The Web-site of design Company Chelyabenergoproekt in English   English
Maison Écrire le courrier Carte
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




       

Projets de maîtrise intellectuelle!
Nos Nouvelles
22.12.2016 Bonne année!
Bonne année! Administration ...
30.12.2015 Bonne année!
Bonne année! Administration ...
21.12.2015 Energie heureux!
Energie heureux! Administration ...



Nouvelles CAD
Protection de l'information lorsque le travail de conception performants
Aujourd'hui peu de gens s'imagine la possibilité du vidéonique informatique sans sa sécurité.

Mais voici comme protéger l'information à l'exécution des travaux d'étude, quel pour cela utiliser les moyens de défense qu'un tel moyen efficace de la sécurité de l'information à l'exécution des projets clés en main ?

Nous examinerons les domaines alternatifs des applications des moyens de défense de l'information.

En disant sur la construction, ou sur l'utilisation du moyen de défense de l'information, avant tout, il est nécessaire d'être défini avec le domaine de son application pratique (pour quoi il est créé, par voie de conséquence, que l'on définit sa valeur d'utilisation), car notamment le domaine de l'utilisation pratique et dicte ces exigences à n'importe quel moyen systémique, qui doivent être réalisées par l'architecte pour augmenter la valeur d'utilisation du moyen donné.

Malheureusement, donné évident n'est pas toujours pris en considération les architectes, et les consommateurs des moyens de défense. D'autre part, assez simplement montrer que les exigences aux moyens de défense pour de divers domaines de leur utilisation pratique se distinguent très fortement, mais parfois, et se contredisent que ne permet pas de créer le moyen de défense commun sur tous les cas de la vie. En d'autres termes, on ne peut pas dire sur l'efficacité du moyen de défense abstrait, on peut tenir la conversation sur l'efficacité du moyen créé pour les applications concrètes.

En effet, quand les paroles passent sur les filières informatiques, on peut affecter deux leurs essentiels de l'application est une utilisation personnelle de l'ordinateur (dans les conditions domestiques) et l'utilisation corporative (dans l'organisation de projets). La différence des exigences, y compris, et vers les moyens de défense, dans les applications données est immense.

Les différences les plus importantes de l'utilisation du moyen de défense dans les applications données est le suivant:
- en général, l'absence de quelque confidentialité (au moins, formalisé) l'information demandant la sécurité. L'information est la propriété de l'utilisateur;
- l'absence de l'esprit de critique de la confidentialité (au moins, formalisé) non seulement dans la partie du pillage de l'information travaillée, mais aussi dans la partie de sa modification non sanctionnée, ou les annulations, non sont critiques ainsi dans ces applications et les attaques contre les ressources systémiques, dans une grande mesure, eux sont liées seulement à l'inconvénient pour l'utilisateur;
- l'absence de la qualification de l'utilisateur dans les questions du support de la sécurité d'information, et la mauvaise volonté naturelle de s'occuper de ces questions;
- l'absence de quelque directivisme extérieur du moyen systémique, y compris, dans la partie de l'ajustement des mécanismes de la sécurité tous les objectifs du directivisme se décident directement par l'utilisateur proprement l'utilisateur doit indépendamment résoudre tous les problèmes liés à la sécurité, i.e. l'utilisateur et est le gestionnaire, notamment il et protège l'information personnelle;
- l'absence de quelque méfiance chez l'utilisateur l'utilisateur lui-même travaille l'information personnelle (lui le propriétaire de l'ordinateur, lui le propriétaire de l'information peut ne pas croire seulement), d'autre part, pour la même raison, la méfiance du côté de l'utilisateur vers quelque manifestation du directivisme extérieur;
- dans la plupart, le vidéonique par l'utilisateur se réalise sur un ordinateur, localement.

Aux organisations de projets accomplissant les projets commerciaux, en particulier, les projets clés en main il est important de s'assurer en premier lieu contre les bombes et les attaques de pirate, puisque selon la statistique les plus grandes pertes de la compagnie supportent notamment en rapport avec le vol par l'information confidentielle commerciale et les DoS-attaques.

Les arrêts apparaissant dans le travail des serveurs, réduisent sérieusement l'efficacité du travail de la compagnie en tout, en amenant à la perte de l'information précieuse, vers les refus du service, la perte des clients et le rebond des marchés.

Le temps et l'argent se perdent aussi sur la lecture du spam par les collaborateurs de la compagnie. En 2003 dans plusieurs compagnies la part de la correspondance de spam dans le courrier faisait déjà 60-70%! Dans le trafic de la publicité non invitée se perdent assez souvent d'importantes lettres d'affaires qu'amène aussi aux pertes sérieuses financières (d'encore grandes pertes apparaissent à l'utilisation des moyens travaillant incorrectement de l'appariement de formes du spam avec le pour-cent considérable des fonctionnements faux).

Les différences les plus importantes de l'utilisation des moyens de défense dans les applications données (corporatives) est le suivant:
- Dans les applications données il y a a priori une information confidentielle demandant la sécurité qualifiée. L'information donnée n'est pas la propriété de l'utilisateur et lui est accordée à l'utilisation temporaire pour l'exécution des fonctions que conditionne la possibilité de son pillage par l'utilisateur (soi-disant initié l'hack).
- Critique est non seulement le fait du pillage de l'information travaillée, mais aussi la possibilité de sa modification non sanctionnée, ou (il est possible, accidentel) les annulations. Critique dans ces applications il y a aussi une sortie de l'ordre des moyens systémiques pour un temps long, et en outre c'est plus important à l'exécution des projets clés en main puisque le retard de l'exécution d'un travail conduit au retard de l'exécution de tout le projet clés en main i.e. les objets les plus importants de la sécurité deviennent non seulement d'information, mais aussi les ressources systémiques.
- L'absence de la qualification de l'utilisateur dans les questions du support de la sécurité d'information, et la mauvaise volonté de s'occuper de ces questions (chez lui des autres devoirs liés à la préparation de la documentation de projet et d'études, l'exécution des travaux d'étude), et en même temps, la présence du gestionnaire systémique selon la sécurité, le devoir principal de service de qui est la sécurité de l'information, i.e. notamment pour la décision de cet objectif il et est embauché, qui doit posséder a priori une haute qualification, puisque, dans le cas contraire, sur quelque sécurité effective de l'information confidentielle dans les conditions modernes il ne faut pas dire.
- Tous les objectifs du directivisme des moyens de défense doivent se décider directement par le gestionnaire, l'utilisateur doit être exclu du schéma du directivisme à eux les manifestations, puisque seulement dans ces conditions le gestionnaire peut organiser la sécurité de l'information.
- L'utilisateur travaille la méfiance chez l'utilisateur non personnel, mais corporatif, ou une autre information confidentielle, qui est potentiellement par la marchandise par voie de conséquence, l'utilisateur doit être examiné à titre du malfaiteur potentiel (ces derniers temps, même il y avait une telle notion, comme initié, mais l'It-menace intérieure la menace du détournement de l'information par l'utilisateur sanctionné, certains consommateurs et les producteurs des moyens de défense positionné, comme une des menaces dominant que n'est pas privé les raisons).
- Dans la plupart, le traitement de l'information confidentielle se réalise dans le réseau corporatif, et en outre, pas toujours à local est conditionne l'impossibilité de la décision effective de l'objectif du directivisme de la sécurité localement sur chaque ordinateur sans outils correspondants.

