يتم تنفيذ أنشطة أمن المعلومات باستخدام طرق ووسائل وتقنيات مختلفة ، والتي تشكل معًا طرقًا. توفر الطريقة سلسلة معينة من الإجراءات بناءً على خطة محددة. يمكن أن تختلف الأساليب اختلافًا كبيرًا وتختلف اعتمادًا على نوع النشاط الذي تُستخدم فيه ونطاق تطبيقها.
تعتبر طرق الوصف والتصنيف طرقًا مهمة لتحليل حالة أمن المعلومات. لتنفيذ الحماية الفعالة لنظام إدارة NB ، من الضروري ، أولاً ، الوصف ، وبعد ذلك فقط تصنيف الأنواع المختلفة من التهديدات والأخطار والمخاطر والتحديات ، وبناءً على ذلك ، صياغة نظام من التدابير للسيطرة عليها.
كطرق شائعة لتحليل مستوى أمن المعلومات ، يتم استخدام طرق البحث مع الروابط الموجودة. بمساعدة هذه الأساليب ، تم العثور على العلاقات السببية بين العواصف الرعدية العامة والأخطار ، ويتم البحث عن الأسباب التي أصبحت مصدر وسبب تحقيق بعض عوامل الخطر ، ويتم تطوير التدابير لتحييدها. من بين طرق العلاقات السببية هذه ، يمكن تسمية ما يلي: طريقة التشابه ، طريقة الاختلاف ، طريقة الجمع بين أوجه التشابه والاختلاف ، طريقة التغييرات المصاحبة ، طريقة المخلفات.
يعتمد اختيار طرق تحليل حالة ضمان أمن المعلومات على المستوى المحدد ونطاق تنظيم الحماية ، اعتمادًا على التهديد ، ومهمة التمييز بين المستويات المختلفة للتهديدات ومستويات الحماية المختلفة. أما مجال أمن المعلومات ، فيتميز فيه عادة:
1) المادية
2) البرمجيات والأجهزة ؛
3) الإدارة.
4) التكنولوجية ؛
5) مستوى المستخدم ؛
6) الشبكة ؛
7) إجرائية
على المستوى المادي ، يتم تنظيم وحماية موارد المعلومات وتقنيات المعلومات والتقنيات المستخدمة والإدارة.
على المستوى البرنامجي والتقني ، يتم تحديد المستخدمين والمصادقة عليهم ، والتحكم في الوصول ، والتسجيل والتدقيق ، والتشفير ، والدرع ، والتوافر العالي.
على مستوى الإدارة ، يتم تنفيذ الإدارة والتنسيق والرقابة على التدابير التنظيمية والتكنولوجية والتقنية على جميع المستويات من جانب نظام أمن المعلومات الموحد.
على المستوى التكنولوجي ، يتم تنفيذ سياسة أمن المعلومات من خلال استخدام مجموعة من تقنيات المعلومات الآلية الحديثة.
على مستوى المستخدم ، يهدف تنفيذ سياسة أمن المعلومات إلى تقليل التأثير الانعكاسي على كائنات أمن المعلومات.
على مستوى الشبكة ، يتم تنفيذ هذه السياسة في شكل تنسيق إجراءات مكونات نظام الإدارة ، المترابطة بهدف واحد.
على المستوى الإجرائي ، يتم اتخاذ التدابير التي يحركها الإنسان. من بينها ، يمكن التمييز بين المجموعات التالية من الإجراءات الإجرائية: إدارة شؤون الموظفين ، والحماية المادية ، والحفاظ على القدرة على العمل ، وتنظيم الانتهاكات الأمنية ، وتخطيط أعمال الإنعاش.
هناك عدة أنواع من طرق أمن المعلومات:
1) الأساليب أحادية المستوى مبنية على أساس مبدأ واحد لإدارة أمن المعلومات ؛
2) تعتمد الأساليب متعددة المستويات على عدة مبادئ لإدارة أمن المعلومات ، يعمل كل منها على حل مشكلته الخاصة. وفي الوقت نفسه ، فإن التقنيات الخاصة ليست مترابطة ولا تستهدف إلا عوامل محددة لتهديدات المعلومات ؛
3) الطرق المعقدة - التقنيات متعددة المستويات التي يتم دمجها في نظام موحدوظائف التنسيق على المستوى التنظيمي من أجل ضمان أمن المعلومات ، بناءً على تحليل العوامل الإجمالية وعوامل الخطر التي لها ارتباط دلالي أو يتم إنشاؤها من مركز معلومات واحد لتأثير المعلومات ؛
4) طرق متكاملة عالية الذكاء - تقنيات متعددة المستويات ومتعددة المكونات مبنية على أساس أدوات ذكية مؤتمتة قوية مع تحكم تنظيمي ؛
تُستخدم طرق أمان المعلومات العامة بشكل نشط في أي مرحلة من مراحل إدارة التهديدات. وتشمل هذه المراحل: اتخاذ قرار لتحديد مجال وسياق تهديد المعلومات وتكوين المشاركين في عملية الرد ؛
تعتمد خصوصية الأساليب المستخدمة بشكل كبير على موضوع النشاط وموضوع التأثير وكذلك الأهداف المنشودة. لذلك ، فإن أساليب نشاط الفرد فيما يتعلق بقدرته المحدودة على ضمان أمن المعلومات يتم تقليصها بشكل أساسي إلى مصدر التهديد ، ويجب أن تتخذ مناشدة الرأي العام ، وكذلك للدولة ، تدابير حاسمة لتحييد تهديدات المعلومات.
ولسوء الحظ ، يجب الإشارة إلى أنهم في بلدنا لا يفهمون بشكل كاف الخطر في مجال المعلومات ، ولا توجد وحدات موظفين في هيئات إدارة المعلومات الحكومية ، ولا يتم تدريب المتخصصين ذوي الصلة لنظام الإدارة بشكل كافٍ .
من المهم جدًا استخدام الأساليب التحليلية للإدراك والبحث عن حالة الوعي العام في مجال أمن المعلومات. على سبيل المثال ، فإن الوعي بأهمية ضمان أمن المعلومات على مستوى الفرد والمجتمع والمنظمة يعوقه الأسطورة المنتشرة بأن حماية المعلومات والتشفير هما في نفس الوقت نتيجة لاستخدام مناهج قديمة لأمن المعلومات ، عندما يتم تحديد أمن المعلومات فقط بحماية المعلومات عن طريق التشفير.
الشرط المهم لضمان أمن المعلومات ليس الكثير من السرية وسرية المعلومات ، ولكن توافرها وسلامتها وحمايتها من التهديدات المختلفة. لذا ، فإن النظام يستجيب بشكل مناسب ويضمن أداء فعالفي هذا الاتجاه.
مهمة أخرى للحماية هي ضمان ثبات المعلومات أثناء تخزينها أو نقلها ، أي لضمان سلامتها. وبالتالي ، فإن سرية المعلومات ، التي يتم ضمانها باستخدام طرق التشفير ، ليست المطلب الرئيسي في تصميم أنظمة أمن المعلومات. يمكن أن يؤدي تنفيذ إجراءات التشفير وفك التشفير إلى إبطاء نقل البيانات وتقليل الوصول إليها نظرًا لحقيقة أن المستخدم سيُحرم من فرصة الوصول إلى هذه البيانات والمعلومات بسرعة وفي الوقت المناسب. هذا هو السبب في أن ضمان سرية المعلومات يجب أن يتوافق مع إمكانية الوصول إليها. وبالتالي ، يجب أن تستند إدارة أمن المعلومات إلى مبدأ الوصول والأمن. يجب أن يضمن نظام أمن المعلومات أولاً وقبل كل شيء توافر وسلامة المعلومات ، وسريتها ، إذا لزم الأمر.
ومع ذلك ، لا ينبغي للمرء أن يعتز بالأمل في إنشاء نظام مطلق لأمن المعلومات ، حيث أننا ، كما أشرنا أعلاه ، نقف على الموقف القائل بأن التهديد والخطر مكونان منسوبان لنظام أمن المعلومات ، وبالتالي وجودهما وتطبيقهما ، فضلا عن العواقب السلبية ، هو مكون طبيعي للنظام.أمن المعلومات. إنها تجعل من الممكن رؤية أوجه القصور في نظام إدارة أمن المعلومات ، وفي نفس الوقت تعمل كحافز للتحسين ، أي في التنمية. لذلك ، تعتبر طريقة التطوير طريقة مهمة لضمان أمن المعلومات.
الطريقة الرئيسية لتحليل مخاطر المعلومات هي التحليل الكمي والنوعي ، وتحليل العوامل ، إلخ. الغرض من التقييم النوعي للمخاطر هو تصنيف تهديدات المعلومات ومخاطرها وفقًا لمعايير مختلفة ، والتي سيمكن نظامها من تشكيل نظام فعال للتأثير عليها.
طريقة مهمة لضمان أمن المعلومات هي أيضًا طريقة السيناريوهات الحرجة. في هذه السيناريوهات ، يتم تحليل المواقف عندما يشل خصم وهمي نظام الإدارة العامة ويقلل بشكل كبير من القدرة على الحفاظ على الإدارة العامةضمن المعايير المثلى. علاوة على ذلك ، يوفر تحليل الأحداث في العالم كل الأسباب للتأكيد على أن حروب المعلومات أصبحت جزءًا عضويًا من سياسة الأمن القومي للعديد من البلدان المتقدمة.
يمكنك أيضًا الإشارة إلى طريقة النمذجة التي يمكن من خلالها تقديم التدريب على أمن المعلومات. تتمتع الولايات المتحدة بتجربة إيجابية في هذا الأمر ، حيث ، على أساس إحدى الشركات المعروفة ، يتم إجراء تدريب على البحوث العملياتية باستمرار من أجل محاكاة أشكال مختلفة من الهجمات المعلوماتية في سياق حرب المعلومات.
من بين طرق ضمان أمن المعلومات ، تعتبر طريقة الانقسام ذات أهمية كبيرة. لمواجهة التهديدات لأمن المعلومات ، يتم اتخاذ التدابير اللازمة في اتجاه توفير تأثير معين على مصدر التهديد ، وفي اتجاه تعزيز الهدف الأمني. وفقا لتمييز موضوعين من مجالات العمل المضاد. يتكون أحدهما من مجموعة من مصادر التهديد ، والآخر عبارة عن مجموعة من الإجراءات لضمان تحميل أمن معلومات كائن ما.
يمكن أيضًا تقسيم طرق التأثير على المعلومات في شكل رسائل إلى إلكترونية وغير إلكترونية. الطرق الإلكترونيةتستخدم التأثيرات في الحالات التي تكون فيها الرسالة مثبتة على وسائط كهرومغناطيسية مخصصة للمعالجة باستخدام تكنولوجيا الكمبيوتر ، وتتكون من تدمير الرسائل وتشويهها ونسخها. لا يمكن تنفيذ مثل هذه الإجراءات إلا بمساعدة الأجهزة والبرامج ، والطرق غير الإلكترونية في جوهرها لها نفس المعنى ، ولكن يتم تنفيذها دون استخدام تكنولوجيا الكمبيوتر للتأثير على رسالة التثبيت على ناقلات المعلومات الأخرى ، قبل الورق.
يمكن تقسيم طرق التأثير على البنية التحتية للمعلومات إلى معلوماتية وغير إعلامية. تركز الأساليب الإعلامية للتأثير على انتهاكات تكوين أنظمة المعلومات والاتصالات ، وشبكات الاتصالات ، ومعدات التحكم الآلي ، وأنظمة معالجة المعلومات المؤتمتة ، وبالتالي ، على منع الإضرار بأشياء العلاقات العامة.
