Реферат Информационная безопасность 5
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
от 25%
Подписываем
договор
09.02.09.
1 лекция.
Информационная безопасность – это защищенность информации и поддерживающих ее инфоструктур от любого случайного или злонамеренного воздействия, результатом которого может являться нанесение ущерба самой информации, ее владельцу или поддерживающей инфоструктуре.
Доктрина 2000 г. «Информационная безопасность РФ». Она основывается на федеральных законах, таких как:
· «Об органах федеральной службы безопасности в РФ» 1995 г.
· «О фудуральных органах правовой связи и информации» 1992 г.
· «Об участие в международном информационном обмене» 1996 г.
· «Об информации, информатизации и защите информации» 1995 г.
· «Об правовой охране программ для электроно-вычислительных машин» 1992 г.
· «Об правовой охране тапологии интегральной микросхемы»
Информационная система – база данных, в которой находится определенный объем информации, там систематизируется, извлекается.
Характеристики информации:
1. Доступность
2. Целостность (неизменность информации с момента ее создания)
Лицензирование.
Федеральные законы:
· «О сертификации продукции и услуг» 1993 г.
· «О стандартизации» 1993 г.
· «Об архивном фонде РФ и архивах»
· «О сертификации средств защиты информации»
· «Об основах госудаственной политики в сфере информатизации»
Ценность информации определяется:
a. Затратами на получение.
b. Затратами, которые владелец информации понесет в случае утраты, искажения.
c. Военная тайна.
d. Государственная тайна.
Федеральные законы:
· «О государственной тайне» 1991 г.
· «Об оперативно-разыскной деятельности» 1995 г. (сбор, получение, защита информации об административно-правовых нарушениях)
· №1 «Об электроно-цифровой подписи» 2002 г.
· «О лицензировании деятельности предприятий, учереждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг о защите госудаственной тайны» №333 1995 г.
· «Об утверждении перечня должностных лиц, которые могут указываь какие сведенья могут относиться к государственной тайне»
· «О некоторых вопросах межведомственной комиссии по защите государственной тайны»
· «Об утверждение правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» 1995 г.
· «Об подготовки передачи сведений, составляющих государственную тайну, другим государствам»
3. Конфеденциальность.
Доктрина ИБ Р от 2000 г.
Информационная безопасность – состояние защищенности национальнных интересов РФ в информационной сфере, определяющейся совокупностью сбалансированых интересов личности, общества и государства. На уровне личности необходимы конституционные нормы; на уровне общества – упрочнение демократии, создание правового и социального государства, достижение и поддержание общего согласия; на уровне государства – реализация всех государственных функций.
16.02.09г.
Семинар:
Субъекты информационных отношений:
· Владельцы;
· Пользователи информации – это субъект,которому владелец временно делегирует информацию) ;
· Потребители(конечнные пользователи);
· Злоумышленники;
2 лекция.
Доктрина ИБ РФ 4 главных аспекта:
1. Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны;
2. Развитие современных информационных технологий, отечественной индустрии инф-ции, в том числе индустрии средств информатизации, телекомуникации и связи, обеспечение поребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечения накопления, сохраности и эффективного пользования отечественных инф-ых ресурсов;
3. Информационное обеспечение государственной политики РФ, связанное с доведением до российской и международной общественности достоверной информации о гос-ой политики РФ, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам;
4. Защита инф-ых ресурсов от несанкционированного доступа, обеспечение без-ти инф-ых и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России;
Методы регулирования инф-ых потоков:
I. Правовые - разработка специализированных нормативных правовых актов (законов, поставлений и т.п.), а также нормативных методических документов (в первую очередь, стандартов обеспчения безопасности). Стандарты инф-ой безопасности, используемые в РФ, являются адаптированными стандартами ISO/МЭК.
II. Организационно-технические – усиление правоприменительной деятельности органов исполнительной власти; разработку, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств; выявление технических устройств и программ, представляющих опасность для нормального функционирования нформационно-телекомуникационных систем, сертификацию средств защиты информации, лицензирование деятельности в области защиты гос-ой тайны, стандартизация способов и средств защиты информации; совершенствование системы сертифткации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки инф-ции по требованиям инф-ой безопасности.
III. Экономические – включают в себя разработку программ обеспечения инф-ой безопасности РФ и определение порядка их финансирования совершенствование системы финансирования работ, свсвязанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц. Экономические методы влияют на величену спроса на средства защиты информации на рынке.
