Abordările privind protejarea informațiilor și a altor resurse se schimbă în mod constant, deoarece societatea și tehnologia noastră se schimbă. Este foarte important să înțelegem acest lucru, pentru a dezvolta abordarea corectă a securității. De aceea, să ne familiarizăm puțin cu istoria sa pentru a evita repetarea greșelilor din trecut.
În antichitate, informații valoroase au fost păstrate în formă materială: tăiate pe tablete de piatră, mai târziu înregistrate pe hârtie. Pentru protecția lor, au fost folosite aceleași obiecte materiale: pereți, șanțuri și protecție.
Informații importante sau secrete au fost încercate să nu fie stocate pe transportoare solide, ceea ce probabil este de ce atât de puține înregistrări de alchimiști au ajuns la noi. Ei nu au discutat cu nimeni despre ei, cu excepția discipolilor selectați, deoarece cunoașterea este putere. Probabil că a fost cea mai bună apărare. Sun Tzu a spus: "Secretul care știe mai mult decât unul nu mai este un secret".
Dacă nu contorizați erori la utilizarea sistemelor de criptare, un cifru complex este foarte greu de crack. Prin urmare, a existat o căutare constantă a altor modalități de a intercepta informațiile transmise în formă criptată.
Există în continuare discuții serioase cu privire la posibilitatea ca, în practică, să se aplice tehnologii similare pentru interceptarea mesajelor, de exemplu prin afișarea de lumină de pe un monitor pe un perete de la o distanță de 1 km. De îndată ce apar ceva de la agenții militare sau guvernamentale, imediat toate informațiile sunt clasificate. Publicul poate ghici doar dacă există tehnologii sau era o altă "rață".
Se poate presupune că armata are ceva în stoc. Dar pentru intrușii obișnuiți în viitorul apropiat, posibilitatea de a intercepta emisiile va rămâne puțin probabilă.
La transmiterea mesajelor prin telegraf, a fost suficient să se asigure protecția comunicațiilor și a radiațiilor. Apoi au apărut calculatoare, la care resursele informaționale ale organizațiilor au fost transferate în format electronic. După un timp, a fost mai ușor să lucrezi pe computere și mulți utilizatori au învățat să comunice cu ei în modul de dialog interactiv. Orice utilizator care a accesat sistemul poate accesa acum informațiile. A existat nevoia de a proteja calculatoarele.
Inițial, modelul de securitate al mediului științific era "acces liber", iar modelul structurilor guvernamentale - "închis și blocat". Ceva de genul ăsta era aproape absent. Aceasta se aplică în continuare multor structuri științifice și guvernamentale în care cerințele sunt specifice și principiile muncii rămân neschimbate.
Modelele descrise sunt diametral opuse: în modelul de securitate al structurilor guvernamentale, totul este blocat, iar în modelul de securitate al instituțiilor științifice, totul este permis. Tehnologiile și metodele moderne de asigurare a securității fac posibilă implementarea unor noi modele de securitate pentru structurile științifice și guvernamentale, totuși, evoluția lor are nevoie de timp.
În domeniul securității informatice, structurile științifice și guvernamentale au adoptat abordări care sunt încă în uz.
La începutul anilor '70. XIX-lea, David Bell și Leonard La Padula au dezvoltat un model de securitate pentru operațiile efectuate pe un computer. Acest model sa bazat pe conceptul guvernamental de nivele de clasificare a informațiilor (neclasificat, confidențial, secret, top secret) și nivele de acces. Dacă persoana (subiectul) a avut un nivel de toleranță mai mare decât nivelul fișierului (obiect) prin clasificare, atunci a accesat fișierul, altfel accesul a fost refuzat. Acest concept a fost implementat în standardul 5200.28 "Criterii de evaluare a sistemelor de calcul de încredere" (TCSEV), dezvoltat în 1983 de către Departamentul Apărării al Statelor Unite, datorită culorii coperții, numită " Cartea Orange. " Cartea Orange a clasat sistemele informatice în conformitate cu următoarea scală.
· D Protecție minimă (non-normalizabilă)
· Protecția C1 la discreție
· Protecție de acces controlat C2
· B1 Securitate cu etichete de securitate
· B2 Protecție structurată
· Protecția domeniului B3
· A1 Dezvoltare verificată
"Cartea Orange" a definit pentru fiecare secțiune cerințele și cerințele funcționale ale garanției. Sistemul a trebuit să îndeplinească aceste cerințe pentru a îndeplini un anumit nivel de certificare.