بشكل عام ، تجدر الإشارة إلى أن اختيار الأهداف والأساليب لمواجهة تهديدات وتهديدات محددة لأمن المعلومات هي مشكلة مهمة وجزء لا يتجزأ من الأنشطة لتنفيذ توجيهات سياسة أمن المعلومات للدولة القائمة عليها. تحليل مفصل للطبقات الاقتصادية والاجتماعية والسياسية وغيرها من طبقات المجتمع والدولة والشخصية ، العواقب المحتملةاختيار بعض الخيارات لتنفيذ هذا النشاط.
أمن المعلومات الاتحاد الروسيهو أحد مكونات الأمن القومي للاتحاد الروسي ويؤثر على حماية المصالح الوطنية للاتحاد الروسي في مختلف مجالات حياة المجتمع والدولة. التهديدات لأمن المعلومات في الاتحاد الروسي وطرق ضمانها مشتركة في هذه المناطق.
مجالات الحياة المختلفة لها خصائصها الخاصة في ضمان أمن المعلومات ، المرتبط بخصائص المرافق الأمنية ، ودرجة تعرضها للتهديدات لأمن المعلومات في الاتحاد الروسي.
تنقسم الطرق العامة لضمان أمن المعلومات في الاتحاد الروسي إلى قانونية وتنظيمية وتقنية واقتصادية.
أرز. 5.1طرق أمن المعلومات
إلى الأساليب القانونية يشمل ضمان أمن المعلومات في الاتحاد الروسي تطوير الإجراءات القانونية التنظيمية التي تحكم العلاقات في مجال المعلومات ، والوثائق المنهجية التنظيمية بشأن قضايا ضمان أمن المعلومات في الاتحاد الروسي.
أهم مجالات هذا النشاط هي:
إجراء تغييرات وإضافات على تشريعات الاتحاد الروسي التي تنظم العلاقات في مجال أمن المعلومات ، من أجل إنشاء وتحسين نظام أمن المعلومات في الاتحاد الروسي ، وإزالة التناقضات الداخلية في التشريعات الفيدرالية ، والتناقضات المتعلقة بالاتفاقيات الدولية التي انضم الاتحاد الروسي والتناقضات بين القوانين التشريعية الاتحادية والقوانين التشريعية للكيانات المكونة للاتحاد الروسي ، وكذلك من أجل تجسيد القواعد القانونية التي تحدد المسؤولية عن الجرائم في مجال ضمان أمن المعلومات في الاتحاد الروسي ؛
التمايز التشريعي للسلطات في مجال ضمان أمن المعلومات في الاتحاد الروسي بين الهيئات الفيدرالية لسلطة الدولة والهيئات الحكومية التابعة للكيانات المكونة للاتحاد الروسي ، وتحديد الأهداف والغايات وآليات المشاركة في هذا النشاط الجمعيات والمنظمات العامة والمواطنين ؛
تطوير واعتماد الإجراءات القانونية التنظيمية للاتحاد الروسي ، وتحديد المسؤولية القانونية و فرادىمن أجل الوصول غير المصرح به إلى المعلومات ، ونسخها غير القانوني ، والتشويه والاستخدام غير القانوني ، والنشر المتعمد للمعلومات غير الدقيقة ، والكشف غير القانوني عن المعلومات السرية ، واستخدام المعلومات الرسمية أو المعلومات التي تحتوي على أسرار تجارية لأغراض إجرامية ومرتزقة ؛
إيضاح وضع وكالات الأنباء الأجنبية والصناديق وسائل الإعلام الجماهيريةوالصحفيين والمستثمرين في جذب الاستثمار الأجنبي لتطوير البنية التحتية للمعلومات في روسيا ؛
التوحيد التشريعي لأولوية تطوير شبكات الاتصال الوطنية والإنتاج المحلي لسواتل الاتصالات الفضائية ؛
تحديد وضع المنظمات التي تقدم خدمات المعلومات العالمية وشبكات الاتصالات على أراضي الاتحاد الروسي ، والتنظيم القانوني لأنشطة هذه المنظمات ؛
إنشاء أساس قانوني لتشكيل هياكل إقليمية في الاتحاد الروسي لضمان أمن المعلومات.
للأساليب التنظيمية والفنيةضمان أمن المعلومات في الاتحاد الروسي يشمل:
إنشاء وتحسين نظام أمن المعلومات في الاتحاد الروسي ؛
تعزيز نشاط إنفاذ القانون للهيئات التنفيذية الفيدرالية والهيئات التنفيذية للكيانات المكونة للاتحاد الروسي ، بما في ذلك منع وقمع الجرائم في مجال المعلومات ، فضلاً عن تحديد الأشخاص الذين ارتكبوا جرائم وكشفهم ومقاضاتهم جرائم أخرى في هذا المجال ؛
تطوير واستخدام وتحسين وسائل حماية المعلومات وطرق مراقبة فعالية هذه الوسائل ، وتطوير أنظمة اتصالات آمنة ، وزيادة موثوقية البرمجيات الخاصة ؛
إنشاء أنظمة ووسائل لمنع الوصول غير المصرح به إلى المعلومات المعالجة والتأثيرات الخاصة التي تسبب تدمير المعلومات وتدميرها وتشويهها ، فضلاً عن تغيير أساليب التشغيل العادية للأنظمة ووسائل الإعلام والاتصال ؛
تحديد الأجهزة والبرامج التقنية التي تشكل تهديدًا للتشغيل الطبيعي لأنظمة المعلومات والاتصالات ، ومنع الاعتراض
المعلومات من خلال القنوات التقنية ، واستخدام وسائل التشفير لحماية المعلومات أثناء تخزينها ومعالجتها ونقلها عبر قنوات الاتصال ، والتحكم في تنفيذ المتطلبات الخاصة لحماية المعلومات ؛
إصدار الشهادات لوسائل أمن المعلومات ، وترخيص الأنشطة في مجال حماية أسرار الدولة ، وتوحيد أساليب ووسائل أمن المعلومات ؛
تحسين نظام إصدار الشهادات لمعدات الاتصالات السلكية واللاسلكية وبرامجها لأنظمة معالجة المعلومات المؤتمتة وفقًا لمتطلبات أمن المعلومات ؛
مراقبة تصرفات العاملين في نظم المعلومات المحمية ، وتدريب العاملين في مجال ضمان أمن المعلومات في الاتحاد الروسي ؛
تشكيل نظام لرصد مؤشرات وخصائص أمن المعلومات للاتحاد الروسي في أهم مجالات الحياة وأنشطة المجتمع والدولة.
للأساليب الاقتصاديةتقديم المعلومات
يشمل أمن الاتحاد الروسي:
تطوير برامج لضمان أمن المعلومات في الاتحاد الروسي وتحديد إجراءات تمويلها ؛
تحسين نظام تمويل الأعمال المتعلقة بتنفيذ الأساليب القانونية والتنظيمية والفنية لحماية المعلومات ، وإنشاء نظام للتأمين على مخاطر المعلومات للأفراد والكيانات الاعتبارية.
يلعب ضمان أمن المعلومات في الاتحاد الروسي في المجال الاقتصادي دورًا رئيسيًا في ضمان الأمن القومي للاتحاد الروسي.
الفئات التالية هي الأكثر عرضة للتهديدات التي يتعرض لها أمن المعلومات في الاتحاد الروسي في المجال الاقتصادي:
نظام إحصائيات الدولة ؛
الائتمان والنظام المالي.
نظم المعلومات والمحاسبة المؤتمتة للأقسام الفرعية للهيئات التنفيذية الاتحادية التي تضمن أنشطة المجتمع والدولة في المجال الاقتصادي ؛
النظم المحاسبية للمنشآت والمؤسسات والمنظمات بغض النظر عن شكل الملكية ؛
أنظمة جمع ومعالجة وتخزين ونقل المعلومات والمعلومات المالية والتبادلية والضريبية والجمركية حول النشاط الاقتصادي الأجنبي للدولة ، وكذلك الشركات والمؤسسات والمنظمات ، بغض النظر عن شكل الملكية.
الانتقال إلى علاقات السوقفي الاقتصاد تسبب في ظهور العديد من الهياكل التجارية المحلية والأجنبية في السوق الروسية المحلية - المنتجون والمستهلكون للمعلومات وتكنولوجيا المعلومات وحماية المعلومات. تخلق الأنشطة غير الخاضعة للرقابة لهذه الهياكل لإنشاء أنظمة وحمايتها لجمع ومعالجة وتخزين ونقل المعلومات الإحصائية والمالية والمتعلقة بالمخزون والضرائب والجمارك تهديدًا حقيقيًا لأمن روسيا في المجال الاقتصادي... تنشأ تهديدات مماثلة مع المشاركة غير المنضبطة للشركات الأجنبية في إنشاء مثل هذه الأنظمة ، لأن هذا يخلق ظروفًا مواتية للوصول غير المصرح به إلى المعلومات الاقتصادية السرية وللسيطرة على عمليات نقلها ومعالجتها من قبل الخدمات الخاصة الأجنبية.
تؤدي الحالة الحرجة لمؤسسات الصناعات الوطنية ، وتطوير وإنتاج وسائل الإعلام والاتصالات والاتصالات وحماية المعلومات ، إلى الاستخدام الواسع النطاق للأموال المستوردة المناسبة ، مما يخلق تهديدًا بظهور الاعتماد التكنولوجي لروسيا على الدول الأجنبية.
تشكل جرائم الكمبيوتر المرتبطة بتغلغل العناصر الإجرامية في أنظمة الكمبيوتر وشبكات البنوك ومؤسسات الائتمان الأخرى تهديدًا خطيرًا لسير العمل الطبيعي للاقتصاد ككل.
عدم كفاية الإطار القانوني التنظيمي الذي يحدد مسؤولية الكيانات الاقتصادية عن عدم دقة أو إخفاء المعلومات عن أنشطتها التجارية ، وعن الخصائص الاستهلاكية للسلع والخدمات التي تنتجها ، وعن نتائج أنشطتها الاقتصادية ، وعن الاستثمارات وما شابه ذلك. ، يعيق الأداء الطبيعي لكيانات الأعمال. في الوقت نفسه ، يمكن أن تحدث أضرار اقتصادية كبيرة لكيانات الأعمال بسبب الكشف عن المعلومات التي تحتوي على أسرار تجارية. في أنظمة جمع ومعالجة وتخزين ونقل المعلومات المالية والمتعلقة بالمخزون والضرائب والجمارك ، فإن الأخطر هو النسخ غير القانوني للمعلومات وتشويهها بسبب الانتهاكات المتعمدة أو العرضية لتكنولوجيا التعامل مع المعلومات ، والوصول غير المصرح به إليها. . ينطبق هذا أيضًا على الهيئات التنفيذية الفيدرالية المشاركة في تكوين ونشر المعلومات حول النشاط الاقتصادي الأجنبي للاتحاد الروسي.