Il est nécessaire de sélectionner que maintenant plus que la sécurité examinée complexe de l'espace corporatif d'information jamais est nécessaire des atteintes du côté des malfaiteurs comme du dehors, et de l'intérieur de la compagnie:
- Ces dernières années les experts indiquent que le préjudice causé par les bombes, tout augmente. D'après les données de Computer Economics en 2002 le préjudice a fait environ $11 du milliard, en 2003 ce chiffre a atteint $12,5 du milliard, mais au début de 2004 le préjudice seulement de l'épidémie MyDoom a fait plus de $4 du milliard
- Le préjudice du spam augmente avec chaque année tout plus considérablement: avec la correspondance non invitée est envoyé de plus en plus des bombes et les programmes troyens. En outre le préjudice de la perte du temps de travail sur l'analyse et la lecture du spam pour de différentes estimations fait déjà $50-200 par an dans le compte sur un collaborateur, et ces chiffres continuent à grandir aussi.
- Le volume fixé des pertes des crimes informatiques faits par les pirates, et du vol de l'information confidentielle par les collaborateurs de la compagnie est calculé déjà à centaines de milliards de dollars.

Naturellement, le même moyen de défense ne peut pas simultanément satisfaire aux deux groupes des conditions données contradictoires de l'utilisation, i.e. être effectif dans les applications alternatives. Mais alors il est évident que pour les domaines alternatifs des applications, dans la base de la construction des moyens de défense doivent être mis et les principes alternatifs.

Au choix des moyens de défense des données confidentielles de l'organisation de projets dominant sont les questions de la sécurité dans les applications, et non les simplicités de l'interface et la fréquence de l'enrichissement la base des signatures révélées. En effet, quand les paroles passent sur les applications corporatives, déjà au chef de l'angle on met l'objectif de la sécurité effective de l'information, qui doit se décider professionnellement. Non par hasard que la sécurité de l'information dans les applications données est réglementée par les documents correspondants normatifs, les moyens de défense supposent leur certification, mais le système (AS) automatisé du vidéonique l'attestation, mais tout au total l'analyse qualifiée de la suffisance et la convenance de l'implémentation des mécanismes de la sécurité.

La base du support de la sécurité d'information dans les applications données notamment les mécanismes de la sécurité réalisant la politique de démarcation de l'accès aux ressources, et non déjà font les dispositifs de contrôle les plus simples!

La condition la plus importante de la construction de la sécurité dans les applications corporatives est ce que proprement l'utilisateur doit être examiné à titre du malfaiteur principal potentiel. Comme indiquaient, c'est conditionné par ce que l'utilisateur travaille ici l'information non personnelle, mais corporatif, donc, peut être intéressé par son pillage. Par voie de conséquence, il y a une nécessité de l'exception de l'utilisateur du schéma du directivisme du moyen de défense. Ici le travail de quelques questions à l'utilisateur, les réponses sur qui définissent les actions du système déjà n'est pas admissible. Il y a un gestionnaire de la sécurité, chacun le dialogue au moyen de défense est possible seulement avec le gestionnaire. En tenant compte de ce que, en général, le gestionnaire de la sécurité de répondre pour la sécurité la possibilité de la chose semblable doit n'a personne de l'assortiment des ordinateurs au réseau (le nombre de qui peut être défini à centaines) du dialogue est exclu principalement.

Nous amènerons la classification connue agrandie des attaques virulentes:
1. Les programmes nuisibles. Les programmes séparés, qui accomplissent n'importe quelles actions destructives/non sanctionnées.
2. Les bombes. Les programmes d'habitude n'ayant pas la cellule flexible personnelle exécutée et vivant (en général, la contamination se réalise selon le moyen de leur adjonction au fichier exécuté) à l'intérieur d'un autre objet de fichier ou la partie du porteur physique.
3. Les Macro-bombes les programmes, pour l'exécution de qui on demande environnement défini de l'exécution. Au même groupe nous pouvons porter et les applications de bureau, permettant de créer et connecter les macros.
4. Les vers. La variété 1,2,3 utilisant les possibilités de réseau pour la contamination.

De cette classification ce suit que la menace de l'attaque virulente est portée dans elle-même par le procès, pour quelques raisons réalisant cette action, de qui il est nécessaire de se défendre. En vertu de tout dit, nous pouvons faire la sortie sur ce que l'objectif de la sécurité antivirale peut se décider par les mécanismes réalisant la politique de démarcation de l'accès aux ressources. En effet, permettez le démarrage sur l'ordinateur protégé seulement procès sanctionnés (y compris, systémique) et prévenez n'importe quelle possibilité de la modification de leurs fichiers exécutés oublierez, les autres programmes d'espion et destructifs. De plus l'objectif se décide en vue générale vous permettez de lancer seulement les programmes nécessaires, le démarrage des autres est interdit, en dehors de la dépendance du moyen de leur enregistrement sur l'ordinateur il ne faut pas les révélations de quelques signatures, quelque contrôle les comparaisons avec le standard. Si vous pour quelques raisons ne croyez pas à quelques procès sanctionnés (par exemple, les applications de bureau, permettant de lancer les macros), on peut établir pour eux les démarcations personnelles (par exemple, ayant prévenu ceux-ci la possibilité de la modification du disque systémique et le registre des GUÊPES). Cela se réalise de nouveau par la politique de démarcation de l'accès aux ressources, mais déjà non pour les écritures comptables, mais pour les procès (notamment le procès joue le rôle du sujet de l'accès).

