தகவல் பாதுகாப்பு
தகவல் பாதுகாப்பு
1. தகவல் பாதுகாப்பு பற்றிய கருத்து
2. தகவல் பாதுகாப்பு மற்றும் இணையம்
3. தகவல் பாதுகாப்பு முறைகள்
இலக்கியம்
1. தகவல் பாதுகாப்பு பற்றிய கருத்து
தகவல் பாதுகாப்பு என்பது தற்செயலான அல்லது தீங்கிழைக்கும் தாக்கங்களிலிருந்து தகவலின் பாதுகாப்பையும் அதன் துணை உள்கட்டமைப்பையும் குறிக்கிறது, இது தகவலுக்கும், அதன் உரிமையாளர்களுக்கும் அல்லது துணை உள்கட்டமைப்பிற்கும் சேதம் விளைவிக்கும்.
அமைப்பின் தகவல் பாதுகாப்பு - நிறுவனத்தின் தகவல் சூழலின் பாதுகாப்பு நிலை, அதன் உருவாக்கம், பயன்பாடு மற்றும் மேம்பாட்டை உறுதி செய்கிறது.
நவீன சமுதாயத்தில், தகவல் கோளத்தில் இரண்டு கூறுகள் உள்ளன: தகவல்-தொழில்நுட்பம் (தொழில்நுட்பம், தொழில்நுட்பம் போன்றவற்றின் உலகத்தை மனிதனால் செயற்கையாக உருவாக்கியது) மற்றும் தகவல்-உளவியல் (மனிதன் உட்பட வாழ்க்கை இயற்கையின் இயற்கையான உலகம்). அதன்படி, பொதுவான விஷயத்தில், ஒரு சமூகத்தின் (மாநிலத்தின்) தகவல் பாதுகாப்பு இரண்டு கூறுகளால் குறிப்பிடப்படலாம்: தகவல் மற்றும் தொழில்நுட்ப பாதுகாப்பு மற்றும் தகவல் மற்றும் உளவியல் (மனோதத்துவ) பாதுகாப்பு.
மூன்று வகைகளிலிருந்து ஒரு மாதிரி பெரும்பாலும் ஒரு நிலையான பாதுகாப்பு மாதிரியாகக் குறிப்பிடப்படுகிறது:
இரகசியத்தன்மை - தகவலுக்கான நிலை, அதை அணுகுவதற்கான உரிமை உள்ள நிறுவனங்களால் மட்டுமே மேற்கொள்ளப்படுகிறது;
நேர்மை - தகவலின் அங்கீகாரமற்ற மாற்றத்தைத் தவிர்ப்பது;
அணுகல் - அணுகல் உரிமைகளைப் பெற்ற பயனர்களிடமிருந்து தகவல்களை தற்காலிகமாக அல்லது நிரந்தரமாக மறைப்பதைத் தவிர்ப்பது.
பாதுகாப்பு மாதிரியின் எப்போதும் கட்டாயமற்ற பிற பிரிவுகள் உள்ளன:
நிராகரித்தல் அல்லது முறையீடு - எழுத்தாளரை நிராகரிக்காதது சாத்தியமற்றது;
பொறுப்புக்கூறல் - அணுகல் மற்றும் அதன் செயல்களின் பதிவு ஆகியவற்றை அடையாளம் காண்பதை உறுதி செய்தல்;
நம்பகத்தன்மை - நோக்கம் கொண்ட நடத்தை அல்லது முடிவுக்கு இணங்க ஒரு சொத்து;
நம்பகத்தன்மை அல்லது நம்பகத்தன்மை - பொருள் அல்லது ஆதாரம் கோரப்பட்டதற்கு ஒத்ததாக இருப்பதை உறுதிப்படுத்தும் ஒரு சொத்து.
நிறுவனத்தின் தகவல் பாதுகாப்பிற்கு தீங்கு விளைவிக்கும் செயல்களை பல பிரிவுகளாக பிரிக்கலாம்:
2. ஹேக்கர்களால் மேற்கொள்ளப்படும் "மின்னணு" வெளிப்பாடு முறைகள். ஹேக்கர்கள் கணினி குற்றங்களில் தொழில் ரீதியாக (போட்டியின் கட்டமைப்பை உள்ளடக்கியது) சம்பந்தப்பட்டவர்கள், மற்றும் ஆர்வத்திற்கு அப்பாற்பட்டவர்கள் என்று புரிந்து கொள்ளப்படுகிறார்கள். இத்தகைய முறைகள் பின்வருமாறு: கணினி நெட்வொர்க்குகளில் அங்கீகரிக்கப்படாத நுழைவு; டாஸ் தாக்குதல்கள்.
நிறுவன நெட்வொர்க்கில் வெளியில் இருந்து அங்கீகரிக்கப்படாத ஊடுருவலின் நோக்கம் தீங்கு விளைவித்தல் (தரவை அழித்தல்), ரகசிய தகவல்களைத் திருடி சட்டவிரோத நோக்கங்களுக்காகப் பயன்படுத்துதல், மூன்றாம் தரப்பு தளங்களில் தாக்குதல்களை ஒழுங்கமைக்க பிணைய உள்கட்டமைப்பைப் பயன்படுத்துதல், கணக்குகளிலிருந்து நிதிகளைத் திருடுவது போன்றவை இருக்கலாம்.
DOS வகையின் தாக்குதல் (சேவை மறுப்பு - “சேவை மறுப்பு” என சுருக்கமாக) அதன் பாதுகாப்பான மற்றும் திறமையான செயல்பாட்டிற்கு (கோப்பு, அஞ்சல் சேவையகங்கள்) பொறுப்பான ஒரு நிறுவன வலையமைப்பின் முனைகளில் வெளிப்புற தாக்குதல் ஆகும். தாக்குபவர்கள் அதிக சுமைகளை ஏற்படுத்துவதற்காக இந்த முனைகளுக்கு தரவு பாக்கெட்டுகளை பெருமளவில் அனுப்ப ஏற்பாடு செய்கிறார்கள், இதன் விளைவாக, அவற்றை சிறிது நேரம் முடக்கலாம். இது, ஒரு விதியாக, பாதிக்கப்பட்ட நிறுவனத்தின் வணிக செயல்முறைகளில் மீறல்கள், வாடிக்கையாளர்களை இழத்தல், நற்பெயருக்கு சேதம் போன்றவற்றை ஏற்படுத்துகிறது.
3. கணினி வைரஸ்கள். வெளிப்பாட்டின் மின்னணு முறைகளின் தனி வகை கணினி வைரஸ்கள் மற்றும் பிற தீங்கிழைக்கும் நிரல்கள் ஆகும். அவை நவீன வணிகத்திற்கு உண்மையான ஆபத்தை குறிக்கின்றன, இது கணினி நெட்வொர்க்குகள், இணையம் மற்றும் மின்னஞ்சலை பரவலாகப் பயன்படுத்துகிறது. கார்ப்பரேட் நெட்வொர்க்கின் முனைகளில் வைரஸ் ஊடுருவுவது அவற்றின் செயல்பாட்டை சீர்குலைப்பது, வேலை செய்யும் நேரம் இழப்பு, தரவு இழப்பு, ரகசிய தகவல்களை திருடுவது மற்றும் நிதி ஆதாரங்களை நேரடியாக திருடுவது போன்றவற்றுக்கு வழிவகுக்கும். கார்ப்பரேட் நெட்வொர்க்கில் ஊடுருவக்கூடிய ஒரு வைரஸ் நிரல் தாக்குதல் நடத்துபவர்களுக்கு நிறுவனத்தின் செயல்பாடுகளில் பகுதி அல்லது முழு கட்டுப்பாட்டை வழங்க முடியும்.
4. ஸ்பேம். ஒரு சில ஆண்டுகளில், ஸ்பேம் ஒரு சிறிய எரிச்சலூட்டும் காரணியிலிருந்து மிகவும் கடுமையான பாதுகாப்பு அச்சுறுத்தல்களில் ஒன்றாக மாறியுள்ளது: மின்னஞ்சல் சமீபத்தில் தீம்பொருள் விநியோகத்திற்கான முக்கிய சேனலாக மாறியுள்ளது; ஸ்பேம் செய்திகளைக் காணவும் பின்னர் நீக்கவும் நிறைய நேரம் எடுக்கும், ஊழியர்களுக்கு உளவியல் அச om கரியத்தை ஏற்படுத்துகிறது; தனிநபர்கள் மற்றும் நிறுவனங்கள் ஸ்பேமர்களால் மேற்கொள்ளப்படும் மோசடி திட்டங்களுக்கு பலியாகின்றன; முக்கியமான கடிதங்கள் பெரும்பாலும் ஸ்பேமுடன் நீக்கப்படும், இது வாடிக்கையாளர்களின் இழப்பு, ஒப்பந்தங்களை முடித்தல் மற்றும் பிற விரும்பத்தகாத விளைவுகளுக்கு வழிவகுக்கும்; ஆர்.பி.எல் மற்றும் பிற "கச்சா" ஸ்பேம் வடிகட்டுதல் முறைகளின் தடுப்புப்பட்டியல்களைப் பயன்படுத்தும் போது கடித இழப்பு ஏற்படும் ஆபத்து குறிப்பாக அதிகரிக்கிறது.
5. "இயற்கை" அச்சுறுத்தல்கள். பல்வேறு வெளிப்புற காரணிகள் ஒரு நிறுவனத்தின் தகவல் பாதுகாப்பை பாதிக்கலாம்: தரவு இழப்புக்கான காரணம் முறையற்ற சேமிப்பு, கணினிகள் மற்றும் ஊடகங்களின் திருட்டு, கட்டாய மஜூர் போன்றவை.
எனவே, நவீன நிலைமைகளில், ஒரு வளர்ந்த தகவல் பாதுகாப்பு அமைப்பின் இருப்பு எந்தவொரு நிறுவனத்தின் போட்டித்திறன் மற்றும் நம்பகத்தன்மைக்கு மிக முக்கியமான நிபந்தனைகளில் ஒன்றாக மாறி வருகிறது.
2. தகவல் பாதுகாப்பு மற்றும் இணையம்
சமீபத்திய தகவல்தொடர்பு கருவிகளைப் பயன்படுத்தி தொடர்பு இணையத்தை உறிஞ்சிவிட்டது. உலகளாவிய தகவல் வலையமைப்பு வேகமாக வளர்ந்து வருகிறது, பங்கேற்பாளர்களின் எண்ணிக்கை தொடர்ந்து அதிகரித்து வருகிறது. சில தகவல்களின்படி, சுமார் 1.5 பில்லியன் பக்கங்கள் பிணையத்தில் பதிவு செய்யப்பட்டுள்ளன. சிலர் ஆறு மாதங்கள் வரை "வாழ்கிறார்கள்", சிலர் தங்கள் உரிமையாளர்களுக்காக முழு பலத்துடன் வேலை செய்கிறார்கள் மற்றும் பெரிய லாபத்தைக் கொண்டு வருகிறார்கள். நெட்வொர்க்கில் உள்ள தகவல்கள் மனித வாழ்க்கை மற்றும் சமூகத்தின் அனைத்து அம்சங்களையும் உள்ளடக்கியது. பயனர்கள் தங்களின் இந்த வடிவத்தையும் அவர்களின் செயல்பாடுகளையும் நம்புகிறார்கள். இருப்பினும், கணினி தொழில்நுட்பத் துறையில் அனுபவம் இணைய வளங்களை நியாயமற்ற முறையில் பயன்படுத்துவதற்கான எடுத்துக்காட்டுகள் நிறைந்துள்ளது.
கணினி நெட்வொர்க்குகள் ஊடுருவுவதற்கு முக்கிய காரணம் பயனர்களின் கவனக்குறைவு மற்றும் ஆயத்தமற்ற தன்மை என்று நிபுணர்கள் கூறுகின்றனர். இது சாதாரண பயனர்களுக்கு மட்டுமல்ல, கணினி பாதுகாப்புத் துறையில் நிபுணர்களுக்கும் பொதுவானது. அதே நேரத்தில், காரணம் அலட்சியம் மட்டுமல்ல, தகவல் தொழில்நுட்பத் துறையில் பாதுகாப்பு நிபுணர்களின் ஒப்பீட்டளவில் சிறிய அனுபவமும் ஆகும். நெட்வொர்க் தொழில்நுட்பங்கள் மற்றும் இணையத்திற்கான சந்தையின் விரைவான வளர்ச்சியே இதற்குக் காரணம்.
காஸ்பர்ஸ்கி ஆய்வகத்தின் கூற்றுப்படி, கணினியில் நுழையும் மொத்த தீங்கிழைக்கும் நிரல்களில் 90% இணையம் வழியாகவும், மின்னஞ்சல் வழியாகவும், இணையத்தில் உலாவவும் பயன்படுத்தப்படுகிறது. இத்தகைய திட்டங்களில் ஒரு சிறப்பு இடம் ஒரு முழு வகுப்பினரால் ஆக்கிரமிக்கப்பட்டுள்ளது - இணைய புழு. சுய-பிரச்சாரம், வேலையின் பொறிமுறையைப் பொருட்படுத்தாமல், பாதிக்கப்பட்ட கணினியின் அமைப்புகளை மாற்றுவது, முகவரி புத்தகம் அல்லது மதிப்புமிக்க தகவல்களைத் திருடுவது, பயனரைத் தவறாக வழிநடத்துதல், கணினியிலிருந்து நோட்புக்கிலிருந்து எடுக்கப்பட்ட முகவரிகளுக்கு அஞ்சலை உருவாக்குதல், கணினியை ஒருவரின் வளமாக்குதல் போன்ற முக்கிய பணிகளைச் செய்கிறது. அவற்றின் சொந்த நோக்கங்களுக்காக வளங்களின் ஒரு பகுதியை எடுத்துக் கொள்ளுங்கள் அல்லது மோசமான நிலையில் அவை சுய அழிவை ஏற்படுத்தி, அனைத்து வட்டுகளிலும் உள்ள எல்லா கோப்புகளையும் அழிக்கும்.
நிறுவனத்தின் தகவல் பாதுகாப்புக் கொள்கையை பிரதிபலிக்கும் நிறுவனத்தில் நன்கு வளர்ந்த ஆவணத்தைப் பயன்படுத்துவதன் மூலம் இவை மற்றும் பிற தொடர்புடைய பிரச்சினைகள் அனைத்தும் தீர்க்கப்படலாம். அத்தகைய ஆவணத்தில் பின்வரும் விதிகள் தெளிவாக உச்சரிக்கப்பட வேண்டும்:
நிறுவன தகவலுடன் வேலை எவ்வாறு மேற்கொள்ளப்படுகிறது;
அணுகல் யாருக்கு;
நகல் மற்றும் சேமிப்பு அமைப்பு;
பிசி இயக்க முறைமை;
உபகரணங்கள் மற்றும் மென்பொருட்களுக்கான பாதுகாப்பு மற்றும் பதிவு ஆவணங்களின் கிடைக்கும் தன்மை;
பிசி மற்றும் பயனரின் பணியிடங்கள் அமைந்துள்ள வளாகத்திற்கான தேவைகளைப் பூர்த்தி செய்தல்;
அறிவுறுத்தல்கள் மற்றும் தொழில்நுட்ப ஆவணங்களின் கிடைக்கும் தன்மை;
வேலை செய்யும் பத்திரிகைகளின் கிடைக்கும் தன்மை மற்றும் அவற்றின் பராமரிப்புக்கான நடைமுறை.
கூடுதலாக, குறிப்பிட்ட கால இடைவெளிகளில் வெளியிடப்பட்ட தொழில்நுட்ப மற்றும் தகவல் அமைப்புகளின் வளர்ச்சியை தொடர்ந்து கண்காணிப்பது அல்லது அத்தகைய கருத்தரங்குகளில் விவாதிக்கப்பட்ட நிகழ்வுகளைப் பின்பற்றுவது அவசியம்.
எனவே, ரஷ்ய கூட்டமைப்பின் தலைவரின் ஆணையின்படி, “சர்வதேச தகவல் பரிமாற்றத்தின் தகவல் மற்றும் தொலைத்தொடர்பு நெட்வொர்க்குகளைப் பயன்படுத்தும் போது ரஷ்ய கூட்டமைப்பின் தகவல் பாதுகாப்பை உறுதி செய்வதற்கான நடவடிக்கைகளில்”, தகவல் அமைப்புகள், தகவல் மற்றும் தொலைத்தொடர்பு நெட்வொர்க்குகள் மற்றும் தகவல்களைக் கொண்ட தகவல்களை சேமிக்க, செயலாக்க அல்லது கடத்த பயன்படும் கணினி சாதனங்களை இணைக்க தடை விதிக்கப்பட்டுள்ளது. மாநில இரகசியங்களை உருவாக்குதல், அல்லது மாநில அமைப்புகள் வைத்திருக்கும் தகவல்கள் மற்றும் அதிகாரப்பூர்வ தகவல்களைக் கொண்டிருக்கும் தகவல்கள் தகவல் மற்றும் தொலைத்தொடர்பு நெட்வொர்க்குகள் வது இரகசிய, இண்டர்நெட் உட்பட ரஷியன் கூட்டமைப்பின் மாநில எல்லை ஆகிய துறைகளுக்கு இடையே தகவல் பரிமாற்ற முன்னெடுக்க அனுமதிக்கிறது.
சர்வதேச தகவல் பரிமாற்றத்தின் தகவல் மற்றும் தொலைத்தொடர்பு நெட்வொர்க்குகளுடன் குறிப்பிட்ட தகவல் அமைப்புகள், தகவல் மற்றும் தொலைத்தொடர்பு நெட்வொர்க்குகள் மற்றும் கணினி உபகரணங்களை இணைக்க வேண்டியது அவசியமானால், இதற்காக ஒரு விசேஷமாக வடிவமைக்கப்பட்ட தகவல் பாதுகாப்பு கருவிகளைப் பயன்படுத்துவதன் மூலம் மட்டுமே இதுபோன்ற இணைப்பு செய்யப்படுகிறது, இதில் குறியாக்கம் (கிரிப்டோகிராஃபிக்) என்பது சட்டத்தால் நிறுவப்பட்ட முறையில் நிறைவேற்றப்பட்டது ரஷ்ய கூட்டமைப்பின் கூட்டாட்சி பாதுகாப்பு சேவையுடன் சான்றிதழ் பெறுவதற்கான RF நடைமுறை மற்றும் (அல்லது) உறுதிப்படுத்தல் பெற்றது தொழில்நுட்ப மற்றும் ஏற்றுமதி கட்டுப்பாட்டுக்கான கூட்டாட்சி சேவையுடன் இணங்குதல்.
3. தகவல் பாதுகாப்பு முறைகள்
காஸ்பர்ஸ்கி ஆய்வகத்தின் வல்லுநர்களின் கூற்றுப்படி, தகவல் பாதுகாப்பை உறுதி செய்யும் பணி முறையாக கவனிக்கப்பட வேண்டும். இதன் பொருள் பல்வேறு பாதுகாப்பு வழிமுறைகள் (வன்பொருள், மென்பொருள், உடல், நிறுவன, முதலியன) ஒரே நேரத்தில் மற்றும் மையப்படுத்தப்பட்ட நிர்வாகத்தின் கீழ் பயன்படுத்தப்பட வேண்டும். அதே நேரத்தில், கணினி கூறுகள் ஒருவருக்கொருவர் இருப்பதைப் பற்றி "தெரிந்து கொள்ள வேண்டும்", தொடர்பு கொள்ள வேண்டும் மற்றும் வெளிப்புற மற்றும் உள் அச்சுறுத்தல்களுக்கு எதிராக பாதுகாப்பை வழங்க வேண்டும்.
இன்று, தகவல் பாதுகாப்பை உறுதி செய்வதற்கான வழிமுறைகளின் பெரிய ஆயுதங்கள் உள்ளன:
பயனர்களின் அடையாளம் மற்றும் அங்கீகாரத்திற்கான வழிமுறைகள் (சிக்கலான 3A என அழைக்கப்படுபவை);
கணினிகளில் சேமிக்கப்பட்ட மற்றும் நெட்வொர்க்குகள் வழியாக அனுப்பப்படும் தகவல்களை குறியாக்க வழிமுறைகள்;
ஃபயர்வால்கள்;
மெய்நிகர் தனியார் நெட்வொர்க்குகள்;
உள்ளடக்க வடிகட்டுதல் கருவிகள்;
வட்டு உள்ளடக்கங்களின் ஒருமைப்பாட்டை சரிபார்க்கும் கருவிகள்;
வைரஸ் தடுப்பு கருவிகள்;
பிணைய பாதிப்பு கண்டறிதல் அமைப்புகள் மற்றும் பிணைய தாக்குதல் பகுப்பாய்விகள்.
இந்த கருவிகள் ஒவ்வொன்றும் சுயாதீனமாகவும் மற்றவர்களுடன் ஒருங்கிணைக்கவும் பயன்படுத்தப்படலாம். இது எந்தவொரு சிக்கலான மற்றும் உள்ளமைவின் நெட்வொர்க்குகளுக்கான தகவல் பாதுகாப்பு அமைப்புகளை உருவாக்குவதை சாத்தியமாக்குகிறது.
“சிக்கலான 3A” இல் அங்கீகாரம் (அல்லது அடையாளம் காணல்), அங்கீகாரம் மற்றும் நிர்வாகம் ஆகியவை அடங்கும். அடையாளம் மற்றும் அங்கீகாரம் தகவல் பாதுகாப்பின் முக்கிய கூறுகள். நீங்கள் தகவல் சொத்துக்களை அணுக முயற்சிக்கும்போது, \u200b\u200b“நீங்கள் யார்?” மற்றும் “நீங்கள் எங்கே?” என்ற கேள்விக்கு அடையாள செயல்பாடு பதிலளிக்கிறது - நீங்கள் பிணையத்தின் அங்கீகரிக்கப்பட்ட பயனரா? ஒரு குறிப்பிட்ட பயனருக்கு எந்த ஆதாரங்களை அணுக முடியும் என்பதற்கு அங்கீகார செயல்பாடு பொறுப்பு. கொடுக்கப்பட்ட நெட்வொர்க்கில் பயனருக்கு சில அடையாள அம்சங்களைக் கொடுப்பது மற்றும் அவருக்கான சரியான செயல்களின் நோக்கத்தை தீர்மானிப்பதில் நிர்வாக செயல்பாடு உள்ளது.
குறியீட்டு அமைப்புகள் ஒரு வன் வட்டு அல்லது பிற ஊடகங்களில் சேமிக்கப்பட்டுள்ள தரவுகளுக்கு அங்கீகரிக்கப்படாத அணுகல், அத்துடன் மின்னஞ்சல் மூலம் அனுப்பப்படும் போது அல்லது நெட்வொர்க் நெறிமுறைகள் வழியாக அனுப்பப்படும் போது தகவல்களை இடைமறிப்பது போன்றவற்றில் இழப்புகளைக் குறைக்கலாம். இந்த தீர்வின் நோக்கம் ரகசியத்தன்மையை உறுதி செய்வதாகும். குறியாக்க அமைப்புகளுக்கான முக்கிய தேவைகள் ரஷ்யாவில் (அல்லது பிற மாநிலங்களில்) அதிக அளவு குறியாக்க வலிமை மற்றும் பயன்பாட்டின் சட்டபூர்வமான தன்மை ஆகும்.
ஃபயர்வால் என்பது ஒரு அமைப்பு அல்லது அமைப்புகளின் கலவையாகும், இது இரண்டு அல்லது அதற்கு மேற்பட்ட நெட்வொர்க்குகளுக்கு இடையில் ஒரு பாதுகாப்புத் தடையை உருவாக்குகிறது, இது அங்கீகரிக்கப்படாத தரவு பாக்கெட்டுகள் வலையமைப்பிற்குள் நுழையும் அல்லது வெளியேறும்.
அனுமதிக்கப்பட்ட முகவரிகளின் தளத்திற்கு எதிராக உள்வரும் மற்றும் வெளிச்செல்லும் ஐபி முகவரிகளுக்கு ஒவ்வொரு தரவு பாக்கெட்டையும் சரிபார்க்க வேண்டும் என்பது ஃபயர்வால்களின் அடிப்படைக் கொள்கை. இதனால், ஃபயர்வால்கள் தகவல் நெட்வொர்க்குகளை பிரிக்கும் மற்றும் தரவு சுழற்சியைக் கட்டுப்படுத்தும் திறனை கணிசமாக விரிவுபடுத்துகின்றன.
குறியாக்கவியல் மற்றும் ஃபயர்வால்களைப் பற்றி பேசுகையில், பாதுகாப்பான மெய்நிகர் தனியார் நெட்வொர்க்குகள் (வி.பி.என்) குறிப்பிடப்பட வேண்டும். திறந்த தகவல்தொடர்பு சேனல்கள் வழியாக அவை பரவும் போது ரகசியத்தன்மை மற்றும் தரவு ஒருமைப்பாட்டின் சிக்கல்களைத் தீர்க்க அவற்றின் பயன்பாடு நம்மை அனுமதிக்கிறது. VPN ஐப் பயன்படுத்துவது மூன்று முக்கிய சிக்கல்களைத் தீர்க்க குறைக்கலாம்:
1. நிறுவனத்தின் வெவ்வேறு அலுவலகங்களுக்கிடையில் தகவல்களின் பாதுகாப்பு (வெளிப்புற நெட்வொர்க்கிற்கு வெளியேறும்போது மட்டுமே தகவல் குறியாக்கம் செய்யப்படுகிறது);
2. தொலைதூர நெட்வொர்க் பயனர்களை நிறுவனத்தின் தகவல் வளங்களுக்கு பாதுகாப்பான அணுகல், ஒரு விதியாக, இணையம் வழியாக மேற்கொள்ளப்படுகிறது;
3. கார்ப்பரேட் நெட்வொர்க்குகளுக்குள் தனித்தனி பயன்பாடுகளுக்கு இடையில் தகவல்களைப் பாதுகாப்பது (இந்த அம்சமும் மிக முக்கியமானது, ஏனெனில் பெரும்பாலான தாக்குதல்கள் உள் நெட்வொர்க்குகளிலிருந்து மேற்கொள்ளப்படுகின்றன).
ரகசிய தகவல்களை இழப்பதில் இருந்து பாதுகாப்பதற்கான ஒரு சிறந்த வழிமுறையானது உள்வரும் மற்றும் வெளிச்செல்லும் மின்னஞ்சலின் உள்ளடக்கங்களை வடிகட்டுவதாகும். நிறுவனத்தால் நிறுவப்பட்ட விதிகளின் அடிப்படையில் அஞ்சல் செய்திகளையும் அவற்றின் இணைப்புகளையும் சரிபார்ப்பது நிறுவனங்களின் வழக்குகளில் இருந்து பொறுப்பிலிருந்து பாதுகாப்பதற்கும் அவர்களின் ஊழியர்களை ஸ்பேமிலிருந்து பாதுகாப்பதற்கும் சாத்தியமாக்குகிறது. சுருக்கப்பட்ட மற்றும் கிராஃபிக் உட்பட அனைத்து பொதுவான வடிவங்களின் கோப்புகளை சரிபார்க்க உள்ளடக்க வடிகட்டுதல் கருவிகள் உங்களை அனுமதிக்கின்றன. அதே நேரத்தில், பிணைய அலைவரிசை கிட்டத்தட்ட மாறாமல் உள்ளது.
பணிநிலையத்தில் அல்லது சேவையகத்தில் உள்ள அனைத்து மாற்றங்களையும் நெட்வொர்க் நிர்வாகி அல்லது பிற அங்கீகரிக்கப்பட்ட பயனர் கண்காணிக்க முடியும் வன் வட்டின் உள்ளடக்கங்களின் ஒருமைப்பாட்டை சரிபார்க்கும் தொழில்நுட்பத்திற்கு நன்றி (ஒருமைப்பாடு சரிபார்ப்பு). கோப்புகளுடன் எந்தவொரு செயலையும் கண்டறிய (மாற்ற, நீக்கு அல்லது திறக்க) மற்றும் வைரஸ்கள், அங்கீகரிக்கப்படாத அணுகல் அல்லது அங்கீகரிக்கப்பட்ட பயனர்களால் தரவு திருட்டு ஆகியவற்றை அடையாளம் காண இது உங்களை அனுமதிக்கிறது. கோப்பு செக்சம் (சி.ஆர்.சி அளவு) பகுப்பாய்வின் அடிப்படையில் கட்டுப்பாடு உள்ளது.
நவீன வைரஸ் தடுப்பு தொழில்நுட்பங்கள் சந்தேகத்திற்கிடமான கோப்பின் குறியீட்டை வைரஸ் எதிர்ப்பு தரவுத்தளத்தில் சேமிக்கப்பட்ட மாதிரிகளுடன் ஒப்பிடுவதன் மூலம் ஏற்கனவே அறியப்பட்ட கிட்டத்தட்ட அனைத்து வைரஸ் நிரல்களையும் கண்டறிய உதவுகிறது. கூடுதலாக, புதிதாக உருவாக்கப்பட்ட வைரஸ் நிரல்களைக் கண்டறிய நடத்தை மாடலிங் தொழில்நுட்பங்கள் உருவாக்கப்பட்டுள்ளன. கண்டறியப்பட்ட பொருள்களுக்கு சிகிச்சையளிக்கலாம், தனிமைப்படுத்தப்படலாம் அல்லது நீக்கலாம். பணிநிலையங்கள், கோப்பு மற்றும் அஞ்சல் சேவையகங்கள், பல்வேறு வகையான செயலிகளில் பொதுவான இயக்க முறைமைகளின் (விண்டோஸ், யூனிக்ஸ் மற்றும் லினக்ஸ் அமைப்புகள், நோவெல்) கீழ் இயங்கும் ஃபயர்வால்கள் ஆகியவற்றில் வைரஸ் பாதுகாப்பு நிறுவப்படலாம்.
ஸ்பேம் வடிப்பான்கள் பாகுபடுத்தும் ஸ்பேமுடன் தொடர்புடைய மேல்நிலைகளை கணிசமாகக் குறைக்கின்றன, போக்குவரத்து மற்றும் சேவையக சுமைகளைக் குறைக்கின்றன, அணியின் உளவியல் பின்னணியை மேம்படுத்துகின்றன மற்றும் மோசடி நடவடிக்கைகளில் நிறுவன ஊழியர்களை ஈடுபடுத்தும் அபாயத்தைக் குறைக்கின்றன. கூடுதலாக, ஸ்பேம் வடிப்பான்கள் புதிய வைரஸ்களுடன் தொற்றுநோயைக் குறைக்கும், ஏனெனில் வைரஸ்கள் கொண்ட செய்திகள் (இன்னும் வைரஸ் எதிர்ப்பு தரவுத்தளத்தில் சேர்க்கப்படவில்லை) பெரும்பாலும் ஸ்பேமின் அறிகுறிகளைக் கொண்டுள்ளன மற்றும் அவை வடிகட்டப்படுகின்றன. உண்மை என்னவென்றால், வடிகட்டி, குப்பைத்தொட்டிகளுடன் சேர்ந்து, ஸ்பேம் மற்றும் பயனுள்ள செய்திகள், வணிகம் அல்லது தனிப்பட்ட செய்திகளாக நீக்குதல் அல்லது மதிப்பெண்கள் இருந்தால் ஸ்பேம் வடிகட்டலின் நேர்மறையான விளைவை கடக்க முடியும்.
தகவல் பாதுகாப்பிற்கான இயற்கையான அச்சுறுத்தல்களை எதிர்கொள்ள, ஒரு நிறுவனம் அவசரநிலைகளைத் தடுப்பதற்கான ஒரு நடைமுறைகளை உருவாக்கி செயல்படுத்த வேண்டும் (எடுத்துக்காட்டாக, நெருப்பிலிருந்து தரவின் உடல் பாதுகாப்பை உறுதி செய்ய) மற்றும் அத்தகைய நிலை ஏற்பட்டால் சேதத்தை குறைக்க வேண்டும். தரவு இழப்புக்கு எதிரான பாதுகாப்பின் முக்கிய முறைகளில் ஒன்று, நிறுவப்பட்ட நடைமுறைகளை (வழக்கமான தன்மை, ஊடக வகைகள், நகல்களுக்கான சேமிப்பக முறைகள் போன்றவை) கண்டிப்பாக கடைப்பிடிப்பதாகும்.
இலக்கியம்
1. ரஷ்ய கூட்டமைப்பின் தலைவரின் ஆணை “மார்ச் 17, 2008 தேதியிட்ட 351 ஆம் தேதி தேதியிட்ட“ சர்வதேச தகவல் பரிமாற்றத்தின் தகவல் மற்றும் தொலைதொடர்பு நெட்வொர்க்குகளைப் பயன்படுத்தும் போது ரஷ்ய கூட்டமைப்பின் தகவல் பாதுகாப்பை உறுதி செய்வதற்கான நடவடிக்கைகள் ”;
2. கலடென்கோ, வி.ஏ. தகவல் பாதுகாப்பின் அடிப்படைகள். இணைய தகவல் தொழில்நுட்ப பல்கலைக்கழகம் - INTUIT.ru, 2008;
3. கலடென்கோ, வி.ஏ. தகவல் பாதுகாப்பு தரநிலைகள். இணைய தகவல் தொழில்நுட்ப பல்கலைக்கழகம் - INTUIT.ru, 2005;
4. லோபாடின், வி.என். ரஷ்யாவின் தகவல் பாதுகாப்பு: மனிதன், சமூகம், மாநிலம். தொடர்: மனித மற்றும் சமூக பாதுகாப்பு. எம்.: 2000. - 428 வி;
5. ஷாங்கின், வி.எஃப். கணினி தகவல்களின் பாதுகாப்பு. பயனுள்ள முறைகள் மற்றும் கருவிகள். - எம் .: டி.எம்.கே பிரஸ், 2008 .-- 544 ப.
6. ஷெர்பாகோவ், ஏ.யு. நவீன கணினி பாதுகாப்பு. தத்துவார்த்த அடிப்படை. நடைமுறை அம்சங்கள். - எம் .: புத்தக உலகம், 2009 .-- 352 பக்.
ஒத்த கட்டுரைகள்:
"அசாத்லி" விவசாயத்தின் தகவல் வளங்களின் விளக்கம். நிறுவனத்திற்கு குறிப்பிட்ட தகவல் பாதுகாப்புக்கு அச்சுறுத்தல்கள். தகவல் பாதுகாப்புக்கான நடவடிக்கைகள், முறைகள் மற்றும் வழிமுறைகள். புதுப்பிக்கப்பட்ட பாதுகாப்பு அமைப்பின் தற்போதைய மற்றும் நன்மைகளின் குறைபாடுகளின் பகுப்பாய்வு.
நடுத்தர மற்றும் சிறு வணிகத் துறையில் தகவல் தொழில்நுட்பத்தில் முதலீடுகள் ஒவ்வொரு ஆண்டும் அதிகரித்து வருகின்றன. திறமையாக கட்டமைக்கப்பட்ட தகவல் அமைப்பின் இருப்பு பெருகிய முறையில் உறுதியான போட்டி நன்மையாக மாறி வருகிறது.
தகவல் பாதுகாப்பு மற்றும் தகவல் பாதுகாப்பின் அடிப்படை கருத்துக்கள். சாத்தியமான தகவல் அச்சுறுத்தல்கள் தோன்றுவதற்கான வகைப்பாடு மற்றும் உள்ளடக்கம், ஆதாரங்கள் மற்றும் முன்நிபந்தனைகள். தகவல் ஆயுதங்கள் (தாக்கங்கள்), பிணைய பாதுகாப்பு சேவைகளுக்கு எதிரான பாதுகாப்பின் முக்கிய பகுதிகள்.
கணினி நெட்வொர்க்குகளில் தரவு பாதுகாப்பு நவீன கணினி அமைப்புகளில் மிகவும் திறந்த சிக்கல்களில் ஒன்றாக மாறி வருகிறது. இன்றுவரை, தகவல் பாதுகாப்பின் மூன்று அடிப்படைக் கொள்கைகள் வகுக்கப்பட்டுள்ளன.
தகவல் பாதுகாப்பு, இரகசியத்தன்மை மற்றும் தகவலின் ஒருமைப்பாட்டை உறுதி செய்வதற்கான முக்கிய அம்சங்கள். தகவலின் ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மையை மீறும் அச்சுறுத்தல்களின் எடுத்துக்காட்டுகள். தகவல் அமைப்புகளில் பாடங்கள், பொருள்கள் மற்றும் செயல்பாடுகள், அணுகல் உரிமைகள்.
தகவல் இடத்தின் பாதுகாப்பிற்கு அச்சுறுத்தல்கள். தகவல் இடத்தின் மாநில மற்றும் சட்ட பாதுகாப்பு. தகவல் இடத்தின் பாதுகாப்பை உறுதி செய்வதற்கான முறைகள். தகவல் தொழில்நுட்பத்தின் வளர்ச்சி.
பல்வேறு தாக்கங்களைத் தாங்கும் திறனாக தகவல் அமைப்பு பாதுகாப்பு. கணினி அச்சுறுத்தல்களின் வகைகள், அங்கீகரிக்கப்படாத அணுகல் கருத்து. வைரஸ்கள் மற்றும் தீம்பொருள். தகவல் அமைப்புகளைப் பாதுகாக்கும் முறைகள் மற்றும் வழிமுறைகள்.
தகவலின் பண்புகள் மற்றும் நோக்கம். சிக்கல், கருத்தின் சாரம், தகவல் பாதுகாப்பின் முக்கிய பணிகள். அச்சுறுத்தல்களின் வகைகள், ஆதாரங்களின் வகைப்பாடு. வைரஸ்களை அறிமுகப்படுத்தும் செயல்முறை, அங்கீகரிக்கப்படாத வெளிப்பாடு. அச்சுறுத்தல்களை எதிர்கொள்ளும் முக்கிய திசைகள் மற்றும் முறைகள்.
ரஷ்ய கூட்டமைப்பின் (RF) தகவல் பாதுகாப்பு கோட்பாட்டின் சாராம்சமும் முக்கிய நோக்கமும். ரஷ்ய கூட்டமைப்பின் தகவல் பாதுகாப்புக்கு அச்சுறுத்தல்கள் வகைகள் மற்றும் ஆதாரங்கள். ரஷ்யாவின் தகவல் பாதுகாப்பை உறுதி செய்யும் அரச கொள்கையின் முக்கிய விதிகள்.
தகவல் பாதுகாப்பு. தகவல் பாதுகாப்புக்கு அச்சுறுத்தல். கணினி வைரஸ்களின் வகைப்பாடு. துவக்க வைரஸ்கள். கோப்பு வைரஸ்கள். பிணைய வைரஸ்கள். மேக்ரோ வைரஸ்கள். வசிக்கும் வைரஸ்கள். தகவல் பாதுகாப்பை உறுதி செய்வதற்கான முறைகள்.
கருத்து, தகவல் ஆயுத வகைகள், அதன் பயன்பாட்டின் முக்கிய வழிகள் மற்றும் முறைகள். மென்பொருள் மற்றும் வன்பொருள் முறைகளை செயல்படுத்துதல் மற்றும் வகைப்படுத்துதல். சில குழுக்களில் தகவல் ஆயுதங்களின் தாக்க வகைகளில் ஒன்றாக உளவியல் போர்.
சுருக்கம் "தகவல் ஆயுதங்கள் மற்றும் தகவல் போர்கள்." இப்போது அவர்கள் தகவல் ஆயுதங்கள் மற்றும் போரின் புதிய முகம் பற்றி நிறைய பேசுகிறார்கள். முக்கிய ஆய்வறிக்கை என்னவென்றால், ஒரு போரை இன்னும் தொழில் ரீதியாகவும் “நாகரிகமாகவும்” நடத்த முடியும். எதிரி முகாமில் எதிரி தொட்டிகளை அறிமுகப்படுத்துவதற்கு பதிலாக, நீங்கள் பலவீனப்படுத்தலாம் ...
தகவல் பாதுகாப்பின் வரலாறு மற்றும் நவீன குறிக்கோள்கள். தீம்பொருளின் வகைப்பாடு மற்றும் அவற்றுக்கு எதிரான பாதுகாப்பு முறைகள். ட்ரோஜன் திட்டங்களின் அம்சங்கள். தேசிய நலன்கள், அச்சுறுத்தல்கள் மற்றும் பல்வேறு துறைகளில் ரஷ்யாவின் தகவல் பாதுகாப்பை உறுதி செய்யும் முறைகள்.
தகவல் பாதுகாப்பின் சாராம்சம், அதன் அமைப்பு மற்றும் கூறுகள், நவீன சமூகம் மற்றும் வணிகத்தில் முக்கியத்துவம். கணினிகளில் சேமிக்கப்படும் தனிப்பட்ட தகவல்களுக்கு முக்கிய அச்சுறுத்தல்களாக கணினி தொற்றுநோய்கள் மற்றும் கோரப்படாத ஸ்பேம், அவற்றுக்கான அணுகலைக் கட்டுப்படுத்தும் வழிகள்.
ஒரு உள் என்பது ஒரு நபர், தனது உத்தியோகபூர்வ அல்லது குடும்ப அந்தஸ்தின் அடிப்படையில், நிறுவனத்தின் விவகாரங்கள் குறித்த ரகசிய தகவல்களை அணுகுவதோடு, நிறுவனத்தின் செயல்பாடுகள் குறித்த ரகசிய தகவல்களைப் பெற்று அதைப் பயன்படுத்தும் ஒரு நபரும் ஆவார்.
தொலைத்தொடர்பு அமைப்புகளின் தகவல் பாதுகாப்பு. தகவல் பாதுகாப்பு தொடர்பான சிக்கல்கள். பாதுகாப்பு பகுப்பாய்வின் தொழில்நுட்பம், ஊடுருவும் வெளிப்பாட்டைக் கண்டறிதல், அங்கீகரிக்கப்படாத அணுகலிலிருந்து தகவல் பாதுகாப்பு, வைரஸ் தடுப்பு பாதுகாப்பு. தரவு வங்கியின் உருவாக்கம்.
வேகமான கணினி தகவல் தொழில்நுட்பம் நம் வாழ்வில் குறிப்பிடத்தக்க மாற்றங்களைச் செய்து வருகிறது. தகவல் வாங்க, விற்க, பரிமாற்றம் செய்யக்கூடிய ஒரு பொருளாக மாறிவிட்டது. மேலும், தகவலின் விலை பெரும்பாலும் அது சேமித்து வைக்கப்பட்டுள்ள கணினி அமைப்பின் விலையை விட நூற்றுக்கணக்கான மடங்கு அதிகமாகும்.
தற்போது, \u200b\u200bநல்வாழ்வு, சில சமயங்களில் பலரின் வாழ்க்கை, தகவல் தொழில்நுட்பத்தின் பாதுகாப்பின் அளவைப் பொறுத்தது. தானியங்கு தகவல் செயலாக்க அமைப்புகளின் சிக்கலான மற்றும் பரவலான விநியோகத்திற்கான விலை இதுவாகும்.
கீழே தகவல் பாதுகாப்பு தகவல் உரிமையாளர்கள் அல்லது பயனர்களை சேதப்படுத்தும் தற்செயலான அல்லது வேண்டுமென்றே குறுக்கீட்டிலிருந்து தகவல் அமைப்பின் பாதுகாப்பை இது குறிக்கிறது.
நடைமுறையில், தகவல் பாதுகாப்பின் மூன்று மிக முக்கியமான அம்சங்கள்:
- கிடைக்கும் (தேவையான தகவல் சேவையைப் பெற நியாயமான நேரத்திற்கான வாய்ப்பு);
- ஒருமைப்பாடு (தகவலின் பொருத்தமும் நிலைத்தன்மையும், அழிவிலிருந்து அதன் பாதுகாப்பு மற்றும் அங்கீகரிக்கப்படாத மாற்றங்கள்);
- இரகசியத்தன்மை (அங்கீகரிக்கப்படாத வாசிப்பிலிருந்து பாதுகாப்பு).
தகவல் கணினி அமைப்புகளில் பல்வேறு ஆபத்தான விளைவுகளால் தகவலின் கிடைக்கும் தன்மை, ஒருமைப்பாடு மற்றும் இரகசியத்தன்மை ஆகியவற்றின் மீறல்கள் ஏற்படலாம்.
தகவல் பாதுகாப்புக்கு முக்கிய அச்சுறுத்தல்கள்
ஒரு நவீன தகவல் அமைப்பு என்பது ஒரு சிக்கலான அமைப்பாகும், இது மாறுபட்ட அளவிலான சுயாட்சியின் கூறுகளை உள்ளடக்கியது, அவை ஒன்றோடொன்று இணைக்கப்பட்டவை மற்றும் தரவு பரிமாற்றம். ஏறக்குறைய ஒவ்வொரு கூறுகளும் வெளிப்புற விளைவுகளுக்கு ஆளாகலாம் அல்லது தோல்வியடையும். தானியங்கு தகவல் அமைப்பின் கூறுகளை பின்வரும் குழுக்களாக பிரிக்கலாம்:
- வன்பொருள் - கணினிகள் மற்றும் அவற்றின் கூறுகள் (செயலிகள், மானிட்டர்கள், டெர்மினல்கள், சாதனங்கள் - இயக்கிகள், அச்சுப்பொறிகள், கட்டுப்படுத்திகள், கேபிள்கள், தகவல் தொடர்பு கோடுகள் போன்றவை);
- மென்பொருள் - வாங்கிய நிரல்கள், மூல, பொருள், துவக்க தொகுதிகள்; இயக்க முறைமைகள் மற்றும் கணினி நிரல்கள் (தொகுப்பிகள், இணைப்பிகள் போன்றவை), பயன்பாடுகள், கண்டறியும் நிரல்கள் போன்றவை;
- தரவு - காந்த ஊடகங்கள், அச்சு, காப்பகங்கள், கணினி பதிவுகள் போன்றவற்றில் தற்காலிகமாகவும் நிரந்தரமாகவும் சேமிக்கப்படுகிறது;
- ஊழியர்கள் - உதவியாளர்கள் மற்றும் பயனர்கள்.
கணினி தகவல் அமைப்பில் ஆபத்தான விளைவுகளை தற்செயலான மற்றும் வேண்டுமென்றே பிரிக்கலாம். தகவல் அமைப்புகளின் வடிவமைப்பு, உற்பத்தி மற்றும் செயல்பாட்டில் உள்ள அனுபவத்தின் பகுப்பாய்வு, அமைப்பின் வாழ்க்கைச் சுழற்சியின் அனைத்து நிலைகளிலும் தகவல் பல்வேறு சீரற்ற தாக்கங்களுக்கு உட்படுத்தப்படுவதைக் காட்டுகிறது. காரணங்கள் தற்செயலான தாக்கங்கள் செயல்பாட்டின் போது:
- இயற்கை பேரழிவுகள் மற்றும் மின் தடைகள் காரணமாக பேரழிவுகள்;
- வன்பொருள் தோல்விகள் மற்றும் தோல்விகள்;
- மென்பொருள் பிழைகள்;
- ஊழியர்களின் பணியில் பிழைகள்;
- சுற்றுச்சூழல் தாக்கங்கள் காரணமாக தொடர்பு வரிகளில் குறுக்கீடு.
வேண்டுமென்றே பாதிப்புகள் - இது மீறுபவரின் இலக்கு நடவடிக்கை. ஒரு ஊழியர், பார்வையாளர், போட்டியாளர் அல்லது கூலிப்படை மீறுபவராக செயல்படலாம். மீறுபவரின் செயல்கள் வெவ்வேறு நோக்கங்களின் காரணமாக இருக்கலாம்:
- ஊழியர் தனது வாழ்க்கையில் அதிருப்தி;
- ஒரு லஞ்சம்;
- ஆர்வத்தை;
- போட்டியால்;
- எல்லா விலையிலும் தன்னை உறுதிப்படுத்திக் கொள்ளும் ஆசை.
சாத்தியமான ஊடுருவும் நபரின் கற்பனையான மாதிரியை நீங்கள் உருவாக்கலாம்:
- இந்த அமைப்பின் டெவலப்பரின் மட்டத்தில் மீறுபவரின் தகுதி;
- ஊடுருவும் நபர் ஒரு வெளிநாட்டவர் அல்லது கணினியின் முறையான பயனராக இருக்கலாம்;
- மீறுபவர் அமைப்பின் கொள்கைகளைப் பற்றிய தகவல்களை அறிந்திருக்கிறார்;
- குற்றவாளி பாதுகாப்பில் பலவீனமான இணைப்பை தேர்வு செய்கிறார்.
கணினி இடையூறு மிகவும் பொதுவான மற்றும் மாறுபட்ட வகை அங்கீகரிக்கப்படாத அணுகல் (NSD இல்). என்.எஸ்.டி பாதுகாப்பு அமைப்பில் ஏதேனும் பிழையைப் பயன்படுத்துகிறது மற்றும் பகுத்தறிவற்ற பாதுகாப்பு கருவிகளின் தேர்வு, அவற்றின் தவறான நிறுவல் மற்றும் உள்ளமைவுடன் இது சாத்தியமாகும்.
NSD சேனல்களின் வகைப்பாட்டை நாங்கள் மேற்கொள்வோம், இதன் மூலம் தகவல்களைத் திருடவோ, மாற்றவோ அல்லது அழிக்கவோ முடியும்:
- ஒரு நபர் மூலம்:
- ஊடக திருட்டு;
- திரை அல்லது விசைப்பலகையிலிருந்து தகவல்களைப் படித்தல்;
- அச்சுப்பொறியிலிருந்து தகவல்களைப் படித்தல்.
- திட்டத்தின் மூலம்:
- கடவுச்சொற்களின் இடைமறிப்பு;
- மறைகுறியாக்கப்பட்ட தகவலின் மறைகுறியாக்கம்;
- ஊடகங்களிலிருந்து தகவல்களை நகலெடுக்கிறது.
- உபகரணங்கள் மூலம்:
- தகவலுக்கான அணுகலை வழங்கும் சிறப்பாக வடிவமைக்கப்பட்ட வன்பொருளின் இணைப்பு;
- உபகரணங்கள், தகவல்தொடர்பு கோடுகள், மின் நெட்வொர்க்குகள் போன்றவற்றிலிருந்து மோசமான மின்காந்த கதிர்வீச்சின் இடைமறிப்பு.
எந்த கணினி நெட்வொர்க்குகள் வெளிப்படும் அச்சுறுத்தல்களுக்கு சிறப்பு கவனம் செலுத்தப்பட வேண்டும். எந்தவொரு கணினி வலையமைப்பின் முக்கிய அம்சம் என்னவென்றால், அதன் கூறுகள் விண்வெளியில் விநியோகிக்கப்படுகின்றன. நெட்வொர்க் முனைகளுக்கிடையேயான தொடர்பு நெட்வொர்க் கோடுகளைப் பயன்படுத்தி உடல் ரீதியாகவும், ஒரு செய்தி பொறிமுறையைப் பயன்படுத்தி நிரல் ரீதியாகவும் மேற்கொள்ளப்படுகிறது. அதே நேரத்தில், நெட்வொர்க் முனைகளுக்கு இடையில் அனுப்பப்படும் கட்டுப்பாட்டு செய்திகளும் தரவும் பரிமாற்ற பாக்கெட்டுகளின் வடிவத்தில் அனுப்பப்படுகின்றன. கணினி நெட்வொர்க்குகள் என்று அழைக்கப்படுபவை வகைப்படுத்தப்படுகின்றன தொலை தாக்குதல்கள். ஊடுருவியவர் தாக்கப்பட்ட பொருளிலிருந்து ஆயிரக்கணக்கான கிலோமீட்டர் தொலைவில் அமைந்திருக்கலாம், அதே நேரத்தில் ஒரு குறிப்பிட்ட கணினியைத் தாக்க முடியாது, ஆனால் நெட்வொர்க் தகவல்தொடர்பு சேனல்கள் வழியாக அனுப்பப்படும் தகவல்களும்.
தகவல் பாதுகாப்பு
தகவல் பாதுகாப்பு ஆட்சியை உருவாக்குவது ஒரு சிக்கலான பிரச்சினை. அதை நிவர்த்தி செய்வதற்கான நடவடிக்கைகள் ஐந்து நிலைகளாக பிரிக்கப்படலாம்:
- சட்டமன்றம் (சட்டங்கள், ஒழுங்குமுறைகள், தரநிலைகள் போன்றவை);
- தார்மீக மற்றும் நெறிமுறை (அனைத்து வகையான நடத்தை விதிமுறைகள், கடைபிடிக்கப்படாதது ஒரு குறிப்பிட்ட நபரின் அல்லது முழு அமைப்பின் க ti ரவத்தில் வீழ்ச்சிக்கு வழிவகுக்கிறது);
- நிர்வாக (நிறுவனத்தின் நிர்வாகத்தால் மேற்கொள்ளப்படும் பொது நடவடிக்கைகள்);
- உடல் (சாத்தியமான மீறுபவர்களின் ஊடுருவலின் சாத்தியமான பாதைகளில் இயந்திர, மின் மற்றும் மின்னணு-இயந்திர தடைகள்);
- வன்பொருள் மற்றும் மென்பொருள் (மின்னணு சாதனங்கள் மற்றும் சிறப்பு தகவல் பாதுகாப்பு நிரல்கள்).
சேத படிவத்தின் சாத்தியத்தை குறைப்பதற்காக பாதுகாப்பு அச்சுறுத்தல்களை எதிர்ப்பதை நோக்கமாகக் கொண்ட இந்த அனைத்து நடவடிக்கைகளின் ஒரு தொகுப்பு பாதுகாப்பு அமைப்பு.
நம்பகமான பாதுகாப்பு அமைப்பு பின்வரும் கொள்கைகளுக்கு இணங்க வேண்டும்:
- பாதுகாப்பு உபகரணங்களின் விலை சாத்தியமான சேதத்தின் அளவை விட குறைவாக இருக்க வேண்டும்.
- ஒவ்வொரு பயனருக்கும் வேலைக்குத் தேவையான குறைந்தபட்ச சலுகைகள் இருக்க வேண்டும்.
- பாதுகாப்பு என்பது மிகவும் பயனுள்ளதாக இருக்கும், இது பயனருடன் இணைந்து செயல்படுவது எளிது.
- அவசரகால நிகழ்வுகளில் பணிநிறுத்தம் செய்வதற்கான சாத்தியம்.
- பாதுகாப்பு அமைப்பு தொடர்பான வல்லுநர்கள் அதன் செயல்பாட்டின் கொள்கைகளை முழுமையாக புரிந்து கொள்ள வேண்டும் மற்றும் கடினமான சூழ்நிலைகளில் அவர்களுக்கு போதுமான பதிலளிக்க வேண்டும்.
- முழு தகவல் செயலாக்க முறையும் பாதுகாக்கப்பட வேண்டும்.
- இந்த அமைப்பு கட்டுப்படுத்தும் நபர்களில் பாதுகாப்பு அமைப்பு உருவாக்குநர்கள் இருக்கக்கூடாது.
- பாதுகாப்பு அமைப்பு அதன் பணியின் சரியான தன்மைக்கான ஆதாரங்களை வழங்க வேண்டும்.
- தகவல் பாதுகாப்பை உறுதி செய்வதில் ஈடுபடுபவர்கள் தனிப்பட்ட முறையில் பொறுப்புக்கூற வேண்டும்.
- பாதுகாப்புப் பொருள்களை குழுக்களாகப் பிரிப்பது நல்லது, இதனால் குழுக்களில் ஒன்றின் பாதுகாப்பை மீறுவது மற்றவர்களின் பாதுகாப்பை பாதிக்காது.
- நம்பகமான பாதுகாப்பு அமைப்பு முழுமையாக சோதிக்கப்பட்டு ஒப்புக் கொள்ளப்பட வேண்டும்.
- நிர்வாகியை அதன் அமைப்புகளை மாற்ற அனுமதித்தால் பாதுகாப்பு மிகவும் பயனுள்ளதாகவும் நெகிழ்வானதாகவும் மாறும்.
- பயனர்கள் கடுமையான தவறுகளைச் செய்வார்கள், பொதுவாக, மோசமான நோக்கங்களைக் கொண்டிருப்பார்கள் என்ற அனுமானத்தின் அடிப்படையில் ஒரு பாதுகாப்பு அமைப்பு உருவாக்கப்பட வேண்டும்.
- மிக முக்கியமான மற்றும் முக்கியமான முடிவுகளை மனிதன் எடுக்க வேண்டும்.
- பாதுகாப்பு பொறிமுறைகளின் இருப்பு பயனர்களின் கட்டுப்பாட்டில் இருக்கும் பயனர்களிடமிருந்து மறைக்கப்பட வேண்டும்.
வன்பொருள் மற்றும் மென்பொருள் தகவல் பாதுகாப்பு
விண்டோஸ் 2000, விண்டோஸ் எக்ஸ்பி மற்றும் விண்டோஸ் என்.டி போன்ற தனிப்பட்ட கணினிகளுக்கான நவீன OS கள் அவற்றின் சொந்த பாதுகாப்பு துணை அமைப்புகளைக் கொண்டிருந்தாலும், கூடுதல் பாதுகாப்பு கருவிகளை உருவாக்குவதன் பொருத்தப்பாடு உள்ளது. உண்மை என்னவென்றால், பெரும்பாலான அமைப்புகள் அதற்கு வெளியே அமைந்துள்ள தரவைப் பாதுகாக்க முடியாது, எடுத்துக்காட்டாக, பிணைய தகவல் பரிமாற்றத்தின் போது.
வன்பொருள் மற்றும் மென்பொருள் தகவல் பாதுகாப்பை ஐந்து குழுக்களாக பிரிக்கலாம்:
- பயனர்களின் அடையாளம் காணல் (அங்கீகாரம்) மற்றும் அங்கீகாரம் (அங்கீகாரம்).
- வட்டு குறியாக்க அமைப்புகள்.
- நெட்வொர்க்குகள் மூலம் பரவும் தரவுகளுக்கான குறியாக்க அமைப்புகள்.
- மின்னணு தரவு அங்கீகார அமைப்புகள்.
- கிரிப்டோகிராஃபிக் விசை மேலாண்மை கருவிகள்.
1. பயனர் அடையாளம் மற்றும் அங்கீகார அமைப்புகள்
கணினி அமைப்பின் வளங்களுக்கு சீரற்ற மற்றும் சட்டவிரோத பயனர்களின் அணுகலைக் கட்டுப்படுத்த அவை பயன்படுத்தப்படுகின்றன. இத்தகைய அமைப்புகளின் செயல்பாட்டின் பொதுவான வழிமுறை பயனரிடமிருந்து அவர்களின் அடையாளத்தை உறுதிப்படுத்தும் தகவல்களைப் பெறுவதும், அதன் நம்பகத்தன்மையைச் சரிபார்ப்பதும், பின்னர் இந்த பயனருக்கு கணினியுடன் பணிபுரியும் வாய்ப்பை வழங்குவதும் (அல்லது வழங்குவதும் இல்லை).
இந்த அமைப்புகளை உருவாக்கும்போது, \u200b\u200bதகவலைத் தேர்ந்தெடுப்பதில் சிக்கல் எழுகிறது, அதன் அடிப்படையில் பயனர் அடையாளம் மற்றும் அங்கீகார நடைமுறைகள் மேற்கொள்ளப்படுகின்றன. பின்வரும் வகைகளை வேறுபடுத்தலாம்:
- பயனர் வைத்திருக்கும் ரகசிய தகவல்கள் (கடவுச்சொல், ரகசிய விசை, தனிப்பட்ட அடையாளங்காட்டி போன்றவை); பயனர் இந்த தகவலை நினைவில் வைத்திருக்க வேண்டும் அல்லது அதற்கு சிறப்பு சேமிப்பக கருவிகள் பயன்படுத்தப்படலாம்;
- ஒரு நபரின் உடலியல் அளவுருக்கள் (கைரேகைகள், கருவிழியின் வரைதல் போன்றவை) அல்லது நடத்தை அம்சங்கள் (குறிப்பாக விசைப்பலகையில் வேலை செய்தல் போன்றவை).
முதல் வகை தகவல்களை அடிப்படையாகக் கொண்ட அமைப்புகள் கருதப்படுகின்றன வழக்கமான. இரண்டாவது வகை தகவல்களைப் பயன்படுத்தும் அமைப்புகள் அழைக்கப்படுகின்றன பயோமெட்ரிக். பயோமெட்ரிக் அடையாள அமைப்புகளின் விரைவான வளர்ச்சிக்கான போக்கு உள்ளது என்பதை கவனத்தில் கொள்ள வேண்டும்.
2. வட்டு குறியாக்க அமைப்புகள்
தகவல்களை எதிரிக்கு பயனற்றதாக மாற்ற, தரவு மாற்றும் முறைகள் அழைக்கப்படுகின்றன குறியாக்க [கிரேக்க மொழியிலிருந்து முறையே கிரிப்டோஸ் - மறைக்கப்பட்ட மற்றும் grapho - நான் எழுதுகிறேன்].
குறியாக்க அமைப்புகள் கோப்பு மட்டத்தில் அல்லது வட்டு மட்டத்தில் தரவின் குறியாக்க மாற்றங்களை செய்ய முடியும். முதல் வகையின் நிரல்களில் ARJ மற்றும் RAR போன்ற காப்பகங்கள் அடங்கும், அவை காப்பக கோப்புகளைப் பாதுகாக்க கிரிப்டோகிராஃபிக் முறைகளைப் பயன்படுத்த அனுமதிக்கின்றன. இரண்டாவது வகை அமைப்பின் எடுத்துக்காட்டு, பிரபலமான நார்டன் யுடிலிட்டிஸ் மென்பொருள் தொகுப்பின் ஒரு பகுதியான சிறந்த கிரிப்ட்டின் ஒரு பகுதியான டிஸ்கிரீட் குறியாக்கத் திட்டம் ஆகும்.
வட்டு தரவு குறியாக்க அமைப்புகளின் மற்றொரு வகைப்பாடு அம்சம் அவை செயல்படும் விதம். வட்டு குறியாக்க அமைப்பு செயல்படுவதன் மூலம், அவை இரண்டு வகுப்புகளாக பிரிக்கப்படுகின்றன:
- வெளிப்படையான குறியாக்க அமைப்புகள்;
- கணினிகள் குறிப்பாக குறியாக்கத்திற்கு அழைக்கப்படுகின்றன.
வெளிப்படையான குறியாக்க அமைப்புகளில் (ஆன்-தி-ஃப்ளை குறியாக்கம்), கிரிப்டோகிராஃபிக் மாற்றங்கள் நிகழ்நேரத்தில் மேற்கொள்ளப்படுகின்றன, கண்ணுக்குத் தெரியாமல் பயனருக்கு. எடுத்துக்காட்டாக, ஒரு பயனர் உரை திருத்தியில் தயாரிக்கப்பட்ட ஆவணத்தை பாதுகாக்கப்பட்ட வட்டுக்கு எழுதுகிறார், மேலும் பாதுகாப்பு அமைப்பு அதை பதிவு செய்யும் போது குறியாக்குகிறது.
இரண்டாம் வகுப்பு அமைப்புகள் பொதுவாக குறியாக்கத்தைச் செய்ய குறிப்பாக அழைக்கப்பட வேண்டிய பயன்பாடுகள். எடுத்துக்காட்டாக, உள்ளமைக்கப்பட்ட கடவுச்சொல் பாதுகாப்பு கொண்ட காப்பகங்கள் இதில் அடங்கும்.
ஒரு ஆவணத்திற்கான கடவுச்சொல்லை அமைக்க வழங்கும் பெரும்பாலான அமைப்புகள் தகவல்களை குறியாக்கம் செய்யாது, ஆனால் ஆவணத்தை அணுகும்போது கடவுச்சொல் கோரிக்கையை மட்டுமே வழங்கும். இத்தகைய அமைப்புகளில் எம்.எஸ். ஆஃபீஸ், 1 சி மற்றும் பல உள்ளன.
3. நெட்வொர்க்குகள் மூலம் பரவும் தரவை குறியாக்க அமைப்புகள்
இரண்டு முக்கிய குறியாக்க முறைகள் உள்ளன: சேனல் குறியாக்கம் மற்றும் முனையம் (சந்தாதாரர்) குறியாக்கம்.
வழக்கில் சேனல் குறியாக்கம் சேவை தகவல் உட்பட தகவல் தொடர்பு சேனலில் அனுப்பப்படும் அனைத்து தகவல்களும் பாதுகாக்கப்படுகின்றன. இந்த குறியாக்க முறை பின்வரும் நன்மையைக் கொண்டுள்ளது - தரவு இணைப்பு அடுக்கில் குறியாக்க நடைமுறைகளின் ஒருங்கிணைப்பு வன்பொருள் பயன்படுத்த அனுமதிக்கிறது, இது கணினி செயல்திறனை அதிகரிக்க உதவுகிறது. இருப்பினும், இந்த அணுகுமுறை குறிப்பிடத்தக்க குறைபாடுகளைக் கொண்டுள்ளது:
- சேவை தரவின் குறியாக்கம் நெட்வொர்க் பாக்கெட்டுகளின் ரூட்டிங் பொறிமுறையை சிக்கலாக்குகிறது மற்றும் இடைநிலை தகவல் தொடர்பு சாதனங்களில் (நுழைவாயில்கள், ரிலேக்கள் போன்றவை) தரவின் மறைகுறியாக்கம் தேவைப்படுகிறது;
- சேவை தகவலின் குறியாக்கம் மறைகுறியாக்கப்பட்ட தரவுகளில் புள்ளிவிவர வடிவங்களின் தோற்றத்திற்கு வழிவகுக்கும், இது பாதுகாப்பின் நம்பகத்தன்மையை பாதிக்கிறது மற்றும் கிரிப்டோகிராஃபிக் வழிமுறைகளைப் பயன்படுத்துவதில் கட்டுப்பாடுகளை விதிக்கிறது.
முடிவுக்கு முடிவு (சந்தாதாரர்) குறியாக்கம் இரண்டு சந்தாதாரர்களிடையே அனுப்பப்படும் தரவின் இரகசியத்தன்மையை உறுதிப்படுத்த உங்களை அனுமதிக்கிறது. இந்த வழக்கில், செய்திகளின் உள்ளடக்கம் மட்டுமே பாதுகாக்கப்படுகிறது, அனைத்து அதிகாரப்பூர்வ தகவல்களும் திறந்தே இருக்கும். குறைபாடு என்பது செய்தியிடலின் கட்டமைப்பைப் பற்றிய தகவல்களை பகுப்பாய்வு செய்யும் திறன், எடுத்துக்காட்டாக, அனுப்புநர் மற்றும் பெறுநரைப் பற்றி, தரவு பரிமாற்றத்தின் நேரம் மற்றும் நிலைமைகள் மற்றும் பரிமாற்றப்பட்ட தரவுகளின் அளவு பற்றி.
4. மின்னணு தரவு அங்கீகார அமைப்புகள்
நெட்வொர்க்குகள் மூலம் தரவைப் பரிமாறும்போது, \u200b\u200bஆவணத்தின் ஆசிரியர் மற்றும் ஆவணத்தின் அங்கீகாரத்தில் சிக்கல் உள்ளது, அதாவது. ஆசிரியரின் அங்கீகாரம் மற்றும் பெறப்பட்ட ஆவணத்தில் மாற்றங்கள் இல்லாததை சரிபார்ப்பு. தரவு அங்கீகாரத்திற்கு, செய்தி அங்கீகார குறியீடு (சாயல் செருகு) அல்லது மின்னணு கையொப்பம் பயன்படுத்தப்படுகிறது.
அங்கீகார குறியீடு இது ஒரு ரகசிய விசையைப் பயன்படுத்தி ஒரு சிறப்பு குறியாக்க மாற்றத்தின் மூலம் திறந்த தரவிலிருந்து உருவாக்கப்படுகிறது மற்றும் மறைகுறியாக்கப்பட்ட தரவின் முடிவில் தகவல் தொடர்பு சேனலில் பரவுகிறது. பெறப்பட்ட திறந்த தரவில் அனுப்புநரால் முன்னர் நிகழ்த்தப்பட்ட நடைமுறையை மீண்டும் செய்வதன் மூலம் பெறுநர் ரகசிய விசையை வைத்திருப்பதன் மூலம் செருகல் சரிபார்க்கப்படுகிறது.
மின்னணு டிஜிட்டல் கையொப்பம் கையொப்பமிடப்பட்ட உரையுடன் அனுப்பப்படும் ஒப்பீட்டளவில் சிறிய அளவிலான கூடுதல் அங்கீகாரத் தகவலைக் குறிக்கிறது. அனுப்புநரின் ரகசிய விசையைப் பயன்படுத்தி அனுப்புநர் டிஜிட்டல் கையொப்பத்தை உருவாக்குகிறார். பெறுநரின் அனுப்புநரின் பொது விசையைப் பயன்படுத்தி கையொப்பத்தை சரிபார்க்கிறது.
எனவே, சமச்சீர் குறியாக்கத்தின் கொள்கைகள் செருகலை செயல்படுத்தவும், மின்னணு கையொப்பத்தை செயல்படுத்துவதற்கு சமச்சீரற்றதாகவும் பயன்படுத்தப்படுகின்றன. இந்த இரண்டு குறியாக்க முறைகளையும் பின்னர் விரிவாகப் படிப்போம்.
5. கிரிப்டோகிராஃபிக் விசை மேலாண்மை கருவிகள்
எந்த கிரிப்டோசிஸ்டத்தின் பாதுகாப்பும் பயன்படுத்தப்படும் கிரிப்டோகிராஃபிக் விசைகளால் தீர்மானிக்கப்படுகிறது. பாதுகாப்பற்ற விசை நிர்வாகத்தின் விஷயத்தில், தாக்குபவர் முக்கிய தகவல்களைப் பெறலாம் மற்றும் கணினி அல்லது நெட்வொர்க்கில் உள்ள அனைத்து தகவல்களுக்கும் முழு அணுகலைப் பெற முடியும்.
முக்கிய மேலாண்மை செயல்பாடுகளில் பின்வரும் வகைகள் உள்ளன: தலைமுறை, சேமிப்பு மற்றும் விசைகளின் விநியோகம்.
வழிமுறையாக முக்கிய தலைமுறை சமச்சீர் மற்றும் சமச்சீரற்ற கிரிப்டோசிஸ்டம்ஸ் வேறுபட்டவை. சமச்சீர் கிரிப்டோசிஸ்டம்களின் விசைகளை உருவாக்க, சீரற்ற எண்களை உருவாக்குவதற்கான வன்பொருள் மற்றும் மென்பொருள் பயன்படுத்தப்படுகின்றன. விசைகள் சில கணித பண்புகளைக் கொண்டிருக்க வேண்டும் என்பதால், சமச்சீரற்ற கிரிப்டோசிஸ்டம்களுக்கான முக்கிய தலைமுறை மிகவும் சிக்கலானது. சமச்சீர் மற்றும் சமச்சீரற்ற கிரிப்டோசிஸ்டம்களைப் படிக்கும்போது இந்த விவகாரத்தில் இன்னும் விரிவாக வாழ்வோம்.
செயல்பாடு கடை பாதுகாப்பான சேமிப்பு, கணக்கியல் மற்றும் முக்கிய தகவல்களை அகற்றுதல் ஆகியவற்றை உள்ளடக்கியது. விசைகளின் பாதுகாப்பான சேமிப்பிடத்தை உறுதிப்படுத்த, அவை மற்ற விசைகளைப் பயன்படுத்தி குறியாக்கம் செய்யப்படுகின்றன. இந்த அணுகுமுறை ஒரு முக்கிய வரிசைமுறையின் கருத்துக்கு வழிவகுக்கிறது. ஒரு முக்கிய வரிசைமுறை பொதுவாக முதன்மை விசை (அதாவது, முதன்மை விசை), ஒரு முக்கிய குறியாக்க விசை மற்றும் தரவு குறியாக்க விசையை உள்ளடக்கியது. முதன்மை விசையின் தலைமுறை மற்றும் சேமிப்பிடம் கிரிப்டோ பாதுகாப்பின் முக்கியமான பிரச்சினை என்பதை கவனத்தில் கொள்ள வேண்டும்.
விநியோகம் - முக்கிய நிர்வாகத்தில் மிக முக்கியமான செயல்முறை. இந்த செயல்முறை விநியோகிக்கப்பட்ட விசைகளின் ரகசியத்திற்கு உத்தரவாதம் அளிக்க வேண்டும், அத்துடன் உடனடியாகவும் துல்லியமாகவும் இருக்க வேண்டும். விசைகள் பிணைய பயனர்களிடையே இரண்டு வழிகளில் விநியோகிக்கப்படுகின்றன:
- அமர்வு விசைகளின் நேரடி பரிமாற்றத்தைப் பயன்படுத்துதல்;
- ஒன்று அல்லது அதற்கு மேற்பட்ட முக்கிய விநியோக மையங்களைப் பயன்படுத்துதல்.
ஆவணங்களின் பட்டியல்
- மாநில ரகசியம் பற்றி. ஜூலை 21, 1993 ஆம் ஆண்டின் ரஷ்ய கூட்டமைப்பின் சட்டம் 5485-1 (அக்டோபர் 6, 1997 எண் 131-FZ இன் கூட்டாட்சி சட்டத்தால் திருத்தப்பட்டது).
- தகவல், தகவல் மற்றும் தகவல்களைப் பாதுகாத்தல் பற்றி. பிப்ரவரி 20, 1995 எண் 24-FZ இன் ரஷ்ய கூட்டமைப்பின் கூட்டாட்சி சட்டம். ஜனவரி 25, 1995 இல் மாநில டுமாவால் ஏற்றுக்கொள்ளப்பட்டது.
- எலக்ட்ரானிக் கம்ப்யூட்டர் மெஷின்கள் மற்றும் தரவுத்தளங்களுக்கான நிரல்களின் சட்டபூர்வமான பாதுகாப்பில். செப்டம்பர் 23, 1992 இன் ரஷ்ய கூட்டமைப்பின் சட்டம் எண் 3524-1.
- எலக்ட்ரானிக் டிஜிட்டல் சிக்னட் பற்றி. ரஷ்ய கூட்டமைப்பின் கூட்டாட்சி சட்டம் ஜனவரி 10, 2002 எண் 1-FZ.
- காப்பிரைட் மற்றும் தொடர்புடைய உரிமைகள் பற்றி. ஜூலை 9, 1993 எண் 5351-1 ரஷ்ய கூட்டமைப்பின் சட்டம்.
- கூட்டாட்சி அரசாங்க தொடர்புகள் மற்றும் தகவல் அமைப்புகள் பற்றி. ரஷ்ய கூட்டமைப்பின் சட்டம் (ரஷ்ய கூட்டமைப்பின் ஜனாதிபதியின் ஆணைப்படி திருத்தப்பட்டபடி 12.24.1993 எண் 2288; 07.11.2000 எண் 135-of இன் கூட்டாட்சி சட்டத்தின்.
- ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் தகவல் பாதுகாப்பு தேவைகள் / மாநில தொழில்நுட்ப ஆணையத்திற்கான தகவல் பாதுகாப்பு கருவிகளுக்கான சோதனை ஆய்வகங்கள் மற்றும் சான்றிதழ் அமைப்புகளின் அங்கீகாரம் குறித்த கட்டுப்பாடு.
- ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் இணக்க சான்றிதழ்கள், அவற்றின் பிரதிகள் மற்றும் தகவல் பாதுகாப்பு / மாநில தொழில்நுட்ப ஆணையத்தின் சான்றிதழ்கள் ஆகியவற்றைக் குறிக்கும் நடைமுறை குறித்த அறிவுறுத்தல்.
- ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் தகவல் பாதுகாப்பு தேவைகள் / மாநில தொழில்நுட்ப ஆணையத்தின் படி தகவல் அளிக்கும் பொருட்களின் சான்றிதழ் மீதான கட்டுப்பாடு.
- தகவல் பாதுகாப்பு தேவைகளுக்கான தகவல் பாதுகாப்பு கருவிகளின் சான்றிதழ் மீதான கட்டுப்பாடு: ஜூன் 26, 1995 ரஷ்ய கூட்டமைப்பின் அரசாங்கத்தின் ஆணைக்கு இணங்க சேர்த்தலுடன் எண் 608 "தகவல் பாதுகாப்பு கருவிகளின் சான்றிதழில்" / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
- ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் தகவல் பாதுகாப்பு நடவடிக்கைகள் / மாநில தொழில்நுட்ப ஆணையத்திற்கு மாநில உரிமம் வழங்குவதற்கான கட்டுப்பாடு.
- தானியங்கு அமைப்புகள். தகவலுக்கான அங்கீகாரமற்ற அணுகலுக்கு எதிரான பாதுகாப்பு. தானியங்கு அமைப்புகள் மற்றும் தகவல் பாதுகாப்பு தேவைகளின் வகைப்பாடு: வழிகாட்டுதல் ஆவணம் / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
- கணினி உபகரணங்கள் மற்றும் தானியங்கு அமைப்புகளை அங்கீகரிக்கப்படாத தகவல்களிலிருந்து பாதுகாக்கும் கருத்து: வழிகாட்டுதல் ஆவணம் / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
- கணினி வசதிகள். ஃபயர்வால்கள். தகவலுக்கான அங்கீகாரமற்ற அணுகலுக்கு எதிரான பாதுகாப்பு. தகவலுக்கான அங்கீகாரமற்ற அணுகலுக்கு எதிரான பாதுகாப்பு குறிகாட்டிகள்: வழிகாட்டுதல் ஆவணம் / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
- கணினி வசதிகள். தகவலுக்கான அங்கீகாரமற்ற அணுகலுக்கு எதிரான பாதுகாப்பு. தகவலுக்கான அங்கீகாரமற்ற அணுகலுக்கு எதிரான பாதுகாப்பு குறிகாட்டிகள்: வழிகாட்டுதல் ஆவணம் / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
- தகவல் பாதுகாப்பு. சிறப்பு பாதுகாப்பு அறிகுறிகள். வகைப்பாடு மற்றும் பொதுத் தேவைகள்: வழிகாட்டுதல் ஆவணம் / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
- தகவலுக்கான அங்கீகாரமற்ற அணுகலுக்கு எதிரான பாதுகாப்பு. விதிமுறைகள் மற்றும் வரையறைகள்: வழிகாட்டுதல் ஆவணம் / ரஷ்ய கூட்டமைப்பின் தலைவரின் கீழ் மாநில தொழில்நுட்ப ஆணையம்.