التدابير الرئيسية لضمان أمن المعلومات في الاتحاد الروسي في المجال الاقتصادي هي:
تنظيم وتنفيذ رقابة الدولة على إنشاء وتطوير وحماية أنظمة ووسائل الجمع والمعالجة ،
تخزين ونقل المعلومات الإحصائية والمالية والمتعلقة بالأسهم والضرائب والجمارك ؛
إعادة هيكلة جذرية لنظام التقارير الإحصائية الحكومية من أجل ضمان موثوقية واكتمال وأمن المعلومات ، يتم تنفيذها من خلال إدخال نظام صارم
المسؤولية القانونية للمسؤولين عن إعداد المعلومات الأولية ، وتنظيم الرقابة على أنشطة هؤلاء الأشخاص والخدمات لمعالجة وتحليل المعلومات الإحصائية ، و
وكذلك عن طريق الحد من الاستغلال التجاري لهذه المعلومات ؛
تطوير أدوات أمن المعلومات الوطنية المعتمدة وتطبيقها في أنظمة ووسائل جمع ومعالجة وتخزين ونقل المعلومات الإحصائية والمالية والمتعلقة بالمخزون والضرائب والجمارك ؛
تطوير وتنفيذ أنظمة دفع إلكترونية وطنية آمنة تعتمد على البطاقات الذكية وأنظمة النقود الإلكترونية والتجارة الإلكترونية وتوحيد هذه الأنظمة ووضع إطار قانوني يحكم استخدامها.
تحسين الإطار القانوني الذي يحكم علاقات المعلومات في المجال الاقتصادي.
تحسين طرق اختيار العاملين وتدريبهم للعمل في أنظمة جمع ومعالجة وتخزين ونقل المعلومات الاقتصادية.
أهم أهداف ضمان أمن المعلومات في الاتحاد الروسي في مجال العلوم والتكنولوجيا هي:
نتائج البحث العلمي الأساسي والاستكشافي والتطبيقي ، والتي يحتمل أن تكون مهمة للتطور العلمي والتقني والتكنولوجي والاجتماعي والاقتصادي للبلد ، بما في ذلك المعلومات التي قد يؤدي ضياعها إلى الإضرار بالمصالح الوطنية ومكانة روسيا
الاتحاد ؛
الاكتشافات والتقنيات غير المسجلة والنماذج الصناعية ونماذج المنفعة والمعدات التجريبية ؛
الكوادر العلمية والفنية ونظام تدريبهم.
أنظمة التحكم للمجمعات البحثية المعقدة (المفاعلات النووية ، المعجلات الجسيمات الأولية، مولدات البلازما ، إلخ).
تقييد الوصول.
يتكون تقييد الوصول في إنشاء بعض الحواجز المادية المغلقة حول الكائن المحمي مع تنظيم الوصول المتحكم فيه للأشخاص المرتبطين بالكائن المحمي بواسطة
مسؤولياتهم الوظيفية.
يتكون تقييد الوصول إلى نظام معالجة المعلومات الآلي (ASOI) من:
في تخصيص منطقة خاصة لوضع ASOI ؛
• في المعدات على طول محيط منطقة مخصصة للأسوار الخاصة بأجهزة إنذار ضد السرقة ؛
• في تشييد المباني الخاصة أو غيرها من الهياكل؛
في تخصيص أماكن خاصة في المبنى ؛
في إنشاء نظام نقاط تفتيش على الأرض ، في المباني والمباني.
تتمثل مهمة وسائل تقييد الوصول في استبعاد الوصول العرضي والمتعمد للأشخاص غير المصرح لهم إلى المنطقة التي يقع فيها ASOI وإلى الجهاز مباشرةً. لهذه الأغراض ، يتم إنشاء كفاف وقائي ، مغلق بنوعين من الحواجز: المادية وحواجز التفتيش. غالبًا ما يشار إلى هذه الحواجز باسم أنظمة الإنذار ضد السرقة وأنظمة التحكم في الوصول.
تتمثل الوسائل التقليدية للتحكم في الوصول إلى المنطقة المحمية في إنتاج وإصدار تصاريح خاصة للأشخاص المقبولين مع وضع صورة لهوية المالك ومعلومات عنه. يمكن تخزين هذه التصاريح من قبل المالك أو مباشرة في كشك الوصول الأمني. في الحالة الأخيرة ، يعطي الشخص المقبول لقبه ورقمه ، أو يطلبه على لوحة خاصة في الكابينة عند المرور عبر الباب الدوار ، تخرج شهادة المرور من الفتحة وتذهب إلى يد ضابط الأمن ، الذي يتحقق بصريًا من هوية المالك مع الصورة الموجودة في الصورة ، واللقب المسمى مع اللقب عند المرور. فعالية حماية هذا النظام أعلى من الأولى. في الوقت نفسه ، يتم استبعاد فقدان البطاقة واعتراضها وتزويرها. بالإضافة إلى ذلك ، هناك احتياطي في زيادة كفاءة الحماية عن طريق زيادة عدد المعلمات التي تم التحقق منها. ومع ذلك ، فإن عبء السيطرة الرئيسي يقع على عاتق الشخص ، وهو ، كما تعلم ، يمكن أن يكون مخطئًا.
تشمل المعلمات التي تم فحصها طرق المقاييس الحيوية للمصادقة البشرية.
تكنولوجيا القياسات الحيوية
تقنيات القياسات الحيوية هي تحديد الشخص من خلال الخصائص البيولوجية الفريدة الملازمة له فقط.
تعد أنظمة الوصول البيومترية اليوم هي الأكثر موثوقية. من العوامل المهمة في زيادة شعبية الأمان البيومتري سهولة استخدامها ، لذلك أصبحت متاحة للمستخدمين المنزليين.
أرز. 5.2إحصائيات
بصمات الأصابع
التعرف على بصمات الأصابع هو الطريقة الأكثر شيوعًا التي تستخدمها أنظمة أمن المعلومات البيومترية. هناك ثلاث تقنيات لبصمات الأصابع اليوم. الأول هو استخدام الماسحات الضوئية. يكاد يكون مبدأ تشغيل هذه الأجهزة مطابقًا لمبدأ تشغيل الماسحات الضوئية التقليدية. الميزة الرئيسية للماسحات الضوئية هي انخفاض تكلفتها. تشمل العيوب حقيقة أن هذه أجهزة متقلبة للغاية تتطلب رعاية مستمرة. يمكن أن يمنع الغبار والأوساخ والخدوش الدخول إلى مستخدم قانوني ، بالإضافة إلى أن الطباعة التي يتم الحصول عليها باستخدام ماسح ضوئي تعتمد بشكل كبير على حالة الجلد. يمكن أن تتسبب البشرة الدهنية أو الجافة أو الأكثر تشققًا في ظهور صور غير واضحة وعدم القدرة على التعرف على الشخص.
تعتمد التقنية الثانية على استخدام الماسحات الكهربائية بدلاً من الماسحات الضوئية. جوهرها على النحو التالي. يضع المستخدم إصبعه على لوحة خاصة وهي
يتكون من ركيزة من السيليكون تحتوي على 90 ألف لوحة مكثف بخطوة قراءة تبلغ 500 نقطة في البوصة. في هذه الحالة ، يتم الحصول على نوع من المكثف. لوحة واحدة على سطح المستشعر ، والأخرى هي إصبع الإنسان. وبما أن إمكانات المجال الكهربائي داخل المكثف تعتمد على المسافة بين الألواح ، فإن خريطة هذا المجال تكرر النمط الحليمي للإصبع.
يتم قياس المجال الكهربائي وتحويل البيانات الناتجة إلى صورة نقطية من ثماني بت. تشمل مزايا هذه التقنية دقة عالية جدًا للبصمة التي تم الحصول عليها والتي لا تعتمد على حالة جلد المستخدم.
يعمل النظام بشكل رائع حتى لو كانت إصبع الشخص متسخة. بالإضافة إلى ذلك ، فإن الجهاز نفسه صغير الحجم ، مما يسمح باستخدامه في العديد من الأماكن. لكن هناك
الماسح الكهربائي أيضا له عيوب. أولاً ، إن تصنيع جهاز استشعار يحتوي على 90.000 لوحة مكثف مكلف للغاية. ثانيًا ، بلورة السيليكون التي يقوم عليها المسح-
ra ، يتطلب حاوية مغلقة. وهذا يفرض قيودًا إضافية على شروط استخدام النظام ، ولا سيما على البيئة الخارجية ، ووجود الاهتزازات والصدمات. ثالثًا: رفض العمل في ظل وجود إشعاع كهرومغناطيسي قوي.
تقنية التعرف على بصمات الأصابع البشرية الثالثة هي TactileSense ، التي طورتها Who Vision Systems. تستخدم هذه الماسحات الضوئية مادة بوليمر خاصة حساسة لاختلاف المجال الكهربائي بين الحواف والمنخفضات في الجلد. هذا ، في الواقع ، مبدأ تشغيل أجهزة TactileSense هو نفس مبدأ الماسحات الكهربائية ، لكن لها عددًا من المزايا. أولاً ، تكلفة تصنيع مستشعر البوليمر أقل بمئات المرات من سعر جهاز استشعار السيليكون.
ثانيًا ، يضمن عدم وجود قاعدة هشة المتانة العالية لكل من سطح الماسح الضوئي والجهاز بأكمله. والثالث هو الحجم الصغير للحساس. في الواقع ، للحصول على بصمة ، ما عليك سوى لوحة بمساحة تساوي مساحة الإصبع وسمكها 0.075 مم فقط. لهذا تحتاج إلى إضافة القليل من الحشو الإلكتروني. المستشعر الناتج صغير جدًا بحيث يمكن دمجه في أي جهاز كمبيوتر تقريبًا دون أي ضرر.
عيون
تتميز العين البشرية بخاصيتين فريدتين لكل شخص. هذه هي شبكية العين والقزحية. تم استخدام النوع الأول لفترة طويلة لبناء أنظمة أمن المعلومات البيومترية. في هذه الأنظمة ، يحدد الماسح إما نمط الأوعية الدموية في قاع العين ، أو خصائص الانعكاس والامتصاص للشبكية نفسها. تعتبر كلتا هاتين التقنيتين من أكثر تقنيات القياسات الحيوية موثوقية. لا يمكن تزوير الشبكية ولا يمكن تصويرها أو إزالتها من أي مكان مثل بصمة الإصبع. صحيح ، هناك عيوب أكثر من كافية في الأنظمة التي تعمل مع شبكية العين.
أولاً ، التكلفة العالية للماسحات الضوئية وأبعادها الكبيرة.
ثانيًا ، يستغرق تحليل الصورة الناتجة وقتًا طويلاً (دقيقة واحدة على الأقل). ثالثًا ، إجراء المسح غير سار بالنسبة للإنسان. الحقيقة هي أن المستخدم يجب أن ينظر إلى نقطة معينة أثناء هذه العملية. علاوة على ذلك ، يتم إجراء المسح باستخدام شعاع الأشعة تحت الحمراء ، مما يجعل الشخص يعاني من أحاسيس مؤلمة. وأخيرًا ، رابعًا ، هناك تدهور كبير في جودة الصورة في بعض الأمراض ، مثل إعتام عدسة العين. هذا يعني أن الناس
لن يتمكن ضعاف البصر من استخدام هذه التقنية.
أدى عدم تحديد هوية الشخص من خلال شبكية العين إلى حقيقة أن هذه التكنولوجيا غير مناسبة للاستخدام في أنظمة أمن المعلومات. لذلك ، يتم استخدامه على نطاق واسع في أنظمة الوصول إلى المنشآت العلمية والعسكرية السرية.
يختلف الوضع مع الأنظمة التي تستخدم القزحية لتحديد الهوية. يحتاجون فقط إلى برنامج خاص وكاميرا للعمل. مبدأ تشغيل هذه الأنظمة بسيط للغاية. تلتقط الكاميرا وجه الشخص.