Nous voyons qu'est reçu une tout à fait autre décision de l'objectif de la sécurité antivirale, permettant effectivement de résister en vue générale connu, ainsi que n'importe quelles bombes potentiellement possibles. Apparaît involontairement la question s'il y a des technologies semblables, pourquoi sur eux n'ont pas passé ? Mais voici se manifeste ici le principe le plus important les domaines alternatifs des applications des moyens de défense de l'information demandent les approches alternatives de leur construction. S'imaginez ordinaire l'utilisateur, à qui il faudra adapter le caractère fermé de l'environnement de programme, les démarcations pour les procès, y compris pour les systémiques. Tout cela n'est pas difficile en présence de la qualification correspondante, mais si de cela s'occupera le possesseur ordinaire du péco, il demande ? Mais si tente, ce que l'on le réussira ? Voici il utilise les moyens réalisés sur les dispositifs de contrôle cela il vaut mieux, que rien.

Nous examinerons la base méthodologique de la formalisation des exigences aux moyens de défense de l'information.

Notamment la vulnérabilité du système de la sécurité est un indice du système, mais la présence (absence) vulnérabilités est la caractéristique de la sécurité du système. Donc, notamment le support de l'absence vulnérabilités les sécurités doit être est dû à la base de la formalisation des exigences aux moyens de défense de l'information.

Puisque la raison de la vulnérabilité de la sécurité peut être ou l'incorrection de l'implémentation du mécanisme de la sécurité, ou l'insuffisance de l'assortiment des mécanismes de la sécurité pour les conditions de l'utilisation de l'objet protégé de l'informatisation, il faut trouver comme la base méthodologique de la formalisation des exigences aux moyens de défense de l'information la définition des exigences à la convenance de l'implémentation des mécanismes de la sécurité et les exigences à la suffisance (la plénitude de l'assortiment) les mécanismes de la sécurité pour les conditions de l'utilisation de l'objet protégé de l'informatisation.

Les exigences formalisées, dans cet aspect, comme ils sont formulés dans les documents normatifs (en vue générale), formulent définitivement les exigences à la convenance des mécanismes de la sécurité.

Les exigences formalisées ont le caractère total, ne supposent pas le détails, conformément aux particularités architecturales du moyen concret systémique que rend possible leur interprétation ambiguë dans chaque cas concret.

Conformément aux domaines concrets des applications, il faut définir les exigences précisant à la convenance de l'implémentation des mécanismes de la sécurité. Le but des exigences précisant est la levée d'ambiguïté de l'interprétation des exigences totales à la construction des moyens de défense pour les applications alternatives.

Les exigences formalisées (principal, ainsi que précisant) doivent être obligatoires pour l'implémentation l'architecte, en dehors de la dépendance du moyen de la formalisation des exigences au moyen de défense, car leur non-exécution porte dans elle-même la vulnérabilité du mécanisme de la sécurité, i.e., au fond, fait l'utilisation pratique du mécanisme donné en plusieurs cas inutile.

Par la condition de la possibilité de l'utilisation du moyen de défense ne réalisant pas en vue générale exigences formalisées à la plénitude des démarcations, sans application, à côté de lui, les moyens de défense encore supplémentaires, dans la partie de l'exécution des exigences non recouvertes, est le déclenchement (ou non l'utilisation) dans le système de ces ressources locales et de réseau, vers qui le moyen de défense n'assure pas le contrôle de l'accès au fond, cela se réalise le changement des conditions de l'utilisation du moyen de défense.

Aucunes substitutions des possibilités techniques du contrôle de l'accès aux ressources du moyen de défense par les mesures d'organisation sont inadmissibles. La mesure uniquement possible dans ce cas d'organisation est un déclenchement de la ressource, l'accès vers qui par le moyen de défense n'est pas contrôlé, et en outre elle est admissible, si la possibilité semblable est techniquement réalisée.

Les exigences de base (l'utilisation horlie de l'ordinateur) à l'assortiment des dispositifs de contrôle de l'accès aux ressources (l'exécution des exigences données doit être obligatoire pour le système de la sécurité à n'importe quelles conditions de l'utilisation de l'ordinateur protégé):
- le contrôle de l'accès aux objets de fichier sur le disque dur;
- le contrôle de l'accès à tous les pools extérieurs et vers les objets de fichier sur les véhicules d'information aliénés (la disquette, la Flash-installation, le CD-ROM le disque etc.);
- le contrôle de l'accès aux objets du registre des GUÊPES;
- le contrôle de l'accès aux dispositifs (y compris leur hiérarchie les ports connectés aux ports du dispositif, les porteurs), i.e. vers tous les objets, interprété des GUÊPES, comme les dispositifs.

Le moyen de défense ne réalisant pas les exigences de base, n'est pas suffisant pour la sécurité de l'information confidentielle travaillée par le moyen calculatoire.

Les exigences supplémentaires:
- le contrôle de l'accès des utilisateurs exclus vers divisé sur l'ordinateur au réseau aux objets de fichier, les pools et les dispositifs;
- le contrôle de l'accès des utilisateurs vers exclu divisé sur les ordinateurs du réseau aux objets de fichier, les pools et les dispositifs;
- le contrôle de l'accès aux ordinateurs généraux exclus et les dispositifs de réseau (ayant l'IP-adresse, par exemple, vers les imprimantes de réseau), en conséquence, des ordinateurs généraux exclus et les dispositifs de réseau.

Le moyen de défense ne réalisant pas supplémentaire vers de base exigence, n'est pas suffisant pour la sécurité de l'information confidentielle travaillée par le moyen calculatoire au nombre du réseau.

Ainsi, nous formulerons les sorties principales:
1. Le moyen de défense de l'information peut être utilisé comme le moyen de défense autosuffisant (sans utilisation, en dehors de lui, les moyens supplémentaires) seulement à la condition de l'exécution définitivement toutes les exigences à la convenance de l'implémentation et à la plénitude de l'assortiment (la suffisance pour le champ d'utilisation) les mécanismes de la sécurité.
2. Les exigences formulées dans les normatifs documents examinés (en particulier, les exigences précisant formulées dans le travail) positionné par nous, comme obligatoire pour l'exécution par l'architecte des moyens de défense. Les exigences données doivent être prises en considération en dehors de la dépendance du moyen de la formalisation des exigences au moyen de défense (à n'importe quel moyen de la formalisation des exigences, ces exigences doivent assister), car eux même la non-exécution partielle porte dans elle-même la vulnérabilité du moyen de défense de l'information forme le fossé vers l'information, par voie de conséquence, la menace de l'élimination par le malfaiteur de la sécurité de l'information.
3. En cas de si quelque mécanisme n'accomplit pas les exigences à la convenance de l'implémentation, il ne doit pas être utilisé et être pris en considération au nombre du moyen de défense de l'information, car ce mécanisme porte dans lui-même la vulnérabilité, par voie de conséquence, la menace d'être le malfaiteur surmonté.
4. En cas de si l'assortiment des mécanismes du moyen de défense n'accomplit pas des exigences à la plénitude (la suffisance pour le champ d'utilisation), le moyen de défense donné n'est pas autosuffisant pour les conditions données de son utilisation. Deux approches de la décision de l'objectif de la sécurité de plus sont possibles ou changer les conditions de l'utilisation du moyen protégé calculatoire (si techniquement c'est possible l'utilisation des mesures d'organisation pour la décision de cet objectif est inadmissible), ou compléter le système de la sécurité avec les autres moyens, en vue de l'exécution par ceux-ci d'au total exigences formalisées à plénitude de l'assortiment des mécanismes de la sécurité.
5. De base et supplémentaire vers de base les exigences à la plénitude de l'assortiment des mécanismes de la sécurité définissent la possibilité de l'utilisation du moyen de défense dans les applications possibles alternatives du moyen protégé calculatoire (l'ordinateur horli, l'ordinateur au nombre du réseau). Donc, chacune des conditions possibles de l'utilisation du moyen calculatoire tombe sous l'ensemble donné des exigences à la plénitude de l'assortiment des mécanismes de la sécurité.

Nous examinerons la sécurité simple et gratuite pour le poste de travail: la passerelle Internet + le Guérite.

Si tous les pécos sont protégés, apparaît la question: mais pourquoi encore en supplément protéger le réseau avec l'aide de la passerelle ? Le problème consiste en ce que tous les ordinateurs locaux se trouvent dans le réseau confié et par le défaut de la cuirasse il y a notamment une passerelle, que s'établit à la frontière du réseau confié et le réseau Internet. Ayant pris la passerelle dans Internet, le malfaiteur se trouve dans le réseau confié de l'organisation accomplissant les travaux d'étude, et peut prendre d'autres ordinateurs du réseau local et recevoir l'accès à une importante documentation de projet et d'études. C'est pourquoi les exigences à la passerelle moderne sont présentées très haut.

La passerelle Internet se trouve dans une série avec d'autres décisions prêtes et doit correspondre à de principaux critères suivants:
- l'universalité (convient de la plupart des organisations de projets);
- le fonctionnement (possède toutes les possibilités nécessaires à la décision des objectifs);
- la sécurité (le non-défaillances du travail dans n'importe quelles conditions);
- le coût bas de la possession (les dépenses minimales sur l'implantation et l'accompagnement, la simplicité dans l'utilisation et la gestion).

Cependant les passerelles Internet les plus répandues aujourd'hui non satisfont entièrement aux exigences modernes.

Ces derniers temps sur le marché mondial il y avait des nouvelles décisions spécialisées pour les entreprises, qui à un petit prix ont une haute sécurité, la sécurité et le coût bas de la possession et peuvent effectivement être appliqués dans les organisations accomplissant les travaux d'étude. Il y a des systèmes semblables et sur le marché russe.

Ainsi, le guérite est nécessaire au contrôle et le bornage du trafic de réseau. Le guérite entre dans l'assortiment du Windows XP Service Pack 2. Le couper on peut à le Centre de la sécurité sur les panneaux de commande. Le manque du guérite XP de ce qu'il bloque seulement signaux entrant. Si la cellule flexible d'espion travaille déjà sur votre ordinateur, vous ne pourrez pas traquer les signaux partant envoyés par lui de votre OP. Le guérite bilatéral est nécessaire à la sécurité absolue. La variante optima, peut-être, la version gratuite ZoneAlarm de Zone Labs. À vrai dire, ZoneAlarm ne supporte pas de vieilles versions du Windows (98, 2000). Si chez vous vieux des GUÊPES, il faut ou d'urgence établir Windows XP SP 2, ou se fendre du guérite payant.

Nous examinerons la cryptographie des données.

Même si personne excepté vous ne se sert de votre OP domestique, d'importantes données se trouvant sur le disque dur, peuvent se trouver en tout cas non dans ces mains. En travail le collègue peut se servir de votre ordinateur, vous manquez. Dans tous les cas, d'importantes données est mieux chiffrer. La plupart des programmes pour la cryptographie des données coûtent l'argent, et plusieurs d'eux pour la plupart des utilisateurs, peut-être. On peut appeler comme une des bonnes variantes l'application gratuite Cryptainer LE. Après l'installation le programme crée sur le disque dur le volume virtuel chiffré. Les fichiers copiés sur ce disque, sont codés automatiquement, pour le travail avec eux on ne demande pas le mot de passe (il est introduit seulement à la connexion du disque virtuel). Le programme permet de chiffrer aussi les entiers UsB-fleshki.

Nous examinerons la sécurité contre les filous (phishing).

