W przeciwieństwie do ochrony i utrzymania sieci korporacyjnych, ochrona i utrzymanie komputerów należących do użytkowników domowych i małych firm wydaje się zadaniem prostym, ale tylko na pierwszy rzut oka. Problem polega na tym, że obok użytkownika domowego (a także użytkownika jedynego komputera małej firmy) zwykle nie ma ani administratora systemu, ani specjalisty ds. bezpieczeństwa informacji, ich funkcje zmuszone są do samodzielnego wykonywania, który w ogóle nie jest ani jednym, ani drugim i dobrze, jeśli ma przynajmniej świadomość potrzeby ochrony i konserwacji swojego komputera.
Oczywiście sytuacja ta pociąga za sobą pewne wymagania dotyczące produktów i usług zaprojektowanych w celu ochrony i konserwacji komputerów osobistych. Takie produkty muszą być prosty interfejs, który nie obciąża użytkownika niepotrzebnymi szczegółami i pytaniami, na które odpowiedzi nie zna, wygodny (najlepiej automatyczny) sposób własnej aktualizacji, łączy wiele różnych funkcji (na przykład nie tylko program antywirusowy, ale program antywirusowy plus oprogramowanie antyszpiegowskie oraz narzędzia antyphishingowe i antyspamowe ...), przypomnij użytkownikowi, że nadszedł czas na podjęcie pewnych działań (na przykład wykonanie skanowania antywirusowego dysków), wykonanie niektórych procedur bez wiedzy użytkownika (na przykład wykonanie online skanowanie antywirusowe przychodzących wiadomości e-mail, otwieranych dokumentów i zainstalowanych aplikacji).

Niedawno Symantec, McAfee i Trend Micro wiodły na rynku zabezpieczeń użytkowników końcowych. Jednak pomimo dość wygodnych interfejsów poszczególnych produktów ochrony wymienionych firm, według Microsoftu około 70% użytkowników w ogóle nie korzysta z programów antywirusowych lub bardzo rzadko aktualizuje antywirusowe bazy danych. Jak twierdzą przedstawiciele Microsoftu, to właśnie dla takich użytkowników będzie przeznaczona nowa usługa, o której będzie mowa w tym artykule. Według Billa Gatesa na konferencji RSA 2006 w lutym, usługa ta jest rozwijana przede wszystkim w celu poprawy ogólnego bezpieczeństwa komputerów, a nie rozwiązywania indywidualnych problemów w tym obszarze.

Plany korporacji dotyczące wydania osobistego produktu antywirusowego i zorganizowania odpowiedniej usługi były omawiane od momentu zakupu rumuńskiej firmy antywirusowej GeCAD w czerwcu 2003 roku. W tym roku planowane jest ich wdrożenie: Microsoft zamierza wejść na rynek środków ochrony indywidualnej latem tego roku z płatną usługą dla osób towarzyszących. Komputery OneCare Na żywo, dostępny w abonamencie.

Według pracowników korporacji usługa OneCare Live zostanie uruchomiona w czerwcu. Subskrypcja będzie kosztować około 50 dolarów rocznie (z rabatem do 20 dolarów za pierwszy rok dla beta testerów), a za tę opłatę będą obsługiwane maksymalnie trzy komputery. Usługa OneCare Live jest obecnie dostępna do testów beta dla użytkowników języka angielskiego Wersje Windows XP z zainstalowanym dodatkiem SP2 Ta wersja systemu Windows uruchamia aplikację Windows OneCare, która jest aktualizowana za pomocą OneCare Live, i podejmuje działania na komputerze użytkownika w celu ochrony i poprawy wydajności. Wersja beta usługi Windows OneCare jest dostępna pod adresem http://www.windowsonecare.com.

Poniżej przyjrzymy się głównym cechom tego produktu. Należy pamiętać, że ten artykuł jest wersją beta, więc przed ostatecznym uruchomieniem OneCare Live mogą wystąpić pewne zmiany w funkcjonalności aplikacji Windows OneCare i usługi OneCare Live.

Kluczowe cechy

Podobnie jak większość osobistych produktów firmy Microsoft, Windows OneCare jest pozycjonowany jako łatwy w użyciu, ale bogaty w funkcje produkt dla tych użytkowników systemu Windows XP SP2, którzy nie mają czasu na konfigurowanie zabezpieczeń i codzienne dbanie o swój komputer. Ten produkt integruje się z Windows Security Center w Windows XP i umożliwia wykonywanie ochrony antywirusowej, defragmentację twardy dysk, tworzenie kopii zapasowych i odzyskiwanie danych przy użyciu nośników CD lub DVD oraz zarządzanie zaporą osobistą. Użytkownicy OneCare mogą również korzystać z aplikacji antyszpiegowskiej Windows Defender.

Interfejs użytkownika Windows OneCare jest niezwykle prosty: w zasobniku systemowym paska zadań znajduje się ikona, której kolor (zielony, żółty lub czerwony) wskazuje, jak pilnie należy podjąć pewne działania, aby poprawić bezpieczeństwo komputera ( Rys. 1).

Kliknięcie na ikonę powoduje wywołanie głównego okna aplikacji, pozwalając użytkownikowi określić, jakie działania należy wykonać i w razie potrzeby zainicjować ich wykonanie (rys. 2).

Ryż. 2. Główne okno aplikacji Windows OneCare

W razie potrzeby możesz po kolei wykonać kilka czynności: skanowanie antywirusowe, usuwanie niepotrzebnych plików, defragmentację.

Antywirus

Antywirus to jeden z najważniejszych komponentów Windows OneCare, który pozwala skanować pamięć i dyski oraz stale monitorować system pod kątem antywirusów.

Skaner antywirusowy jest uruchamiany poprzez kliknięcie odnośnika Skanuj w poszukiwaniu wirusów w oknie głównym aplikacji, po czym należy wybrać dysk lub folder, który chcesz przeskanować. Proces skanowania antywirusowego jest przeprowadzany automatycznie, a znalezione zainfekowane obiekty są automatycznie poddawane kwarantannie (Rys. 3).

Ustawienia antywirusowe umożliwiają włączenie lub wyłączenie stałego monitorowania antywirusowego systemu, skonfigurowanie listy wykluczeń antywirusowych oraz zarządzanie zawartością kwarantanny (Rys. 4).

Należy pamiętać, że w tej chwili niezależne testy skuteczności tego antywirusa i szybkości reakcji samej usługi OneCare na nowe zagrożenia nie są dostępne, więc nie jest jeszcze możliwe porównanie go z konkurencyjnymi produktami. Aby to porównanie działało poprawnie, poczekaj przynajmniej na ostateczne wydanie produktu i uruchomienie OneCare Live w trybie komercyjnym.

Narzędzia do tworzenia kopii zapasowych i odzyskiwania danych

narzędzia do tworzenia kopii zapasowych i przywracania, które można uruchomić, klikając łącze Utwórz kopię zapasową plików, przeglądaj dysk twardy komputer dla nowych lub zmienionych plików od czasu ostatniej kopii zapasowej i oferuje nagranie tych plików na zewnętrzny dysk twardy, CD lub DVD. Przed wykonaniem kopii zapasowej użytkownik może wybrać interesujące go typy plików i przejrzeć wynikową listę (rys. 5).