يقوم البرنامج باستخراج القزحية من الصورة الناتجة. بعد ذلك ، وفقًا لخوارزمية معينة ، يتم إنشاء رمز رقمي ، يتم بموجبه تحديد الهوية. هذه الطريقةلديها عدد من المزايا. أولا ، ثمنها الصغير. ثانيًا ، لا يتداخل ضعف البصر مع مسح وتشفير معلمات التحديد. ثالثًا ، لا تسبب الكاميرا أي إزعاج للمستخدمين.
وجه
اليوم ، هناك نوعان من تقنيات القياسات الحيوية التي تستخدم وجهه لتحديد هوية الشخص. الأول هو برنامج خاص يتلقى صورة من كاميرا ويب ويقوم بمعالجتها. يتم تمييز الأشياء المنفصلة على الوجه (الحاجبين ، العينين ، الأنف ، الشفتين) ، لكل منها معلمات تحددها تمامًا. في الوقت نفسه ، تبني العديد من الأنظمة الحديثة صورة ثلاثية الأبعاد لوجه الشخص. يعد ذلك ضروريًا حتى يكون التعرف ممكنًا ، على سبيل المثال ، عند إمالة الرأس والالتفاف بزاوية طفيفة. ميزة مثل هذه الأنظمة شيء واحد - هذا هو الثمن. بعد كل شيء ، بالنسبة للعمل ، فأنت تحتاج فقط إلى برنامج خاص وكاميرا ويب ، والتي أصبحت بالفعل سمة مألوفة للعديد من أجهزة الكمبيوتر. هناك العديد من عيوب التعرف على الشخص من خلال شكل الوجه. العيب الرئيسي هو الدقة المنخفضة. لا يجوز للشخص أثناء تحديد الهوية أن يدير رأسه هكذا ، أو قد يكون لوجهه تعبير مختلف عما هو مخزّن في قاعدة البيانات. بالإضافة إلى ذلك ، من المرجح أن يمنع النظام وصول المرأة التي تتكون بشكل مختلف عن المعتاد ، على سبيل المثال عن طريق تغيير شكل الحاجبين. يمكنك أيضًا تذكر التوائم اللذين يكون شكل وجههما متطابقًا تقريبًا.
تستخدم التقنية الثانية ، القائمة على تحديد الشخص من خلال وجهه ، مقياس حرارة. الحقيقة هي أن الشرايين البشرية ، التي يوجد عدد قليل منها على الوجه ، تنبعث منها الحرارة. لذلك ، بعد تصوير المستخدم بكاميرا خاصة تعمل بالأشعة تحت الحمراء ، يتلقى النظام "خريطة" لموقع الشرايين ، والتي تسمى الرسم الحراري. الأمر مختلف لكل شخص. حتى في توائم متطابقانتوجد الشرايين بطرق مختلفة. لذلك ، فإن موثوقية هذه الطريقة عالية جدًا.
عصير. لسوء الحظ ، ظهر مؤخرًا ولم يتم اعتماده على نطاق واسع بعد.
كف، نخلة
كما في الحالة السابقة ، هناك طريقتان للتعرف على الشخص عن طريق راحة اليد. يستخدم الأول شكله. يعتمد النظام على جهاز خاص. يتكون من كاميرا وعدة ثنائيات مضيئة. وتتمثل المهمة الرئيسية لهذا الجهاز في بناء صورة ثلاثية الأبعاد للنخيل ، ثم تتم مقارنتها بالبيانات المرجعية. موثوقية طريقة التحديد هذه عالية جدًا. لكن جهاز مسح راحة اليد هو جهاز هش إلى حد ما. لذلك ، فإن شروط استخدامه محدودة.
تستخدم تقنية القياسات الحيوية الثانية ، والتي تستخدم راحة اليد البشرية ، مخططًا حراريًا لتحديد الهوية. بشكل عام ، هذه الطريقة مطابقة تمامًا لتعريف المستخدم.
على الرسم البياني للوجه ، بحيث تكون مزاياه وعيوبه دقيقة
نفس الشيء.
الخصائص الديناميكية
المعلمات الديناميكية هي خصائص سلوكية ، أي تلك المبنية على السمات المميزة لحركات اللاوعي في عملية إعادة إنتاج إجراء ما. أكثر أنظمة المقاييس الحيوية شيوعًا هي الصوت والكتابة اليدوية وكتابة لوحة المفاتيح.
تتمثل المزايا الرئيسية للأنظمة التي تحدد الأشخاص عن طريق الصوت في انخفاض التكلفة والراحة لكل من المستخدمين والمسؤولين. يتطلب هذا برنامجًا خاصًا وميكروفونًا متصلًا بالكمبيوتر. يجب أن تُعزى عيوب أنظمة القياسات الحيوية التي تستخدم الصوت ، في المقام الأول ، إلى الموثوقية المنخفضة نوعًا ما. الحقيقة هي أنه باستخدام أجهزة حديثة عالية الجودة ، من الممكن تسجيل وإعادة إنتاج صوت بشري.
وليس هناك ما يضمن أن النظام سيتعرف على التزييف. بالإضافة إلى ذلك ، يمكن أن يؤدي الزكام إلى تغيير صوت المستخدم قليلاً ، مما يؤدي إلى رفض الوصول.
تم استخدام التوقيع الشخصي لتحديد هوية الشخص لعدة قرون. قامت أنظمة الكمبيوتر الأولى التي تستخدم هذه المعلمة ببساطة بمقارنة الصورة الناتجة.
مع الإشارة. لسوء الحظ ، فإن طريقة تحديد الهوية هذه غير موثوقة للغاية. إذا رغبت في ذلك ، يمكن للمهاجم التدرب بسهولة على أي توقيع تقريبًا. لذلك ، لا تقارن الأنظمة الحديثة بين صورتين فحسب ، بل تقيس أيضًا الخصائص الديناميكية للكتابة (وقت تطبيق التوقيع ، وديناميات الضغط على السطح ، وما إلى ذلك). بطبيعة الحال ، هذا يتطلب معدات خاصة. في معظم الحالات ، يكون الكمبيوتر مزودًا بسطح حساس للمس ، على غرار الكمبيوتر اللوحي للرسومات. ولكن تزداد شعبية "الأقلام" الخاصة القادرة على قياس درجة الضغط أثناء "الكتابة" وغيرها من المعايير. ميزتها الرئيسية على الأسطح الحسية هي الحد الأدنى من المساحة المشغولة ، مما يوسع بشكل كبير مجال تطبيق أنظمة القياسات الحيوية من هذه الفئة.
الطريقة الأكثر شيوعًا لتحديد هوية الشخص من خلال خصائصه الديناميكية هي الكتابة اليدوية على لوحة المفاتيح. الحقيقة هي أن كل شخص يكتب بطريقته الخاصة على لوحة المفاتيح.
لذلك ، وفقًا لبعض الخصائص ، من الممكن تحديد المستخدم بدقة عالية إلى حد ما. مزايا هذه الأنظمة واضحة. أولاً ، ليست هناك حاجة إلى أجهزة إضافية. ثانيًا ، يعد تحديد الهوية مناسبًا جدًا للمستخدم: فهو يقوم بإدخال كلمة مرور عادية ، ولكن في الواقع ، يحدد النظام بالضبط ما إذا كان الشخص الجالس على الكمبيوتر لديه الحق في الوصول
للمعلومات. يتمثل العيب الرئيسي لاستخدام الكتابة اليدوية على لوحة المفاتيح في تحديد الهوية الشخصية في حدوث تغيير مؤقت في خط اليد هذا في المستخدمين تحت تأثير المواقف العصيبة. وهذا بدوره يمكن أن يؤدي إلى رفض الوصول إلى شخص لديه الحق في القيام بذلك.
وتجدر الإشارة إلى أن الوضع في سوق أنظمة القياسات الحيوية يتغير بسرعة كبيرة. تظهر باستمرار تقنيات جديدة وأكثر موثوقية وأرخص تكلفة.
يجري حاليًا تحسين نظام التحكم في الوصول في اتجاه تحسين تصميم بطاقة تعريف المرور من خلال تسجيل قيم الرموز لكلمات المرور.
يتم تزويد الحاجز المادي لدائرة الحماية ، الموضوعة على طول محيط المنطقة المحمية ، بجهاز إنذار ضد السرقة.
حاليا ، يقوم عدد من المؤسسات بإنتاج أنظمة إلكترونية لحماية المرافق العامة والخاصة من اختراق الأشخاص غير المصرح لهم. لا يمكن ضمان فعالية نظام الإنذار الأمني إلا إذا تم ضمان موثوقية جميع العناصر المكونة له وعملها المنسق. في هذه الحالة ، يعد نوع المستشعر وطريقة الإخطار أو التحكم وحصانة الضوضاء وأيضًا رد الفعل على الإنذار أمرًا مهمًا. قد لا تكون الإنذارات الصوتية أو الضوئية المحلية كافية ، لذا يُنصح بتوصيل أجهزة الأمان المحلية بوسائل تحكم مركزية متخصصة ، والتي ترسل مجموعة أمان خاصة عند تلقي إشارة إنذار.
يمكن مراقبة حالة المستشعرات بواسطة نظام آلي موجود في مركز التحكم ، أو بواسطة ضابط أمن موجود بالمنشأة ويتخذ الإجراءات المناسبة استجابةً لإشارة ضوئية أو صوتية. في الحالة الأولى ، يتم توصيل أجهزة الأمن المحلية بالمركز عبر خطوط الهاتف ، ويقوم جهاز رقمي متخصص باستقصاء حالة المستشعرات بشكل دوري ، ويقوم تلقائيًا بالاتصال برقم جهاز الإرسال والاستقبال الموجود في المنشأة المحمية. عندما يصل إنذار إلى المركز ، يقوم النظام التلقائي بتشغيل تنبيه.
يتم تثبيت مستشعرات الإشارة على أنواع مختلفة من الأسوار ، في الداخل ، مباشرة على الخزائن ، إلخ.
عند تطوير نظام أمان متكامل لشيء معين ، يتم أخذ تفاصيله في الاعتبار: التصميم الداخلي للمبنى ، والنوافذ ، وأبواب المدخل ، ووضع أهم الوسائل التقنية.
تؤثر كل هذه العوامل على اختيار نوع المستشعرات وموقعها وتحديد عدد من الميزات الأخرى لهذا النظام. وفقًا لمبدأ التشغيل ، يمكن تصنيف أنظمة الإنذار على النحو التالي:
• التقليدية (التقليدية) ، على أساس استخدام دارات الإشارة والإشارة بالاقتران مع جهات اتصال مختلفة (أجهزة استشعار) ؛
فوق صوتي
• انقطاع الشعاع.
تلفزيون
رادار
الميكروويف؛
ضوابط الأمن هي الموارد التي توفر الأمن.
يتم تنفيذ الأساليب المدروسة لضمان الأمن في الممارسة العملية من خلال استخدام وسائل الحماية المختلفة ، مثل التقنية والبرمجيات والتنظيمية والتشريعية والأخلاقية والأخلاقية. يمكن افتراض أن أدوات حماية المعلومات تنفذ الأساليب المذكورة أعلاه لحمايتها ، بينما يمكن استخدام نفس الطريقة في أدوات الحماية المختلفة. على سبيل المثال ، يمكن تعيين عقبة أمام الوصول إلى المعلومات عن طريق قفل مركب على الباب ، أو بواسطة أفراد الأمن ، أو عن طريق طلب كلمة مرور عند الدخول إلى نظام الكمبيوتر ، وما إلى ذلك.