தகவல் பாதுகாப்பு
1. "தகவல் பாதுகாப்பு" என்ற கருத்தின் சாரம்
தகவல் பாதுகாப்பு என்பது தகவல் சூழலின் பாதுகாப்பு நிலை, தகவல் பாதுகாப்பு என்பது பாதுகாக்கப்பட்ட தகவல்களின் கசிவைத் தடுப்பதற்கான ஒரு செயல்பாடு, பாதுகாக்கப்பட்ட தகவல்களில் அங்கீகரிக்கப்படாத மற்றும் திட்டமிடப்படாத தாக்கங்கள், அதாவது இந்த நிலையை அடைவதை நோக்கமாகக் கொண்ட ஒரு செயல்முறை.
அமைப்பின் தகவல் பாதுகாப்பு - நிறுவனத்தின் தகவல் சூழலின் பாதுகாப்பு நிலை, அதன் உருவாக்கம், பயன்பாடு மற்றும் மேம்பாட்டை உறுதி செய்கிறது.
மாநிலத்தின் தகவல் பாதுகாப்பு - மாநிலத்தின் தகவல் வளங்களை பாதுகாக்கும் நிலை மற்றும் தகவல் துறையில் தனிநபர்கள் மற்றும் சமூகத்தின் நியாயமான உரிமைகளைப் பாதுகாத்தல்.
மாநிலத்தின் தகவல் பாதுகாப்பு என்பது மாநிலத்தின் திறன், சமூகம், ஆளுமை ஆகியவற்றால் தீர்மானிக்கப்படுகிறது:
ஒரு குறிப்பிட்ட நிகழ்தகவுடன், போதுமான மற்றும் பாதுகாக்கப்பட்ட தகவல் வளங்கள் மற்றும் தகவல் பாய்ச்சல்கள் அவற்றின் வாழ்க்கை மற்றும் உயிர்ச்சக்தி, நிலையான செயல்பாடு மற்றும் வளர்ச்சியை பராமரிக்க; தகவல் ஆபத்துகள் மற்றும் அச்சுறுத்தல்களை எதிர்ப்பதற்கு, தனிநபர் மற்றும் பொது உணர்வு மற்றும் மக்களின் ஆன்மா ஆகியவற்றில் எதிர்மறையான தகவல் தாக்கங்கள், அத்துடன் கணினி நெட்வொர்க்குகள் மற்றும் பிற தொழில்நுட்ப ஆதாரங்களில்;
தனிப்பட்ட மற்றும் குழு திறன்கள் மற்றும் பாதுகாப்பான நடத்தையின் திறன்களை வளர்ப்பது; தகவல் மோதலில் போதுமான நடவடிக்கைகளுக்கு நிலையான தயார்நிலையை பராமரிக்க, அது யாரை திணித்தாலும் சரி.
தனிப்பட்ட தகவல் பாதுகாப்பு - ஒரு நபரின் தனிப்பட்ட நலன்கள் மற்றும் தேவைகளின் மட்டத்தில் ஆபத்து காரணிகளில் இருந்து பாதுகாத்தல், பல வகைகளைக் கொண்டுள்ளது. ஆளுமை என்பது ஒரு உயிரியல்பு அமைப்பு மற்றும் ஒரே நேரத்தில் ஒரு நபர் சமூகத்தின் உறுப்பினராகவும், ஒரு நபர் வரையறுக்கப்பட்ட சுற்றுச்சூழல் அளவுருக்களில் இருக்கும் ஒரு உயிரினமாகவும் செயல்படுகிறார் என்பதே இதற்குக் காரணம்.
2. நிலையான பாதுகாப்பு மாதிரி
மூன்று வகைகளிலிருந்து ஒரு மாதிரி பெரும்பாலும் ஒரு நிலையான பாதுகாப்பு மாதிரியாகக் குறிப்பிடப்படுகிறது:
- இரகசியத்தன்மை - அணுகலுக்கான உரிமை உள்ள நிறுவனங்களால் மட்டுமே மேற்கொள்ளப்படும் தகவலின் நிலை;
- ஒருமைப்பாடு - தகவலின் அங்கீகாரமற்ற மாற்றத்தைத் தவிர்ப்பது;
- கிடைக்கும் - அணுகல் உரிமைகளைப் பெற்ற பயனர்களிடமிருந்து தகவல்களை தற்காலிகமாக அல்லது நிரந்தரமாக மறைப்பதைத் தவிர்ப்பது.
பாதுகாப்பு மாதிரியின் எப்போதும் கட்டாயமற்ற பிற பிரிவுகள் உள்ளன:
- நிராகரித்தல் அல்லது முறையீடு (நிராகரிக்காதது) - நிராகரிக்கப்படாதது சாத்தியமற்றது;
- பொறுப்புக்கூறல் (பொறுப்புக்கூறல்) - அணுகல் மற்றும் அதன் செயல்களின் பதிவு ஆகியவற்றை அடையாளம் காண்பதை உறுதி செய்தல்;
- நம்பகத்தன்மை (நம்பகத்தன்மை) - நோக்கம் கொண்ட நடத்தை அல்லது முடிவுக்கு இணங்குவதற்கான சொத்து;
- நம்பகத்தன்மை என்பது பொருள் அல்லது ஆதாரம் உரிமைகோரலுக்கு ஒத்ததாக இருப்பதை உறுதி செய்யும் சொத்து.
நம்பகத்தன்மை - தகவலின் ஆசிரியரை நிறுவும் திறன்;
முறையீடு - எழுத்தாளர் உரிமை கோரப்பட்ட நபர் என்பதை நிரூபிக்கும் திறன், வேறு யாரும் இல்லை
3. தகவல் பாதுகாப்பு துறையில் இயல்பான ஆவணங்கள்
ரஷ்ய கூட்டமைப்பில், தகவல் பாதுகாப்பு துறையில் ஒழுங்குமுறை சட்ட நடவடிக்கைகள் பின்வருமாறு:
கூட்டாட்சி சட்டத்தின் செயல்கள்:
- ரஷ்ய கூட்டமைப்பின் சர்வதேச ஒப்பந்தங்கள்;
- ரஷ்ய கூட்டமைப்பின் அரசியலமைப்பு;
- கூட்டாட்சி சட்டங்கள் (கூட்டாட்சி அரசியலமைப்பு சட்டங்கள், குறியீடுகள் உட்பட);
- ரஷ்ய கூட்டமைப்பின் ஜனாதிபதியின் ஆணைகள்;
- ரஷ்ய கூட்டமைப்பின் அரசாங்கத்தின் முடிவுகள்;
- கூட்டாட்சி அமைச்சகங்கள் மற்றும் துறைகளின் இயல்பான சட்ட நடவடிக்கைகள்;
- ரஷ்ய கூட்டமைப்பு, உள்ளூர் அதிகாரிகள் போன்றவற்றின் தொகுதி நிறுவனங்களின் இயல்பான சட்ட நடவடிக்கைகள்.
இயல்பான மற்றும் வழிமுறை ஆவணங்கள் அடங்கும்
- ரஷ்யாவின் அரச அமைப்புகளின் முறை ஆவணங்கள்:
- ரஷ்ய கூட்டமைப்பின் தகவல் பாதுகாப்பு கோட்பாடு;
- FSTEC (ரஷ்யாவின் மாநில தொழில்நுட்ப ஆணையம்) இன் வழிகாட்டுதல் ஆவணங்கள்;
- FSB உத்தரவுகள்;
- தகவல் பாதுகாப்பு தரங்கள், அவற்றில்:
- சர்வதேச தரநிலைகள்;
- ரஷ்ய கூட்டமைப்பின் மாநில (தேசிய) தரநிலைகள்;
- தரப்படுத்தல் பரிந்துரைகள்;
- முறை வழிமுறைகள்.
4. தகவல் பாதுகாப்பை வழங்கும் உடல்கள்
தகவல் பாதுகாப்புத் துறையில் செயல்பாடுகளைப் பயன்படுத்துவதைப் பொறுத்து, இந்த நடவடிக்கையே நிறுவனத்தின் சிறப்பு மாநில அமைப்புகள் (அலகுகள்) அல்லது துறைகள் (சேவைகள்) ஏற்பாடு செய்கிறது.
தகவல் பாதுகாப்புத் துறையில் நடவடிக்கைகளை கட்டுப்படுத்தும் ரஷ்ய கூட்டமைப்பின் மாநில அமைப்புகள்:
- மாநில டுமா பாதுகாப்புக் குழு;
- ரஷ்ய பாதுகாப்பு கவுன்சில்;
- தொழில்நுட்ப மற்றும் ஏற்றுமதி கட்டுப்பாட்டுக்கான கூட்டாட்சி சேவை (ரஷ்யாவின் FSTEC);
- ரஷ்ய கூட்டமைப்பின் கூட்டாட்சி பாதுகாப்பு சேவை (ரஷ்யாவின் FSB);
- ரஷ்ய கூட்டமைப்பின் வெளிநாட்டு புலனாய்வு சேவை (ரஷ்ய வெளிநாட்டு புலனாய்வு சேவை);
- ரஷ்ய கூட்டமைப்பின் பாதுகாப்பு அமைச்சகம் (ரஷ்யாவின் பாதுகாப்பு அமைச்சகம்);
- ரஷ்ய கூட்டமைப்பின் உள்துறை அமைச்சகம் (ரஷ்யாவின் உள் விவகார அமைச்சகம்);
- தகவல்தொடர்பு, தகவல் தொழில்நுட்பம் மற்றும் வெகுஜன தகவல்தொடர்புகளின் மேற்பார்வைக்கான கூட்டாட்சி சேவை (ரோஸ்கோம்னாட்ஸர்).
நிறுவன மட்டத்தில் தகவல் பாதுகாப்பை ஒழுங்கமைக்கும் சேவைகள்
- பொருளாதார பாதுகாப்பு சேவை;
- பணியாளர் பாதுகாப்பு சேவை (ஆட்சித் துறை);
- மனிதவளத் துறை;
- தகவல் பாதுகாப்பு சேவை.
6. நிறுவன, தொழில்நுட்ப மற்றும் ஆட்சி நடவடிக்கைகள் மற்றும் முறைகள்
ஒரு குறிப்பிட்ட தகவல் அமைப்பின் தகவல் பாதுகாப்பு தொழில்நுட்பத்தை விவரிக்க, தகவல் பாதுகாப்பு கொள்கை அல்லது கேள்விக்குரிய தகவல் அமைப்பின் பாதுகாப்புக் கொள்கை எனப்படுவது பொதுவாக கட்டமைக்கப்படுகிறது.
பாதுகாப்புக் கொள்கை (நிறுவன பாதுகாப்புக் கொள்கை) - தகவல் பாதுகாப்புத் துறையில் ஆவணப்படுத்தப்பட்ட விதிகள், நடைமுறைகள், நடைமுறைகள் அல்லது வழிகாட்டுதல்களின் தொகுப்பு, இது நிறுவனத்தை அதன் செயல்பாடுகளில் வழிநடத்துகிறது.
ஐ.சி.டி பாதுகாப்பு கொள்கை (ஐ.சி.டி பாதுகாப்பு கொள்கை) - ஒரு அமைப்பு மற்றும் அதன் தகவல் மற்றும் தொலைத்தொடர்பு தொழில்நுட்பங்களுக்குள் முக்கியமான தகவல்கள் உள்ளிட்ட சொத்துக்களை எவ்வாறு நிர்வகிப்பது, பாதுகாப்பது மற்றும் விநியோகிப்பது என்பதை தீர்மானிக்கும் விதிகள், வழிமுறைகள் மற்றும் நிறுவப்பட்ட நடைமுறை.
தகவல் பாதுகாப்பு கொள்கையை உருவாக்க, தகவல் அமைப்பு பாதுகாப்பின் பின்வரும் பகுதிகளை தனித்தனியாக பரிசீலிக்க பரிந்துரைக்கப்படுகிறது:
- தகவல் அமைப்பு பொருள்களின் பாதுகாப்பு;
- செயல்முறைகள், நடைமுறைகள் மற்றும் தகவல் செயலாக்க திட்டங்களின் பாதுகாப்பு;
- தொடர்பு சேனல்களின் பாதுகாப்பு;
- போலி மின்காந்த கதிர்வீச்சை அடக்குதல்;
- பாதுகாப்பு மேலாண்மை
அதே நேரத்தில், மேலே உள்ள ஒவ்வொரு பகுதியிலும், தகவல் பாதுகாப்பு கருவி தகவல் பாதுகாப்பு கருவிகளை உருவாக்குவதற்கான பின்வரும் கட்டங்களை விவரிக்க வேண்டும்:
1. பாதுகாக்கப்பட வேண்டிய தகவல் மற்றும் தொழில்நுட்ப வளங்களின் வரையறை;
2. சாத்தியமான அச்சுறுத்தல்கள் மற்றும் தகவல் கசிவு சேனல்களின் முழு தொகுப்பையும் அடையாளம் காணுதல்;
3. பல அச்சுறுத்தல்கள் மற்றும் கசிவு சேனல்கள் கொடுக்கப்பட்ட தகவல்களின் பாதிப்பு மற்றும் அபாயங்கள் குறித்து மதிப்பீடு செய்தல்;
4. பாதுகாப்பு அமைப்புக்கான தேவைகளின் வரையறை;
5. தகவல் பாதுகாப்பு கருவிகளின் தேர்வு மற்றும் அவற்றின் பண்புகள்;
6. தேர்ந்தெடுக்கப்பட்ட நடவடிக்கைகள், முறைகள் மற்றும் பாதுகாப்பு வழிமுறைகளைப் பயன்படுத்துதல் மற்றும் செயல்படுத்துதல்;
7. ஒருமைப்பாடு கண்காணிப்பு மற்றும் பாதுகாப்பு அமைப்பு மேலாண்மை.
ஒரு தகவல் அமைப்பிற்கான ஆவணப்படுத்தப்பட்ட தேவைகள் வடிவில் ஒரு தகவல் பாதுகாப்புக் கொள்கை ஆவணப்படுத்தப்படுகிறது. ஆவணங்கள் பொதுவாக பாதுகாப்பு செயல்முறையின் விளக்கத்தின் அளவுகளால் (விவரம்) பிரிக்கப்படுகின்றன.
ஆவணங்கள் உயர் நிலை தகவல் பாதுகாப்பு கொள்கைகள் தகவல் பாதுகாப்பு நடவடிக்கைகள் குறித்த நிறுவனத்தின் நிலைப்பாடு, இந்த பகுதியில் தேசிய மற்றும் சர்வதேச தேவைகள் மற்றும் தரங்களுக்கு இணங்குவதற்கான அதன் விருப்பத்தை பிரதிபலிக்கின்றன (“IS கருத்து”, “IS மேலாண்மை ஒழுங்குமுறை”, “IS கொள்கை” மற்றும் “IS தொழில்நுட்ப தரநிலை”). உயர்மட்ட ஆவணங்களின் விநியோக பகுதி பொதுவாக வரையறுக்கப்படவில்லை, இருப்பினும், இந்த ஆவணங்களை இரண்டு பதிப்புகளில் வழங்கலாம் - வெளி மற்றும் உள் பயன்பாட்டிற்கு.
கே நடுத்தர நிலை தகவல் பாதுகாப்பின் சில அம்சங்கள் தொடர்பான ஆவணங்களை உள்ளடக்குங்கள். தகவல் பாதுகாப்பு கருவிகளை உருவாக்குதல் மற்றும் செயல்படுத்துதல், தகவல் பாதுகாப்பின் ஒரு குறிப்பிட்ட பகுதியில் அமைப்பின் தகவல் மற்றும் வணிக செயல்முறைகளின் அமைப்பு இவை. (தரவு பாதுகாப்பு, தொடர்பு பாதுகாப்பு, கிரிப்டோகிராஃபிக் பாதுகாப்பு கருவிகளின் பயன்பாடு, உள்ளடக்க வடிகட்டுதல்). இத்தகைய ஆவணங்கள் வழக்கமாக நிறுவனத்தின் உள் தொழில்நுட்ப மற்றும் நிறுவன கொள்கைகள் (தரநிலைகள்) வடிவத்தில் வழங்கப்படுகின்றன. தகவல் பாதுகாப்பு கொள்கையின் சராசரி அளவிலான அனைத்து ஆவணங்களும் ரகசியமானவை.
தகவல் பாதுகாப்பு கொள்கையில் கீழ் நிலை பணி விதிமுறைகள், நிர்வாக கையேடுகள், தனிப்பட்ட தகவல் பாதுகாப்பு சேவைகளுக்கான இயக்க வழிமுறைகள் ஆகியவை அடங்கும்.
7. பிணைய தாக்குதல்களின் வகைப்பாடு
நெட்வொர்க் தாக்குதல்கள் அவை இயக்கும் அமைப்புகளைப் போலவே வேறுபட்டவை. தாக்குதல்களின் வகைகளை மதிப்பீடு செய்ய, TPC / IP நெறிமுறையில் உள்ளார்ந்த சில வரம்புகளை நீங்கள் அறிந்து கொள்ள வேண்டும். கல்வி செயல்முறை மற்றும் விஞ்ஞான ஆராய்ச்சிக்கு உதவுவதற்காக அரசு நிறுவனங்கள் மற்றும் பல்கலைக்கழகங்களுக்கிடையேயான தகவல்தொடர்புக்காக இணையம் உருவாக்கப்பட்டது. இதன் விளைவாக, இணைய நெறிமுறையின் (ஐபி) முந்தைய பதிப்புகளின் விவரக்குறிப்புகள் பாதுகாப்புத் தேவைகளைக் கொண்டிருக்கவில்லை. அதனால்தான் பல ஐபி செயலாக்கங்கள் ஆரம்பத்தில் பாதிக்கப்படக்கூடியவை. பல ஆண்டுகளுக்குப் பிறகு, பல புகார்களுக்குப் பிறகு (கருத்துகளுக்கான கோரிக்கை, ஆர்.எஃப்.சி), ஐபி பாதுகாப்பு கருவிகள் இறுதியாக செயல்படுத்தத் தொடங்கின. இருப்பினும், ஆரம்பத்தில் ஐபி நெறிமுறைக்கு எந்தவொரு பாதுகாப்பு நடவடிக்கைகளும் உருவாக்கப்படவில்லை என்ற காரணத்தினால், அதன் அனைத்து செயலாக்கங்களும் இந்த நெறிமுறையில் உள்ளார்ந்த அபாயங்களைக் குறைக்கும் பல்வேறு நெட்வொர்க் நடைமுறைகள், சேவைகள் மற்றும் தயாரிப்புகளால் கூடுதலாக வழங்கத் தொடங்கின. அடுத்து, ஐபி நெட்வொர்க்குகளுக்கு எதிராக பொதுவாகப் பயன்படுத்தப்படும் தாக்குதல்களின் வகைகளை சுருக்கமாக மதிப்பாய்வு செய்து அவற்றைச் சமாளிப்பதற்கான வழிகளை பட்டியலிடுகிறோம்.