Виды деятельности, подлежащие обязательному лицензированию (федеральнй закон «О лицензировании отдельных видов деятельности»)
1. Разработка, распространение и техническое обслуживание шифроальных средств;
2. Предоставление услуг в области шифрования инф-ции;
3. Деят-ть по выявлению электронных устройств, предназначенных для негласного получения инф-ции;
4. Деят-ть по разработке и производству средств защиты конфиденциальной инф-ции и технической защиты конфинденциальной инф-ции;
5. Разработка, производство, реализация и приобретение в целях продажи специальных, технических средств, предназначенных для негласного получения информации;
6. Проведение работ, связанных с использованием сведений, соствляющих гос-ую тайну, созданием средств защиты инф-ции, а также осуществлением мероприятий и оказанием услуг по защите гос-ой тайны (з-н «О государственной тайне»).
Атака – последовательность действий, которая нарушает информационную безопасноть.
Уязвимость – слабое место в системе, которая может дать злооумышленику возможность для атаки.
Риск – вероятность того, что конкретная атака может быть осуществлена с использованием конкретной уязвимостью.
Политика безопасности – это правила, директивы и практические навыки, которые определяют то, как имеющиеся у вас инф-ция обрабатывается, защищается и распространяется.
Сервис безопасности – это некий механизм, который определяет или осуществление атаки или гарантирует ее неосуществление.
Механизмы безопасности – все что служит для предовращения атаки.
3 лекция.
Основные категории информационной безопасности.
Информация с точки зрения безопасности имеет следующие категории:
· Конфиденциальность - гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории назывется хищением либо раскрытием информации. Пользователи, которым этот доступ разрешен, называется авторизованным.
· Целостность - гарантия того, что информация сейчас существует в ее исходном виде, т.е. при ее хранении или передаче не было произведено несанкционированных изменений; обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные. Нарушение этой категории называется фальсификацией сообщения.
· Аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсифкацией, но уже автора сообщения.
· Апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что о автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.
Угрозы – любое действие, которое направлено на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов сети.
Реализованная угроза называется атакой. Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.
Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.
В общем случае под угрозой принято понимать потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В свою очередь, угроза информационной безопасности информационной системы – это возможность реализации воздействия на информацию, обрабатываемую в системе, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты сиситемы, приводящего к их утрате, уничтожению или сбою ее функционирования.
Классификация угроз.
Основные базовые действия, производимые с иформацией, которые смогут содержать в себе угрозу:
Ø сбор;
Ø модификация;
Ø утечка;
Ø уничтожение.
Классификация угроз по расположению источника угрозы.
Внутренние источники угроз:
Ø Сотрудники организации
Ø Программное обеспечение;
Ø Аппаратные средства.
Внутренние угрозы могут проявляться в следующих формах:
Ø Ошибки пользователей и системных администраторов;
Ø Нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
Ø Ошибки в работе программного обеспечения;
Ø Отказы и сбои в работе компьютерного оборудования.
Внешние источники угроз:
Ø Компьютерные вирусы и вредоносные программы;
Ø Организации и отдельные лица;
Ø Стихийные бедствия.
Формы проявления внешних угроз:
Ø Заражение компьютеров вирусами или вредоносными программмами;
Ø Несанкционированный доступ (НСД) к корпоративной информации;
Ø Информационной мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
Ø Действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
Ø Аварии, пожары, техногенные катастрофы.
Классификация по природе возникновения угрозы:
§ Естественными принято называть угрозы, возгникшие в результате воздействия на систему объективных физических процессов или стихийных природных явлений, не зависящих от человека.
§ Искуственные угрозы вызваны действием человеческого фактора.
Примерами естественных угроз могут служить пожары, наводнения, цунами, землетрясения и т.д. Неприятная особенность таких угроз – чрезвычайная трудность или даже невозможность их прогнозирования.
Классификация по степени преднамеренности угрозы:
§ Случайные угрозы бывают обусловлены халатностью или преднамеренными ошибками персонала. (неумышленные)
§ Преднамеренные угрозы обычно возникают в результате направленной деятельности злоумышленника. (умышленные)
В качестве примеров случайных угорз можно привнести непреднамеренный ввод ошибочных данных, неумышленную порчу оборудования. Пример преднамеренной угрозы – проникновение злоумышденника на охраняемую территорию с нарушением установленных правил физического доступа.
Неумышленные угрозы вызываются ошибочными действиями лояльных сотрудников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы программных и аппаратных средств системы. Так, например, из-за отказа диска, контроллера диска или всего файлового сервера могут оказаться недоступными данные, критически ваные для работы предприятия. Поэтому вопросы безопасности так тесно переплетаются с вопросами надежности, отказоустойчивости технических средтв. Угрозы безопасности, которые вытекают из ненадежности рботы программно-аппаратных средств, предовращаются путем их совершенствования, использования резервирования на уровне аппаратуры или на уровне массивов данных.
Умышленные угрозы.
Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целоствности и доступности информации, приведение в нерабочее состояние приложений и устройств. Так, умышленные угрозы возникают в результате деятельности хакеров и явно направлены на нанесение ущерба предприятию.
В информационных системах можно выделить следующие типы умышленных угроз:
§ Незаконное проникновение в один из компьютеров сети под видом легального пользователя;
§ Разрушение системы с помощью программ-вирусов;
§ Нелегальные действия легального пользователя;
§ «Подслушивание» внутрисетевого трафика;
Незаконное проникновение.
Незаконное проникновение может быть реализовано через уязвимые места в системе безопасности с использовнаием недокументрованных возможностей операционной системы. Эти возможности могут позволить злоумышленнику «обойти» стандартную процедуру, контролирующую вход в сеть.
Другим способом незаконого проникновения в сеть является испольщоваение «чужих» паролей, полученныз путем полглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Особенно опасно проникновение злоумышленника под именем пользователя, наделенного большими полномочиями, например админитсратора сети. Для того, чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя.
Классификация по источнику угрозы:
· Угрозы, источником которых является природная среда. Примеры – пожары, наводнения, стихийные бедствия.
· Угрозы, источником которых является человек. Пример – внедрение агентов в ряды персонала АС(автоматизированная система) со стороны конкурирующей организации.
· Угрозы, источником которых является санкционированные програмно-аппаратные средства. Пример – некомпетентное использование системных утилит.
· Угрозы, источником которых является
Классификация по положению источника угрозы:
· Угрозы, источник которых расположен вне контролируемой зоны. Пример – перехват побочных электромагнитных излучений (ПЭМИН) или перехват данных, передаваемых по каналам связи; дистанционная фото- и видеосъема; перехват акустической информации с использованием направленных микрофонов.
· Угрозы, источник которых расположен в пределах контролируемой зоны. Пример – применение подслушивающих устройств или хищение носителей, содержащих конфендициальную информацию.
Классификация по степени воздействия угрозы:
· Пассивные угрозы при реализации не осуществляют никаких изменений в составе и структуре информационных систем. Пример – несанкционированное копирование файлов с данными.
· Реализация активных угроз, напротив, нарушает структуру информационной системы.
Классификация по способу доступа к ресурсам:
· Угрозы, использующие стандартный доступ. Пример – несанкционированное получение пароля путем подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.
· Угрозы, использующие нестандартный путь доступа. Пример – использование недекларированных возможностей средств защиты.
Классификация по способу воздействия на объекты информационной безопасности:
· информационные,
· программные,
· физические,
· радиоэлектронные,
· организационно-правовые.
К информационным угрозам относятся:
ü несанкционированный доступ к информационным ресурсам;
ü незаконное копирование данных в информационных системах;
ü хищение информации из библеотек, архивов, банков и баз данных;
ü нарушение технологии обработки информации;
ü противозаконный сбор и использование информации;
ü использование информационного оружия.
К программным угрозам относятся:
ü использование ошибок и «дыр» в ПО;
ü компьютерные вирусы и вредоносные программы;
ü установка «закладных» устройств.
К физическим угрозам относятся:
ü уничтожение или разрушение средств обработки информации и связи;
ü хищение носителей информации;
ü хищение программных или аппаратных ключей и средств криптографической защиты данных;
ü воздействие на персонал.
К радиоэлектронным угрозам относятся:
ü внедрение электронных устройств перехвата информации в технические средства и помещения;
ü перехват, расшифровка, подмена и уничтожение информации в каналах связи.
К организационно-правовым угрозам относятся:
ü закупки несовершенных или устаревших информационных технологий и средств информатизации;
ü нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.
Основная классификация угроз, основывающаяся на трех базовых свойствах защищаемой информации:
· Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не распологающему полномочиями для ознакомления с ней.
· Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием АС.
· Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некотрому ресурсу АС для легальных пользователей блокируется.
Сертификат соответсвия. 3 года
Выдается ФСБ РФ. Аппаратно-программное средство.
Лицензия 5 лет.
Формальная теория.
Субъект – объект, который имеет правл управлять информацией. Формальная теория рассматривает правила и модели взаимодействия объекта и субъекта. Права: право чтение информации и доступа из объекта, право записи, право на создание нового субъекта, право передачи каких-то прав другому субъекту.
Информационная защита государственной безопасности.
Информационная безопасность государства существовала всегда. Стеганография – скрыт сам факт передачи сообщения. Например: в древнем мире писали на голове раба информацию и когда волосы отрастали отправляли его.
Национальные интересы РФ в информационной сфере складываются из 3х элементов:
1. Реализация конституционных прав человека и гражданина на доступ к информации. На использование информации в интересах осуществления незарпещенной законом деятельности физического, духовного и интелектуальнного развития. А также в защиет информации обеспечивающей личную безопасность.
2. Интересы общества в информационной сфере заключаются в: обеспечение интересов личности в этой сфере; упрочнении демократии; создание правового социального государства; достижение и поддержание общественного согласия.
3. Интересы государства в информационной сфере заключается в создании условий для гармоничного развития российской информационной инфроструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, территориальной целостности России, суверенитета, полной экономической и социальной стабильности, в безусловном обеспечени законности и правопорядка, развитие равноправного международного сотрудничества.
Что требуется для достижения 4 составляющих национальных интересов в РФ? (см 2 лекцию)
Для достижения первой составляющей требуется:
· Повысить эффективность информационной инфроструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа РФ.
· Усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала РФ.
· Обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефоных переговоров, почтовых, телеграфных и иных сообщений на защиту своей чести и своего доброго имени.
· Обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать и распространять информацию любым законным способом и получать достоверную информацию о состоянии окружающей среды.
· Укрепить механизм правового регулирования отношений в области охраны интелектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ конфиденциальной информации.
· Гарантировать свободу СМИ и запрет цензуры.
· Недопускать пропаганду и агитацию, которая способствует разжиганию рассовой, социальной, национальной или религиозной ненависти и вражды.
· Обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Для достижения второй составляющей требуется:
· Укрепить государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан.
· Интенсифицировать формироание открытых государственных информационных ресурсов, повысить эффективность их хозяйственного использования.
Для достижения третей составляющей требуется:
· Развивать и совершенствовать инфроструктуру единого информационного пространтсва РФ.
· Развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов.
· Развивать производство в РФ конкурентно-способных средств и систем информатизации, телекомуникации и связи, расширять участие России в международной кооперациипроизводителей этих средств и систем.
· Обеспечить государственную поддержку отечественных, фундаментальных и прикладных исследований и разработок в сфере информации, телекомуникации и связи.
Для достижения четвертой составляющей требуется:
· Повысить безопасность информационных систем, включая в эти связи прежде всего безопасность иных сетей связи и информационных систем федеральных органов государственной власти, органовгосударственной власти субъектов РФ, финансово-кредитной и банковской сфер, сферы хозяйственной деятельнсти, а также систем и средств информации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экологически важными процессами.
· Интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью.
· Обеспечить защиту сведений, составляющих государственную тайну.
· Расширять международное сотрудничество РФ в области развития и безопасности использования информационных ресурсов противодействующие угрозе развязывания противоборства в информационной сфере.
Угрозы национальным интересам РФ в информационной сфере.
Угрозы конституционным правам и свобод человека (1ой составляющей):
1. Принятие федеральными органами государственной власти нормативных правовых актов, ущемляющих конституционные права и свобод граждан в области духовной жизни и информационной деятельности.
2. Создание монополии на формирование, получение и распространение информации в РФ, в том числе использование телекоммуникационных систем.
3. Противодействие в том числе со стороны криминальных структур, реализации гражданами своих конституционных прав на личную и семейную тайну, тайну переписки и иных сообщений.
4. Нерациональное, чрезмерное ограничение доступа к общественно необходимой информации.
5. Противоправное применение специальных средств воздействия на индивидуальное, гражданское и общественное сознание.
6. Не использование федеральными органами государственной власти, организациями и группами требований федерального законодательства ...
7. Неправомерное ограничение доступа граждан к открытым информационным ресурсам.
8. Дизорганизация и разрушение системы накопления и сохранения культурных ценностей, включая архивы.
9. Нарушение конституционных прав и свобод гражданина в области массовой информации.
10. Вытеснение российских ... СМИ с внутреннего информационного рынка и усиление зависимости духовной, экономической и политической сфер общественной жизни России от зарубежных структур.
11. Девальвация духовных ценностей, пропаганда образцов массовой культуры, основаных на культуре насилия, на духовных и нравственных ценностях, противоречащих ценностям принятых в россиском обществе.
12. Манипулирование информацией.
Угрозы 2ой составляющей:
Блокирование деятельности.
Низкая эффективность государственного обеспечения информационной политики.
Угрозы по 3ей составляющей:
1. Противодействие доступу РФ к новейшим информационным технологиям.
2. Взаимовыгодному и равноправному участию российских производителей в мировом разделении труда, в индустрии информационных услуг, средств информации, телекомуникации и связи, а также создание условий для усиления технической зависимости России в области современных информационных технологий.
3. Закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов не уступающих по своим характеристикам зарубежным образцам.
4. Вытеснение с отечественного рынка российских производителей средств коммуникации, информатизации и связи.
5. Угроза увелечения оттока зарубеж специалистов и правообладателей интелектуальной собственности.