Phishing l'aspect de la fraude supposant la diffusion des messageries pour la réception des données confidentielles sur vos comptes à la banque ou l'information personnelle. Le schéma travaille simplement: vous recevez la lettre de la banque, dans le texte à vous demandent de passer selon la référence pour les confirmations avant les données indiquées Ayant passé etc. selon la référence, vous vous trouvez sur le site exactement même, comme près de votre banque. Il est simple défendre ne se servez pas des références indiquées dans les lettres électroniques de votre banque. La sécurité supplémentaire est proposée par les barres d'outils pour les browsers par exemple, Google Toolbar, Netcraft Toolbar etc. ils vous préviendront à temps du danger. Oui, et tous les nouveaux browsers l'Internet Explorer 7 et Firefox 2,0 contiennent les moyens de défense insérés de phishing.

On ne peut pas ouvrir sans vérification préliminaire par les programmes spéciaux les fichiers avec les inconnus à vous par les extensions (ou avec les extensions connues des fichiers exécutés *.com, *.exe, *.bat), transféré par Internet ou reçu selon le courrier électronique. Si vous avez reçu par la poste les fichiers de vos connaissances, demandez préalablement par téléphone, ils vous les expédiaient ou non. Cela permettra d'éviter la contamination de l'ordinateur par les programmes-espions et par les chevaux de Troie.

Nous examinerons lutilisation les procurations.

Le principal ne pas utiliser sur l'ordinateur l'IP-adresse réelle d'Internet, et alors le malfaiteur ne pourra pas être connecté à votre ordinateur. Nous expliquerons en même temps que l'IP-adresse (Internet Protocol Address l'adresse du protocole Internet) est un identificateur unique du dispositif (ordinateur) connecté au réseau local ou Internet, selon lequel il est défini par les dispositifs extérieurs en vue de la réception de lui de l'information ou sa transmission.

Les propriétaires des web-ressources peuvent recevoir sur votre ordinateur beaucoup de données apprendre, de quel système d'exploitation vous vous servez, le nom de l'OP, observer vos navigations aux réseaux, selon IP à l'adresse définir votre position approximative géographique et plusieurs autres. De ces problèmes on peut et éviter, si s'occuper Internet est anonyme on peut acheter le logiciel spécial ou, si on ne veut pas dépenser l'argent, se servir des proksi-serveurs gratuits anonymes. Le proksi-serveur anonyme sert du tampon entre votre ordinateur et le réseau. Dans une telle situation même votre IP-adresse sera dans la sécurité relative, les serveurs, sur qui les sites Internet, travaillent verront IP du proksi-serveur, et non votre ordinateur. Le service semblable accorde, par exemple, le système de l'usage anonyme par le réseau The Cloak. Il Faut passer selon la référence surf! dans un gauche angle de la page et prendre URL de ce site, qu'allez naviguer. On peut à la main adapter aussi le browser sur le travail dans le proksi-serveur. On peut trouver le répertoire des serveurs convenants sur AiS Alive Proxy List (voir à gauche du texte). Inscrivez IP l'adresse du serveur et le numéro du port, qu'il utilise. Par exemple, le chiffre 24.236.148.15:80 signifient l'IP-adresse 24.236.148.15, le port 80. En ayant été défini avec le serveur, dans l'Internet Explorer choisissez les Outils (Outils)-> les Ajustements d'Internet (Internet Options)-> la Composition (Connections)-> les Ajustements du réseau (LAN Settings). Choisissez l'utilisation du proksi-serveur pour le réseau local (Use a proxy server for your LAN) remplissez les zones IP l'adresse et le numéro du port. Bloquez l'utilisation du proksi-serveur pour les adresses locales (le fanion séparé Bypass proxy server for local addresses dans la même fenêtre), puisqu'il n'y a pas de nécessité de l'anonymat du réseau local. Puis appuyez deux fois OK pour la sortie. Si vous êtes connectés à Internet non dans le réseau local, il faut adapter les propriétés de cette composition, avec l'aide de qui vous êtes connectés à Internet: établissez le pointage utiliser le proksi-serveur pour la connexion donnée indiquez IP et le numéro du port. À Firefox choisissez les Outils (Outils)-> les Ajustements (Options)-> Total (General)-> sur les Paramètres de la composition (Connection Settings), appuyez L'ajustement de main proxy (manual proxy configuration), introduisez l'information sur le serveur et appuyez deux fois sur OK.

Nous examinerons la sécurité des fichiers locaux.

Établissez les mots de passe de la longueur pas moins 12 lettres et ne communiquez jamais le mot de passe à personne, même au gestionnaire systémique (il avoir être un mot de passe). Demandez de limiter du gestionnaire systémique l'accès à vos fichiers, excepté ces collaborateurs, à qui c'est nécessaire selon les instructions d'une charge, et au maximum limiter l'accès aux fichiers dans le réseau. Gardez les plus importants fichiers sur la flesh-carte USB, en se servir il n'est pas plus complexe, que la disquette. Changez le mot de passe comme on peut plus souvent: choisissez pour lui-même l'algorithme du remplacement du mot de passe, par exemple, le 1-er de chaque mois. Ne se trouve pas compter sur ce que vos collègues les citoyens respectables, en effet, dans le local peuvent se trouver et les étrangers et commenceront à trier les mots de passe connus: 1 11 12345 le mot de passe 2006 lena2006 etc. Bloquez absolument l'ordinateur ou coupez-le, si quittez du bureau. Demandez d'établir de votre gestionnaire le mot de passe à BIOS sur l'insertion de l'ordinateur et plombez l'ordinateur par l'étiquette avec le sceau.

Soyez attentifs aux spécialistes venant est un des fossés principaux de la fuite des données; inscrivez leurs données du passeport et prenez le récépissé sur la non-divulgation de l'information. Ne laissez jamais sur longtemps disquette clé du système le client-banque dans l'ordinateur ne créez pas sa copie sur l'ordinateur.