تشمل العلاجات الرئيسية المستخدمة لإنشاء آلية دفاع ما يلي:
1. تتحقق الوسائل التقنية في شكل أجهزة كهربائية وكهروميكانيكية وإلكترونية. المجموعة الكاملة للوسائل التقنية مقسمة إلى أجهزة ومادية. من خلال الوسائل التقنية للأجهزة ، من المعتاد فهم الأجهزة المدمجة مباشرة في المعدات الحاسوبية أو الأجهزة التي تتفاعل مع هذه المعدات عبر واجهة قياسية.
2. تتحقق الوسائل المادية في شكل أجهزة وأنظمة مستقلة. على سبيل المثال ، أقفال الأبواب التي توجد بها المعدات ، والقضبان على النوافذ ، وأجهزة إنذار الأمن الإلكترونية والميكانيكية.
3. يُقصد بالبرنامج البرنامج المصمم خصيصًا لأداء وظائف أمن المعلومات.
4. وسائل الحماية التنظيمية هي إجراءات تنظيمية وتقنية وتنظيمية وقانونية يتم تنفيذها في عملية إنشاء وتشغيل أجهزة الكمبيوتر ومعدات الاتصالات السلكية واللاسلكية لضمان حماية المعلومات. تغطي التدابير التنظيمية جميع العناصر الهيكلية للمعدات في جميع مراحل دورة حياتها (تشييد المباني ، وتصميم نظام معلومات الكمبيوتر للأعمال المصرفية ، وتركيب وتعديل المعدات ، والاختبار ، والتشغيل).
5. يتم تنفيذ وسائل الحماية المعنوية والأخلاقية في شكل جميع أنواع المعايير التي تطورت تقليديًا أو تتشكل مع انتشار تكنولوجيا الكمبيوتر والاتصالات في المجتمع. بالنسبة للجزء الأكبر ، هذه القواعد ليست إلزامية حيث أن التدابير التشريعية ، ومع ذلك ، فإن عدم الامتثال لها عادة ما يؤدي إلى فقدان سلطة الشخص ومكانته. ولعل أبرز مثال على هذه القواعد هو مدونة قواعد السلوك المهني لأعضاء اتحادات مستخدمي الكمبيوتر في الولايات المتحدة.
6. يتم تحديد سبل الانتصاف القانونية من خلال القوانين التشريعية للبلد ، والتي تنظم قواعد استخدام ومعالجة ونقل المعلومات ذات الوصول المحدود وتحديد تدابير المسؤولية عن انتهاك هذه القواعد.
يمكن تقسيم جميع وسائل الحماية المدروسة بشكل مشروط إلى حد ما إلى رسمية (تؤدي وظائف الحماية بدقة وفقًا لإجراء محدد مسبقًا دون مشاركة بشرية مباشرة) وغير رسمية (يتم تحديدها من خلال نشاط بشري هادف أو تنظيم هذا النشاط).
أمن المعلومات، مثل حماية المعلومات ، هي مهمة معقدة تهدف إلى ضمان الأمن ، ويتم تنفيذها من خلال تنفيذ نظام الأمان. إن مشكلة حماية المعلومات متعددة الأوجه ومعقدة وتغطي عددًا من المهام الهامة. تتفاقم مشاكل أمن المعلومات باستمرار من خلال اختراق الوسائل التقنية لمعالجة البيانات ونقلها في جميع مجالات المجتمع ، وقبل كل شيء ، أنظمة الكمبيوتر.
حتى الآن ، تمت صياغة ثلاثة مبادئ أساسية يجب أن تضمن أمن المعلومات:
سلامة البيانات - الحماية من الإخفاقات التي تؤدي إلى فقدان المعلومات ، فضلاً عن الحماية من الإنشاء غير المصرح به أو تدمير البيانات ؛
سرية المعلومات ؛
في تطوير أنظمة الكمبيوتر ، يمكن أن يؤدي الفشل أو الأخطاء في تشغيلها إلى عواقب وخيمة ، تصبح قضايا أمان الكمبيوتر أولوية. هناك العديد من الإجراءات المعروفة التي تهدف إلى ضمان أمن الكمبيوتر ، وأهمها التقنية والتنظيمية والقانونية.
يعد ضمان أمن المعلومات مكلفًا ، ليس فقط بسبب تكلفة شراء أو تثبيت إجراءات الأمان ، ولكن أيضًا لأنه من الصعب تحديد حدود الأمان المعقول بمهارة والتأكد من استمرار عمل النظام وفقًا لذلك.
قد لا يتم تصميم ميزات الأمان أو شراؤها أو تثبيتها حتى يتم إجراء التحليل المناسب.
يقوم الموقع بتحليل أمن المعلومات ومكانته في نظام الأمن القومي ، وتحديد المصالح الحيوية في مجال المعلومات والتهديدات التي تواجهها. يتم النظر في قضايا حرب المعلومات ، وأسلحة المعلومات ، والمبادئ ، والمهام والوظائف الرئيسية لضمان أمن المعلومات ، ووظائف نظام الدولة لضمان أمن المعلومات ، والمعايير المحلية والأجنبية في مجال أمن المعلومات. كما يتم إيلاء اهتمام كبير للمسائل القانونية لأمن المعلومات.
يتم أيضًا النظر في القضايا العامة لحماية المعلومات في أنظمة معالجة البيانات الآلية (ASOD) ، وموضوع حماية المعلومات وكائناتها ، ومهام حماية المعلومات في ASOD. يتم النظر في أنواع التهديدات الأمنية المتعمدة وطرق حماية المعلومات في ASOD. يتم النظر في طرق ووسائل مصادقة المستخدم والتمييز في وصولهم إلى موارد الكمبيوتر ، والتحكم في الوصول إلى المعدات ، واستخدام كلمات المرور البسيطة والمتغيرة ديناميكيًا ، وطرق تعديل مخططات كلمات المرور البسيطة ، والأساليب الوظيفية.
المبادئ الأساسية لبناء نظام أمن المعلومات.
عند بناء نظام لأمن المعلومات لشيء ما ، ينبغي للمرء أن يسترشد بالمبادئ التالية:
استمرار عملية تحسين وتطوير نظام أمن المعلومات ، والتي تتمثل في تبرير وتنفيذ أكثر الأساليب والأساليب والطرق عقلانية لحماية المعلومات ، والمراقبة المستمرة ، وتحديد الاختناقات ونقاط الضعف والقنوات المحتملة لتسرب المعلومات والوصول غير المصرح به.
الاستخدام الشامل للترسانة الكاملة لوسائل الحماية المتاحة في جميع مراحل إنتاج المعلومات ومعالجتها. في الوقت نفسه ، يتم دمج جميع الأدوات والأساليب والتدابير المستخدمة في آلية واحدة شاملة - نظام أمن المعلومات.
مراقبة سير العمل ، وتحديث واستكمال آليات الحماية اعتمادًا على التغييرات في التهديدات الداخلية والخارجية المحتملة.
يتم تدريب المستخدمين بشكل صحيح والامتثال لجميع ممارسات الخصوصية المعمول بها. بدون تلبية هذا المطلب ، لا يمكن لأي نظام لأمن المعلومات توفير مستوى الحماية المطلوب.
الشرط الأكثر أهمية لضمان الأمن هو الشرعية ، والكفاية ، والحفاظ على توازن مصالح الفرد والمؤسسة ، والمسؤولية المتبادلة للأفراد والإدارة ، والتفاعل مع وكالات إنفاذ القانون الحكومية.
10) مراحل بناء أمن المعلومات
مراحل البناء.
1. تحليل شامل لنظام المعلومات
الشركات على مختلف المستويات. تحليل المخاطر.
2. التطوير التنظيمي والإداري و
الوثائق التنظيمية.
3. التدريب والتطوير المهني و
إعادة تدريب المتخصصين.
4. إعادة التقييم السنوي لحالة المعلومات
أمن المؤسسة
11) جدار الحماية
حزم جدران الحماية ومكافحة الفيروسات.
يساعد جدار الحماية (يسمى أحيانًا جدار الحماية) في تحسين أمان الكمبيوتر. إنه يقيد المعلومات التي تأتي إلى الكمبيوتر من أجهزة الكمبيوتر الأخرى ، مما يسمح بتحكم أفضل في البيانات الموجودة على الكمبيوتر ويوفر خط دفاع الكمبيوتر ضد الأشخاص أو البرامج (بما في ذلك الفيروسات والديدان) التي تحاول الاتصال بالكمبيوتر دون تصريح. فكر في جدار الحماية على أنه نقطة حدودية تقوم بفحص المعلومات (يشار إليها غالبًا باسم حركة المرور) الواردة من الإنترنت أو الشبكة المحلية. أثناء هذا الفحص ، يرفض جدار الحماية المعلومات أو يسمح بها للكمبيوتر وفقًا للمعلمات المحددة.
ما الذي يحمي جدار الحماية منه؟
يجوز لجدار الحماية:
1. منع فيروسات الكمبيوتر و "الديدان" من الوصول إلى الكمبيوتر.
2. مطالبة المستخدم باختيار حظر أو السماح بطلبات اتصال معينة.
3. الاحتفاظ بسجلات (سجل الأمان) - بناءً على طلب المستخدم - تسجيل محاولات الاتصال بالكمبيوتر المسموح بها والمحظورة.
ما الذي لا يحمي جدار الحماية منه؟
انه لا يستطيع:
1. كشف أو تحييد فيروسات الكمبيوتر و "الديدان" إذا كانت قد دخلت جهاز الكمبيوتر بالفعل.
3. حظر البريد العشوائي أو الرسائل البريدية غير المصرح بها من الوصول إلى صندوق الوارد الخاص بك.
الجدران النارية للأجهزة والبرامج
أجهزة جدران الحماية- أجهزة فردية سريعة جدًا وموثوقة ولكنها باهظة الثمن ، لذا فهي تستخدم عادةً فقط لحماية شبكات الكمبيوتر الكبيرة. بالنسبة للمستخدمين المنزليين ، تعتبر جدران الحماية المضمنة في أجهزة التوجيه ، والمفاتيح ، ونقاط الوصول اللاسلكية ، وما إلى ذلك هي الأمثل ، وتوفر جدران الحماية المدمجة لجهاز التوجيه حماية مزدوجة ضد الهجمات.
برنامج جدار الحمايةهو برنامج أمان. من حيث المبدأ ، يشبه جدار حماية الأجهزة ، ولكنه أكثر سهولة في الاستخدام: فهو يحتوي على المزيد من الإعدادات المسبقة وغالبًا ما يحتوي على معالجات لمساعدتك في الإعداد. بمساعدتها ، يمكنك السماح للبرامج الأخرى بالوصول إلى الإنترنت أو رفضها.
برنامج مكافحة الفيروسات (مضاد فيروسات)- أي برنامج للكشف عن فيروسات الكمبيوتر وكذلك البرامج غير المرغوب فيها (التي تعتبر ضارة) بشكل عام واستعادة الملفات المصابة (المعدلة) بهذه البرامج وكذلك للوقاية - منع الإصابة (تعديل) الملفات أو نظام التشغيل مع كود خبيث.