Conceptul modern de securitate este inclus în Criteriile Generale. Ideea principală este concentrată în așa-numitele profiluri de securitate care definesc diferitele medii de securitate în care poate fi plasat un sistem informatic. Produsele sunt evaluate pentru conformitatea cu aceste profiluri și certificate. La achiziționarea unui sistem, organizația are posibilitatea de a selecta profilul care corespunde cel mai bine necesităților sale și de a selecta produse certificate pentru acest profil. Certificatul de produs include, de asemenea, nivelul de încredere, adică nivelul de secretizare stabilit de evaluatori, corespunzător profilului funcțional.
Tehnologiile sistemelor informatice se dezvoltă prea repede în comparație cu programul de certificare. Există noi versiuni ale sistemelor de operare și hardware și își găsesc piețele de vânzări chiar înainte ca versiunile mai vechi și sistemele să fie certificate.
Până în prezent, problemele au devenit și mai grave. Organizațiile au început să utilizeze rețele fără fir, a căror apariție nu putea prevedea "Cartea Roșie".
Procesul de certificare a sistemelor informatice nu a fost încă dezvoltat, ceea ce confirmă securitatea oferită. Pentru majoritatea soluțiilor propuse, tehnologia a trecut prea repede.
În mod evident, nu vă puteți baza pe un tip de protecție pentru a asigura securitatea informațiilor. Nu există un singur produs care să implementeze toate metodele de protecție necesare pentru computere și rețele. Din păcate, mulți dezvoltatori susțin că numai produsele lor pot face față acestei sarcini. De fapt, nu este așa. Pentru protecția totală a resurselor informaționale, sunt necesare multe produse diferite.
Software-ul antivirus este parte integrantă a unui program robust de securitate. Atunci când este configurat corect, riscul de programe malware este redus semnificativ.
Dar nici un program antivirus nu protejează organizația de un intelectual rău, folosind un program legitim pentru conectarea la sistem sau de la un utilizator legitim care încearcă să obțină acces neautorizat la fișiere.
Orice sistem informatic din cadrul unei organizații limitează accesul la fișiere, identificând utilizatorul care este conectat. Dacă sistemul este configurat corect, atunci când instalați permisiunile necesare pentru utilizatorii legitimi, există o restricție privind utilizarea fișierelor la care nu au acces. Cu toate acestea, sistemul de control al accesului nu oferă protecție dacă un atacator, prin vulnerabilități, accesează fișierele ca administrator. Astfel de căderi vor fi considerate acțiuni legale ale administratorului.
Sistemele biometrice reprezintă un alt mecanism de autentificare (acestea sunt ceea ce sunteți), reducând în mare măsură probabilitatea de a ghici parola. Există multe scanere biometrice pentru a verifica următoarele:
Fiecare metodă implică utilizarea unui dispozitiv specific pentru a identifica caracteristicile umane. De obicei, aceste dispozitive sunt destul de complexe pentru a exclude încercările de a înșela.
Scanarea sistemelor informatice pentru vulnerabilități joacă un rol important în programul de securitate. Acesta va identifica punctele potențiale pentru invazie și va lua măsuri imediate pentru a îmbunătăți securitatea. Cu toate acestea, un astfel de studiu nu va opri utilizatorii legali care efectuează acces neautorizat la fișiere, nu vor detecta intrușii care au infiltrat deja sistemul prin "goluri" în configurație.
Criptarea - cel mai important mecanism pentru protejarea informațiilor în transfer. Cu ajutorul criptare a fișierelor, puteți asigura, de asemenea, siguranța informațiilor stocate. Cu toate acestea, angajații organizației trebuie să aibă acces la aceste fișiere, iar sistemul de criptare nu va putea să facă distincția între utilizatorii legali și cei ilegali dacă aceștia oferă aceleași chei pentru algoritmul de criptare. Pentru a asigura securitatea în timpul criptării, este necesar să se monitorizeze cheile de criptare și sistemul ca întreg.
Protecția fizică - singura modalitate de a proteja sistemele informatice complexe și informațiile. Se poate realiza relativ ieftin. Pentru a face acest lucru, sape un gaura de 20 de metri adancime, locul în ea sisteme importante și se toarnă peste beton de sus. Totul va fi în siguranță! Din păcate, vor exista probleme cu angajații care au nevoie de acces la computere pentru funcționare normală.