பாக்கெட் ஸ்னிஃபர்
ஒரு பாக்கெட் ஸ்னிஃபர் என்பது ஒரு பயன்பாட்டு நிரலாகும், இது நெட்வொர்க் கார்டை துல்லியமான பயன்முறையில் பயன்படுத்துகிறது (இந்த பயன்முறையில், இயற்பியல் சேனல்களில் பெறப்பட்ட அனைத்து பாக்கெட்டுகளும் பிணைய அடாப்டர் மூலம் செயலாக்கத்திற்கான பயன்பாட்டிற்கு அனுப்பப்படுகின்றன). இந்த வழக்கில், ஒரு குறிப்பிட்ட டொமைன் மூலம் அனுப்பப்படும் அனைத்து பிணைய பாக்கெட்டுகளையும் ஸ்னிஃபர் இடைமறிக்கிறது. தற்போது, \u200b\u200bஸ்னிஃபர்கள் நெட்வொர்க்குகளில் முற்றிலும் சட்ட அடிப்படையில் செயல்படுகின்றன. அவை சரிசெய்தல் மற்றும் போக்குவரத்து பகுப்பாய்விற்குப் பயன்படுத்தப்படுகின்றன. இருப்பினும், சில நெட்வொர்க் பயன்பாடுகள் உரை வடிவத்தில் (டெல்நெட், எஃப்.டி.பி, எஸ்.எம்.டி.பி, பிஓபி 3, முதலியன) தரவை அனுப்புவதால், பயனுள்ள மற்றும் சில நேரங்களில் ரகசிய தகவல்களைக் கண்டுபிடிக்க நீங்கள் ஸ்னிஃபரைப் பயன்படுத்தலாம்.
பெயர்கள் மற்றும் கடவுச்சொற்களை இடைமறிப்பது ஒரு பெரிய ஆபத்தை ஏற்படுத்துகிறது, ஏனெனில் பயனர்கள் பெரும்பாலும் ஒரே பயனர்பெயர் மற்றும் கடவுச்சொல்லை பல பயன்பாடுகள் மற்றும் அமைப்புகளுக்கு பயன்படுத்துகின்றனர். பயன்பாடு கிளையன்ட்-சர்வர் பயன்முறையில் செயல்பட்டால், மற்றும் அங்கீகாரத் தரவு நெட்வொர்க் வழியாக படிக்கக்கூடிய உரை வடிவத்தில் அனுப்பப்பட்டால், இந்த தகவல் பெரும்பாலும் பிற பெருநிறுவன அல்லது வெளி வளங்களை அணுக பயன்படும். மனித பலவீனங்களை ஹேக்கர்கள் நன்கு அறிவார்கள் மற்றும் பயன்படுத்துகிறார்கள் (தாக்குதல் முறைகள் பெரும்பாலும் சமூக பொறியியல் முறைகளை அடிப்படையாகக் கொண்டவை). பல ஆதாரங்களை அணுக நாங்கள் ஒரே கடவுச்சொல்லைப் பயன்படுத்துகிறோம் என்பதை அவர்கள் நன்கு அறிவார்கள், எனவே முக்கியமான தகவல்களை அணுகுவதற்காக எங்கள் கடவுச்சொல்லைக் கற்றுக்கொள்வதில் அவை பெரும்பாலும் வெற்றி பெறுகின்றன. மிக மோசமான சூழ்நிலையில், ஒரு ஹேக்கர் கணினி மட்டத்தில் ஒரு பயனர் வளத்தை அணுகுவார் மற்றும் அவரது உதவியுடன் ஒரு புதிய பயனரை உருவாக்குகிறார், அவர் எந்த நேரத்திலும் பிணையத்தையும் அதன் வளங்களையும் அணுக பயன்படுத்தலாம்.
பின்வரும் கருவிகளைப் பயன்படுத்துவதன் மூலம் பாக்கெட் மோப்பத்தின் அபாயத்தை நீங்கள் குறைக்கலாம்:
அங்கீகாரம். பாக்கெட் ஸ்னிஃபிங்கிலிருந்து பாதுகாக்க வலுவான அங்கீகாரம் ஒரு முக்கிய வழியாகும். “வலுவான” என்பதன் மூலம் நாம் தவிர்க்கக்கூடிய அங்கீகார முறைகள் என்று பொருள். அத்தகைய அங்கீகாரத்திற்கான எடுத்துக்காட்டு ஒரு முறை கடவுச்சொற்கள் (OTP). OTP என்பது இரண்டு காரணி அங்கீகார தொழில்நுட்பமாகும், இது உங்களிடம் உள்ளதை உங்களுக்குத் தெரிந்தவற்றுடன் இணைக்கிறது. இரண்டு காரணி அங்கீகாரத்தின் ஒரு பொதுவான எடுத்துக்காட்டு ஒரு வழக்கமான ஏடிஎம்மின் செயல்பாடாகும், இது உங்களை முதலில் அங்கீகரிக்கிறது, முதலில் உங்கள் பிளாஸ்டிக் அட்டை மூலமாகவும், இரண்டாவதாக, நீங்கள் உள்ளிட்ட PIN குறியீட்டின் மூலமாகவும். OTP அமைப்பில் அங்கீகாரத்திற்கு PIN குறியீடு மற்றும் உங்கள் தனிப்பட்ட அட்டை தேவைப்படுகிறது. “அட்டை” (டோக்கன்) என்பது ஒரு வன்பொருள் அல்லது மென்பொருள் கருவியாகும், இது ஒரு தனித்துவமான ஒரு முறை கடவுச்சொல்லை உருவாக்கும் (சீரற்ற கொள்கையின்படி). ஸ்னிஃப்பரைப் பயன்படுத்தி இந்த கடவுச்சொல்லை ஒரு ஹேக்கர் அங்கீகரித்தால், இந்த தகவல் பயனற்றதாக இருக்கும், ஏனென்றால் அந்த நேரத்தில் கடவுச்சொல் ஏற்கனவே பயன்படுத்தப்பட்டு பயன்பாட்டில் இருந்து எடுக்கப்படும். கடவுச்சொல் குறுக்கீடு நிகழ்வுகளில் மட்டுமே மோப்பத்தை எதிர்ப்பதற்கான இந்த முறை பயனுள்ளதாக இருக்கும் என்பதை நினைவில் கொள்க. பிற தகவல்களை இடைமறிக்கும் ஸ்னிஃபர்கள் (எடுத்துக்காட்டாக, மின்னஞ்சல்கள்) அவற்றின் செயல்திறனை இழக்காது.
உள்கட்டமைப்பு மாற்றப்பட்டது. உங்கள் நெட்வொர்க் சூழலில் பாக்கெட் மோப்பத்தை எதிர்ப்பதற்கான மற்றொரு வழி, டயல்-அப் உள்கட்டமைப்பை உருவாக்குவது. எடுத்துக்காட்டாக, டயல்-அப் ஈதர்நெட் நிறுவனம் முழுவதும் பயன்படுத்தப்பட்டால், ஹேக்கர்கள் தாங்கள் இணைக்கப்பட்டுள்ள துறைமுகத்திற்கு வரும் போக்குவரத்தை மட்டுமே அணுக முடியும். டயல்-அப் உள்கட்டமைப்பு ஸ்னிஃபிங்கின் அச்சுறுத்தலை அகற்றாது, ஆனால் அதன் தீவிரத்தை கணிசமாகக் குறைக்கிறது.
Antisniffery. உங்கள் நெட்வொர்க்கில் இயங்கும் ஸ்னிஃபர்களை அங்கீகரிக்கும் வன்பொருள் அல்லது மென்பொருளை நிறுவுவதே மோப்பத்தை எதிர்ப்பதற்கான மூன்றாவது வழி. இந்த கருவிகள் அச்சுறுத்தலை முற்றிலுமாக அகற்ற முடியாது, ஆனால், பல பிணைய பாதுகாப்பு கருவிகளைப் போலவே, அவை பொது பாதுகாப்பு அமைப்பில் சேர்க்கப்பட்டுள்ளன. எதிர்ப்பு ஸ்னிஃபர்கள் ஹோஸ்ட்களின் மறுமொழி நேரத்தை அளவிடுகின்றன மற்றும் ஹோஸ்ட்கள் அதிகப்படியான போக்குவரத்தை செயல்படுத்த வேண்டுமா என்பதை தீர்மானிக்கிறது. லோஃப்ட் ஹெவி இண்டஸ்ட்ரீஸ் வழங்கிய அத்தகைய ஒரு தயாரிப்பு ஆன்டிஸ்னிஃப் என்று அழைக்கப்படுகிறது.
கிரிப்டோகிராஃபி. பாக்கெட் ஸ்னிஃபிங்கை எதிர்த்துப் போராடுவதற்கு இது மிகவும் பயனுள்ள வழியாகும், இருப்பினும் இது மோப்பத்தைத் தடுக்காது மற்றும் ஸ்னிஃப்பர்களின் செயல்பாட்டை அங்கீகரிக்கவில்லை, ஆனால் இந்த வேலையை பயனற்றதாக ஆக்குகிறது. தகவல்தொடர்பு சேனல் குறியாக்கவியல் ரீதியாக பாதுகாப்பாக இருந்தால், ஹேக்கர் செய்தியை இடைமறிக்கவில்லை, ஆனால் மறைகுறியாக்கப்பட்ட உரை (அதாவது, பிட்களின் புரிந்துகொள்ள முடியாத வரிசை). எஸ்.எஸ்.எச் (செக்யூர் ஷெல்) மற்றும் எஸ்.எஸ்.எல் (பாதுகாப்பான சாக்கெட் லேயர்) ஆகியவை பிற கிரிப்டோகிராஃபிக் நெட்வொர்க் மேலாண்மை நெறிமுறைகளில் அடங்கும்.
ஐபி ஸ்பூஃபிங்
நிறுவனத்திற்கு உள்ளேயும் வெளியேயும் ஒரு ஹேக்கர் அங்கீகரிக்கப்பட்ட பயனராக ஆள்மாறாட்டம் செய்யும்போது ஐபி ஸ்பூஃபிங் நிகழ்கிறது. இது இரண்டு வழிகளில் செய்யப்படலாம்: அங்கீகரிக்கப்பட்ட ஐபி முகவரிகளின் வரம்பிற்குள் இருக்கும் ஐபி முகவரியை அல்லது சில பிணைய வளங்களை அணுக அனுமதிக்கப்பட்ட அங்கீகரிக்கப்பட்ட வெளிப்புற முகவரியை ஹேக்கர் பயன்படுத்தலாம்.
ஒரு விதியாக, கிளையன்ட் மற்றும் சர்வர் பயன்பாடுகளுக்கு இடையில் அல்லது சக சாதனங்களுக்கு இடையில் ஒரு தகவல் தொடர்பு சேனல் வழியாக அனுப்பப்படும் சாதாரண தரவு ஸ்ட்ரீமில் தவறான தகவல் அல்லது தீங்கிழைக்கும் கட்டளைகளை செருகுவதற்கு ஐபி ஸ்பூஃபிங் வரையறுக்கப்பட்டுள்ளது. இருவழி தகவல்தொடர்புக்கு, தவறான ஐபி முகவரிக்கு போக்குவரத்தை இயக்க ஹேக்கர் அனைத்து ரூட்டிங் அட்டவணைகளையும் மாற்ற வேண்டும். இருப்பினும், சில ஹேக்கர்கள் பயன்பாடுகளிடமிருந்து பதிலைப் பெற முயற்சிக்கவில்லை - கணினியிலிருந்து ஒரு முக்கியமான கோப்பைப் பெறுவதே முக்கிய பணி என்றால், பயன்பாடுகளின் பதில்கள் ஒரு பொருட்டல்ல.
ரூட்டிங் அட்டவணைகள் மற்றும் நேரடி போக்குவரத்தை தவறான ஐபி முகவரிக்கு மாற்ற ஹேக்கர் நிர்வகித்தால், அவர் எல்லா பாக்கெட்டுகளையும் பெறுவார், மேலும் அவர் அங்கீகரிக்கப்பட்ட பயனராக இருப்பதைப் போல பதிலளிக்க முடியும்.
கீழே பட்டியலிடப்பட்டுள்ள நடவடிக்கைகளைப் பயன்படுத்தி ஏமாற்றுவதற்கான அச்சுறுத்தலைக் குறைக்கலாம் (ஆனால் அகற்ற முடியாது).
அணுகல் கட்டுப்பாடு. ஐபி ஸ்பூஃபிங்கைத் தடுக்க எளிதான வழி அணுகல் கட்டுப்பாட்டை சரியாக உள்ளமைப்பது. ஐபி ஸ்பூஃபிங்கின் செயல்திறனைக் குறைக்க, உங்கள் நெட்வொர்க்கிற்குள் இருக்க வேண்டிய மூல முகவரியுடன் வெளிப்புற நெட்வொர்க்கிலிருந்து வரும் எந்தவொரு போக்குவரத்தையும் துண்டிக்க அணுகல் கட்டுப்பாட்டை உள்ளமைக்கவும். உண்மை, உள் முகவரிகள் மட்டுமே அங்கீகரிக்கப்படும்போது ஐபி ஸ்பூஃபிங்கை எதிர்த்துப் போராட இது உதவுகிறது; சில வெளிப்புற பிணைய முகவரிகள் அங்கீகரிக்கப்பட்டால், இந்த முறை பயனற்றதாகிவிடும்.
RFC 2827 ஐ வடிகட்டுதல். உங்கள் நெட்வொர்க்கின் பயனர்களால் மற்றவர்களின் நெட்வொர்க்குகளை ஏமாற்றுவதற்கான முயற்சிகளை நீங்கள் நிறுத்தலாம் (மேலும் மரியாதைக்குரிய பிணைய குடிமகனாக மாறலாம்). இதைச் செய்ய, உங்கள் நிறுவனத்தின் ஐபி முகவரிகளில் ஒன்றான மூல முகவரி இல்லாத வெளிச்செல்லும் போக்குவரத்தை நீங்கள் நிராகரிக்க வேண்டும். RFC 2827 என அழைக்கப்படும் இந்த வகை வடிகட்டலை உங்கள் ISP ஆல் செய்ய முடியும். இதன் விளைவாக, ஒரு குறிப்பிட்ட இடைமுகத்தில் எதிர்பார்க்கப்படும் மூல முகவரி இல்லாத அனைத்து போக்குவரத்தும் நிராகரிக்கப்படுகிறது. எடுத்துக்காட்டாக, ஐஎஸ்பி 15.1.1.0/24 ஐபி முகவரியுடன் ஒரு இணைப்பை வழங்கினால், அது வடிப்பானை உள்ளமைக்க முடியும், இதனால் 15.1.1.0/24 முகவரியிலிருந்து வரும் போக்குவரத்து மட்டுமே இடைமுகத்திலிருந்து ஐஎஸ்பி திசைவிக்கு அனுமதிக்கப்படுகிறது. எல்லா வழங்குநர்களும் இந்த வகை வடிகட்டலை செயல்படுத்தும் வரை, அதன் செயல்திறன் முடிந்ததை விட மிகக் குறைவாக இருக்கும் என்பதை நினைவில் கொள்க. கூடுதலாக, வடிகட்டப்பட்ட சாதனங்களிலிருந்து தொலைவில், துல்லியமான வடிகட்டலை மேற்கொள்வது மிகவும் கடினம். எடுத்துக்காட்டாக, அணுகல் திசைவி மட்டத்தில் RFC 2827 ஐ வடிகட்டுவதற்கு முக்கிய நெட்வொர்க் முகவரியிலிருந்து (10.0.0.0/8) அனைத்து போக்குவரத்தையும் கடந்து செல்ல வேண்டும், அதே நேரத்தில் விநியோக மட்டத்தில் (இந்த கட்டமைப்பில்), நீங்கள் போக்குவரத்தை மிகவும் துல்லியமாக கட்டுப்படுத்தலாம் (முகவரி - 10.1.5.0/24).
ஐபி ஸ்பூஃபிங்கைக் கையாள்வதற்கான மிகவும் பயனுள்ள முறை பாக்கெட் ஸ்னிஃபிங்கைப் போன்றது: நீங்கள் தாக்குதலை முற்றிலும் பயனற்றதாக மாற்ற வேண்டும். அங்கீகாரம் ஐபி முகவரிகளை அடிப்படையாகக் கொண்டால் மட்டுமே ஐபி ஸ்பூஃபிங் செயல்பட முடியும். எனவே, கூடுதல் அங்கீகார முறைகளை அறிமுகப்படுத்துவது இத்தகைய தாக்குதல்களை பயனற்றதாக ஆக்குகிறது. கூடுதல் அங்கீகாரத்தின் சிறந்த வடிவம் கிரிப்டோகிராஃபிக் ஆகும். இது முடியாவிட்டால், ஒரு முறை கடவுச்சொற்களைப் பயன்படுத்தி இரண்டு காரணி அங்கீகாரம் நல்ல முடிவுகளைத் தரும்.
சேவை மறுப்பு
சேவை மறுப்பு (DoS) என்பது ஹேக்கர் தாக்குதலின் மிகவும் பிரபலமான வடிவம் என்பதில் சந்தேகமில்லை. கூடுதலாக, இந்த வகை தாக்குதல்களுக்கு எதிராக நூறு சதவீத பாதுகாப்பை உருவாக்குவது மிகவும் கடினம். ஹேக்கர்களிடையே, DoS தாக்குதல்கள் குழந்தைத்தனமான வேடிக்கையாகக் கருதப்படுகின்றன, மேலும் அவற்றின் பயன்பாடு இழிவான புன்னகையை ஏற்படுத்துகிறது, ஏனெனில் DoS ஐ ஒழுங்கமைக்க குறைந்தபட்ச அறிவும் திறமையும் தேவைப்படுகிறது. எவ்வாறாயினும், நெட்வொர்க் பாதுகாப்பிற்கு பொறுப்பான நிர்வாகிகளின் நெருக்கமான கவனத்தால் DoS க்கு கொண்டு வரப்பட்ட செயல்பாட்டின் எளிமை மற்றும் தீங்கின் முழுமையான அளவு இது. DoS தாக்குதல்களைப் பற்றி மேலும் அறிய நீங்கள் விரும்பினால், அவற்றின் மிகவும் பிரபலமான வகைகளை நீங்கள் கருத்தில் கொள்ள வேண்டும்:
TCP SYN வெள்ளம்
மரணத்தின் பிங்
பழங்குடி வெள்ள நெட்வொர்க் (டி.எஃப்.என்) மற்றும் பழங்குடி வெள்ள நெட்வொர்க் 2000 (டி.எஃப்.என் 2 கே)
· Stacheldracht;
DoS தாக்குதல்கள் மற்ற வகை தாக்குதல்களிலிருந்து வேறுபட்டவை. அவை உங்கள் நெட்வொர்க்கிற்கான அணுகலைப் பெறுவதையோ அல்லது இந்த நெட்வொர்க்கிலிருந்து எந்த தகவலையும் பெறுவதையோ நோக்கமாகக் கொண்டிருக்கவில்லை, ஆனால் பிணையம், இயக்க முறைமை அல்லது பயன்பாட்டின் அனுமதிக்கப்பட்ட வரம்புகளை மீறி DoS தாக்குதல் உங்கள் பிணையத்தை சாதாரண பயன்பாட்டிற்கு அணுக முடியாததாக ஆக்குகிறது. சில சேவையக பயன்பாடுகளின் விஷயத்தில் (வலை சேவையகம் அல்லது ஒரு FTP சேவையகம் போன்றவை), இந்த பயன்பாடுகளுக்குக் கிடைக்கும் எல்லா இணைப்புகளையும் ஆக்கிரமித்து அவற்றை பிஸியான நிலையில் வைத்திருப்பது, சாதாரண பயனர்கள் சேவை செய்வதைத் தடுப்பதில் DoS தாக்குதல்கள் இருக்கலாம். வழக்கமான இணைய நெறிமுறைகளான டி.சி.பி மற்றும் ஐ.சி.எம்.பி (இன்டர்நெட் கண்ட்ரோல் மெசேஜ் புரோட்டோகால்) ஆகியவை டூஸ் தாக்குதலின் போது பயன்படுத்தப்படலாம்.