Ryż. 5. Wybierz pliki do kopii zapasowej

Przed rozpoczęciem tworzenia kopii zapasowej użytkownik jest informowany o tym, ile dysków będzie potrzebował do utworzenia kopii zapasowej i jak długo to zajmie.

Aby przywrócić pliki z kopii zapasowej, wybierz łącze Przywróć pliki. OneCare umożliwia odzyskanie wszystkich utraconych plików, określenie, które z nich należy odzyskać, oraz znalezienie potrzebnych plików w kopii zapasowej.

Narzędzia wydajności

Narzędzia optymalizacji wydajności Windows OneCare umożliwiają sekwencyjne wykonywanie pięciu operacji: usuwanie niepotrzebnych plików, defragmentacja dysku twardego, skanowanie antywirusowe; sprawdzanie plików, które muszą być utworzyć kopię zapasową, sprawdzając wszystkie niezbędne aktualizacje systemu operacyjnego (rys. 6).

Po zakończeniu optymalizacji możesz otrzymać raport z jej wyników (rys. 7).

Skonfigurowanie narzędzi optymalizacyjnych pozwala ustawić harmonogram, według którego wykonywane są wymienione akcje oraz wskazać, czy podczas ich wykonywania należy usuwać niepotrzebne pliki.

***

Tak więc w tym roku użytkownicy otrzymają od Microsoft produkt, który może uprościć opiekę nad komputerami i zapewnić im stosunkowo niewielki nakład pracy, a także usługę utrzymania antywirusowych baz danych i samego produktu w należytym stanie. Trudno teraz przewidzieć, jak bardzo ten produkt przyćmi konkurencyjne rozwiązania Symantec, McAfee i Trend Micro, zwłaszcza że Symantec planuje uruchomić podobną usługę jesienią tego roku (projekt ten nosi kryptonim Genesis). Na razie zauważamy tylko, że często producent platformy, który właśnie wszedł na rynek narzędzi lub innych aplikacji dla tej platformy jest w dużo korzystniejszej sytuacji niż firmy, które już osiadły na tym rynku, ale same platformy nie produkują, a rozwój rynku narzędzi programistycznych dla Windows i .NET w ciągu ostatnich pięciu lat jest tego wyraźnym dowodem. To prawda, że ​​w przeciwieństwie do rynku narzędzi rozwojowych, rynek środków ochrony osobistej jest wciąż daleki od nasycenia.

	Pod koniec lutego w raporcie Billa Gatesa na konferencji RSA ujawniono doraźne i długoterminowe plany firmy dotyczące stworzenia bezpieczniejszego środowiska do korzystania z technologii cyfrowych. W związku z tym, aby wspierać ideologię Identity Metasystem, która pozwala prywatnym użytkownikom i stronom internetowym na bezpieczniejszą i bezpieczniejszą wymianę osobistych informacji identyfikacyjnych przez Internet, Microsoft planuje wprowadzić szereg nowych technologii, w tym technologię InfoCard, która upraszcza ten proces i co jednocześnie poprawia bezpieczeństwo dostępu do zasobów i danych osobowych w Internecie. Firma Microsoft planuje również dalsze obniżanie kosztów użytkowników związanych z tożsamością i kontrolą dostępu. Począwszy od następnej serwerowej wersji systemu Windows, firma Microsoft rozszerzy rolę Active Directory o usługi zarządzania prawami, usługi certyfikatów, usługi metakatalogów i usługi federacyjne, które umożliwią ujednoliconą infrastrukturę kontroli tożsamości i dostępu. Pan Gates zaprezentował również pierwszą wersję beta programu Microsoft Certificate Lifecycle Manager, rozwiązania do egzekwowania zasad, które przyspiesza planowanie, konfigurację i zarządzanie certyfikatami cyfrowymi i kartami inteligentnymi oraz zwiększa bezpieczeństwo dzięki technologii uwierzytelniania wieloskładnikowego.

Kilka słów o produktach dla użytkowników korporacyjnych

Należy zauważyć, że wkrótce oczekiwane wejście Microsoftu na rynek zabezpieczeń nie ogranicza się w żaden sposób do produktów i usług dla użytkowników domowych.

Oprócz OneCare firma Microsoft planuje wydać podobny produkt Microsoft Client Protection dla firmowych stacji roboczych i laptopów. Ochrona klienta umożliwi administratorowi systemu przeprowadzenie ochrony antywirusowej stacji roboczych. Korporacja planuje wydać wersję beta dla ogółu społeczeństwa w trzecim kwartale 2006 roku. Uruchomienie produkcyjne programu Microsoft Client Protection planowane jest na koniec tego roku.

Oprócz ochrony po stronie klienta oczekuje się, że oprogramowanie antywirusowe i antyspamowe zostanie wydane dla serwerów pocztowych pod: Zarządzanie Microsoft Serwery Exchange i SMTP W tym celu Microsoft pozyskał ostatnio jednego ze swoich partnerów, firmę Sybari Software, która specjalizowała się w tego typu narzędziach. Produkty te, nazwane Antigen for Exchange, Antigen for SMTP Gateways, Antigen Spam Manager i Antigen Enterprise Manager, chronią przed wirusami, robakami, spamem i nieodpowiednią zawartością za pomocą dzielonego skanowania wielosilnikowego i będą dostępne przez następne 6 miesięcy. Ponadto dostępna jest obecnie wersja beta programu Internet Security & Acceleration Server (ISA Server) 2006, która łączy w sobie zaporę ogniową, wirtualną sieć prywatną (VPN) i buforowanie sieci Web.

Microsoft ogłosił również przejęcie FutureSoft, Inc. DynaComm i:filter Technologia filtrowania sieci Web, która umożliwia firmom zarządzanie dostępem do Internetu w ich środowisku.

Porozmawiamy o produktach i technologiach wymienionych powyżej, gdy staną się one dostępne.

W dobie technologii informatycznych pytanie, jak chronić dane na komputerze, jest dotkliwe. Hasła i loginy z portale społecznościowe, systemy zarządzania kontami bankowymi, dane konta, prywatne zdjęcia i inne pliki - wszystko to może zainteresować atakujących.
Nie tylko agencje rządowe, banki czy popularne strony internetowe stają się celem ataków hakerów. Dane osobowe zwykłych użytkowników mogą również zainteresować hakerów. Skradzione konta w Odnoklassnikach czy Facebooku są wykorzystywane przez przestępców do nieuczciwych celów, skradzione zdjęcia stają się przedmiotem szantażu, a pozyskanie danych z systemów płatności daje atakującym możliwość pozostawienia swoich właścicieli bez grosza na koncie.
Aby nie stać się ofiarą hakerów należy zwrócić uwagę na bezpieczeństwo przechowywania danych osobowych. W tym artykule dowiesz się, jak możesz chronić dane osobowe na swoim komputerze.