Какие объекты подвержены воздействию угроз в:
I. Сфере экономики.
Система государственной статистики, кредитно-финансовая система, информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти (налоговая служба), обеспечивающих деятельность общества и государства в сфере экономики; система бухгалтерского учета предприятий, учереждений, организаций независимо от формы собственности; система сбора, обработки, хранение и передачи статистической, финансовой, биржевой, налоговой и таможенной информации и информации о внешней экономической деятельности государства, а также предприятий, учереждений, организаций независимо от формы их собственности.
Основные методы защиты в сфере экономики:
1. Организация и осуществление государственного контроля за созданием, защитой, развитием систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой и таможенной информации.
2. Коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищености информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статсистической информации, а также путем ограничения корменилизации этой информации.
3. Разработка национальных сертифицированных средств защиты информации и внедрении в них системы и средства сбора, обработки, хранении и передачи статистической, финансовой, биржевой, налоговой и таможенной информации.
4. Разработка и внедрение национальных защищенных систем электронных платежей на базе интелектуальнных карт, системы электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативно-правовой базы, регламентирующей их использование.
5. Совершенствование нормативно-правовой базы, регулирующей информационные отношения в сфере экономики. Совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
II. Сфера внутренней политики.
Объекты:
1. Конституционные права и свободы человека и гражданина.
2. Конституционный строй, национальное согласие, стабильность государственной власти, суверинетет и территориальная целостность РФ.
3. Открытые информационные ресурсы федеральных органов исполнительной власти и СМИ.
Виды угроз, характерных в сфере внутренней политики:
1. Нарушение конституционных прав и свобод граждан, реализуемых в информационной сфере.
2. Недостаточное, правовое регулирование отношений в области прав различных политических сил на использование СМИ для пропаганды своих идей.
3. Распространение дезинформации о политике РФ, деятельности федеральных органов государственной власти, событиях, происходящих в стране и зарубежом.
4. Деятельность общественных объединений, направленная на насильственное изменение основ конституционного строя и на нарушение целостности РФ, разжигание социальной, рассовой, национальной и религиозной вражды на распространение этих идей в СМИ.
2 метода борьбы:
Создание системы противодейсвтия монополизации отечественными и зарубежными структурами, составляющих информационной инфроструктуры, включая рынок информационных услуг и средства массовой информации.
Активизация контр-пропагндитской деятельности, направленной на предотвращение негативных последствий распространение дезинформации о внутренней политики России.
Сфера внешней политики.
Объекты:
1. Информационные ресурсы федеральных органов исполнительной власти, реализующих внешнию политику РФ, российских представительств и организаций зарубежом, представительств российских организаций при международных организациях.
2. Информационные ресурсы представительств федеральных органов исполнительной власти, реализующих внешнюю политику РФ на территориях субъектов РФ.
3. Информационные ресурсы российских предприятий, учреждений и организаций подведомственным федеральным органом исполнительной власти, реализующим внешнию политику РФ.
4. Блокирование деятельности Российских СМИ по разъяснению зарубежной аудитории целей и основных направлений государственной политики РФ, ее мнение о социально-значимых событиях российской и международней жизни.
Специфические внешние угрозы сферы внешней политики:
1. Информационное воздействие иностранных, политических, экономических, военных и информационных структур на разработку и реализацию стратегии внешней политики РФ.
2. Распространение зарубежом дезинформации о внешней политики РФ.
3. Нарушение прав российских граждан и юридических лиц в информационной сфере зарубежом.
4. Попытки несанкционированного доступа к информации и воздействие на информационные ресурсы, на информационную инфроструктуру федеральных органов исполнительной власти, реализующих внешнию политику РФ, российских представительств и организаций зарубежом, представительства РФ при международных организациях.
Внутренние угрозы (внутри страны):
1. Нарушение установленного порядка сбора, обработки, хранения и передачи информации в федеральных органах исполнительной власти, реализующих внешнию политику РФ и на подведомственных им предприятиях, учереждениях и организациях.
2. Информационно – пропагандитская деятельность политических сил, общественных объединений, СМИ и отдельных лиц искажающая стратегию и тактику внешней политической деятельности РФ.
3. Недостаточная информированность населения о внешней политической деятельности РФ.
Методы:
1. Разработка основных направлений государственной политики в области совершенствования информационного обеспечения внешне-политического курса РФ.
2. Разработка и реализация комплекса мер по усилению информационной безопасности, информационной инфроструктуры федеральных органов исполнительной власти, реализующих внешнею политику РФ российских представительств зарубежом, представительство РФ при международних организациях.
3. Создание российским представительствам и организациям зарубежом условий работы по нейтрализации распространяемой там дезинформациио внешней политики РФ.
4. Совершенствование информационного обеспечения работы по противодействию нарушением прав и свобод российских граждан и юридических лиц за рубежом.
5. Совершенствование информационного обеспечения субъектов РФ по вопросам внешней политической деятельности, которые входят в их компетенцию.