Pour la sécurité de l'information du péco utilisent au minimum quatre aspects des programmes:
1. Les antivirus, tels que Kaspersky Antivirus, DrWeb, Norton Antivirus, Panda, NOD32.
2. L'écran personnel d'interréseaux. Tels programmes protègent contre la pénétration à votre ordinateur dans le réseau et bloquent les épidémies virulentes. On peut utiliser le guérite inséré dans le Windows, bien que soient recommandés plus puissant Agnitum Outpost, Symantec Personal Firewall.
3. Les utilitaires pour la révélation des programmes-espions et les programmes troyens. Tels utilitaires sont oubliés souvent par les gestionnaires systémiques, de gratuit on peut recommander Ad-aware la compagnie Lavasoft.
4. Les programmes du copiage de réserve. Ici le choix très large, est mieux consulter avec le gestionnaire systémique pour qu'une importante information de tous les ordinateurs soit doublée sur le porteur de réserve. Vous pouvez et indépendamment créer les copies de réserve des fichiers sur la flesh-carte USB ou réenregistré CD (CD-RW). Ménagez le travail et créez les copies de réserve comme on peut plus souvent, en effet, restaurer le service de comptabilité perdu ou d'importants fichiers à vous il faut à la main.

Nous examinerons la sécurité des utilisateurs et le réseau de l'organisation accomplissant les travaux d'étude.

La passerelle Internet moderne doit assurer en premier lieu la sécurité des utilisateurs et le réseau de l'organisation de projets des attaques du réseau Internet. Pour la décision de cet objectif à Ideco ICS on utilise la technologie NAT (Network Address Translation la transduction des adresses de réseau). Cette technologie cache les utilisateurs des malfaiteurs extérieurs, en faisant invisible du réseau Internet. Une autre importante fonction NAT est l'octroi de l'accès qualitatif à Internet, et en outre tous les programmes d'utilisateur travaillent sans ajustements supplémentaires que distingue avantageusement NAT de la technologie Proxy.

Mais, en dehors des dangers, qui vous guettent directement au réseau Internet, il y a aussi des menaces à l'intérieur de l'organisation accomplissant les travaux d'étude. Par exemple, l'information peut être saisie ou transmise à Internet de la part d'un autre utilisateur. Pour la prévention des menaces semblables en commun avec NAT on utilise la technologie VPN (Virtual Private Network le réseau virtuel privé). Selon VPN le gestionnaire fixe à chaque utilisateur l'IP-adresse personnelle protégée, qui est fixée après lui constamment. L'ordinateur lui-même de l'organisation de projets n'a pas par défaut l'accès à Internet, et seulement après l'entrée connectez-vous et le mot de passe le collaborateur de l'organisation accomplissant les travaux d'étude, reçoit la sortie personnelle protégée au réseau Universel. Outre cela la technologie VPN permet de connecter selon le fossé protégé les filiales et les collaborateurs mobiles travaillant de la maison ou se trouvant dans la mission.

L'écluse Internet Ideco ICS assure la sécurité antivirale. Toute la poste expédiée et acceptée est contrôlée par l'antivirus inséré. Ainsi, à la réception et l'expédition de la poste on peut être assuré qu'elle ne contient pas les bombes et les épidémies virulentes ne frapperont pas votre réseau local dans le système électronique postal.

Nous examinerons le compte du trafic, la planification et le bornage des dépenses.

Mais que faire, si la sécurité était déjà violée ? Dans ce cas se trouvera fort à propos la statistique détaillée. Elle permet d'éclaircir les circonstances a mis déjà après que la sécurité était violée par les collaborateurs peu consciencieux. Avec l'aide de la statistique on peut exactement définir toujours, qui, quand et où a transmis les données. En dehors d'autre cela aide à économiser les ressources matérielles de l'organisation accomplissant les travaux d'étude. Ayant reçu le rapport sur la visite d'Internet dans le MB et en roubles, il est facile à ultérieur de projeter les dépenses sur Internet pour les utilisateurs et les services et établir les bornages correspondants. Souvent les programmes à l'insu de l'utilisateur transfèrent de très grands volumes des données, c'est pourquoi il est nécessaire d'établir la limite et pour les utilisateurs consciencieux, et pour l'organisation en tout, cela permettra d'éviter de grandes dépenses.

La passerelle Internet moderne permet de contrôler les dépenses dans le temps réel, prévenir de l'excédent de dépenses et bloquer l'accès à Internet à l'excès de la limite établie.

Nous examinerons lappariement de formes du trafic conformément à la politique de l'organisation accomplissant les travaux d'étude.

Un important point dans le support de la sécurité d'information est pare-feu, travaillant sur la passerelle. Pare-feu de la passerelle permet d'interdire les protocoles inutiles ou limiter l'accès aux sites définis, ainsi qu'interdire le travail des applications définies, par exemple les programmes du soutien des partage de fichiers réseaux.

Pare-feu à Ideco ICS a une particularité intéressante: il assure le traitement intelligent du trafic en vue de la mise en relief des priorités que permet à d'importantes applications qualitativement de travailler au chargement à cent pour cent du fossé Internet.

Certainement, la passerelle et doit être au maximum protégée. À son choix se trouve accorder l'attention à celui-là, sur la base de quel système d'exploitation il travaille, en effet, à l'hack de la passerelle Internet l'autre sécurité perd simplement le sens. Un des systèmes d'exploitation les plus protégés est aujourd'hui Linux. Plus tôt utiliser Linux pouvaient seulement les entreprises, dans l'État de qui il y a des gestionnaires hautement qualifiés systémiques avec les connaissances spéciales. Aujourd'hui apparaît de plus en plus des produits finis fondés sur Linux. Ainsi, la passerelle Ideco ICS travaille sur les GUÊPES Linux, mais est dirigé dans l'interface graphique simple claire pour l'utilisateur ordinaire.

Nous examinerons lapproche complexe de la sécurité contre les menaces virulentes.

Une telle approche de la sécurité contre le code nuisible prévoit l'application coordonnée des mesures juridiques, d'organisation et software-techniques bloquant au total tous les fossés principaux de l'implémentation des menaces virulentes. Conformément à cette approche à l'organisation on doit réaliser le regroupement suivant des mesures:
- la révélation et l'élimination vulnérabilités, à la base de qui se réalisent les menaces virulentes. Cela permettra d'exclure les raisons de l'apparition possible des attaques virulentes;
- la révélation opportune et le blocage des attaques virulentes;
- la révélation et la liquidation des conséquences des menaces virulentes. La classe donnée des mesures de la sécurité est dirigée sur la minimisation du préjudice porté à la suite de l'implémentation des menaces virulentes.