Metoda 1: silne hasła

Najłatwiejszym sposobem ochrony danych na komputerze jest użycie silnych haseł. Większość użytkowników wie, że eksperci ds. bezpieczeństwa nie zalecają używania prostych kombinacji cyfr i liter jako klucza (qwerty, 12345, 00000). Jednak pojawienie się „inteligentnych” programów do łamania zabezpieczeń doprowadziło do tego, że nawet bardziej złożone hasła można obliczyć metodą brute force. Jeśli atakujący zna osobiście potencjalną ofiarę, łatwo wybrać nietypowy, ale prosty klucz (data urodzenia, adres, imię zwierzęcia).
Aby zapisywać konta w sieciach społecznościowych i innych zasobach, a także rachunek użytkownika na komputerze PC, zaleca się stosowanie złożonych kombinacji składających się z dużych i małych liter łacińskich, cyfr i symboli serwisowych. Pożądane jest, aby hasło było łatwe do zapamiętania, ale nie zawierało wyraźnego obciążenia semantycznego. Na przykład klucz w postaci 22DecmebeR1991 jest uznawany przez witryny za wiarygodny, ale zawiera datę urodzenia i dlatego można go łatwo złamać.

Metoda 2: Szyfrowanie danych

Aby chronić dane osobowe na komputerze na wypadek, gdyby osoba atakująca próbowała uzyskać do nich dostęp, zalecamy stosowanie szyfrowania danych. Wersje Enterprise i Professional systemu Windows są dostarczane z narzędziem BitLocker. Mechanizm systemowy pozwala na szyfrowanie informacji na jednej lub kilku partycjach dysku twardego. Dostęp do plików staje się możliwy tylko przy użyciu specjalnego klucza.
Jeśli potrzebujesz zabezpieczyć pojedyncze pliki i foldery, najprostszym sposobem ochrony danych osobowych na komputerze jest użycie zaszyfrowanych archiwów. Przenosząc dokumenty, zdjęcia lub inne dane do archiwum chronionego hasłem, osoba atakująca nie będzie mogła ich otworzyć nawet po uzyskaniu pełnego dostępu do komputera. Aby otworzyć zawartość ZIP lub RAR, musisz wybrać kod dostępu. Większość nowoczesnych archiwizatorów jest wyposażona w podobną funkcjonalność.
Istnieje również duża liczba darmowego oprogramowania, które umożliwia szyfrowanie danych. Wśród takich programów są Free Hide Folder, Folder Lock, TrueCrypt i inne.

Metoda 3: Korzystanie z programu antywirusowego

Aby uzyskać dostęp do cudzego komputera, hakerzy używają oprogramowania pomocniczego, które jest zainstalowane na komputerze ofiary. Wirusy trojańskie przechwytują informacje wprowadzane z klawiatury, zastępują strony internetowe kopiami stworzonymi przez oszustów i wysyłają dane osobowe. W celu ochrony danych osobowych wskazane jest zainstalowanie najnowszej wersji oprogramowania antywirusowego i śledzenie jego aktualizacji. Zaleca się również ograniczenie dostępu do dysków poprzez uniemożliwienie odczytywania z nich informacji przez sieć.

Metoda 4: Ustawienie hasła w systemie BIOS i/lub dysku twardym

Podstawowa ochrona hasłem systemu operacyjnego nie pozwala na szybkie włamanie się do systemu, ale jest podatna na ataki, jeśli komputer na długi czas wpadnie w ręce przestępcy. Po ponownym zainstalowaniu systemu Windows możesz uzyskać dostęp do niezaszyfrowanych plików. Ustawienie hasła BIOS (UEFI)*, które ma być wprowadzane, gdy komputer jest włączony, uniemożliwia uruchamianie komputera z nośnika wbudowanego lub zewnętrznego.
*BIOS (Basic Input / Output System) lub UEFI (Unified Extensible Firmware Interface) to część oprogramowania systemu komputerowego odpowiedzialna za organizację działania elementów sprzętowych systemu i kontrolowanie jego uruchamiania. Do menu konfiguracji BIOS / UEFI wchodzi się na wczesnym etapie uruchamiania komputera (pierwsze sekundy po włączeniu), naciskając przyciski Del, F1 lub F2 (patrz instrukcje dla komputera PC lub laptopa). W przypadku różnych modeli komputerów nazwy podelementów ustawień mogą się różnić, ale z reguły niezbędne opcje znajdują się w sekcji, której nazwa zawiera słowo Bezpieczeństwo.
Jeszcze większy stopień ochrony danych osobowych zapewnia ochrona hasłem dysku twardego. Ustawiając kod dostępu do dysku poprzez BIOS/UEFI, użytkownik czyni go bezużytecznym w rękach atakującego. Nawet po wyjęciu dysku twardego z obudowy komputera i podłączeniu go do innego urządzenia nie można uzyskać dostępu do danych. Próba odblokowania dysku za pomocą „klucza głównego” spowoduje zniszczenie danych.

Metoda 5: Korzystanie z protokołu HTTPS

Zastosowanie protokołu bezpiecznego przesyłania danych HTTPS eliminuje ryzyko przechwycenia informacji przesyłanych do serwera w postaci zaszyfrowanej. Ten standard nie jest oddzielną technologią, ale jest dodatkiem do standardowego HTTP. Podczas jego używania szyfrowanie danych odbywa się za pomocą protokołu SSL.
Niestety, aby ta metoda ochrony danych zadziałała, serwer musi być wyposażony we wsparcie dla tej technologii. Nie można jej używać jednostronnie.
Jeśli serwer obsługuje HTTPS, to w momencie połączenia się klienta system przypisuje mu unikalny certyfikat, a wszystkie przesyłane dane są szyfrowane kluczem 40, 56, 128 lub 256-bitowym. Tym samym deszyfrowanie odbywa się tylko na urządzeniach końcowych, a przechwycenie cudzego sygnału nie da nic atakującemu.
Jeśli usługa wiąże się z pracą z informacjami poufnymi lub przeprowadzaniem transakcji finansowych, zaleca się uważać na zasoby, które nie obsługują protokołu HTTPS.
Strony internetowe sklepów internetowych, banków i systemów płatności (Yandex.Money, Webmoney) domyślnie korzystają z protokołu HTTPS. Serwisy Facebook, Google, Twitter, Vkontakte zapewniają możliwość włączenia tego w ustawieniach konta. Współpracują z nim inne witryny.

Metoda 6: Ochrona sieci bezprzewodowych

Jeśli ustawienia zabezpieczeń komputera nie ograniczają dostępu do niego przez sieć, niezabezpieczona sieć Wi-Fi umożliwia atakującemu dostęp do zawartości dysków. Aby tego uniknąć, zaleca się ustawienie metody szyfrowania danych WPA/WPA2 na routerze i ustawienie złożonego hasła (patrz Metoda 1).
Aby wyeliminować ryzyko włamania się do sieci Wi-Fi, możesz wyłączyć rozgłaszanie nazwy połączenia (SSID). W takim przypadku tylko użytkownicy znający nazwę sieci będą mogli połączyć się z routerem.

Metoda 7: Systemy kontroli rodzicielskiej

Jeśli z komputera korzystają dzieci, znacznie wzrasta ryzyko złapania złośliwego oprogramowania. Aby chronić dane osobowe na komputerze, możesz utworzyć konto dla swojego dziecka za pomocą ograniczone prawa dostęp. Windows (wersja 7 i nowsze) ma wbudowaną kontrolę rodzicielską. Z ich pomocą możesz ograniczyć czas spędzany przez dziecko przy komputerze, zabronić dostępu do niektórych programów i zablokować możliwość instalowania oprogramowania innych firm.
Istnieje również oprogramowanie innych firm, które ma taką samą (lub więcej) funkcjonalność. W Internecie można znaleźć zarówno płatne, jak i bezpłatne narzędzia kontroli rodzicielskiej. Ponadto niektórzy dostawcy obsługują tę funkcję. W takim przypadku na swoim koncie osobistym na stronie operatora telekomunikacyjnego możesz ustawić ograniczenia w odwiedzaniu poszczególnych zasobów.