பெரும்பாலான DoS தாக்குதல்கள் மென்பொருள் பிழைகள் அல்லது பாதுகாப்பு துளைகளுக்காக வடிவமைக்கப்படவில்லை, ஆனால் கணினி கட்டமைப்பில் பொதுவான பலவீனங்களுக்காக. சில தாக்குதல்கள் நெட்வொர்க் செயல்திறனை ரத்துசெய்கின்றன, தேவையற்ற மற்றும் தேவையற்ற பாக்கெட்டுகளால் அதை மூழ்கடிக்கின்றன அல்லது நெட்வொர்க் வளங்களின் தற்போதைய நிலை குறித்த தவறான தகவல்களைப் புகாரளிக்கின்றன. இந்த வகை தாக்குதலைத் தடுப்பது கடினம், ஏனெனில் இதற்கு வழங்குநருடன் ஒருங்கிணைப்பு தேவைப்படுகிறது. உங்கள் நெட்வொர்க்கை நிரம்பி வழிக்கும் நோக்கில் வழங்குநரின் போக்குவரத்தை நீங்கள் நிறுத்தவில்லை என்றால், பிணையத்தின் நுழைவாயிலில் இதை நீங்கள் செய்ய முடியாது, ஏனெனில் முழு அலைவரிசையும் ஆக்கிரமிக்கப்படும். இந்த வகை தாக்குதல் பல சாதனங்கள் மூலம் ஒரே நேரத்தில் மேற்கொள்ளப்படும்போது, \u200b\u200bவிநியோகிக்கப்பட்ட DoS தாக்குதல் (விநியோகிக்கப்பட்ட DoS, DDoS) பற்றி பேசுகிறோம்.
DoS தாக்குதல்களின் அச்சுறுத்தலை மூன்று வழிகளில் குறைக்கலாம்:
ஸ்பூஃபிங் எதிர்ப்பு அம்சங்கள். உங்கள் திசைவிகள் மற்றும் ஃபயர்வால்களில் எதிர்ப்பு ஸ்பூஃபிங் அம்சங்களின் சரியான உள்ளமைவு DoS அபாயத்தைக் குறைக்க உதவும். குறைந்தபட்சம், இந்த அம்சங்களில் RFC 2827 வடிகட்டுதல் இருக்க வேண்டும். ஒரு ஹேக்கர் தனது உண்மையான அடையாளத்தை மறைக்க முடியாவிட்டால், அவர் தாக்குதலைத் தொடங்கத் துணிய வாய்ப்பில்லை.
எதிர்ப்பு DoS அம்சங்கள். திசைவிகள் மற்றும் ஃபயர்வால்களில் DoS எதிர்ப்பு அம்சங்களின் சரியான உள்ளமைவு தாக்குதல்களின் செயல்திறனைக் குறைக்கும். இந்த செயல்பாடுகள் பெரும்பாலும் எந்த நேரத்திலும் அரை திறந்த சேனல்களின் எண்ணிக்கையை கட்டுப்படுத்துகின்றன.
போக்குவரத்து வரம்பு வரம்பு போக்குவரத்தின் அளவைக் குறைக்க அமைப்பு வழங்குநரிடம் (ISP) கேட்கலாம். இந்த வகை வடிகட்டுதல் உங்கள் பிணையத்தின் வழியாக செல்லும் முக்கியமான அல்லாத போக்குவரத்தின் அளவைக் கட்டுப்படுத்த உங்களை அனுமதிக்கிறது. ஒரு பொதுவான எடுத்துக்காட்டு ஐ.சி.எம்.பி போக்குவரத்து வரம்பு, இது கண்டறியும் நோக்கங்களுக்காக மட்டுமே பயன்படுத்தப்படுகிறது. DoS தாக்குதல்கள் (D) பெரும்பாலும் ICMP ஐப் பயன்படுத்துகின்றன.
கடவுச்சொல் தாக்குதல்கள்
முரட்டுத்தனமான தாக்குதல், ட்ரோஜன் ஹார்ஸ், ஐபி ஸ்பூஃபிங் மற்றும் பாக்கெட் ஸ்னிஃபிங் போன்ற பல்வேறு முறைகளைப் பயன்படுத்தி ஹேக்கர்கள் கடவுச்சொல் தாக்குதல்களை நடத்த முடியும். ஐபி ஸ்பூஃபிங் மற்றும் பாக்கெட் ஸ்னிஃபிங்கைப் பயன்படுத்தி ஒரு பயனர்பெயர் மற்றும் கடவுச்சொல்லை பெரும்பாலும் பெற முடியும் என்றாலும், ஹேக்கர்கள் பெரும்பாலும் பல அணுகல் முயற்சிகளைப் பயன்படுத்தி கடவுச்சொல் மற்றும் பயனர்பெயரைக் கண்டுபிடிக்க முயற்சி செய்கிறார்கள். இந்த அணுகுமுறை முரட்டு சக்தி தாக்குதல் என்று அழைக்கப்படுகிறது.
பெரும்பாலும், அத்தகைய தாக்குதலுக்கு ஒரு சிறப்பு நிரல் பயன்படுத்தப்படுகிறது, இது பகிரப்பட்ட ஆதாரத்தை அணுக முயற்சிக்கிறது (எடுத்துக்காட்டாக, ஒரு சேவையகம்). இதன் விளைவாக, ஹேக்கருக்கு ஆதாரங்களுக்கான அணுகல் வழங்கப்பட்டால், கடவுச்சொல் தேர்ந்தெடுக்கப்பட்ட ஒரு சாதாரண பயனராக அவர் அதைப் பெறுகிறார். இந்த பயனருக்கு குறிப்பிடத்தக்க அணுகல் சலுகைகள் இருந்தால், எதிர்கால அணுகலுக்காக ஹேக்கர் ஒரு “பாஸ்” ஐ உருவாக்க முடியும், இது பயனர் தனது கடவுச்சொல்லை மாற்றி உள்நுழைந்தாலும் செல்லுபடியாகும்.
பல அமைப்புகளை அணுக பயனர்கள் ஒரே மாதிரியான (மிகச் சிறந்த) கடவுச்சொல்லைப் பயன்படுத்தும்போது மற்றொரு சிக்கல் எழுகிறது: பெருநிறுவன, தனிப்பட்ட மற்றும் இணைய அமைப்புகள். கடவுச்சொல் வலிமை பலவீனமான ஹோஸ்டின் ஸ்திரத்தன்மைக்கு சமமாக இருப்பதால், இந்த ஹோஸ்டின் மூலம் கடவுச்சொல்லைக் கற்றுக் கொள்ளும் ஹேக்கர் ஒரே கடவுச்சொல்லைப் பயன்படுத்தும் மற்ற எல்லா கணினிகளுக்கும் அணுகலைப் பெறுவார்.
நீங்கள் கடவுச்சொற்களை உரை வடிவத்தில் பயன்படுத்தாவிட்டால் கடவுச்சொல் தாக்குதல்களைத் தவிர்க்கலாம். ஒரு முறை கடவுச்சொற்கள் மற்றும் / அல்லது கிரிப்டோகிராஃபிக் அங்கீகாரம் அத்தகைய தாக்குதல்களின் அச்சுறுத்தலை நடைமுறையில் அழிக்கக்கூடும். துரதிர்ஷ்டவசமாக, எல்லா பயன்பாடுகளும், ஹோஸ்ட்களும் சாதனங்களும் மேலே உள்ள அங்கீகார முறைகளை ஆதரிக்கவில்லை.
வழக்கமான கடவுச்சொற்களைப் பயன்படுத்தும் போது, \u200b\u200bஎடுக்க கடினமாக இருக்கும் ஒன்றைக் கொண்டு வர முயற்சிக்கவும். குறைந்தபட்ச கடவுச்சொல் நீளம் குறைந்தது எட்டு எழுத்துகளாக இருக்க வேண்டும். கடவுச்சொல்லில் பெரிய எழுத்துக்கள், எண்கள் மற்றும் சிறப்பு எழுத்துக்கள் (#,%, $, முதலியன) இருக்க வேண்டும். சிறந்த கடவுச்சொற்களை எடுப்பது கடினம் மற்றும் நினைவில் கொள்வது கடினம், இது பயனர்களை காகிதத்தில் எழுதும்படி கட்டாயப்படுத்துகிறது. இதைத் தவிர்க்க, பயனர்கள் மற்றும் நிர்வாகிகள் சமீபத்திய தொழில்நுட்ப முன்னேற்றங்களைப் பயன்படுத்தலாம். எடுத்துக்காட்டாக, கையடக்க கணினியில் சேமிக்கக்கூடிய கடவுச்சொற்களின் பட்டியலை குறியாக்க பயன்பாடுகள் உள்ளன. இதன் விளைவாக, பயனர் ஒரு சிக்கலான கடவுச்சொல்லை மட்டுமே நினைவில் வைத்திருக்க வேண்டும், மற்றவர்கள் பயன்பாட்டின் மூலம் நம்பத்தகுந்த வகையில் பாதுகாக்கப்படுவார்கள். நிர்வாகியைப் பொறுத்தவரை, கடவுச்சொற்களைத் தேர்ந்தெடுப்பதை எதிர்த்துப் பல முறைகள் உள்ளன. அவற்றில் ஒன்று L0phtCrack கருவியைப் பயன்படுத்துவது, இது பெரும்பாலும் விண்டோஸ் என்.டி.யில் கடவுச்சொற்களை சிதைக்க ஹேக்கர்களால் பயன்படுத்தப்படுகிறது. பயனரால் தேர்ந்தெடுக்கப்பட்ட கடவுச்சொல்லை எடுப்பது எளிதானதா என்பதை இந்த கருவி விரைவில் காண்பிக்கும். மேலதிக தகவல்கள் http://www.l0phtcrack.com/ இல் கிடைக்கின்றன.
நடுத்தர தாக்குதல்கள் நாயகன்
மேன்-இன்-தி-மிடில் போன்ற தாக்குதலுக்கு, ஒரு ஹேக்கருக்கு பிணையத்தில் அனுப்பப்படும் பாக்கெட்டுகளை அணுக வேண்டும். வழங்குநரிடமிருந்து வேறு எந்த நெட்வொர்க்குக்கும் அனுப்பப்படும் அனைத்து பாக்கெட்டுகளுக்கும் இத்தகைய அணுகல், எடுத்துக்காட்டாக, இந்த வழங்குநரின் பணியாளரால் பெறப்படலாம். இந்த வகை தாக்குதல்களுக்கு பாக்கெட் ஸ்னிஃபர்கள், போக்குவரத்து நெறிமுறைகள் மற்றும் ரூட்டிங் நெறிமுறைகள் பெரும்பாலும் பயன்படுத்தப்படுகின்றன. தகவல்களைத் திருடுவது, நடப்பு அமர்வை இடைமறிப்பது மற்றும் தனியார் நெட்வொர்க் வளங்களை அணுகுவது, போக்குவரத்தை பகுப்பாய்வு செய்வது மற்றும் நெட்வொர்க் மற்றும் அதன் பயனர்களைப் பற்றிய தகவல்களைப் பெறுவது, DoS தாக்குதல்களை நடத்துவது, அனுப்பப்பட்ட தரவை சிதைப்பது மற்றும் நெட்வொர்க் அமர்வுகளில் அங்கீகரிக்கப்படாத தகவல்களை உள்ளிடுவது போன்றவற்றுக்காக தாக்குதல்கள் மேற்கொள்ளப்படுகின்றன.
மேன்-இன்-தி-மிடில் போன்ற தாக்குதல்களை திறம்பட எதிர்ப்பது குறியாக்கவியலைப் பயன்படுத்தி மட்டுமே செய்ய முடியும். மறைகுறியாக்கப்பட்ட அமர்வின் தரவை ஒரு ஹேக்கர் இடைமறித்தால், அவர் திரையில் ஒரு இடைமறிக்கப்பட்ட செய்தியை அல்ல, ஆனால் அர்த்தமற்ற எழுத்துக்களின் தொகுப்பைக் காண்பார். ஒரு கிரிப்டோகிராஃபிக் அமர்வு பற்றிய தகவலை ஒரு ஹேக்கர் பெற்றால் (எடுத்துக்காட்டாக, ஒரு அமர்வு விசை), இது ஒரு மறைகுறியாக்கப்பட்ட சூழலில் கூட ஒரு மனிதனுக்கு இடையேயான தாக்குதலை சாத்தியமாக்கும் என்பதை நினைவில் கொள்க.
பயன்பாட்டு நிலை தாக்குதல்கள்
பயன்பாட்டு அளவிலான தாக்குதல்களை பல வழிகளில் நடத்தலாம். சேவையக மென்பொருளில் (சென்ட்மெயில், எச்.டி.டி.பி, எஃப்.டி.பி) நன்கு அறியப்பட்ட பலவீனங்களைப் பயன்படுத்துவது அவற்றில் மிகவும் பொதுவானது. இந்த பலவீனங்களைப் பயன்படுத்தி, பயன்பாட்டுடன் பணிபுரியும் பயனரின் சார்பாக ஹேக்கர்கள் கணினியை அணுகலாம் (வழக்கமாக இது ஒரு எளிய பயனர் அல்ல, ஆனால் கணினி அணுகல் உரிமைகளைக் கொண்ட ஒரு சலுகை பெற்ற நிர்வாகி). திருத்தம் தொகுதிகள் (திட்டுகள்) உதவியுடன் சிக்கலை சரிசெய்ய நிர்வாகிகளுக்கு வாய்ப்பளிப்பதற்காக பயன்பாட்டு மட்டத்தில் தாக்குதல்கள் பற்றிய தகவல்கள் பரவலாக வெளியிடப்படுகின்றன. துரதிர்ஷ்டவசமாக, பல ஹேக்கர்களுக்கும் இந்த தகவலுக்கான அணுகல் உள்ளது, இது அவர்களை மேம்படுத்த அனுமதிக்கிறது.
பயன்பாட்டு நிலை தாக்குதல்களின் முக்கிய சிக்கல் என்னவென்றால், ஃபயர்வால் வழியாக செல்ல அனுமதிக்கப்பட்ட துறைமுகங்களை ஹேக்கர்கள் பெரும்பாலும் பயன்படுத்துகிறார்கள். எடுத்துக்காட்டாக, ஒரு வலை சேவையகத்தின் நன்கு அறியப்பட்ட பலவீனத்தை சுரண்டும் ஒரு ஹேக்கர் பெரும்பாலும் தாக்குதலின் போது TCP போர்ட் 80 ஐப் பயன்படுத்துகிறார். வலை சேவையகம் பயனர்களுக்கு வலைப்பக்கங்களை வழங்குவதால், ஃபயர்வால் இந்த துறைமுகத்திற்கான அணுகலை வழங்க வேண்டும். ஃபயர்வால் கண்ணோட்டத்தில், தாக்குதல் 80 துறைமுகத்திற்கான நிலையான போக்குவரமாகக் காணப்படுகிறது.
பயன்பாட்டு மட்டத்தில் தாக்குதல்களை முற்றிலுமாக அகற்றுவது சாத்தியமில்லை. இணையத்தில் புதிய பயன்பாட்டு பாதிப்புகளை ஹேக்கர்கள் தொடர்ந்து கண்டுபிடித்து வெளியிடுகிறார்கள். இங்கே மிக முக்கியமான விஷயம் நல்ல கணினி நிர்வாகம். இந்த வகை தாக்குதலுக்கான பாதிப்பைக் குறைக்க நீங்கள் எடுக்கக்கூடிய சில நடவடிக்கைகள் இங்கே:
இயக்க முறைமை பதிவு கோப்புகள் மற்றும் பிணைய பதிவு கோப்புகளைப் படிக்கவும் மற்றும் / அல்லது சிறப்பு பகுப்பாய்வு பயன்பாடுகளைப் பயன்படுத்தி அவற்றை பகுப்பாய்வு செய்யவும்;
நெட்வொர்க் நுண்ணறிவு என்பது பொதுவில் கிடைக்கும் தரவு மற்றும் பயன்பாடுகளைப் பயன்படுத்தி பிணைய தகவல்களை சேகரிப்பதாகும். எந்தவொரு நெட்வொர்க்குக்கும் எதிராக தாக்குதலைத் தயாரிக்கும்போது, \u200b\u200bஒரு ஹேக்கர், ஒரு விதியாக, அதைப் பற்றிய தகவல்களை முடிந்தவரை பெற முயற்சிக்கிறார். நெட்வொர்க் நுண்ணறிவு டிஎன்எஸ் வினவல்கள், பிங்ஸ் மற்றும் போர்ட் ஸ்கேன் வடிவத்தில் நடத்தப்படுகிறது. ஒரு குறிப்பிட்ட டொமைன் யாருடையது, இந்த டொமைனுக்கு என்ன முகவரிகள் ஒதுக்கப்பட்டுள்ளன என்பதைப் புரிந்துகொள்ள டிஎன்எஸ் வினவல்கள் உங்களுக்கு உதவுகின்றன. டி.என்.எஸ் ஐப் பயன்படுத்தி தீர்க்கப்படும் எக்கோ சோதனை முகவரிகள் கொடுக்கப்பட்ட சூழலில் எந்த ஹோஸ்ட்கள் உண்மையில் செயல்படுகின்றன என்பதைக் காண உங்களை அனுமதிக்கிறது. ஹோஸ்ட்களின் பட்டியலைப் பெற்ற பின்னர், இந்த ஹோஸ்ட்களால் ஆதரிக்கப்படும் சேவைகளின் முழுமையான பட்டியலைத் தொகுக்க ஹேக்கர் போர்ட் ஸ்கேனிங் கருவிகளைப் பயன்படுத்துகிறார். இறுதியாக, ஹோக்கர்களில் இயங்கும் பயன்பாடுகளின் பண்புகளை ஹேக்கர் பகுப்பாய்வு செய்கிறார். இதன் விளைவாக, ஹேக்கிங்கிற்குப் பயன்படுத்தக்கூடிய தகவல்களை அவர் பெறுகிறார்.
நெட்வொர்க் நுண்ணறிவை முற்றிலுமாக அகற்றுவது சாத்தியமில்லை. எடுத்துக்காட்டாக, நீங்கள் புற ரவுட்டர்களில் ஐ.சி.எம்.பி எதிரொலி மற்றும் எதிரொலி பதிலை முடக்கினால், நீங்கள் எதிரொலி சோதனையிலிருந்து விடுபடுவீர்கள், ஆனால் பிணைய தோல்விகளைக் கண்டறிய தேவையான தரவை இழப்பீர்கள். கூடுதலாக, பூர்வாங்க எதிரொலி சோதனை இல்லாமல் நீங்கள் துறைமுகங்களை ஸ்கேன் செய்யலாம் - இதற்கு அதிக நேரம் எடுக்கும், ஏனெனில் நீங்கள் இல்லாத ஐபி முகவரிகளையும் ஸ்கேன் செய்ய வேண்டும். நெட்வொர்க் மற்றும் ஹோஸ்ட் மட்டத்தில் உள்ள ஐடிஎஸ் அமைப்புகள் வழக்கமாக நடந்துகொண்டிருக்கும் நெட்வொர்க் உளவுத்துறையின் நிர்வாகிக்கு அறிவிக்கும் ஒரு நல்ல வேலையைச் செய்கின்றன, இது வரவிருக்கும் தாக்குதலுக்கு சிறப்பாகத் தயாரிக்கவும், அதிக ஆர்வத்தை காட்டும் ஒரு அமைப்பு நிறுவப்பட்டிருக்கும் நெட்வொர்க்கில் வழங்குநருக்கு (ஐஎஸ்பி) அறிவிக்கவும் உதவுகிறது.