12) تصنيف أنظمة الحوسبة
حسب الموقع الإقليمي لأنظمة المشتركين
يمكن تقسيم شبكات الكمبيوتر إلى ثلاث فئات رئيسية:
الشبكات العالمية (WAN - شبكة المنطقة الواسعة) ؛
الشبكات الإقليمية (MAN - Metropolitan Area Network) ؛
شبكات المنطقة المحلية (LAN - شبكة المنطقة المحلية).
طبولوجيا LAN الأساسية
طوبولوجيا LAN هي رسم تخطيطي هندسي لتوصيلات عقد الشبكة.
يمكن أن تكون هياكل شبكات الكمبيوتر مختلفة جدًا ، ولكن
بالنسبة لشبكات المنطقة المحلية ، هناك ثلاثة فقط نموذجية:
حلقة،
على شكل نجمة.
يمكن اعتبار أي شبكة كمبيوتر بمثابة مجموعة
عقدة- أي جهاز متصل مباشرة به
وسيط الإرسال للشبكة.
طوبولوجيا الحلقةيوفر توصيل عقد الشبكة بمنحنى مغلق - كبل وسيط للإرسال. ناتج مضيف واحد متصل بإدخال آخر. تنتقل المعلومات الموجودة على الحلقة من عقدة إلى أخرى. تقوم كل عقدة وسيطة بين المرسل والمستقبل بترحيل الرسالة المرسلة. تتعرف عقدة الاستلام على الرسائل الموجهة إليها فقط وتستقبلها.
الهيكل الدائري مثالي للشبكات التي تشغل مساحة صغيرة نسبيًا. لا يحتوي على محور مركزي ، مما يزيد من موثوقية الشبكة. تسمح إعادة إرسال المعلومات باستخدام أي نوع من الكابلات كوسيط إرسال.
إن الانضباط المتسق لخدمة عقد مثل هذه الشبكة يقلل من أدائها ، كما أن فشل إحدى العقد ينتهك سلامة الحلقة ويتطلب تدابير خاصة للحفاظ على مسار نقل المعلومات.
طوبولوجيا الحافلات- واحدة من أبسطها. يرتبط باستخدام الكبل المحوري كوسيط إرسال. يتم نشر البيانات من عقدة شبكة الإرسال على طول الناقل في كلا الاتجاهين. العقد الوسيطة لا تبث الرسائل الواردة. تصل المعلومات إلى جميع العقد ، ولكن الرسالة التي يتم توجيهها إليها هي فقط. انضباط الخدمة متوازي.
يوفر هذا ناقل LAN عالي الأداء. من السهل توسيع الشبكة وتكوينها ، فضلاً عن التكيف مع الأنظمة المختلفة. تقاوم شبكة طوبولوجيا الناقل الأعطال المحتملة للعقد الفردية.
شبكات طوبولوجيا الحافلات هي الأكثر شيوعًا حاليًا. وتجدر الإشارة إلى أنها قصيرة ولا تسمح باستخدام أنواع مختلفة من الكابلات داخل نفس الشبكة.
طوبولوجيا النجوميعتمد على مفهوم العقدة المركزية التي تتصل بها العقد الطرفية. كل عقدة طرفية لها خط اتصال منفصل خاص بها مع العقدة المركزية. يتم نقل جميع المعلومات من خلال محور مركزي ، والذي يقوم بترحيل ومفاتيح وتوجيه تدفق المعلومات في الشبكة.
تعمل البنية النجمية على تبسيط تفاعل عقد LAN مع بعضها البعض بشكل كبير ، وتسمح باستخدام محولات شبكة أبسط. في الوقت نفسه ، يعتمد أداء الشبكة المحلية ذات الهيكل النجمي كليًا على الموقع المركزي.
في شبكات الكمبيوتر الحقيقية ، يمكن استخدام طبولوجيا أكثر تقدمًا ، والتي تمثل في بعض الحالات مجموعات من تلك التي تم أخذها في الاعتبار.
يتم تحديد اختيار طوبولوجيا معينة من خلال مجال تطبيق الشبكة المحلية والموقع الجغرافي لعقدها وأبعاد الشبكة ككل.
إنترنت- شبكة كمبيوتر معلومات عالمية ، وهي عبارة عن توحيد للعديد من شبكات الكمبيوتر وأجهزة الكمبيوتر الإقليمية التي تتبادل المعلومات مع بعضها البعض من خلال قنوات الاتصالات العامة (الخطوط الهاتفية التناظرية والرقمية المخصصة ، وقنوات الاتصال البصري وقنوات الراديو ، بما في ذلك خطوط الاتصال عبر الأقمار الصناعية).
مزود خدمة الإنترنت- مزود خدمة الشبكة - شخص أو مؤسسة تقدم خدمات للاتصال بشبكات الكمبيوتر.
المضيف (من المضيف الإنجليزي - "المضيف الذي يستقبل الضيوف")- أي جهاز يوفر خدمات بتنسيق "خادم العميل" في وضع الخادم على أي واجهات ويتم تعريفه بشكل فريد على هذه الواجهات. في حالة أكثر تحديدًا ، يمكن فهم المضيف على أنه أي كمبيوتر أو خادم متصل بملف شبكة عالمية.
بروتوكول الشبكة- مجموعة من القواعد والإجراءات (تسلسل الإجراءات) ، والتي تتيح الاتصال وتبادل البيانات بين جهازين أو أكثر متصلين بالشبكة.
عنوان IP (عنوان IP ، اختصار عنوان بروتوكول الإنترنت باللغة الإنجليزية)- عنوان شبكة فريد لعقدة في شبكة كمبيوتر مبنية باستخدام بروتوكول IP. مطلوب عناوين فريدة عالميًا على الإنترنت ؛ في حالة العمل في شبكة محلية ، يلزم تفرد العنوان داخل الشبكة. في إصدار IPv4 ، يبلغ طول عنوان IP 4 بايت.
اسم النطاق- اسم رمزي يساعد في العثور على عناوين خوادم الإنترنت.
13) مهام الند للند
تشمل طرق ووسائل حماية المعلومات التدابير القانونية والتنظيمية والتقنية والاقتصادية لحماية المعلومات وتدابير حماية المعلومات (الحماية القانونية للمعلومات ، والحماية التقنية للمعلومات ، وحماية المعلومات الاقتصادية ، وما إلى ذلك).
تشمل الأساليب القانونية لضمان أمن المعلومات تطوير الإجراءات القانونية التنظيمية التي تحكم العلاقات في مجال المعلومات ، والوثائق المنهجية التنظيمية بشأن قضايا ضمان أمن المعلومات في الاتحاد الروسي. أهم مجالات هذا النشاط هي:
- التعديلات والإضافات على تشريعات الاتحاد الروسي التي تنظم العلاقات في مجال أمن المعلومات ، من أجل إنشاء وتحسين نظام أمن المعلومات في الاتحاد الروسي ، وإزالة التناقضات الداخلية في التشريعات الفيدرالية ، والتناقضات المتعلقة بالاتفاقيات الدولية التي انضمت إليها روسيا الانضمام والتناقضات بين القوانين التشريعية الاتحادية والقوانين التشريعية للكيانات المكونة للاتحاد الروسي ، وكذلك لغرض تجسيد القواعد القانونية التي تحدد المسؤولية عن الجرائم في مجال أمن المعلومات في الاتحاد الروسي ؛
- التمايز التشريعي للسلطات في مجال ضمان أمن المعلومات في الاتحاد الروسي بين الهيئات الفيدرالية لسلطة الدولة والهيئات الحكومية التابعة للكيانات المكونة للاتحاد الروسي ، وتحديد أهداف ومهام وآليات المشاركة في هذا النشاط للجمعيات والمنظمات العامة والمواطنين ؛
- تطوير واعتماد الإجراءات القانونية التنظيمية للاتحاد الروسي ، وتحديد مسؤولية الكيانات القانونية والأفراد عن الوصول غير المصرح به إلى المعلومات ، ونسخها غير القانوني ، والتشويه والاستخدام غير القانوني ، والنشر المتعمد للمعلومات غير الدقيقة ، والكشف غير القانوني عن المعلومات السرية ، والاستخدام في الجرائم و لأغراض أنانية للمعلومات الرسمية أو المعلومات التي تحتوي على أسرار تجارية ؛
- توضيح وضع وكالات الأنباء الأجنبية ووسائل الإعلام والصحفيين ، وكذلك المستثمرين في جذب الاستثمارات الأجنبية لتطوير البنية التحتية للمعلومات في روسيا ؛
- التوحيد التشريعي لأولوية تطوير شبكات الاتصالات الوطنية والإنتاج المحلي لسواتل الاتصالات الفضائية ؛
- تحديد حالة المنظمات التي تقدم الخدمات
شبكات المعلومات والاتصالات العالمية على أراضي الاتحاد الروسي ، والتنظيم القانوني لأنشطة هذه المنظمات ؛ - إنشاء أساس قانوني لتشكيل هياكل إقليمية في الاتحاد الروسي لضمان أمن المعلومات.
الطرق التنظيمية والفنية لضمان أمن المعلومات هي:
- إنشاء وتحسين نظام أمن المعلومات في الاتحاد الروسي ؛
- تعزيز نشاط إنفاذ القانون للهيئات التنفيذية الاتحادية ، والهيئات التنفيذية للكيانات المكونة للاتحاد الروسي ، بما في ذلك منع وقمع الجرائم في مجال المعلومات ، وكذلك تحديد وكشف ومقاضاة الأشخاص الذين ارتكبوا جرائم وغيرها الجرائم في هذا المجال ؛
- تطوير واستخدام وتحسين وسائل حماية المعلومات وطرق مراقبة فعالية هذه الوسائل ، وتطوير أنظمة الاتصالات ، وزيادة موثوقية البرمجيات الخاصة ؛
- إنشاء أنظمة ووسائل لمنع الوصول غير المصرح به إلى المعلومات المعالجة والإجراءات الخاصة التي تتسبب في تدمير المعلومات وتدميرها وتشويهها ، فضلاً عن تغيير أنماط التشغيل العادية لأنظمة ووسائل الإعلام والاتصال ؛
- تحديد الأجهزة والبرامج التقنية التي تشكل خطراً على الأداء الطبيعي لأنظمة المعلومات والاتصالات ، ومنع اعتراض المعلومات من خلال القنوات التقنية ، واستخدام وسائل التشفير لحماية المعلومات أثناء تخزينها ومعالجتها ونقلها عبر قنوات الاتصال ، والتحكم في تنفيذ المتطلبات الخاصة - أي بشأن حماية المعلومات ؛
- اعتماد وسائل أمن المعلومات ، وترخيص الأنشطة في مجال حماية أسرار الدولة ، وتوحيد أساليب ووسائل أمن المعلومات ؛
- تحسين نظام إصدار الشهادات لمعدات وبرامج الاتصالات لأنظمة معالجة المعلومات الآلية وفقًا لمتطلبات أمن المعلومات ؛
- السيطرة على تصرفات العاملين في نظم المعلومات المحمية ، والتدريب في مجال ضمان أمن المعلومات في الاتحاد الروسي ؛
- تشكيل نظام لرصد مؤشرات وخصائص أمن المعلومات في الاتحاد الروسي في أهم مجالات الحياة وأنشطة المجتمع والدولة.
تشمل الأساليب الاقتصادية لضمان أمن المعلومات ما يلي:
- تطوير برامج لضمان أمن المعلومات في الاتحاد الروسي وتحديد إجراءات تمويلها ؛
- تحسين نظام تمويل الأعمال المتعلقة بتنفيذ الأساليب القانونية والتنظيمية والفنية لحماية المعلومات ، وإنشاء نظام للتأمين على مخاطر المعلومات للأفراد والكيانات الاعتبارية.