Jak najbardziej niezawodnie chronić informacje na komputerze?

Każda z powyższych metod ochrony danych osobowych na komputerze jest niezawodna w jednej sytuacji, ale ma też podatności. Aby osiągnąć wysoki poziom bezpieczeństwa, zaleca się łączenie metod.
Niestety nie istnieje uniwersalny sposób ochrony danych, która byłaby w 100% skuteczna. Nawet serwery banków i organów ścigania są podatne na ataki hakerów, o czym świadczą masowe wycieki dokumentów z Pentagonu, rządów USA i innych krajów publikowanych przez Wikileaks.
Niemniej jednak, biorąc pod uwagę, że zwykli użytkownicy rzadko padają ofiarą hakerów tego poziomu, możliwe jest zabezpieczenie danych osobowych. W tym celu zaleca się:
zainstaluj najnowszą wersję programu antywirusowego (najlepiej z funkcjami zapory i zapory);
chronić konto użytkownika silnym hasłem;
nie używaj tych samych kodów dostępu do wszystkich rachunków;
chroń Wi-Fi, wyłącz udostępnianie plików na komputerze przez sieć lokalną, przede wszystkim na partycję systemową (jeśli nie jest to możliwe, ogranicz dostęp, zezwalając tylko zaufanym członkom sieci, którzy naprawdę tego potrzebują);
nie przechowuj kluczy i haseł w plikach TXT, DOC, RTF i innych dokumentach na samym komputerze;
najcenniejsze pliki i foldery należy umieścić w archiwum chronionym hasłem lub zaszyfrować.

Możesz chronić dane osobowe na swoim komputerze na inne sposoby. Najważniejsze jest znalezienie kompromisu między poziomem bezpieczeństwa a wygodą korzystania z komputera. Radykalne środki (na przykład pełne szyfrowanie danych, dostęp do komputera przy użyciu klucza fizycznego i ograniczenie listy dozwolonych zasobów) mogą być zbędne na komputerze domowym i powodować niepotrzebne niedogodności. Praktyka pokazuje, że stosowanie zbyt skomplikowanego sprzętu ochronnego prowadzi do stopniowej odmowy korzystania z niego przez użytkowników.

Jak zwiększyć poziom bezpieczeństwa swojego komputera?

Bardzo często dana osoba ma do czynienia z faktem, że nie może znaleźć dobrego kompleksu, najlepiej darmowego i oszustów na swoim komputerze osobistym. Z reguły w Internecie istnieje ogromna liczba takich programów, ale nie oznacza to, że są niezawodnymi „strażnikami” bezpieczeństwa komputera. Jeśli masz na swoim komputerze przechowywane ważne dane lub po prostu nie chcesz, aby wirusy, oprogramowanie szpiegujące lub trojany miały na niego wpływ, musisz zrobić kilka rzeczy, aby je chronić. Aby pomóc każdemu użytkownikowi zabezpieczyć swój komputer, ten artykuł zawiera kilka wskazówek, jak zapewnić bezpieczeństwo komputera i plików.

Zobaczmy, jak to możliwe

Chroń komputer osobisty

Szyfrowanie informacji

Na komputerze osobistym, jak wszyscy wiedzą, głównym elementem systemu jest miejsce, w którym znajduje się większość informacji. Utratę takich nośników można uznać za najczęstszy sposób utraty danych. Możesz uniknąć ryzyka dzięki szyfrowaniu dysku. Osoba nie będzie mogła uzyskać dostępu do informacji, chyba że wprowadzi poprawny kod. Rozwiązaniem problemu może być również zakup nośnika z wbudowanym szyfrowaniem, aż po zeskanowanie odcisków palców właściciela.

Aktualizacja oprogramowanie

Jednym z najprostszych sposobów ochrony informacji na komputerze jest aktualizowanie oprogramowania. Rozmowa dotyczy nie tylko całego systemu operacyjnego, ale także innego oprogramowania. Twórcy tego lub innego oprogramowania zawsze wydają nowe wersje. Należy to zrobić, aby nie tylko poprawić ochronę, ale także poprawić niektóre niedociągnięcia w poprzednim programie. Przez takie „dziury” najczęściej dochodzi do „wycieku” informacji i jest otwarty dostęp dla innych użytkowników.
Większość programów ochronnych jest wyposażona w funkcję automatycznej aktualizacji. Zgadzam się, o wiele lepiej, gdy przed tobą pojawia się wiadomość i przycisk „aktualizuj”, niż sam użytkownik spędza czas na śledzeniu i wyszukiwaniu aktualizacji.

Terminowa aktualizacja

Jest to bardzo ważny punkt, którego należy przestrzegać, jeśli chcesz. Ponieważ nowe wirusy pojawiają się dość szybko i często, twórcy programów antywirusowych starają się dodawać sygnatury tych nowych „infekcji”, aby jak najszybciej aktualizować pliki. Program antywirusowy, który jest rzadko aktualizowany, może przeoczyć nowego wirusa, którego nie zna, nawet jeśli używa metody analizy heurystycznej. Dlatego ważne jest, aby aktualizować swój komputer tak często, jak to możliwe, a jeszcze lepiej włączyć funkcję automatycznej aktualizacji, aby był zawsze gotowy na każdy atak wirusa.

Ochrona Wi-Fi

Jeśli korzystasz z sieci Wi-Fi, aby uzyskać dostęp do Internetu, musisz zabezpieczyć swoją sieć domową hasłem. Ta czynność jest konieczna, aby nieautoryzowani użytkownicy nie mogli wprowadzić „szkodliwej” infekcji do Twojej domeny . Ponadto w przypadku braku hasła ochronnego każdy uzyskuje dostęp do danych osobowych komputera.

Zakupy

Robiąc zakupy w sklepie internetowym, musisz używać karty bankowej. Jednak we współczesnym świecie zaawansowanych technologii informatycznych nie jest to bezpieczne, ponieważ oszuści mogą łatwo „zhakować” Twój komputer, aby wykorzystać dane Twojej karty i wykorzystać je do własnych celów. Podczas dokonywania zakupów najbezpieczniejszą opcją jest skorzystanie z wirtualnej karty.

Protokół HTTPS

Podczas korzystania z sieci WWW należy korzystać z protokołu HTTPS, który zapewnia pewną ochronę między komputerem osobistym a witryną. Uderzającym tego przykładem jest fakt, że wiele witryn o wysokich wymaganiach bezpieczeństwa często automatycznie korzysta z tego protokołu.

Sprawdzanie hiperłączy

Nawet najbardziej bezpieczne witryny są atakowane przez hakerów i spamerów. Zwykle stanowią zagrożenie dla Twojego komputera, umieszczając złośliwe linki na stronach. Dlatego każda strona, nawet najbezpieczniejsza Twoim zdaniem, może zostać zhakowana. Jeśli masz jakieś wątpliwości, najlepiej zachowaj ostrożność i sprawdź link, który zamierzasz kliknąć.