இயக்க முறைமைகள் மற்றும் பயன்பாடுகளின் சமீபத்திய பதிப்புகள் மற்றும் சமீபத்திய திருத்தம் தொகுதிகள் (திட்டுகள்) பயன்படுத்தவும்;
கணினி நிர்வாகத்திற்கு கூடுதலாக, தாக்குதல் அங்கீகார அமைப்புகளைப் பயன்படுத்தவும் (ஐடிஎஸ்) - இரண்டு நிரப்பு ஐடிஎஸ் தொழில்நுட்பங்கள்:
ஐடிஎஸ் நெட்வொர்க்கிங் சிஸ்டம் (என்ஐடிஎஸ்) ஒரு குறிப்பிட்ட டொமைன் வழியாக செல்லும் அனைத்து பாக்கெட்டுகளையும் கண்காணிக்கிறது. அறியப்பட்ட அல்லது சாத்தியமான தாக்குதலின் கையொப்பத்துடன் பொருந்தக்கூடிய ஒரு பாக்கெட் அல்லது தொடர் பாக்கெட்டுகளை என்ஐடிஎஸ் அமைப்பு பார்க்கும்போது, \u200b\u200bஅது ஒரு அலாரத்தை உருவாக்கி / அல்லது அமர்வை நிறுத்துகிறது;
ஐடிஎஸ் ஹோஸ்ட் சிஸ்டம் (எச்ஐடிஎஸ்) மென்பொருள் முகவர்களுடன் ஹோஸ்டைப் பாதுகாக்கிறது. இந்த அமைப்பு ஒரு ஹோஸ்டுக்கு எதிரான தாக்குதல்களை மட்டுமே எதிர்த்துப் போராடுகிறது.
ஐடிஎஸ் அமைப்புகள் தங்கள் வேலையில் தாக்குதல் கையொப்பங்களைப் பயன்படுத்துகின்றன, அவை குறிப்பிட்ட தாக்குதல்களின் சுயவிவரங்கள் அல்லது தாக்குதல்களின் வகைகள். போக்குவரத்து ஹேக்கராக கருதப்படும் நிலைமைகளை கையொப்பங்கள் தீர்மானிக்கின்றன. இயற்பியல் உலகில் ஐடிஎஸ்ஸின் அனலாக்ஸை ஒரு எச்சரிக்கை அமைப்பு அல்லது கண்காணிப்பு கேமரா என்று கருதலாம். ஐடிஎஸ்ஸின் மிகப்பெரிய தீமை அலாரங்களை உருவாக்கும் திறன் ஆகும். தவறான அலாரங்களின் எண்ணிக்கையைக் குறைக்கவும், பிணையத்தில் ஐடிஎஸ் அமைப்பின் சரியான செயல்பாட்டை அடையவும், இந்த அமைப்பின் கவனமாக உள்ளமைவு அவசியம்.
துஷ்பிரயோகத்தை நம்புங்கள்
உண்மையில், இந்த வகை நடவடிக்கை ஒரு தாக்குதல் அல்லது தாக்குதல் என்ற வார்த்தையின் முழு அர்த்தத்தில் இல்லை. இது பிணையத்தில் இருக்கும் நம்பிக்கை உறவுகளின் தீங்கிழைக்கும் பயன்பாடாகும். கார்ப்பரேட் நெட்வொர்க்கின் புறப் பகுதியின் நிலைமை இத்தகைய துஷ்பிரயோகத்திற்கு ஒரு சிறந்த எடுத்துக்காட்டு. இந்த பிரிவு பெரும்பாலும் DNS, SMTP மற்றும் HTTP சேவையகங்களை வழங்குகிறது. அவர்கள் அனைவரும் ஒரே பிரிவைச் சேர்ந்தவர்கள் என்பதால், அவற்றில் ஏதேனும் ஒன்றை உடைப்பது மற்ற அனைத்தையும் உடைக்க வழிவகுக்கிறது, ஏனெனில் இந்த சேவையகங்கள் தங்கள் பிணையத்தில் மற்ற அமைப்புகளை நம்புகின்றன. மற்றொரு எடுத்துக்காட்டு ஃபயர்வாலின் வெளிப்புறத்தில் நிறுவப்பட்ட ஒரு அமைப்பு, அதன் உள்ளே நிறுவப்பட்ட கணினியுடன் நம்பிக்கை உறவைக் கொண்டுள்ளது. வெளிப்புற அமைப்பு ஹேக் செய்யப்பட்டால், ஃபயர்வால் அமைப்பில் ஊடுருவ ஒரு ஹேக்கர் நம்பிக்கை உறவைப் பயன்படுத்தலாம்.
உங்கள் நெட்வொர்க்கில் உள்ள நம்பிக்கையின் அளவைக் கட்டுப்படுத்துவதன் மூலம் நம்பிக்கையை மீறும் அபாயத்தைக் குறைக்கலாம். ஃபயர்வாலின் வெளிப்புறத்தில் அமைந்துள்ள அமைப்புகள் எந்த சூழ்நிலையிலும் திரை பாதுகாக்கப்பட்ட அமைப்புகளிலிருந்து முழுமையான நம்பிக்கையை அனுபவிக்கக்கூடாது. நம்பிக்கை உறவுகள் சில நெறிமுறைகளுக்கு மட்டுப்படுத்தப்பட்டிருக்க வேண்டும், முடிந்தால், ஐபி முகவரிகளால் மட்டுமல்ல, பிற அளவுருக்களாலும் அங்கீகரிக்கப்பட வேண்டும்.
துறைமுக பகிர்தல்
போர்ட் பகிர்தல் என்பது ஃபயர்வால் வழியாக போக்குவரத்தை கடத்த சமரசம் செய்யப்பட்ட ஹோஸ்ட் பயன்படுத்தப்படும்போது நம்பிக்கையை மீறுவதாகும். மூன்று இடைமுகங்களுடன் ஒரு ஃபயர்வாலை கற்பனை செய்து பாருங்கள், ஒவ்வொன்றும் ஒரு குறிப்பிட்ட ஹோஸ்டுடன் இணைக்கப்பட்டுள்ளது. வெளிப்புற ஹோஸ்ட் ஒரு பகிரப்பட்ட ஹோஸ்டுடன் (DMZ) இணைக்க முடியும், ஆனால் ஃபயர்வாலின் உட்புறத்தில் நிறுவப்பட்டவற்றுடன் அல்ல. பகிரப்பட்ட ஹோஸ்ட் உள் மற்றும் வெளிப்புற ஹோஸ்ட்களுடன் இணைக்க முடியும். பகிரப்பட்ட ஹோஸ்டை ஹேக்கர் கைப்பற்றினால், அவர் அதில் ஒரு மென்பொருள் கருவியை நிறுவ முடியும், அது வெளிப்புற ஹோஸ்டிலிருந்து போக்குவரத்தை நேரடியாக அகத்திற்கு திருப்பி விடுகிறது. இது திரையில் பொருந்தும் எந்த விதிகளையும் மீறவில்லை என்றாலும், பகிர்தலின் விளைவாக வெளிப்புற ஹோஸ்ட் பாதுகாக்கப்பட்ட ஹோஸ்டுக்கு நேரடி அணுகலைப் பெறுகிறது. அத்தகைய அணுகலை வழங்கக்கூடிய ஒரு பயன்பாட்டின் எடுத்துக்காட்டு நெட்கேட்.
போர்ட் பகிர்தலை எதிர்ப்பதற்கான முக்கிய வழி நம்பகமான நம்பிக்கை மாதிரிகளைப் பயன்படுத்துவதாகும் (முந்தைய பகுதியைப் பார்க்கவும்). கூடுதலாக, ஐடிஎஸ் ஹோஸ்ட் சிஸ்டம் (எச்ஐடிஎஸ்) ஒரு ஹேக்கர் தனது மென்பொருளை ஹோஸ்டில் நிறுவுவதைத் தடுக்கலாம்.
அங்கீகரிக்கப்படாத அணுகல்
அங்கீகரிக்கப்படாத அணுகலைப் பெறுவதற்கான நோக்கத்திற்காக பெரும்பாலான நெட்வொர்க் தாக்குதல்கள் துல்லியமாக மேற்கொள்ளப்படுவதால், அங்கீகரிக்கப்படாத அணுகலை ஒரு தனி வகை தாக்குதலாக ஒதுக்க முடியாது. டெல்நெட் உள்நுழைவை எடுக்க, ஒரு ஹேக்கர் முதலில் தனது கணினியில் டெல்நெட் வரியில் பெற வேண்டும். டெல்நெட் துறைமுகத்துடன் இணைந்த பிறகு, “இந்த வளத்தைப் பயன்படுத்த அங்கீகாரம் தேவை” என்ற செய்தி திரையில் தோன்றும். இதற்குப் பிறகு ஹேக்கர் அணுகலைத் தொடர்ந்தால், அவை அங்கீகரிக்கப்படாதவையாகக் கருதப்படும். இத்தகைய தாக்குதல்களின் மூலத்தை நெட்வொர்க்கிற்கு உள்ளேயும் வெளியேயும் காணலாம்.
அங்கீகரிக்கப்படாத அணுகலை எதிர்ப்பதற்கான வழிகள் மிகவும் எளிமையானவை. இங்கே முக்கிய விஷயம் என்னவென்றால், அங்கீகரிக்கப்படாத நெறிமுறையைப் பயன்படுத்தி கணினியை அணுகுவதற்கான ஹேக்கரின் திறனைக் குறைப்பது அல்லது முற்றிலுமாக அகற்றுவது. உதாரணமாக, வெளி பயனர்களுக்கு வலை சேவைகளை வழங்கும் சேவையகத்தில் டெல்நெட் துறைமுகத்திற்கு ஹேக்கர் அணுகலைத் தடுப்பதைக் கவனியுங்கள். இந்த துறைமுகத்திற்கு அணுகல் இல்லாமல், ஹேக்கர் அவரைத் தாக்க முடியாது. ஃபயர்வாலைப் பொறுத்தவரை, அதன் முக்கிய பணி அங்கீகரிக்கப்படாத அணுகலின் எளிய முயற்சிகளைத் தடுப்பதாகும்.
ட்ரோஜன் ஹார்ஸ் வைரஸ்கள் மற்றும் பயன்பாடுகள்
இறுதி பயனர் பணிநிலையங்கள் வைரஸ்கள் மற்றும் ட்ரோஜன் குதிரைகளுக்கு மிகவும் பாதிக்கப்படக்கூடியவை. வைரஸ்கள் தீங்கிழைக்கும் நிரல்களாகும், அவை இறுதி பயனர் பணிநிலையத்தில் ஒரு குறிப்பிட்ட தேவையற்ற செயல்பாட்டைச் செய்ய பிற நிரல்களில் பதிக்கப்பட்டுள்ளன. கட்டளை.காம் கோப்பில் (விண்டோஸ் அமைப்புகளின் முக்கிய மொழிபெயர்ப்பாளர்) நுழைந்து பிற கோப்புகளை அழிக்கும் ஒரு வைரஸ் ஒரு எடுத்துக்காட்டு, அதே போல் அது கண்டுபிடிக்கும் கட்டளை.காமின் மற்ற எல்லா பதிப்புகளையும் பாதிக்கிறது.
ட்ரோஜன் ஹார்ஸ் ஒரு நிரல் செருகல் அல்ல, ஆனால் ஒரு உண்மையான நிரல், இது முதல் பார்வையில் ஒரு பயனுள்ள பயன்பாடாகத் தோன்றுகிறது, ஆனால் உண்மையில் தீங்கு விளைவிக்கும் பாத்திரத்தை வகிக்கிறது. ஒரு பொதுவான ட்ரோஜன் ஹார்ஸின் எடுத்துக்காட்டு ஒரு பயனரின் பணிநிலையத்திற்கு ஒரு எளிய விளையாட்டாகத் தோன்றும் ஒரு நிரலாகும். இருப்பினும், பயனர் விளையாட்டை விளையாடும்போது, \u200b\u200bஇந்த பயனரின் முகவரி புத்தகத்தில் பட்டியலிடப்பட்டுள்ள ஒவ்வொரு சந்தாதாரருக்கும் நிரல் அதன் நகலை மின்னஞ்சல் மூலம் அனுப்புகிறது. அனைத்து சந்தாதாரர்களும் விளையாட்டை அஞ்சல் மூலம் பெறுகிறார்கள், இதனால் மேலும் விநியோகிக்கப்படுகிறது.
மென்பொருள் மற்றும் வன்பொருள் முறைகள் மற்றும் தகவல் பாதுகாப்பை உறுதி செய்வதற்கான வழிமுறைகள்
தகவல் பாதுகாப்பு கருவிகளின் பின்வரும் வகைப்பாடு முன்மொழியப்பட்டது:
அங்கீகரிக்கப்படாத அணுகல் பாதுகாப்பு என்றால் (NSD)
அணுகல் கட்டுப்பாட்டு மாதிரிகள்
- தேர்ந்தெடுக்கப்பட்ட அணுகல் கட்டுப்பாடு;
- கட்டாய அணுகல் கட்டுப்பாடு;
- அங்கீகார அமைப்புகள்:
- கடவுச்சொல்;
- சான்றிதழ்;
- பயோமெட்ரிக்ஸ்;
- அங்கீகார கருவிகள்;
- பங்கு அடிப்படையிலான அணுகல் கட்டுப்பாடு;
- ஃபயர்வால்கள்;
- ஆன்டிவைரல் முகவர்கள்;
- பதிவு செய்தல் (தணிக்கை என்றும் அழைக்கப்படுகிறது).
தொழில்நுட்ப சேனல்கள் மூலம் கசிவைத் தடுக்கும் மற்றும் தடுக்கும் வழிமுறைகள்
ஒலி தகவல் அகற்றலுக்கு எதிரான பாதுகாப்பின் வழிமுறைகள்;
- தகவல்தொடர்பு நெட்வொர்க்குகளுடன் அங்கீகரிக்கப்படாத இணைப்பைத் தடுப்பதற்கான வழிமுறைகள்;
- உட்பொதிக்கப்பட்ட சாதனங்களைக் கண்டறிவதற்கான வழிமுறைகள்;
- தகவல்களை காட்சி அகற்றுவதிலிருந்து பாதுகாப்பதற்கான வழிமுறைகள்;
- PEMIN இல் தகவல் கசிவுக்கு எதிராக பாதுகாப்பதற்கான வழிமுறைகள்.
பிணைய கண்காணிப்பு அமைப்புகள்
ஊடுருவல் கண்டறிதல் மற்றும் தடுப்பு அமைப்புகள் (ஐடிஎஸ் / ஐபிஎஸ்).
- தகவல் கசிவைக் கண்டறிந்து தடுப்பதற்கான அமைப்புகள்.
தகவல் பாய்களின் பகுப்பாய்வு மற்றும் மாடலிங் அமைப்புகள் (CASE- அமைப்புகள்).
நெறிமுறை பகுப்பாய்விகள்.
கிரிப்டோகிராஃபிக் கருவிகள்
குறியாக்க;
- டிஜிட்டல் கையொப்பம்;
- ஸ்டிகனோகிராபி.
காப்பு அமைப்புகள்
தடையில்லா சக்தி அமைப்புகள்
தடையில்லா மின்சாரம்;
- ஏற்றுதல் இட ஒதுக்கீடு;
- மின்னழுத்த ஜெனரேட்டர்கள்.
உடல் பாதுகாப்பு
வழக்குகள் ஹேக்கிங் மற்றும் உபகரணங்கள் திருடுவதைத் தடுக்கும் வழிமுறைகள்;
- வளாகத்திற்கு அணுகல் கட்டுப்பாட்டின் வழிமுறைகள்.
பாதுகாப்பு பகுப்பாய்வு கருவிகள்
மென்பொருள் தயாரிப்பு கண்காணித்தல்;
- தரங்களுக்கு இணங்க ஒரு தகவல் பாதுகாப்பு அமைப்பைத் தணிக்கை செய்வதற்கான அறிவுத் தளம்.
9. பாதுகாப்பின் அளவை தீர்மானிக்கவும்
GOST R 50922-2006
பாதுகாப்பின் அளவை தீர்மானிக்க, ஆபத்து மாதிரியை உருவாக்குவது அவசியம்.
ஆபத்து \u003d சொத்து மதிப்பு * அச்சுறுத்தல் * பாதிப்பு.
பாதிப்பு என்பது கணினியின் ஒரு குறிப்பிட்ட சொத்து, இது தாக்குபவர் தங்கள் சொந்த நோக்கங்களுக்காகப் பயன்படுத்தலாம்.
பாதிப்பு (தகவல் அமைப்பு); இடைவெளி: ஒரு தகவல் அமைப்பின் சொத்து, அதில் செயலாக்கப்பட்ட தகவல்களுக்கு பாதுகாப்பு அச்சுறுத்தல்களைச் செயல்படுத்துவதை சாத்தியமாக்குகிறது.
எடுத்துக்காட்டாக, சேவையகத்தில் திறந்த துறைமுகங்கள், வினவல் புலத்தில் வடிகட்டுதல் இல்லாமை (SQL- ஊசிக்கான புலம்), கட்டிடத்திற்கு இலவச நுழைவு போன்றவை.
ஒரு அச்சுறுத்தல் என்பது ஒரு பாதிப்பைப் பயன்படுத்தி தாக்குபவர் கணினியில் ஊடுருவுவதற்கான வாய்ப்பாகும். அச்சுறுத்தல் (தகவல் பாதுகாப்பு): தகவல் பாதுகாப்பு மீறலுக்கான சாத்தியமான அல்லது உண்மையான ஆபத்தை உருவாக்கும் நிபந்தனைகள் மற்றும் காரணிகளின் தொகுப்பு.
அச்சுறுத்தல்கள் மற்றும் பாதிப்புகள் நிகழ்தகவு; அவை 0 முதல் 1 வரை மதிப்பிடப்படுகின்றன.
இந்த வழக்கில், அனைத்து படங்களும் செய்யலாம்:
1) ஏற்றுக்கொள் (அது தான் என்று தெரிந்து கொள்ளுங்கள், அவ்வளவுதான்)
2) டெஃப் குறைக்க. நிலை மற்றும் எடுத்து
3) இதைத் தவிர்க்கவும் (எ.கா. எல்லா சேவையகங்களையும் முடக்கு)
4) அதை மாற்றவும் (எ.கா. அதற்கு எதிராக காப்பீடு).
குறிப்புகள்:
http://www.polyset.ru/GOST/all-doc/GOST/GOST-R-50922-96/
http://www.internet-technologies.ru/articles/article_237.html
கலினின் ஐ.ஏ. சாமில்கினா என்.என்.
தொலைத்தொடர்பு நெட்வொர்க்குகளில் தகவல் பாதுகாப்பின் அடிப்படைகள். 2009. வெளியீட்டாளர்: அறிவுசார் மையம்
ஷெபிட்கோ ஜி.ஐ., குடோவ் ஜி.இ., லோக்தேவ் ஏ.
நிறுவனத்தில் ஒருங்கிணைந்த தகவல் பாதுகாப்பு அமைப்பு. 2008
வெளியீட்டாளர்: சர்வதேச நிதி அகாடமி