Il est important de comprendre que l'implémentation effective des mesures énumérées ci-dessus dans l'organisation accomplissant les travaux d'étude, est possible seulement en présence du support normatif-méthodique, technologique et d'image de la sécurité antivirale.

Le support normatif-méthodique de la sécurité antivirale suppose la création de la base équilibrée juridique dans le domaine de la sécurité contre les menaces virulentes. Pour cela dans la compagnie on doit élaborer le regroupement des documents intérieurs normatifs et les procédures assurant le procès de l'exploitation du système de la sécurité antivirale. La composition de tels documents dépend en plusieurs cas des montants de l'organisation, le niveau de la complexité AIS, la quantité d'objets de la sécurité etc. Ainsi, par exemple, pour de grandes organisations le document fondamental normatif dans le domaine de la sécurité contre le code nuisible doit être la conception ou la politique de la sécurité antivirale. Pour de petites compagnies il suffit d'élaborer les ordonnances correspondantes et les règlements du travail des utilisateurs, ainsi que couper les exigences au support de la sécurité antivirale à la composition de la politique de la sécurité d'information de l'organisation.

Dans le cadre du support d'image de la sécurité antivirale dans la compagnie on doit organiser le procès de l'enseignement des collaborateurs à la résistance aux menaces virulentes. Le programme de l'enseignement doit être dirigé sur la minimisation des risques liés aux actions erronées des utilisateurs, les attaques virulentes amenant à l'implémentation. Les exemples de telles actions sont: le démarrage des applications des porteurs non vérifiés extérieurs, l'utilisation instable vers deviner des mots de passe de l'accès, l'injection des ActiveX-objets des sites non coupés au répertoire confiés, etc. En train de l'enseignement doivent être examinés théorique, ainsi que les aspects pratiques de la sécurité antivirale. De plus le programme de l'enseignement peut être fait en fonction des fonctions du collaborateur, ainsi que de celui-là, vers quelles ressources d'information il a l'accès.

Le support technologique est dirigé sur la création du système complexe de la sécurité antivirale (SCS), qui en dehors des antivirus doit comprendre en supplément tels sous-systèmes, comme la sécurité contre le spam, la révélation et la prévention des attaques, la révélation vulnérabilité, le blindage de réseau et le sous-système de la gestion.

Le sous-système de la révélation des bombes logiques est l'élément de base SCS et est destinée à la révélation des divers types des bombes logiques au niveau des postes de travail des utilisateurs, les serveurs, ainsi que les passerelles de réseau. Pour la révélation des bombes le sous-système doit utiliser comme signature, et les méthodes heuristiques de l'analyse. En cas de la révélation de la bombe le sous-système assure la possibilité de la notification de l'utilisateur et le gestionnaire de la sécurité, ainsi que les effacements des bombes révélées des fichiers infectés. Pour la sécurité effective contre les bombes le sous-système doit être fondé sur les noyaux antiviraux des divers producteurs. Cela permettra beaucoup d'augmenter la probabilité de la révélation de la bombe pour le compte de ce que chaque fichier ou le message postal sera contrôlé par de divers moyens. Encore un avantage de l'utilisation des antivirus polycycliques est une plus haute sécurité du travail SCS. En cas de si dans un des noyaux scannant SCS il y aura une panne, il peut être toujours remplacé par un autre noyau actif antiviral. Par l'exemple du produit de programme, qui peut être utilisé pour l'implémentation SCS, est le système Antigen de la compagnie du Microsoft (www.antigen.ru), destiné pour la sécurité antivirale des serveurs Exchange, SharePoint, les SMTP-passerelles et une autre LD appliquée. Le produit donné peut comprendre jusqu'à huit noyaux antiviraux des divers producteurs.



Le sous-système du blindage de réseau est destiné à la sécurité des postes de travail des utilisateurs contre les attaques possibles de réseau virulentes au moyen de l'appariement de formes des paquets de données potentiellement dangereux. Le sous-système doit assurer la possibilité de l'appariement de formes aux niveaux des canaux, de réseau, de transport et appliqués pile TCP/IP. En général, le sous-système donné se réalise à la base des écrans d'interréseaux et personnels de réseau. De plus l'écran d'interréseaux s'établit dans le point de la connexion AIS vers le réseau Internet, mais les écrans personnels s'installent sur les postes de travail des utilisateurs.

Le sous-système de la révélation et la prévention des attaques est destiné à la révélation de l'activité non sanctionnée virulente au moyen de l'analyse des paquets de données circulant à AIS, ainsi que les événements enregistrés sur les serveurs et les postes de travail des utilisateurs. Le sous-système complète les fonctions des écrans d'interréseaux et personnels pour le compte de la possibilité de l'analyse plus détaillée contextuelle du contenu des paquets de données transmis. Ce sous-système comprend les composants suivants:
- De réseau et les host détecteurs destinés à la taxe de l'information nécessaire sur le fonctionnement AIS. Les détecteurs de réseau se réalisent en forme des software-ateliers d'appareil séparés des blocs et sont destinés à la recherche d'information sur tous les paquets de données transmis dans le cadre de ce segment de réseau, où on établit le détecteur. Le type donné des détecteurs doit assister dans tous les segments clés AIS , où on dispose les noeuds protégés du système. Les détecteurs hostovye s'établissent sur les postes de travail et les serveurs AIS et collectent l'information sur tous les événements se passant sur ces noeuds du système. Les détecteurs hostovye peuvent collecter l'information non seulement sur les paquets de données, mais aussi sur d'autres opérations, qui sont accomplies par les applications lancées sur le noeud AIS ;
- La cellule flexible de la révélation des attaques, accomplissant le multicheminement, collecté par les détecteurs, en vue de la révélation des attaques d'information du violateur. La cellule flexible donnée du sous-système doit réaliser et les signature méthodes comportementales de l'analyse de l'information;
- La cellule flexible de la réaction sur les attaques découvertes. La cellule flexible doit prévoir la possibilité passif, ainsi que la réaction active. La réaction passive suppose la notification du gestionnaire sur l'attaque révélée, pendant qu'actif le blocage de la tentative de l'implémentation de l'attaque virulente;
- La cellule flexible du stockage des données, dans qui l' information de configuration, ainsi que les résultats du travail du sous-système se trouve.