Сфера науки и техники.
Объекты:
1. Результаты фундаментальных, поисковых, прикладных научных исследований потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведенья, утрата которых может нанести ущерб национальным интересам и престижу РФ.
2. Открытие назапонтетонновой технологии: промышленные образцы, полезные модели и экспериментальные оборудования.
3. Научно-технические кадры и система их подготовки.
4. Системы управления сложными исследовательскими комплексами: ядерными реакторами, ускорителями элементарных частиц, плазменными генераторами и другими.
Внешние угроза для сферы науки и техники:
1. Стремление развитых иностранных государств получить противоправный доступ к научно-технических ресурсов для использования в собственных интересах.
2. Создание льготных условий на российском рынке для иностранной научно-технической продукции и стремление развитых стран в тоже время ограничить развитие научно-технического потенциала России. Скупка акций передовых предприятий с их последующим перепрофилирование, сохранение экпортно-импортных ограничений и т.п.
3. Политика западных стран, направленная на дальнейшее разрушение унаследованного от СССР единого-научного технического пространства государств-участников СНГ за счет переориетации на западные страны их научно-технических связей, а также отдельных наиболее перспективных научных коллективов.
4. Активизация деятельности иностранных, государственных и коммерческих предприятий, учереждений и орагнизаций в области промышленного шпионажа с привлечение к ней разведовательных и специальных служб.
Внутренние угрозы:
Ø Сохраняющаяся сложная, экономическая ситуация в Россси, ведущая к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечки идей и передовых разработок зарубеж.
Ø Неспособность предприятий национальнных отраслей электронной промышленности производить на базе новейших достижений микроэлектроники передовых информационных технологий конкурентно-способную наукоемкую продукцию, позволяющию обеспечить достаточный уровень технологической независимости России от зарубежных стран, что приводит к вынужденныму широкому использованию импортных программно-аппаратных средств при создании и развитии России информационной инфроструктуры.
Ø Серьезные проблемы в области потентной защиты результатов научно-технической деятельности российских ученых.
Ø Сложности реализации мероприятий по защите информации особенно на акционорованных предприятиях в научно-технических учереждениях и организациях.
Методы защиты:
Совершенстовавание законодательства РФ регулирующего отношения в данной области и механизмов его реализации.
Духовная сфера:
Объекты:
1. Достоинство личности, свобода совести, включая: право свободно выбирать, иметь и распространять религиозные и иные убеждения и действовать в соответствии с ними; свобода мысли и слова, а так же свобода художественных, литературнных, научных, технических и других видов творчества, преподавания.
2. Свобода массовой информации.
3. Неприкосновенность частной жизни, личная и семейная тайна.
4. Русский язык как фактор духовного единения народов многонациональнной России, язык межгосударственного общения народов государств-участников СНГ.
5. Языки, нравственные ценности и культурное наследие народов и народностей РФ.
6. Объекты интелектуальнной собственности.
Угрозы для объектов духовно-нравственной сферы:
1) Деформация системы массового информирования за счет монополизации СМИ, так и за счет неконтролируемого расширения сектора зарубежных СМИ в отечественном инфо-пространстве.
2) Ухудшение состояния и постпенный упадок объектов Российского культурного наследия, включая архивы, музейные фонды, библеотеки, памятники архитектуры ввиду недостаточного финансирования.
3) Возможность нарушения общественной стабильности, нанесение вреда здоровью и жизни граждан вследствие деятельности религиозных объединений, проповедующих религиозный фундаментализм, а так же тоталитарныз религиозных сект.
4) Использование зарубежными спец службами СМИ, действующих на территории РФ, для нанесения ущерба обороноспособности страны и безопасности государства, распространения дезинформации.
5) Неспособность современного гражданского общества России обеспечить формирование у подрастающего поколения и поддержания в обществе общественно-необходимых нарвственных ценностей, патриотизма и гражданской ответственности за судьбу страны.
Основные мероприятия по защите от угроз:
1) Развитие в России основ гражданского общества.
2) Создание социально-экономических условий для осуществления творческой деятельности и функционирования учреждений культуры.
3) Выработка цивилизованных форм и способов общественного контроля за формированием в обществе духовнных ценностей, отвечающих национальным интересам страны, воспитанием патриотизма и граждансокй ответственности за ее судьбу.
4) Совершенствование законодательства РФ, регулирующего отношения в области конституционных ограничений прав и свобод человека и гражданина.
5) Государственнная поддержка мероприятий по сохранению и возрождению культурного наследия народов и народностей РФ.
6) Формирование правовых и организационных механизмов обеспечения конституционных прав и свобод граждан, повышения их правовой культуры в интересах противодействия сознательному или преднамеренному нарушению этих конституционных прав и свобод в сфере духовной жизни.