Chiar și cu mecanismele de protecție fizică plasate cu atenție în locurile lor, va trebui să oferiți utilizatorilor accesul la sistem - și va fi în curând! Protecția fizică nu va împiedica un atac care utilizează accesul legal sau un atac de rețea.
Trei moduri de protecție sunt trei componente de securitate:
De regulă, apărarea este primul mod de securitate. Dorința oamenilor de a se proteja pare aproape instinctivă, iar apărarea, de regulă, precede orice alt efort de a oferi protecție. Măsurile defensive reduc probabilitatea de hacking reușit al unor resurse valoroase, ceea ce previne riscul pierderilor financiare. Dacă nu există suficientă apărare disponibilă, resursele valoroase vor fi neprotejate, ceea ce va duce la creșterea pierderilor potențiale în cazul deteriorării sau pierderii datelor. Cu toate acestea, apărarea este doar o parte a strategiei globale de securitate. Multe companii se bazează doar pe firewall și devin vulnerabile, ignorând "punctele slabe" asociate cu alte moduri de securitate - izolarea și detectarea.
Modul de securitate cel de-al treilea și cel mai puțin utilizat în rețelele de calculatoare este detectarea. Oferind apărare sau descurajare, o strategie de securitate adesea nu implică detectarea unei crime comise. Mulți consideră că este suficient să folosiți un sistem de alarmă care va anunța străinii că încearcă să încalce zona protejată și că rareori recurg la ajutorul experților în securitate. Fără măsuri adecvate, o încălcare a sistemului poate exista pentru ore, zile sau poate fi prezentă pe o perioadă nedeterminată.
Iluzie de siguranță - 1
Mulți proprietari de vehicule Touhoua în anii 1980 nu știau că cheile la încuietorile ușilor acestor mașini au avut doar un număr mic de combinații. Sperau că butoanele de comutare ale încuietorii ușii sunt păstrate în secret și că există atât de multe combinații încât hoțul nu ghicește pe cel potrivit. Acești auto-mobilisti au avut iluzia de securitate. Un hoț cu un set complet de chei ar putea deschide cu ușurință orice mașină Touhoua. Puteți deschide accidental ușa unei alte mașini de același model.
Iluzie de siguranță - 2
Linia Maginot, construită între prima și cea de-a doua război mondial pentru apărarea Franței din Germania, este una dintre cele mai mari greșeli ale unei strategii defensive. A fost un zid construit pentru a asigura o protecție fiabilă a frontierelor și a exclude oamenii din afară. Apărarea a eșuat, iar trupele germane s-au dus în jurul peretelui și chiar l-au depășit direct. Acest lucru se datorează neglijării vectorilor de amenințare alternativi (referindu-se la construcția neterminată a etapei de la ambele capete). [2]
Unul dintre scopurile unei strategii eficiente de securitate este acela de a forța un atacator să petreacă cât mai mult timp posibil pentru a pătrunde în perimetrul protejat, astfel încât el nu se lasă cu nimic după încercări lungi de succes de a hack. Alte strategii implică săvârșirea unui criminal în sistem, după care el poate fi tras la răspundere față de agențiile de aplicare a legii. Alte strategii implică atragerea unui atacator cu valori false, astfel încât acesta să ia mult timp pentru a obține această "momeală".
În orice caz, punctele slabe din infrastructura de securitate ar trebui eliminate. Dacă sunt necesare pentru desfășurarea afacerii, mijloacele de detectare și de descurajare ar trebui să se concentreze asupra zonelor în care mijloacele defensive nu sunt suficient de fiabile. Ar trebui să se presupună că aceste deficiențe vor atrage atenția intrușilor și vor elabora un plan de acțiune corespunzător pentru acest caz.
Nu există un panaceu de la intruși, deoarece securitatea în comerțul electronic este un domeniu nou, în prezent există diferite filosofii și abordări în implementarea sa.
Cel mai bine este implementarea sistemului de securitate cu constatarea că nici o tehnologie nu oferă o eficiență de 100% și să elaboreze planuri de acțiune adecvate. Pentru a compensa deficiențele dintr-un singur nivel al sistemului de securitate, puteți utiliza mai multe niveluri de protecție.
Articole similare
-
Istoria înțelegerii problemei securității societății și a individului
-
Organizarea siguranței împotriva incendiilor în întreprindere
Trimiteți-le prietenilor: