고 이동식 하드 자기 및 광자기 디스크, 부팅 가능한 CD, 플래시 메모리 등

사람, 건물, 건물, 물질적 및 기술적 수단과 정보를 무단 영향으로부터 보호하기 위해 개체를 보호하기 위해 적극적인 보안 시스템 및 조치가 널리 사용됩니다. 일반적으로 ACS(액세스 제어 시스템)를 사용하여 개체를 보호하는 것이 허용됩니다. 이러한 시스템은 일반적으로 소프트웨어 및 하드웨어를 기반으로 구성된 자동화된 시스템 및 컴플렉스입니다.

대부분의 경우 정보를 보호하고 건물, 건물 및 기타 개체에 대한 무단 액세스를 제한하려면 소프트웨어와 하드웨어, 시스템 및 장치를 동시에 사용해야 합니다.

정보 보안 도구엔지니어링, 전기, 전자, 광학 및 기타 장치 및 고정 장치, 기기 및 기술 시스템의 집합이며, 누출 방지 및 보호되는 정보의 보안 보장을 포함하여 정보 보호의 다양한 문제를 해결하는 데 사용되는 기타 실제 요소입니다.

일반적으로 고의적인 행동을 방지하는 측면에서 정보 보안을 보장하는 수단은 구현 방법에 따라 다음과 같은 그룹으로 나눌 수 있습니다.

  • 전문인 (하드웨어. 하드웨어로 정보 보호 문제를 해결하는 다양한 유형의 장치(기계식, 전자 기계식, 전자식 등)입니다. 물리적 침투를 방지하거나 침투가 발생한 경우 위장 수단을 포함하여 정보에 대한 액세스를 방지합니다. 작업의 첫 번째 부분은 잠금 장치, 창 막대, 보안 경보 등으로 해결됩니다. 두 번째 부분은 잠재적인 정보 누출 채널을 "차단"하거나 감지할 수 있도록 하는 소음 발생기, 네트워크 필터, 스캐닝 라디오 및 기타 여러 장치입니다. 기술적 수단의 장점은 신뢰성, 주관적 요인으로부터의 독립성 및 수정에 대한 높은 저항과 관련이 있습니다. 약점 - 유연성 부족, 상대적으로 큰 부피와 무게, 높은 비용.
  • 소프트웨어 도구에는 사용자 식별, 액세스 제어, 정보 암호화, 임시 파일과 같은 잔여(작업) 정보 삭제, 보호 시스템 테스트 제어 등을 위한 프로그램이 포함됩니다. 소프트웨어 도구의 장점은 다용성, 유연성, 신뢰성, 설치 용이성, 수정하고 발전하는 능력. 단점 - 네트워크의 제한된 기능, 파일 서버 및 워크스테이션의 일부 리소스 사용, 우발적 또는 고의적 변경에 대한 높은 민감도, 컴퓨터 유형(하드웨어)에 대한 가능한 종속성.
  • 혼합 하드웨어 및 소프트웨어는 하드웨어 및 소프트웨어와 동일한 기능을 별도로 구현하며 중간 속성을 가지고 있습니다.
  • 조직적 자금은 조직 및 기술로 구성됩니다 (컴퓨터가있는 구내 준비, 누워 케이블 시스템액세스 제한 요구 사항 등) 및 조직 및 법적 (특정 기업의 경영진이 설정 한 국가 법률 및 작업 규칙). 조직 도구의 장점은 여러 이기종 문제를 해결할 수 있고 구현하기 쉽고 네트워크에서 원하지 않는 작업에 신속하게 대응하고 수정 및 개발 가능성이 무한하다는 것입니다. 단점 - 특정 단위의 전체 작업 조직을 포함하여 주관적인 요소에 대한 높은 의존도.

배포 및 접근성 정도에 따라 소프트웨어 도구가 할당되며, 추가적인 정보 보호가 필요한 경우 다른 도구가 사용됩니다.