Bezpieczeństwo

Najłatwiejszym sposobem utraty dostępu do informacji jest utrata dostępu bezpośrednio do komputera. Jeśli zostawisz swój komputer bez nadzoru, ryzykujesz, że nigdy więcej go nie zobaczysz. Ta metoda utraty informacji jest najbardziej „szkodliwa”, ponieważ dostępu do plików nie można przywrócić. W każdym razie, jeśli często korzystasz ze swojego komputera w miejscach publicznych, gdzie możliwy jest dostęp do niego nieuprawnionych osób, to zabezpiecz go hasłem.

Silne hasła

Bezpieczeństwo Twoich danych zależy bezpośrednio od złożoności hasła. Dlatego, jeśli zastanawiasz się, jakiej kombinacji liter użyć, rozważ kilka szczegółów:

• nie zaleca się używania standardowych słów, imion, pseudonimów, ponieważ włamywacze bardzo często działają na zasadzie prostej selekcji;
• nie używaj pamiętnych dat, na przykład urodzin, ponieważ teraz możesz uzyskać wiele informacji z sieci społecznościowych (Vkontakte, Odnoklassniki, Mój świat);
• również nie należy zastępować liter podobnymi znakami, ponieważ ta metoda jest znana „szkodnikom”;
• oprócz używania liter używaj kombinacji cyfr, symboli, znaków, a także zmieniaj wielkość liter. Co więcej, im większa liczba znaków i znaków w haśle, tym bardziej będzie ono niezawodne. Na przykład hasło 5 lat;G!gF9#$H-4^8%Is będzie dość złożony i oczywiście bardzo niezawodny.

Sieci publiczne

Staraj się, jeśli to możliwe, powstrzymać się od wykonywania ważnych prac podczas korzystania z publicznych sieci dostępowych, ponieważ każdy będzie miał dostęp do Twojego komputera, a tym samym do Twoich danych.

Adnotacja: Wykład omawia cel i zasady działania programów niezbędnych do pełnej i skutecznej ochrony komputerów domowych przed szkodliwymi skutkami.

Informacje ogólne

Główną różnicą między komputerem domowym a konwencjonalną stacją produkcyjną jest jego wszechstronność. Jeśli w organizacjach sprzęt komputerowy pozyskiwany jest zwykle w konkretnym celu: do pisania, rysowania w profesjonalnych pakietach graficznych lub do programowania, to komputer domowy jest często wykorzystywany nie tylko do pracy poza godzinami pracy, ale także do gier komputerowych, korespondencji osobistej, wyszukiwania i przeglądanie Internetu, aby odtwarzać filmy i muzykę. W którym administracja komputer domowy w zdecydowanej większości przypadków jest produkowany wyłącznie z własnych środków.

Dlatego wszystkie programy przeznaczone do użytku domowego mają przejrzysty interfejs, są łatwe w instalacji i zarządzaniu, a do tego koniecznie dołączona jest dokumentacja zrozumiała nawet dla niespecjalisty. Oprogramowanie antywirusowe musi również spełniać wszystkie powyższe wymagania.

Wśród niezbędnych do pełnej i skutecznej ochrony komputerów domowych przed szkodliwym działaniem programów znajdują się:

• Oprogramowanie antywirusowe, który jest odpowiedzialny za sprawdzanie plików i innych obiektów systemu plików pod kątem wirusów i, w przypadku ich wykrycia, podejmuje wobec nich akcje zdefiniowane przez użytkownika
• Programy do ochrony przed nieautoryzowanym dostępem i atakami hakerów sieciowych często zawarte w kompleksie antywirusowym lub wbudowane w system operacyjny
• Filtry spamu- jest to dodatkowy środek pozwalający w niektórych przypadkach znacznie zmniejszyć obciążenie oprogramowania antywirusowego, zwiększając tym samym niezawodność ochrony

Wymienione programy mogą być zawarte w jednym pakiecie ochrony komputera domowego lub być instalowane osobno. Główną zaletą pierwszej metody jest obecność pojedynczego interfejsu sterującego oraz komplementarność każdego z modułów przemyślanych przez twórców programów. Instalowanie poszczególnych programów, zwłaszcza pochodzących od różnych producentów, może być przydatne tylko w niektórych przypadkach, na przykład gdy z jakiegoś powodu potrzebne są określone funkcje, ale żaden pojedynczy zintegrowany produkt nie jest w stanie ich zapewnić. W przypadku użytkownika domowego jest to niezwykle rzadkie, a jeśli trzeba zainstalować wszystkie trzy moduły, warto to zrobić za pomocą kompleksowego rozwiązania.

Oprogramowanie antywirusowe

Głównym i obowiązkowym elementem ochrony antywirusowej w niepełnym wymiarze godzin jest oczywiście program antywirusowy. Bez niej nie można mówić o skutecznym zabezpieczeniu antywirusowym w przypadku komputera zdolnego do wymiany informacji z innymi zewnętrznymi źródłami. Nawet jeśli użytkownik przestrzega wszystkich zasad higieny komputera, nie gwarantuje to braku złośliwego oprogramowania, chyba że jest używany program antywirusowy.

Antywirus oprogramowanie- jest to dość złożony pakiet oprogramowania, jego stworzenie wymaga wysiłku zespołu wysoko wykwalifikowanych analityków wirusów, ekspertów i programistów z wieloletnim doświadczeniem oraz bardzo konkretną wiedzą i umiejętnościami. Główna technologia skanowania antywirusowego - analiza sygnatur oznacza ciągłe monitorowanie incydentów wirusowych i regularne publikowanie aktualizacji antywirusowych baz danych. Z tych i innych powodów programy antywirusowe nie są wbudowane w systemy operacyjne. Wbudowany może być tylko najprostszy filtr, który nie zapewnia pełnego skanowania antywirusowego.

Głównymi elementami każdej ochrony antywirusowej stacji roboczej lub serwera sieciowego są ciągłe skanowanie w czasie rzeczywistym, skanowanie na żądanie oraz mechanizm aktualizacji antywirusowych baz danych. Są również wymagane do ochrony komputera domowego.

Kontrola w czasie rzeczywistym

Z reguły na komputerze domowym następuje ciągła wymiana informacji ze źródłami zewnętrznymi: pliki są pobierane z Internetu, kopiowane z płyt CD lub przez domową sieć lokalną, a następnie otwierane i uruchamiane. Dlatego głównym narzędziem w arsenale ochrony antywirusowej komputera domowego jest skanowanie w czasie rzeczywistym. Jego zadaniem jest zapobieganie infekcji systemu.

Na komputerze domowym zdecydowanie zaleca się korzystanie z funkcji skanowania ciągłego zawsze, gdy jest ono włączone — niezależnie od tego, czy jest on aktualnie podłączony do sieci, czy używane są przenośne nośniki pamięci innych osób, czy też wykonywane są tylko niektóre zadania wewnętrzne. Ciągłe skanowanie charakteryzuje się minimalnymi wymaganiami systemowymi niezbędnymi do jego działania, dlatego antywirus uruchamiany w tym trybie w zdecydowanej większości przypadków pozostaje niezauważony przez użytkownika i pojawia się tylko w przypadku wykrycia wirusów lub innych podejrzanych programów.

