CC BY
8
потребителей на российском потребительском рынке: ДИСС.... ком. экон. наук. - СПБ. 2001 - 176 с.
УДК 004
Пехтерева Д. Е. студент
ФГБОУ ВО «Поволжский государственный университет
телекоммуникаций и информатики»
Россия, г. Самара АНАЛИЗ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ИС
Аннотация. В статье рассматривается применение различных средств защиты информации.
Ключевые слова: информационные технологии, защита информации, пароль, аутентификация, технологии, безопасность.
Pekhtereva D.E.
Student of the «Volga state university of telecommunication and
informatics»
Annotation. The article considers the use of various means of informational protection.
Keywords: information technology, information protection, password, authentication, technology, security.
Компьютеры и другие цифровые устройства стали важными средствами для ведения бизнеса и торговли, в связи с этим они все чаще становятся мишенью для атак. Для того, чтобы компания или физическое лицо могли с уверенностью использовать вычислительное устройство, они должны сначала быть уверены, что оно каким-либо образом не скомпрометировано, а все коммуникации будут безопасными. В этой статье мы рассмотрим средства для обеспечения безопасности информационных систем.
Аутентификация
Как мы идентифицируем кого-то, сидящего за экраном компьютера или в банкомате? Инструменты аутентификации используются для обеспечения того, чтобы лицо, получающее доступ к информации, действительно было тем, кем они себя представляют.
Наиболее распространенной формой аутентификации сегодня является идентификатор пользователя и пароль. В этом случае аутентификация выполняется путем подтверждения того, что пользователь знает информацию для входа. Но эту форму аутентификации легко компрометировать, и в таком случае необходимы более сильные формы аутентификации. Гораздо сложнее скомпрометировать пользователя, который использует в качестве защиты физические характеристики, такие
как сканирование глаз или отпечатки пальца. Такой тип идентификации человека по его физическим характеристикам называется биометрией.
Более безопасным способом аутентификации пользователя является многофакторная аутентификация. Примером этого может быть использование маркера RSA SecurlD. Устройство RSA генерирует новый код доступа каждые шестьдесят секунд. Чтобы войти в информационный ресурс с помощью устройства RSA, вы используете четырехзначный ПИН с кодом, сгенерированным устройством. Единственный способ правильно аутентифицироваться - это знать код и иметь устройство RSA.
Контроль доступа
После аутентификации пользователя следующий шаг - обеспечить доступ только к соответствующим информационным ресурсам. Это делается с помощью контроля доступа. Контроль доступа определяет, какие пользователи имеют право читать, изменять, добавлять и / или удалять информацию. Существует несколько различных моделей контроля доступа. В данной статье мы рассмотрим две из них: список контроля доступа (ACL) и управление доступом на основе ролей (RBAC).
Для каждого информационного ресурса, которым организация хочет управлять, может быть создан список пользователей, которые могут принимать конкретные действия. Это список управления доступом или ACL. Каждому пользователю назначаются определенные возможности, такие как чтение, запись, удаление или добавление. Только пользователям с этими возможностями разрешено выполнять эти функции. Если пользователя нет в списке, у них нет возможности даже знать, что существует информационный ресурс.
Списки ACL просты в понимании и обслуживании. Однако у них есть несколько недостатков. Основной недостаток заключается в том, что каждый информационный ресурс управляется отдельно. И по мере увеличения количества пользователей и ресурсов ACL становится сложнее поддерживать. Это привело к усовершенствованному методу управления доступом, называемому контролем доступа на основе ролей или RBAC. В RBAC вместо предоставления определенным пользователям прав доступа к информационному ресурсу пользователи назначаются ролям, а затем этим ролям назначается доступ. Это позволяет администраторам управлять пользователями и ролями по отдельности, упрощая администрирование и, соответственно, улучшая безопасность.
Шифрование
Организации передают информацию через Интернет и внешние носители. В этих случаях, даже при правильной проверке подлинности и управлении доступом, несанкционированное лицо может получить доступ к данным. Шифрование - это процесс кодирования данных при его передаче или хранении, чтобы его могли прочесть только уполномоченные лица. Эта кодировка выполняется компьютерной программой, которая кодирует
простой текст, необходимый для передачи; получателю приходит шифрованный текст, а он в свою очередь декодирует его (дешифрование). Отправителю и получателю необходимо согласовать метод кодирования, чтобы обе стороны могли правильно общаться. Стороны используют ключ шифрования, позволяющий им кодировать и декодировать сообщения друг друга. Это называется симметричным ключом. Данный тип шифрования является проблематичным, поскольку ключ доступен в двух разных местах.
Безопасность паролей
Итак, почему используется простой идентификатор пользователя / пароль, который не считается безопасным методом аутентификации? Поскольку такая однофакторная аутентификация чрезвычайно легко компрометируется должны быть введена политика паролей, гарантирующая невозможность компрометирования.
Наиболее распространенные политики для внедрения организациями:
1. Требование сложных паролей. Одна из причин, по которой скомпрометированы пароли, заключается в том, что их можно легко распознать.
2. Правило о неразглашении паролей сотрудниками.
Резервные копии
Еще одним важным инструментом обеспечения информационной безопасности является комплексный план резервного копирования для всей организации. Необходимо не только резервное копирование данных на корпоративных серверах, но и резервные копии отдельных компьютеров, используемых во всей организации.
Брандмауэры
Другим методом, который организация должна использовать для повышения безопасности в своей сети, является брандмауэр. Брандмауэр может существовать как аппаратное или программное обеспечение (или и то, и другое). Аппаратный брандмауэр - это устройство, которое подключено к сети и фильтрует пакеты на основе набора правил. Брандмауэр программного обеспечения работает в операционной системе и перехватывает пакеты по мере их поступления на компьютер. Он защищает все серверы и компьютеры компании, останавливая пакеты из-за пределов сети организации, которые не соответствуют строгим критериям. Брандмауэр также может быть настроен для ограничения потока пакетов, покидающих организацию. Это можно сделать, чтобы исключить возможность просмотра сотрудниками YouTube видеороликов или использования Facebook с компьютера компании.
Системы обнаружения вторжений
Другим устройством, которое может быть установлено в сети в целях безопасности, является система обнаружения вторжений или IDS. IDS определяет атаки на сеть. IDS можно настроить для просмотра определенных видов деятельности, а затем предупредить персонал службы безопасности,
если это происходит. IDS также может регистрировать различные типы трафика в сети для анализа позже. IDS является неотъемлемой частью любой хорошей настройки безопасности.
Физическая охрана Безопасность организации не может быть полной без реализации физической безопасности. Это защита фактических аппаратных и сетевых компонентов, которые хранят и передают информационные ресурсы. Для обеспечения физической безопасности организация должна идентифицировать все уязвимые ресурсы и принять меры для обеспечения того, чтобы эти ресурсы не могли быть физически изменены или украдены.
Вычислительные и сетевые ресурсы являются неотъемлемой частью бизнеса и очень часто становятся мишенью для преступников. Организации должны проявлять бдительность в отношении защиты своей информации. Это является приоритетным направлением для компаний с долгосрочными перспективами. С развитием технологий развиваются и средства информационной защиты, которые позволяют пользователям проводить любые операции безопасно и качественно.
Использованные источники:
1. Search Inform [Электронный ресурс]. URL: https: //searchinform.ru/
2. Википедия [Электронный ресурс]. URL: https://ru.wikipedia.org/