정보 보안 소프트웨어

  • 내장된 정보 보안
  • 안티바이러스 프로그램(안티바이러스) - 컴퓨터 바이러스를 탐지하고 감염된 파일을 치료하는 프로그램과 예방 - 파일이나 운영 체제가 악성 코드에 감염되는 것을 방지합니다.
  • AhnLab - 한국
  • ALWIL 소프트웨어(avast!) - 체코(무료 및 유료 버전)
  • AOL 안전 및 보안 센터의 일부인 AOL 바이러스 보호
  • ArcaVir - 폴란드
  • 오텐티엄 - 영국
  • AVG(GriSoft) - 체코(방화벽을 포함한 무료 및 유료 버전)
  • Avira - 독일(사용 가능 무료 버전권위 있는)
  • AVZ - 러시아(무료); 실시간 모니터 누락
  • 빗디펜더 - 루마니아
  • BullGuard - 덴마크
  • ClamAV - GPL 라이선스(무료, 오픈 소스); 실시간 모니터 누락
  • Computer Associates - 미국
  • Dr.Web - 러시아
  • Eset NOD32 - 슬로바키아
  • 포티넷 - 미국
  • Frisk 소프트웨어 - 아이슬란드
  • F-PROT - 아이슬란드
  • F-Secure - 핀란드(다중 엔진 제품)
  • G-DATA - 독일(다중 엔진 제품)
  • GeCAD - 루마니아(2003년 Microsoft에서 인수)
  • 이카루스 - 오스트리아
  • H+BEDV - 독일
  • 하우리 - 한국
  • 마이크로소프트 시큐리티 에센셜- 무료 바이러스 백신마이크로소프트
  • MicroWorld 기술 - 인도
  • MKS-폴란드
  • MoonSecure - ClamAV 코드를 기반으로 하지만 실시간 모니터가 있는 GPL 라이선스(무료, 오픈 소스)
  • 노르만 - 노르웨이
  • NuWave 소프트웨어 - 우크라이나(AVG, Frisk, Lavasoft, Norman, Sunbelt의 엔진 사용)
  • Outpost - 러시아(두 개의 맬웨어 방지 엔진이 사용됨: VirusBuster의 바이러스 백신 및 자체 개발한 이전 Tauscan의 스파이웨어 방지)
  • Panda 소프트웨어 - 스페인
  • Quick Heal AntiVirus - 인도
  • 라이징 - 중국
  • ROSE SWE - 독일
  • Safe`n`Sec - 러시아
  • 단순 바이러스 백신 - 우크라이나
  • 소포스 - 영국
  • Spyware Doctor - 바이러스 백신 유틸리티
  • 스틸러 리서치
  • Sybari 소프트웨어(2005년 초 Microsoft에서 구입)
  • Trend Micro - 일본(대만/미국)
  • 트로이 목마 헌터 - 바이러스 백신 유틸리티
  • 범용 안티 바이러스 - 우크라이나(무료)
  • VirusBuster - 헝가리
  • ZoneAlarm 바이러스 백신 - 미국
  • 질라! - 우크라이나(무료)
  • Kaspersky Anti-Virus - 러시아
  • VirusBlockAda (VBA32) - 벨로루시
  • 우크라이나 국가 안티바이러스 - 우크라이나
  • 무단 액세스로부터 정보를 보호하기 위한 특수 소프트웨어 도구는 일반적으로 기본 제공 도구보다 더 나은 기능과 특성을 가지고 있습니다. 암호화 프로그램 및 암호화 시스템 외에도 사용할 수 있는 외부 정보 보안 도구가 많이 있습니다. 가장 자주 언급되는 솔루션 중에서 정보 흐름을 제한하고 제어할 수 있는 다음 두 시스템에 유의해야 합니다.
  • 방화벽(방화벽 또는 방화벽이라고도 함). 브란트마우어, 영어 방화벽- "방화벽"). 로컬 네트워크와 글로벌 네트워크 사이에 특수 중간 서버가 생성되어 이를 통과하는 모든 네트워크/전송 계층 트래픽을 검사하고 필터링합니다. 이를 통해 외부에서 회사 네트워크로 무단 액세스하는 위협을 크게 줄일 수 있지만 이러한 위험을 완전히 제거할 수는 없습니다. 이 방법의 보다 안전한 버전은 로컬 네트워크에서 나가는 모든 트래픽이 방화벽 서버를 대신하여 전송되어 로컬 네트워크가 거의 보이지 않는 마스커레이딩 방법입니다.
방화벽
무료 Ashampoo FireWall 무료 Comodo Core Force Online Armor PC 도구 PeerGuardian Sygate ZoneAlarm
소유권 Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Jetico(영어) Kaspersky Microsoft ISA Server Norton Outpost Trend Micro(영어) Windows 방화벽 Sunbelt(영어) WinRoute(영어)
하드웨어 포티넷 시스코 주니퍼 체크포인트
프리BSD Ipfw IP 필터
맥 OS 넷배리어 X4
리눅스 Netfilter(Iptables Firestarter Iplist NuFW Shorewall)
  • 프록시 서버(프록시 - 위임장, 권한이 있는 사람). 로컬 네트워크와 글로벌 네트워크 간의 모든 네트워크/전송 계층 트래픽은 완전히 금지됩니다. 라우팅이 없으며 로컬 네트워크에서 글로벌 네트워크로의 호출은 특수 중개 서버를 통해 발생합니다. 물론 이 경우 글로벌 네트워크에서 로컬 네트워크로의 호출은 원칙적으로 불가능해집니다. 이 방법은 응용 프로그램 수준(바이러스, Java 및 JavaScript 코드)과 같은 더 높은 수준의 공격에 대해 충분한 보호를 제공하지 않습니다.
  • VPN(가상 사설망)을 사용하면 권한이 없는 사람이 트래픽을 들을 수 있는 네트워크를 통해 비밀 정보를 전송할 수 있습니다. 사용된 기술: PPTP, PPPoE, IPSec.

정보 보안 하드웨어

하드웨어 보호에는 다양한 전자, 전기 기계, 전기 광학 장치가 포함됩니다. 현재까지 다양한 목적을 위한 상당한 수의 하드웨어가 개발되었지만 다음이 가장 널리 사용됩니다.

  • 보안 세부 사항을 저장하기 위한 특수 레지스터: 암호, 식별 코드, 독수리 또는 비밀 수준;
  • 개인을 식별하기 위해 개인의 특성(음성, 지문)을 측정하는 장치;
  • 데이터 발행 주소를 주기적으로 확인하기 위해 통신 회선에서 정보 전송을 중단하는 방식.
  • 정보를 암호화하는 장치(암호화 방법).

정보보호의 기술적 수단

정보 시스템의 경계를 보호하기 위해 보안 및 화재 경보 시스템이 생성됩니다. 디지털 비디오 감시 시스템; 액세스 제어 및 관리 시스템(ACS). 기술 통신 채널을 통한 정보 누출로부터의 보호는 다음 수단과 조치를 통해 제공됩니다. 차폐 케이블 사용 및 차폐 구조에 전선 및 케이블 배치 통신 라인에 고주파 필터 설치; 차폐실 건설("캡슐"); 차폐 장비 사용; 능동 소음 시스템 설치; 통제 구역 생성.

금융 용어

국가 비밀을 구성하는 정보를 보호하기 위해 고안된 기술, 암호화, 소프트웨어 및 기타 수단, 정보 보호의 효과 모니터링 수단, 구현 수단. 에드워트.... 비상 사태 사전

정보 보안 도구- 국가 비밀을 구성하는 정보를 보호하기 위해 설계된 기술, 암호화, 소프트웨어 및 기타 수단, 정보가 구현되는 수단 및 정보 보호의 효과를 모니터링하는 수단 ...

관련 출판물