Bez większego uszczerbku dla jakości ochrony antywirusowej komputera domowego często można wykluczyć skanowanie wychodzących wiadomości pocztowych i archiwów ze skanowania w czasie rzeczywistym, ale zaleca się skanowanie wszystkich innych obiektów.

Kontrola na żądanie

Jak wspomniano powyżej, informacje są często wymieniane na domowym komputerze za pomocą płyt CD, dyskietek i innych nośników mobilnych: instalowane są nowe gry, kopiowane są e-booki i podręczniki, przepisywane są filmy i muzyka. W celu wykrycia szkodliwego kodu, który przeniknął do systemu, wykorzystywane jest skanowanie na żądanie. Wszystkim użytkownikom domowym zdecydowanie zaleca się sprawdzenie wszystkich podejrzanych nośników pamięci pod kątem wirusów oraz za każdym razem przed odczytaniem lub skopiowaniem z nich plików. Ta prosta czynność zajmuje trochę czasu, ale może znacznie zmniejszyć ryzyko przeniknięcia złośliwego oprogramowania do komputera. Dodatkowo zaleca się skanowanie całego dysku twardego w poszukiwaniu wirusów przynajmniej raz w tygodniu.

Zgodnie z ustawieniami skanowania ten tryb jest szczególnie dokładny — w przypadku skanowania na żądanie zwykle skanowane są wszystkie obiekty systemu plików.

Aktualizowanie antywirusowych baz danych

Antywirusowe bazy danych

Tylko terminowa aktualizacja antywirusowych baz danych może zagwarantować prawidłowe i wydajne działanie najbardziej niezawodnej części ochrony antywirusowej — analizy sygnatur.

Antywirusowe bazy danych to pliki zawierające: sygnatury wirusów. Są one produkowane przez firmy antywirusowe i w związku z tym różnią się dla różnych programów - na przykład Kaspersky Anti-Virus nie będzie mógł współpracować z Dr. w sieci i na odwrót.

Uzyskaj jak najwięcej najnowsze wersje bazy danych można uzyskać ze strony producenta za pomocą narzędzi wbudowanych w program antywirusowy lub ręcznie kopiując pliki ze strony. W normalnych sytuacjach zaleca się aktualizację w pierwszy sposób, drugi jest bardziej skomplikowany i przeznaczony do wyjątkowych sytuacji, na przykład, jeśli podejrzewasz, że wbudowane moduły aktualizacji nie działają poprawnie lub nie masz bezpośredniego dostępu do Internetu .

Oznacza to, że aby zaktualizować antywirusowe bazy danych, użytkownik domowy zazwyczaj wystarczy połączyć się z Internetem i nacisnąć przycisk w interfejsie programu antywirusowego, który rozpoczyna proces aktualizacji. Jeśli połączenie z Internetem nie jest zapewnione, jedynym wyjściem jest przejście do witryny producenta antywirusa za pomocą innego komputera, pobranie i skopiowanie baz danych na swój komputer za pomocą nośników mobilnych. Szczegółowy opis tej procedury znajduje się w instrukcji obsługi lub dokumentacji programu.

Utrzymanie trafności antywirusowych baz danych

Poszerzenie granic Internetu wraz z udoskonaleniem kanałów komunikacji pomiędzy różnymi sieciami komputerowymi znacznie przyspiesza wymianę danych. Proporcjonalnie do wzrostu mocy przepływów informacji wzrasta również tempo rozprzestrzeniania się wirusów. Dziś od wypuszczenia wirusa na świat do pojawienia się masowych zmian mija zaledwie kilka godzin, a czasem nawet minut. W takiej sytuacji dominującym kryterium wyboru ochrony antywirusowej jest częstotliwość wypuszczania aktualizacji antywirusowych baz danych przez producenta programów antywirusowych, a także czas reakcji na wybuch epidemii. Dziś liderem w tym obszarze jest Kaspersky Lab, który ma najlepszy wskaźnik uwalniania antywirusowych baz danych, publikując aktualizacje co godzinę, podczas gdy większość innych firm zdecydowała się na aktualizacje codzienne.

Jednak komputery domowe często mają bardzo ograniczony kanał, zwłaszcza gdy są połączone za pomocą zwykłej linii telefonicznej. Dlatego też takim użytkownikom może być trudno sprawdzać co godzinę nowe antywirusowe bazy danych. Dlatego optymalny harmonogram aktualizacji w dużym stopniu zależy od tego, jak łączysz się z siecią. Według tego parametru można wyróżnić następujące kategorie użytkowników domowych:

• Połączenie stałe- w tym przypadku konfigurowane są zaplanowane aktualizacje antywirusowych baz danych - raz na trzy godziny (chyba że producent programu antywirusowego zaleca inaczej)
• Okresowe połączenie nie pozwala na aktualizację co trzy godziny. Dlatego w tym trybie najlepiej sprawdzać dostępność nowych antywirusowych baz danych za każdym razem, gdy łączysz się z Internetem, ale przynajmniej raz dziennie
• Brak możliwości połączenia z Internetem- najtrudniejsza opcja. W takim przypadku konieczne jest zorganizowanie dostarczania aktualizacji za pomocą mediów mobilnych. Ponieważ jednak na takich komputerach wymiana informacji ze źródłami zewnętrznymi jest zwykle ograniczona, aktualizacja antywirusowych baz danych jest zwykle możliwa w odstępach do trzech dni.

Steegle.com — przycisk Tweet w Witrynach Google

Nieautoryzowany dostęp (UAS) napastnika do komputera jest niebezpieczny nie tylko ze względu na możliwość odczytywania i/lub modyfikowania przetworzonych dokumentów elektronicznych, ale także przez możliwość wprowadzenia przez napastnika kontrolowanej zakładki programowej, która pozwoli mu przejąć następujące działania:

2. Przechwytuj różne kluczowe informacje używane do ochrony dokumentów elektronicznych.

3. Użyj przechwyconego komputera jako trampoliny do przechwytywania innych komputerów w sieci lokalnej.

4. Zniszcz informacje przechowywane na komputerze lub wyłącz komputer, uruchamiając złośliwe oprogramowanie.

Ochrona komputerów przed nieautoryzowanym dostępem jest jednym z głównych problemów bezpieczeństwa informacji, dlatego w większości systemów operacyjnych i popularnych pakietów oprogramowania wbudowane są różne podsystemy ochrony przed nieautoryzowanym dostępem. Na przykład wykonanie uwierzytelnienia użytkownika podczas logowania do systemów operacyjnych z rodziny Windows 8. Nie ulega jednak wątpliwości, że wbudowane narzędzia systemów operacyjnych nie wystarczą, by poważnie chronić się przed UA. Niestety implementacja podsystemów bezpieczeństwa w większości systemów operacyjnych jest często krytykowana ze względu na regularnie wykrywane luki, które umożliwiają dostęp do chronionych obiektów z pominięciem reguł kontroli dostępu. Dodatki Service Pack i poprawki publikowane przez producentów oprogramowania obiektywnie pozostają w tyle za informacjami o wykrytych lukach. Dlatego oprócz standardowych środków ochrony konieczne jest zastosowanie specjalnych środków ograniczania lub delimitacji dostępu.