في تقنيات المعلومات الحديثة ، من أجل الاستخدام الفعال لهذه الأساليب ، يتم استخدام الأدوات التنظيمية والمادية والبرمجيات والأجهزة على نطاق واسع.
تتضمن التدابير التنظيمية تكامل جميع مكونات (مكونات) الأمن. في جميع أنحاء العالم ، يتم تمثيل التهديد الرئيسي لمعلومات منظمة من قبل موظفيها ، الذين يتضح أنهم غير متوازنين عقليًا أو مستائين أو غير راضين عن طبيعة عملهم ، أجوروالعلاقات مع الزملاء والقادة.
يقول خبراء أميركيون إن ما يصل إلى 85٪ من حالات التجسس الصناعي تتم من قبل موظفين في الشركة التي يقع فيها. وأشاروا إلى أن أكثر من ثلث الخسائر المالية والبيانات في المؤسسات هو خطأ موظفيهم. حتى الموظفين - المستخدمين المصرح لهم - ينتهكون سياسات الأمن عن طريق الصدفة أو النية. حتى أن هناك بعض التصنيف لها. على سبيل المثال ، "أمي" - موظف يفتح أي حروف ومرفقات وروابط ؛ "المطلع" - موظف يسعى ، كقاعدة عامة ، لأغراض أنانية ، إلى الوثوق بمعلومات سرية والحصول عليها ؛ "غير مستهدف" - موظف يستخدم موارد المؤسسة لأغراض شخصية (تصفح الويب ، والبريد ، والمحادثات ، والرسائل الفورية ، والألعاب ، والتدريب ، والتخزين ، وما إلى ذلك). في الوقت نفسه ، يشير الخبراء إلى أن التسرب المتعمد للمعلومات (النية الخبيثة) عادة ما يمثل 1-2٪ من جميع الحوادث.
يقع حل هذه المشاكل ضمن اختصاص الإدارة وخدمة الأمن في المنظمة.
ترتبط الأنشطة البدنية بالأنشطة التنظيمية. وهي تتمثل في استخدام الموارد البشرية والوسائل التقنية الخاصة والأجهزة التي توفر الحماية من دخول المتطفلين إلى المنشأة أو الاستخدام غير المصرح به أو إتلاف أو تدمير المواد والموارد البشرية. هذه الموارد البشرية هي أشخاص من الإدارات أو غير الإدارات الأمن والحراس ، والموظفين المنفصلين المعينين من قبل إدارة المنظمة. إنها تقيد ، بما في ذلك بمساعدة الأجهزة التقنية المناسبة ، الوصول إلى أشياء من أشخاص غير مرغوب فيهم.
حماية البرمجيات هي الطريقة الأكثر انتشارًا لحماية المعلومات في أجهزة الكمبيوتر وشبكات المعلومات. يتم استخدامها عادة عندما يكون من الصعب استخدام بعض الطرق والوسائل الأخرى وتنقسم إلى أساسية ومساعدة.
تساعد أدوات البرامج الرئيسية لحماية المعلومات في مواجهة إزالة المعلومات وتعديلها وإتلافها من خلال القنوات الرئيسية الممكنة للتأثير عليها. للقيام بذلك ، فهي تساعد على تنفيذ: المصادقة على الأشياء (الموظفون وزوار المنظمات) ، ومراقبة وتنظيم عمل الأشخاص والمعدات ، والتحكم الذاتي والحماية ، وتعيين حدود الوصول ، وتدمير المعلومات ، والإشارة إلى الوصول غير المصرح به والمعلومات غير المصرح بها.
توفر البرامج المساعدة لحماية المعلومات: إتلاف المعلومات المتبقية عن ناقلات البيانات المغناطيسية وغيرها من ناقلات البيانات القابلة لإعادة الكتابة ، وتشكيل ختم السرية وتصنيف المعلومات المختومة ، وتقليد العمل مع مستخدم غير مصرح له لتجميع معلومات حول أساليبه ، والحفاظ على سجلات التسجيل ، والمراقبة العامة من أنظمة الحماية الفرعية العاملة ، والتحقق من أعطال النظام والبرامج ، وما إلى ذلك.
برمجيات أمن المعلومات عبارة عن مجموعة من الخوارزميات والبرامج لأغراض خاصة ودعم عام لتشغيل أجهزة الكمبيوتر وشبكات المعلومات ، والتي تهدف إلى: التحكم في الوصول إلى المعلومات وتعيين حدوده ؛ استبعاد الإجراءات غير المصرح بها معها ؛ السيطرة على أجهزة الأمن ، إلخ. لديهم براعة وسهولة في التنفيذ ومرونة وقدرة على التكيف والقدرة على تخصيص النظام ، وما إلى ذلك ، ويتم استخدامها لمكافحة فيروسات الكمبيوتر.تستخدم برامج مكافحة الفيروسات ، بالإضافة إلى أدوات التشخيص والوقاية ، لحماية الأجهزة من فيروسات الكمبيوتر ، ومنع و "العلاج" الذي يسمح بمنع الفيروسات من دخول نظام الكمبيوتر ، وتطهير الملفات والأقراص المصابة ، واكتشاف ومنع الإجراءات المشبوهة. في الشبكة. الأكثر شيوعًا هي برامج مكافحة الفيروسات المحلية DrWeb (Doctor Web) I. Danilov و AVP (Antiviral Toolkit Pro) E. كاسبيرسكي. لديهم واجهة سهلة الاستخدام ، وأدوات لمسح البرامج ، وفحص النظام عند التمهيد ، وما إلى ذلك.
ومع ذلك ، لا توجد برامج موثوقة تمامًا تضمن اكتشاف وتدمير أي فيروس. يمكن فقط للدفاع متعدد الطبقات أن يوفر الحماية الكاملة ضد الفيروسات. عنصر مهم للحماية من فيروسات الكمبيوتر هو الوقاية. يتم استخدام برامج مكافحة الفيروسات في وقت واحد مع النسخ الاحتياطية المنتظمة للبيانات والتدابير الوقائية. يمكن لهذه الإجراءات مجتمعة أن تقلل بشكل كبير من احتمالية الإصابة بالفيروس.
التدابير الرئيسية للوقاية من الفيروسات هي:
- استخدام البرامج المرخصة ؛
- الاستخدام المنتظم للعديد من برامج مكافحة الفيروسات التي يتم تحديثها باستمرار للتحقق ليس فقط من وسائط التخزين الخاصة بها عند نقل ملفات الجهات الخارجية إليها ، ولكن أيضًا للتحقق من أي أقراص مرنة وأقراص "أجنبية" بها أي معلومات عنها ، بما في ذلك تلك التي تمت إعادة تنسيقها ؛
- استخدام أدوات الحماية المختلفة عند العمل على جهاز كمبيوتر في أي بيئة معلومات (على سبيل المثال ، على الإنترنت) ، وفحص الملفات المستلمة عبر الشبكة بحثًا عن الفيروسات ؛
- نسخ احتياطي دوري لأهم البيانات والبرامج.
أكثر مصادر العدوى شيوعًا هي ألعاب الكمبيوترالبرامج التي تم الحصول عليها بشكل غير رسمي وغير المرخصة. ضمان موثوق ضد الفيروسات هو دقة المستخدمين عند اختيار البرامج وتثبيتها على جهاز الكمبيوتر ، وكذلك أثناء الجلسات على الإنترنت.
يتم وضع موارد المعلومات في شكل إلكتروني بشكل دائم على الأقراص الصلبة للخوادم وأجهزة كمبيوتر المستخدمين ، وما إلى ذلك ، المخزنة على وسائط محمولة.
يمكنهم تمثيل ملفات فردية بمعلومات مختلفة ومجموعات ملفات وبرامج وقواعد بيانات. بناءً على ذلك ، يتم تطبيق تدابير مختلفة عليهم للمساعدة في ضمان أمن موارد المعلومات. البرامج الرئيسية والتدابير التقنية ، التي يسمح استخدامها بحل مشاكل ضمان أمن مصادر المعلومات ، تشمل: مصادقة المستخدم وإثبات هويته ؛ التحكم في الوصول إلى قاعدة البيانات ؛ الحفاظ على سلامة البيانات ؛ التسجيل والتدقيق. حماية الاتصالات بين العميل والخادم ؛ انعكاس التهديدات الخاصة بنظام DBMS ، إلخ.
من أجل حماية المعلومات في قواعد البيانات ، فإن أهم جوانب أمن المعلومات هي
- التوفر - القدرة على الحصول على بعض خدمات المعلومات المطلوبة ؛
- النزاهة - اتساق المعلومات وأمنها من التدمير والتغييرات غير المصرح بها ؛
- السرية - الحماية من القراءة غير المصرح بها.
تعتبر هذه الجوانب أساسية لأي برنامج أو جهاز مصمم لتهيئة الظروف للعمل الآمن للبيانات في أجهزة الكمبيوتر وشبكات معلومات الكمبيوتر.
التحكم في الوصول هو عملية حماية البيانات والبرامج من استخدامها بواسطة كائنات ليس لها الحق في القيام بذلك.
من أشهر طرق حماية المعلومات تشفيرها (تشفير ، تشفير).
التشفير هو نظام لتغيير المعلومات (الترميز والتشفير) لحمايتها من التأثيرات غير المصرح بها ، وكذلك لضمان موثوقية البيانات المرسلة.
يتميز الرمز بـ: الطول - عدد الأحرف المستخدمة في الترميز ، والهيكل - ترتيب الأحرف التي تدل على ميزة التصنيف.
يعمل جدول المراسلات كأداة تشفير. مثال على مثل هذا الجدول لترجمة المعلومات الأبجدية الرقمية إلى رموز الكمبيوتر هو جدول رموز ASCII.
لتشفير المعلومات ، يتم استخدام طرق التشفير لحمايتها بشكل متزايد.
تحتوي طرق التشفير لحماية المعلومات على مجموعة (مجموعة) معقدة من الخوارزميات والإجراءات الخاصة بتشفير وترميز المعلومات المستخدمة لتحويل المحتوى الدلالي للبيانات المنقولة في شبكات المعلومات. أنها تنطوي على إنشاء واستخدام مفاتيح سرية خاصة للمستخدم.
كانت تقنيات التشفير الشائعة موجودة منذ فترة طويلة. يعتبر وسيلة قوية لضمان السرية والتحكم في سلامة المعلومات. حتى الآن ، لا يوجد بديل لطرق التشفير. وعلى الرغم من أن التشفير لا يحمي من الهجمات المادية ، إلا أنه يعمل في حالات أخرى كوسيلة موثوقة لحماية البيانات.
يعتمد استقرار خوارزمية التشفير على مدى تعقيد طرق التحويل. المعيار الرئيسي لقوة أي تشفير أو رمز هو قوة الحوسبة المتاحة والوقت الذي يمكن خلاله فك تشفيرها. إذا كان هذا الوقت يساوي عدة سنوات ، فإن متانة هذه الخوارزميات مقبولة تمامًا وأكثر من كافية لمعظم المؤسسات والأفراد. إذا كنت تستخدم مفاتيح 256 بت وأكثر ، فسيكون مستوى موثوقية حماية البيانات عشرات ومئات السنين من تشغيل الكمبيوتر الفائق. في الوقت نفسه ، تعد المفاتيح ذات 40 و 44 بت كافية للاستخدام التجاري.