Le sous-système de la révélation vulnérabilités doit assurer la possibilité de la révélation technologique et d'exploitation vulnérabilités AIS au moyen de la tenue du scanning de réseau. À titre des objets du scanning les postes de travail des utilisateurs, les serveurs, ainsi que l'équipement de communication peuvent se produire. Pour la tenue du scanning peuvent être utilisés passif, ainsi que les méthodes actives de la recherche d'information. D'après les résultats du travail le sous-système doit générer le rapport détaillé comprenant l'information sur découvert vulnérabilités, ainsi que les recommandations sur leur élimination. En commun avec le sous-système de la révélation vulnérabilités à AIS on peut utiliser le système de gestion les cellules flexibles des rénovations échelle du système et software appliquée établie à AIS. Le Partage de ces systèmes permettra d'automatiser le procès de l'élimination révélé vulnérabilités par voie de l'installation des rénovations nécessaires sur les noeuds AIS (service pack, hotfix, patch etc.).

Le sous-système de la sécurité contre le spam est dirigé sur le blocage des messages postaux du caractère publicitaire. Pour cela le sous-système doit supporter la possibilité du travail avec les répertoires RBL (Real-Time Black Lists), ainsi que réaliser personnel ou les signature méthodes comportementales de la révélation du spam. Le sous-système s'établit pour que tous les messages entrant postaux entrant d'Internet, au départ passaient dans son filtre contextuel, mais puis se trouvaient sur le serveur corporatif postal.

Le sous-système de la gestion de la sécurité antivirale est destiné à l'exécution des fonctions suivantes:
- l'installation exclue et désinstaller des moyens antiviraux pour les serveurs et les postes de travail des utilisateurs;
- la gestion exclue par les paramètres du travail des sous-systèmes de la sécurité faisant partie SCS;
- la taxe centralisée et l'analyse de l'information entrant d'autres sous-systèmes. La fonction donnée permet d'automatiser le procès du traitement des données entrant, ainsi qu'augmenter la rapidité d'intervention de la prise de décisions selon la réaction des incidents révélés liés à la violation de la sécurité antivirale.

L'implantation du système complexe de la sécurité antivirale, représente le procès assez complexe à plusieurs degrés, qui comprend les étapes suivantes:
- l'audit de la sécurité d'information AIS, qui est dirigé sur la taxe de l'information initiale nécessaire à l'élaboration du plan de l'implantation SCS;
- la formation des exigences vers SCS, destiné à la sécurité AIS. À l'étape donnée on forme le cahier des charges sur l'implantation SCS;
- l'élaboration du tehniko-projet d'exécution selon l'implantation SCS, contenant la description des décisions de projets, les schémas de l'installation, les paramètres de l'ajustement SCSet d'autres données de service;
- l'enseignement du personnel de l'organisation responsable pour le directivisme SCS;
- les travaux de mise en route liés au déploiement SCS;
- l'accompagnement technique SCS, dans les bordures de qui on résout les problèmes liés au service du système en train de son exploitation.

La composition des étapes et leur durée dépendent de la dimension de protégé AIS, ainsi que des échelles de l'implantation SCS. Les travaux liés à l'installation et l'exploitation du système de la révélation des attaques, peuvent être passés comme par les forces personnelles de l'organisation de projets, et avec la poursuite des organisations extérieures se spécialisant sur la prestation de services dans le domaine de la sécurité d'information. De plus certaines étapes peuvent s'unir ou être passées simultanément. Ainsi, par exemple, l'élaboration du tehniko-projet d'exécution et l'enseignement du personnel de l'organisation accomplissant les travaux d'étude, peuvent se réaliser parallèlement.

En résumé

Dans l'article donné nous avons tenté d'argumenter que les exigences aux moyens de défense et aux approches à leur implémentation sont définies entièrement par l'application (le domaine de l'utilisation pratique) les moyens de défense. Les critères de l'efficacité des moyens de défense destinés à l'utilisation personnelle et corporative dans le cadre de l'exécution des projets clés en main se distinguent principalement, par voie de conséquence, nécessaires sont les décisions l'unes et l'autres. Cependant principalement incorrecte tiendra la conversation sur l'efficacité du moyen de défense, non conformément aux conditions de son utilisation pratique. Aussi le consommateur doit comprendre que le moyen de défense peut être ou simple (dans l'exploitation et le directivisme), ou assurer la sécurité effective. De l'autre n'est pas donné sont trop diverses les exigences à l'implémentation. Pour chacun de ces moyens est la niche le domaine de leur utilisation pratique. En choisissant entre la simplicité et l'efficacité de la sécurité, l'utilisateur doit nettement comprendre, dans quoi comprennent les dignités et les manques des moyens de défense pour les applications alternatives.


Les sources:
1. Scheglov A.U. Protection des données informatiques d'un accès non autorisé. M.: Science et technique, 2004.  384 p.
2. Les décisions corporatives [http://www.kaspersky.ru/corporatesolutions]
3. Lebedev P. La sécurité pour l'ordinateur: simplement et gratuitement [http://www.gazeta.ru/techzone/2006/11/02_a_1003191.shtml]
4. Larionova N. L'ennemi ne passera pas. 2006 [http://www.buhcomp.ru/htm/new_namb/arhive_2006/06/statyi/statya_2.shtml]
5. Serdyuk V. Une approche globale de la lutte contre les attaques de virus la garantie de la sécurité effective de la compagnie//Comptable et l'ordinateur. 2007.  #3 [http://www.buhcomp.ru/htm/new_namb/arhive_2007/03/statyi/statya_3.shtml]

L'auteur:
La date: 23/03/2010

Les commentaires des spécialistes de :
Non

© –  info@chepr.ru, 2007-2013
DRA.RU - ;  «»
| ||
 / |