Fundusze te można podzielić na dwie kategorie:

1. Sposoby ograniczenia fizycznego dostępu.

2. Środki ochrony przed nieuprawnionym dostępem przez sieć.

Sposoby ograniczenia fizycznego dostępu

Najbardziej niezawodnym rozwiązaniem problemu ograniczenia fizycznego dostępu do komputera jest zastosowanie sprzętu do ochrony informacji przed nieautoryzowanym dostępem, co jest wykonywane przed załadowaniem systemu operacyjnego. Środki ochrony w tej kategorii nazywane są „zamkami elektronicznymi”.
Teoretycznie każde narzędzie kontroli dostępu do oprogramowania może zostać wystawione na atak atakującego w celu zniekształcenia algorytmu takiego narzędzia, a następnie uzyskania dostępu do systemu. Jest to prawie niemożliwe z ochroną sprzętową: zamek elektroniczny wykonuje wszystkie czynności kontroli dostępu użytkownika we własnym zaufanym środowisku oprogramowania, które nie podlega wpływom zewnętrznym.
Na etapie przygotowawczym do korzystania z zamka elektronicznego jest on instalowany i konfigurowany. Konfiguracja obejmuje następujące kroki, zwykle wykonywane przez osobę odpowiedzialną, Administratora Bezpieczeństwa:

1. Tworzenie listy użytkowników, którzy mają dostęp do chronionego komputera. Dla każdego użytkownika generowany jest nośnik klucza (w zależności od interfejsów obsługiwanych przez dany zamek - pendrive, tablet elektroniczny iButton lub karta chipowa), który posłuży do uwierzytelnienia użytkownika przy wejściu. Lista użytkowników przechowywana jest w nieulotnej pamięci zamka.

2. Tworzenie listy plików, których integralność jest kontrolowana przez blokadę przed załadowaniem systemu operacyjnego komputera. Kontroli podlegają ważne pliki systemu operacyjnego, na przykład:

§ Biblioteki systemowe Windows 8;

§ wykonywalne moduły używanych aplikacji;

§ Szablony dokumentów Microsoft Word itp.

Kontrola integralności plików polega na obliczeniu ich referencyjnej sumy kontrolnej, na przykład haszowaniu zgodnie z algorytmem GOST R 34.11-94, przechowywaniu obliczonych wartości w nieulotnej pamięci zamka, a następnie obliczaniu rzeczywistych sum kontrolnych plików i ich porównywaniu z tymi odniesieniami.
W normalnym trybie pracy zamek elektroniczny otrzymuje kontrolę z BIOS-u chronionego komputera po jego włączeniu. Na tym etapie wykonywane są wszystkie czynności mające na celu kontrolę dostępu do komputera, a mianowicie:

1. Zamek prosi użytkownika o przewoźnika z kluczowymi informacjami niezbędnymi do jego uwierzytelnienia. Jeżeli kluczowe informacje w wymaganym formacie nie zostaną przedstawione lub użytkownik zidentyfikowany na podstawie podanych informacji nie znajduje się na liście użytkowników chronionego komputera, blokada uniemożliwia uruchomienie komputera.

2. Jeżeli autoryzacja użytkownika przebiegła pomyślnie, zamek oblicza sumy kontrolne plików znajdujących się na liście kontrolowanych plików i porównuje otrzymane sumy kontrolne z referencyjnymi. W przypadku naruszenia integralności przynajmniej jednego pliku z listy, komputer zostanie zablokowany przed wczytaniem. Aby móc kontynuować pracę na tym komputerze, problem musi rozwiązać Administrator, który musi ustalić przyczynę zmiany w monitorowanym pliku i, w zależności od sytuacji, wykonać jedną z poniższych czynności, aby umożliwić dalszą pracę z chroniony komputer:

§ przywrócić oryginalny plik;

§ usunąć plik z listy kontrolowanych plików.

3. Jeśli wszystkie testy przejdą pomyślnie, blokada zwraca kontrolę nad komputerem w celu załadowania standardowego systemu operacyjnego.

Ponieważ powyższe kroki są wykonywane przed załadowaniem systemu operacyjnego komputera, blokada zwykle ładuje własny system operacyjny (umieszczony w jego pamięci nieulotnej - zwykle MS-DOS lub podobny system operacyjny o niskich zasobach), w którym uwierzytelnianie użytkownika i sprawdzanie integralności plików są wykonywane. Ma to również sens z punktu widzenia bezpieczeństwa – własny system operacyjny blokady nie podlega żadnym wpływom zewnętrznym, co nie pozwala atakującemu wpływać na opisane powyżej procesy kontrolne.
Informacje o logowaniu użytkowników do komputera, a także nieautoryzowanych próbach dostępu, zapisywane są w logu, który znajduje się w nieulotnej pamięci zamka. Log może być przeglądany przez Administratora.

Podczas korzystania z zamków elektronicznych pojawia się szereg problemów, w szczególności:

1. BIOS niektórych nowoczesnych komputerów można skonfigurować w taki sposób, aby kontrola rozruchu nie była przenoszona do BIOS-u zamka. Aby przeciwdziałać takim ustawieniom, zamek musi mieć możliwość zablokowania rozruchu komputera (na przykład poprzez zamknięcie styków Reset), jeśli zamek nie uzyskał kontroli w określonym czasie po włączeniu zasilania.

2. Atakujący może po prostu wyciągnąć blokadę z komputera. Istnieje jednak szereg środków zaradczych:

§ Różne środki organizacyjne i techniczne: plombowanie obudowy komputera, zapewnienie, że użytkownicy nie mają fizycznego dostępu do jednostki systemowej komputera itp.

§ Istnieją zamki elektroniczne, które na polecenie administratora mogą zablokować obudowę jednostki systemowej komputera od wewnątrz za pomocą specjalnego zatrzasku - w takim przypadku nie można zdjąć blokady bez znacznego uszkodzenia komputera.

§ Dość często zamki elektroniczne są konstrukcyjnie połączone z koderem sprzętowym. W takim przypadku zalecanym środkiem bezpieczeństwa jest użycie blokady w połączeniu z przezroczystym (automatycznym) oprogramowaniem szyfrującym komputerowe dyski logiczne. W tym przypadku klucze szyfrowania mogą pochodzić z kluczy używanych do uwierzytelniania użytkowników w zamku elektronicznym lub oddzielnych kluczy, ale przechowywanych na tym samym nośniku, co klucze użytkownika do wejścia do komputera. Tak kompleksowe narzędzie ochrony nie będzie wymagało od użytkownika wykonywania żadnych dodatkowych czynności, ale nie pozwoli napastnikowi na uzyskanie dostępu do informacji nawet po usunięciu elektronicznego zamka.

Środki ochrony przed nieautoryzowanym dostępem przez sieć

Najskuteczniejszymi metodami ochrony przed nieautoryzowanym dostępem przez sieci komputerowe są wirtualne sieci prywatne (VPN – Virtual Private Network) oraz zapory sieciowe. Rozważmy je szczegółowo.