يستخدم التوقيع الرقمي الإلكتروني (EDS) لتشفير EIR ، من أجل تلبية متطلبات ضمان أمن البيانات من التأثيرات غير المصرح بها عليها.
التوقيع الرقمي للرسالة هو سلسلة من الأحرف تعتمد على الرسالة نفسها وعلى بعض المفاتيح السرية المعروفة فقط لموضوع التوقيع. يجب أن يكون من السهل اختباره ويجب أن يكون قادرًا على تحقيق الأهداف الثلاثة التالية:
- المصادقة على مصدر الرسالة ،
- تأسيس سلامة الرسالة ،
- التأكد من استحالة رفض حقيقة التوقيع على رسالة معينة.
ظهر أول معيار EDS محلي في عام 1994. تتعامل الوكالة الفيدرالية لتكنولوجيا المعلومات (FAIT) مع استخدام التوقيعات الرقمية في روسيا.
تظهر التجربة الموجودة في العالم أنه من غير الفعال بناء أنظمة أمان من منتجات منفصلة. لذلك هناك حاجة عامة لحلول أمن المعلومات المتكاملة ودعمها. في الوقت نفسه ، يلاحظ الخبراء أن أكثر تدابير فعالةلا تكمن الحماية في الوسائل التقنية ، بل في تطبيق مختلف الإجراءات التنظيمية والإدارية واللوائح والتعليمات وتدريب الموظفين.
تعتمد الإجراءات الفنية على استخدام الوسائل والأنظمة التالية: أنظمة الأمن وإنذار الحريق. التحكم في الوصول وإدارته ؛ المراقبة بالفيديو وحماية محيط الأشياء ؛ حماية المعلومات؛ مراقبة حالة البيئة والمعدات التكنولوجية وأنظمة الأمن وحركة الأشخاص والمركبات والبضائع ؛ حساب وقت عمل الموظفين ووقت التواجد في مرافق مختلف الزوار.
لضمان الأمن الشامل ، تم تجهيز المرافق بأنظمة الاتصالات ، وأنظمة الإرسال والتحذير والتحكم والتحكم في الوصول ؛ أجهزة وأنظمة الأمن والحريق والتلفزيون والهندسة ؛ الأمن ، أجهزة إنذار الحريق ، أتمتة الحرائق ، إلخ.
طرق القياسات الحيوية لحماية المعلومات. يحدد مفهوم "القياسات الحيوية" فرع علم الأحياء الذي يتعامل مع التجارب البيولوجية الكمية باستخدام طرق الإحصاء الرياضي.
القياسات الحيوية هي مجموعة من الأساليب والوسائل الآلية لتحديد هوية الشخص بناءً على خصائصه الفسيولوجية أو السلوكية. يتيح لك التعرف على القياسات الحيوية تحديد الفرد وفقًا لخصائصه الحيوية المحددة ، أي ثابتة (بصمات الأصابع ، قرنية العين ، الشفرة الوراثية ، الرائحة ، إلخ) وديناميكية (الصوت ، الكتابة اليدوية ، السلوك ، إلخ) مميزات.
يعتبر التعرف على القياسات الحيوية أحد أكثر الطرق موثوقية. تسمى الخصائص البيولوجية والفسيولوجية والسلوكية الفريدة لكل شخص بالرمز البيولوجي للشخص.
استخدمت أول أنظمة القياسات الحيوية بصمة الإصبع. حوالي ألف سنة قبل الميلاد في الصين وكان فافيلون على علم بتفرد بصمات الأصابع. تم وضعهم تحت وثائق قانونية. ومع ذلك ، فقد تم استخدام البصمات في إنجلترا منذ عام 1897 ، وفي الولايات المتحدة الأمريكية منذ عام 1903.
يقدم القراء قراءة رمز التعريف ونقله إلى وحدة التحكم. يقومون بتحويل رمز المستخدم الفريد إلى رمز تنسيق قياسي يتم تمريره إلى وحدة التحكم لاتخاذ قرارات الإدارة. هناك جهات اتصال وقراء غير متصلون. يمكنهم تسجيل وقت المرور أو فتح الأبواب ، وما إلى ذلك. وتشمل هذه الأجهزة: بصمات الأصابع (بصمات الأصابع) ؛ تحديد عيون الإنسان (تحديد نمط قزحية العين أو مسح قاع العين) ؛ التعريف بالصورة (مقارنة الصور الملونة التي تم إنشاؤها من قبلهم (بنك البيانات) مع صورة وجه الفرد على شاشة الكمبيوتر) ؛ التعرف على شكل اليد ، الشفرة الوراثية ، الرائحة ، الصوت ، السكتة الدماغية ، السلوك ، إلخ.
في بلدان مختلفة (بما في ذلك روسيا) ، يتم تضمين العلامات البيومترية في جوازات السفر الأجنبية وغيرها من وثائق التعريف. تكمن ميزة أنظمة تحديد الهوية البيولوجية ، مقارنةً بالأنظمة التقليدية (على سبيل المثال ، PI no. -Code ، والوصول بكلمة مرور) ، في تحديد ليس للأشياء الخارجية التي تخص شخصًا ما ، ولكن الشخص نفسه. لا يمكن أن تضيع الخصائص التي تم تحليلها لشخص ما ، ولا تنتقل ، ولا تنسى ، ومن الصعب للغاية تزويرها. فهي غير قابلة للتدمير تقريبًا ولا تتطلب استبدالها أو تجديدها.
بمساعدة أنظمة القياسات الحيوية:
- تقييد الوصول إلى المعلومات وضمان المسؤولية الشخصية عن سلامتها ؛
- ضمان قبول المتخصصين المعتمدين ؛
- منع المتسللين من دخول المناطق والمباني المحمية بسبب التزوير و (أو) سرقة المستندات (البطاقات وكلمات المرور) ؛
- تنظيم محاسبة الدخول وحضور الموظفين ، وكذلك حل عدد من المشاكل الأخرى.
الأكثر شيوعًا هي مصادقة بصمات الأصابع ، والتي ، على عكس كلمة المرور ، لا يمكن نسيانها وفقدانها واستبدالها. ومع ذلك ، من أجل تحسين موثوقية المصادقة وحماية المعلومات القيمة ، فمن الأفضل استخدام مجموعة من الميزات البيومترية. يعتبر الاستخدام المتزامن لمصادقة المستخدم ذات العاملين ، والتي تتضمن ماسح ضوئي لبصمات الأصابع وقارئ البطاقة الذكية ، حيث يتم تخزين بصمات الأصابع نفسها بطريقة آمنة ، ناجحًا.
تشمل تقنيات القياسات الحيوية الجديدة تحديدًا ثلاثي الأبعاد لشخص ما ، باستخدام ماسحات ضوئية ثلاثية الأبعاد لتحديد هوية الشخص باستخدام طريقة اختلاف المنظر لتسجيل صور الكائنات وأنظمة التلفزيون لتسجيل الصور بمجال رؤية زاوي كبير جدًا. من المفترض أن تستخدم هذه الأنظمة لتحديد الأفراد الذين سيتم تضمين صورهم ثلاثية الأبعاد في بطاقات الهوية والوثائق الأخرى. يعد المسح باستخدام موجات المليمتر طريقة سريعة تسمح لك بتكوين صورة طبوغرافية ثلاثية الأبعاد في ثانيتين إلى أربع ثوانٍ ، والتي يمكن تدويرها على شاشة الشاشة لفحص العناصر الموجودة في الملابس وعلى جسم الإنسان. تستخدم أجهزة الأشعة السينية أيضًا لنفس الغرض. ميزة إضافية لموجات المليمتر مقارنة بالأشعة السينية هي عدم وجود إشعاع - هذا النوع من النقل غير ضار ، والصورة التي تخلقها تتولد من الطاقة المنعكسة من جسم الإنسان. الطاقة المنبعثة من موجات المليمتر أضعف بـ 10000 مرة من الإشعاع الصادر من الهاتف الخلوي.
حماية المعلومات في المعلومات شبكات الحاسبيتم تنفيذها بمساعدة برامج وأجهزة وبرامج وأجهزة خاصة. من أجل حماية الشبكات والتحكم في الوصول ، يستخدمون:
- مرشحات الحزمة التي تحظر إنشاء الاتصالات ،
عبور حدود الشبكة المحمية ؛ - مرشحات التوجيه التي تنفذ الخوارزميات
تحليل عناوين الإرسال ووجهة الحزم في الشبكة ؛ - بوابات التطبيق التي تتحقق من صحة حقوق الوصول إلى
البرامج.
تُستخدم جدران الحماية كجهاز يمنع المهاجم من الوصول إلى المعلومات. يقع هذا الجهاز بين شبكة المنطقة المحلية الداخلية للمؤسسة والإنترنت. يقيد حركة المرور ، ويمنع محاولات الوصول غير المصرح به إلى الموارد الداخلية للمنظمة. هذه حماية خارجية. يمكن أن "تنقطع" جدران الحماية الحديثة عن المستخدمين شبكات الشركاتالمراسلات غير القانونية وغير المرغوب فيها المرسلة عبر البريد الإلكتروني. هذا يحد من إمكانية تلقي معلومات زائدة عن الحاجة وما يسمى "القمامة" (البريد الإلكتروني العشوائي).
يُعتقد أن الرسائل الاقتحامية قد نشأت في عام 1978 وشهدت زيادة كبيرة في عام 2003. من الصعب تحديد البريد الذي يأتي أكثر: مفيد أو غبي. تم إصدار الكثير من البرامج المصممة لمكافحتها ، ولكن نفس الشيء علاج فعالليس بعد.
جهاز تقني قادر على تنفيذ الحماية بشكل فعال في شبكات الكمبيوتر هو جهاز توجيه. يقوم بتصفية حزم البيانات المرسلة. نتيجة لذلك ، يصبح من الممكن رفض وصول بعض المستخدمين إلى "مضيف" معين ، لتنفيذ تحكم مفصل برمجيًا لعناوين المرسل والمستلم. يمكنك أيضًا تقييد الوصول إلى جميع أو فئات معينة من المستخدمين إلى خوادم مختلفة ، على سبيل المثال ، تلك التي تؤدي إلى نشر معلومات غير قانونية أو معادية للمجتمع (دعاية للجنس ، والعنف ، وما إلى ذلك).
يمكن تنفيذ الحماية ليس فقط في الشبكة العالمية أو شبكة المنطقة المحلية لمنظمة ما ، ولكن أيضًا في أجهزة الكمبيوتر الفردية. لهذا الغرض ، يتم إنشاء مجمعات برامج وأجهزة خاصة.
تتطلب حماية المعلومات اتباع نهج منظم ، أي هنا لا يمكن أن يقتصر المرء على الأحداث الفردية. يتطلب النهج المنتظم لحماية المعلومات أن الوسائل والإجراءات المستخدمة لضمان أمن المعلومات - التنظيمي والمادي والبرنامجي - التقني - ينبغي اعتبارها مجموعة واحدة من التدابير التكميلية والمتفاعلة المترابطة. أحد المبادئ الرئيسية للنهج المنهجي لحماية المعلومات هو مبدأ "الكفاية المعقولة" ، والذي يتمثل جوهره في: حماية مائة بالمائة لا توجد تحت أي ظرف من الظروف ، لذلك ، من الجدير السعي إلى عدم الوصول إلى الحد الأقصى نظريًا الذي يمكن تحقيقه مستوى الحماية ، ولكن إلى الحد الأدنى الضروري في هذه الظروف المحددة وعلى مستوى معين من التهديد المحتمل.