7) Разработка действенных организационно-правовых механизмов доступа СМИ и граждан к открытой информационной деятельности федеральных органов государственной власти и общественных объединений; обеспечение достоверности сведений о социально значимых событиях общественной жизни, распространяемых через СМИ.
Политика безопасности
Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на вопросы:
1. Какую информацию защищать?
2. Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
3. Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
4. Какие средства использовать для защиты каждого вида информации?
Базовые принципы формирования политики безопасности:
1. Принцип предоставления каждому сотруднику предприятия того минимального привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нарушений в области безопасности предприятий исходит именно от собственных сотрудников, важно ввести четкие ограничения для всех пользователей сети, не наделяя их излишними возможностями.
2. Принцип комплексного подхода к обеспечению безопасности. Необходимо предусмотреть самые разные средства безопасности, начиная с административных запретов и кончая встроенными средствами сетевой аппаратуры. Например, административный запрет на работу в воскресные дни ставит нарушителя под контроль администратора и других пользователей, физические средства защиты (закрытый помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером.
3. Принцип баланса надежности защиты всех уровней. Примеры, когда принцип не соблюден:
· Все сообщения в сети шифруются, но ключи не доступны.
· На компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жесткий диск и установить его на другой машине.
· Внешний трафик сети, подключенный к Интернету, проходит через брандмауэр, но пользователи имеют возможность связываться с Интернет, используя локально установленные модемы.
4. Принцип использования средств, при отказе переходящих в состояние максимальной защиты. Например, если автоматический пропусуной пукт в каком-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти га защищаемую территорию. Или если в сети имеется устройство, кторое анализирует весь входной трафик и отбрасывает кадры с определенным, заранеее заданным обратном адресом, то при отказе оно должно блоктровать вход в сеть.
5. Принцип единого контрольно-пропускного пункта. Весь, входящий во внутреннюю сеть и выходящий во внешнию сеть, трафик должен проходить через единственный узел сети, например через межсетевой экран (firewall). Только это позволяет в достаточной степени контролировать трафик.
6. Принцип баланса возможного ущерба от реализации угрозы и затрат на его предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку явлеятся результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, необходимо взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных.
Политика безопасности для сети, имеющий выход в Интернет.
· Политика доступа к сетевым службам Инетернета;
· Политика доступа к ресурсам внутренней сети компании.
Политика доступа к сетевым службам Интернета:
· Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
· Определение ограничений на методы доступа, например на использование протоколов SLP и PPP. Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями.
· Принятие решения о том, разрешен ли доступ внешних пользователей из Интернет во внутреннюю сеть. Например, доступ разрешить только для некоторых необходимых для работы предприятия служб, например электронной почты.
Политика доступа к ресурсам внутренней сети компании может быть одной из двух:
· Запрещать все, что не разрешено в явной форме;
· Разрешать все, что не зарпещено в явной форме.
Первая дает более высокую степень безопасности, однако при этом могут возникать больщие неудобства у пользователй, кроме того, такой способ защиты обойдется значительно дороже. При реализации второй политики сеть окажется менее защищенной, однако пользоваться ею будет удобнее и потребуется меньще затрат.
Базовые технологии безопасности.
К базовым технологиям безопасности относятся:
· Аутентификация;
· Авторизация;
· Аудит;
· Технологии защищенного канала (VPN).
Все эти технологии основаны на шифровании.
Уровень технической защиты должен соответствовать уровню информации.
Пункты :
Порядок определения защищаемой информации.
Порядок взаимодействия
Классы защиты:
А объекты, на которых осуществляется полное скрытие информационных сигналов, которые возникают при обработки информации или ведении переговоров. (скрытие фактов обработки конфединциальной информации на объекте.
Б Классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке или ведении переговоров, по которым возможна восстановление конфендициальной информации. (скрытие информации, обрабатываемой на объекте)
Какие возможны технические каналы для утечки информации:
1. Электромагнитный – перехват побочных излучений. Средства разветки ПЭИиН. (и наводки) Они установлены в ближайших строениях и транспортных средствах, находящиеся за границей контролируемой зоны.
2. Электрический – перехват наведенных электрических сигналов. Сюда относят средства разветки ПЭИиН, подключаемые к линиям электропитания ТСОИ ( тех средства обратоки инфо).
3. Высоко-частотное облучение ТСОИ. Сюда относится аппаратура высоко-частотного облучения, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны.
4. Внедрение в ТСОИ электронных устройств перехвата информации. Сюда относятся аппаратные закладки модульного типа, установлиемые в системный блок или переферийные устройства в процессе сборки, эксплуатации и ремонта ЭВМ. (закладки с монитора, с устройства печати, с жесткого диска).