Wirtualne sieci prywatne

Wirtualne sieci prywatne zapewniają automatyczną ochronę integralności i poufności wiadomości przesyłanych za pośrednictwem różnych sieci publicznych, przede wszystkim Internetu. W rzeczywistości sieć VPN to zbiór sieci na zewnętrznym obwodzie, na których zainstalowani są agenci VPN. Agent VPN to program (lub system oprogramowania i sprzętu), który faktycznie zapewnia ochronę przesyłanych informacji, wykonując operacje opisane poniżej.
Przed wysłaniem dowolnego pakietu IP do sieci agent VPN wykonuje następujące czynności:

1. Informacje o miejscu docelowym są pobierane z nagłówka pakietu IP. Zgodnie z tymi informacjami, w oparciu o politykę bezpieczeństwa tego agenta VPN, wybierane są algorytmy bezpieczeństwa (jeśli agent VPN obsługuje kilka algorytmów) i klucze kryptograficzne, którymi ten pakiet będzie chroniony. W przypadku, gdy polityka bezpieczeństwa agenta VPN nie przewiduje wysyłania pakietu IP do danego adresata lub pakietu IP o tych cechach, wysyłanie pakietu IP jest blokowane.

2. Przy użyciu wybranego algorytmu ochrony integralności generowany jest elektroniczny podpis cyfrowy (EDS), imitator lub podobna suma kontrolna i dodawana do pakietu IP.

3. Przy użyciu wybranego algorytmu szyfrowania pakiet IP jest szyfrowany.

4. Wykorzystując ustalony algorytm enkapsulacji pakietów, zaszyfrowany pakiet IP jest umieszczany w gotowym do transmisji pakiecie IP, którego nagłówek zamiast pierwotnej informacji o miejscu docelowym i nadawcy zawiera informacje o docelowym agencie VPN i nadawcy odpowiednio agenta VPN. Tych. translacja adresów sieciowych jest w toku.

5. Pakiet jest wysyłany do docelowego agenta VPN. W razie potrzeby jest dzielony, a powstałe pakiety są wysyłane jeden po drugim.

Po otrzymaniu pakietu IP agent VPN wykonuje następujące czynności:

1. Informacje o jego nadawcy są pobierane z nagłówka pakietu IP. Jeśli nadawca jest niedozwolony (zgodnie z polityką bezpieczeństwa) lub nieznany (na przykład podczas odbierania pakietu z celowo lub przypadkowo uszkodzonym nagłówkiem), pakiet nie jest przetwarzany i odrzucany.

2. Zgodnie z polityką bezpieczeństwa wybierane są algorytmy ochrony tego pakietu i kluczy, za pomocą których pakiet zostanie odszyfrowany i sprawdzona jego integralność.

3. Informacyjna (enkapsulowana) część pakietu jest wyodrębniana i deszyfrowana.

4. Integralność pakietu jest sprawdzana na podstawie wybranego algorytmu. W przypadku wykrycia naruszenia integralności pakiet jest odrzucany.

5. Pakiet jest wysyłany do miejsca docelowego (przez sieć wewnętrzną) zgodnie z informacjami zawartymi w jego oryginalnym nagłówku.

Agent VPN może być zlokalizowany bezpośrednio na chronionym komputerze. W tym przypadku za jego pomocą chroniona jest jedynie wymiana informacji komputera, na którym jest zainstalowany, jednak opisane powyżej zasady jego działania pozostają niezmienione.

Podstawową zasadą budowania VPN jest to, że komunikacja pomiędzy bezpieczną siecią LAN a siecią otwartą powinna odbywać się wyłącznie za pośrednictwem agentów VPN. Nie powinno być absolutnie żadnych metod komunikacji, które omijają barierę ochronną w postaci agenta VPN. Tych. należy zdefiniować chroniony obwód, z którym komunikacja może odbywać się wyłącznie za pomocą odpowiednich środków ochrony.
Polityka bezpieczeństwa to zestaw reguł, zgodnie z którymi ustanawiane są bezpieczne kanały komunikacji między abonentami VPN. Takie kanały są zwykle nazywane tunelami, analogię można zobaczyć w następujący sposób:

1. Wszystkie informacje przesyłane w jednym tunelu są chronione przed nieautoryzowanym przeglądaniem i modyfikacją.

2. Enkapsulacja pakietów IP umożliwia ukrycie topologii wewnętrznej sieci LAN: z Internetu wymiana informacji między dwiema chronionymi sieciami LAN jest widoczna jako wymiana informacji tylko między ich agentami VPN, ponieważ w tym przypadku wszystkie wewnętrzne IP adresy nie pojawiają się w pakietach IP przesyłanych przez Internet. .

Reguły tworzenia tuneli są kształtowane w zależności od różnych cech pakietów IP, na przykład podczas budowania większości VPN, protokół IPSec (Security Architecture for IP) ustawia następujący zestaw danych wejściowych, zgodnie z którymi wybierane są parametry tunelowania i decyzja jest podejmowana podczas filtrowania określonego pakietu IP:

1. Źródłowy adres IP. Może to być nie tylko pojedynczy adres IP, ale także adres podsieci lub zakres adresów.

2. Docelowy adres IP. Może to być również zakres adresów określony jawnie za pomocą maski podsieci lub symbolu wieloznacznego.

3. Identyfikator użytkownika (nadawca lub odbiorca).

4. Protokół warstwy transportowej (TCP/UDP).

5. Numer portu, z którego lub do którego wysłano pakiet.

Zapora
Zapora to oprogramowanie lub oprogramowanie układowe zapewniające ochronę sieci lokalne oraz pojedyncze komputery przed nieautoryzowanym dostępem z sieci zewnętrznych poprzez filtrowanie dwukierunkowego przepływu wiadomości podczas wymiany informacji. W rzeczywistości zapora sieciowa jest „okrojonym” agentem VPN, który nie szyfruje pakietów i nie kontroluje ich integralności, ale w niektórych przypadkach ma szereg dodatkowych funkcji, z których najczęstsze to:
skanowanie antywirusowe;
kontrola poprawności pakietów;
kontrola poprawności połączeń (na przykład nawiązywanie, używanie i kończenie sesji TCP);
kontrola treści.

Zapory ogniowe, które nie posiadają funkcji opisanych powyżej i wykonują jedynie filtrowanie pakietów, nazywane są filtrami pakietów.
Analogicznie do agentów VPN istnieją również zapory osobiste, które chronią tylko komputer, na którym są zainstalowane.
Zapory ogniowe znajdują się również na obrzeżach chronionych sieci i filtrują ruch sieciowy zgodnie ze skonfigurowaną polityką bezpieczeństwa.

Kompleksowa ochrona

Zamek elektroniczny można opracować na podstawie enkodera sprzętowego. W takim przypadku uzyskuje się jedno urządzenie, które pełni funkcje szyfrowania, generowania liczb losowych oraz ochrony przed nieautoryzowanym dostępem. Taki koder jest w stanie stanowić centrum bezpieczeństwa całego komputera, na jego podstawie można zbudować w pełni funkcjonalny system ochrony danych kryptograficznych, który zapewnia między innymi następujące funkcje:

1. Ochrona komputera przed fizycznym dostępem.

2. Ochrona komputera przed nieautoryzowanym dostępem przez sieć i organizowanie VPN.

3. Szyfrowanie plików na żądanie.

4. Automatyczne szyfrowanie komputerowych dysków logicznych.

5. Obliczanie/weryfikacja EDS.

6. Ochrona wiadomości e-mail.