Потенциальные технические каналы утечки речевой информации:
1. Прямой, акустический, т.е. через окна, двери, щели. К ним относятся специальные технические средаства – направленные микрофоны, установленные в ближайших строениях и транспортных средствах, находящихся за границей контролируемой зоны.
2. Специальные высокочувствительные микрофоны, установленные в воздухоходах или в смежных помещениях, принадлежащих другим организациям.
3. Электронные устройства перехвата речевой информации с дачиками микрофоного типа, установленные в воздухоходах.
4. Прослушивание разговоров, ведущихся в выделенных комнатах без примененения технических средств постороними лицами, посетителями, техническим персоналом. При их нахождении в коридорах и смежных с выделенными помещениями. Непреднамеренной прослушивание.
5. Акустовибрационный, через ограждающие конструкции, трубы инженерных коммуникаций. Электронные устройств перехвата речевой инофрмации с дачиками контактного типа.
6. Акустооптический, т.е. через стекла. Лазерные акустические лакационные системы.
7. Акустоэлектрический через соединительные линии. Специальные низкочастотные усилители, которые обладают микрофоным эффектом.
8. Акустоэлектромагнитный. К нем относятся специальные радиоприемные устройства, установленные в ближайших строениях и транспортных средствах, находящихся за границами контролируемой зоны, перехватывающие ПЭИ (побочные электромагнитные излучения) на частотах работы высокочастотных генераторов, входящих в состав ВТВС (вспомагательной техники и средств); аппаратура высокочастотного облучения.
Шифрование.
Криптосистема – парные процедуры шифрования и дешифрования.
В алгоритмах шифрования предусматривается наличие параметра – секретного ключа.
Правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа».
Алгоритм шифрования считается раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.
Классы криптосистемы:
Симметричные;
Асимметричные.
В симметричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки.
В асимметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.
Классическая модель симметричной криптосистемы
Теоретические основы впервые изложены в 1949 году в работе Клода Шеннона. табл 1 27.04
Наиболее популярный стандартный симметричный алгоритм шифрования данных DES (Data Encryption Standard) табл 2, 27.04.
Алгоритм разработан фирмой IBM и в 1976 году рекомендован Национальным бюром стандартов США к использованию в открытых секторах экономики.
Схема шифрования по алгоритму DES. табл 2.
Данные шифруются поблочно. Перед шифрованием все данные преобразуется в числовую форму. На вход шифрующей функции поступает блок данных размером 64 бита, он делится пополам на левую и правую части. На первом этапе на место левой части результирущего блока помещается правая часть исходного блока, правая часть результируещего блока вычисляется как сумма по модулю 2 (операция XOR) левой и правой частей исходного блока. Затем на основе случайной двоичной последовательности по определенной схеме в полученном результате выполняются побитные замены и перестановки. Используемая двоичная последовательность, представляющая собой ключ данного алгоритма, имеет длину 64 бита, из которых 56 действительно случайны, а 8 предназначены для контроля ключа.
Недостатки симметричных криптоалгоритмов.
· Криптостойкость алгоритмов зависит от качества ключа, что предъявляет повышенные тербования к службе генерации ключей;
· Принципиально важна надежность канала передачи ключа второму участнику секретных переговоров;
· Трудности генерации и распределения ключей – в системе из N абонентов для общения «каждый с каждым» потребуется N(N-1)/2 ключей.
Несимметричные алгоритмы шифрования
Шифрование на основе открытых ключей состоит в том, что одновременно генерируется уникальная пара ключей, таких, что текст, зашифрованный одним ключом, может быть расшифрован только с использованием второго ключа и наоборот.
Принципы ширования с открытыми ключами разработали в середине 70х гг. XX века Винфилд Диффи и Мартин Хеллман. В 1978 году Ривест, Шамир и Адлеман разработали систему шифрования с открытыми ключами RSA (Rivest, Shamir, Adleman), полностью отвечающую всем принципам Диффи-Хеллмана.
Модель криптосхемы с открытым ключом. Табл 3.
В модели три участника: отправитель, получатель, злоумышленник. Задача отправителя заключается в том, чтобы по открытому каналу связи передать некоторое сообщение в защищенном виде.
Получатель генерирует
Использование несимметричной криптосхемы для ведения секретной переписки.
Табл. 1, 04.05.09.
Пользователи – обладатели открытого ключа Е передают по открытому каналу связи свои зашифрованные открытым ключом сообщения S1, S2, S3 общему абоненту, котрый на своей стороне расшифровывает их с помощью закрытого ключа D. Прочитать сообщения друг друга разные пользователи не могут, т.к. не обладают секретным ключом D.
Использование несимметричной криптосистемы для подтверждения авторства посылаемого сообщения.
Табл. 2, 04.05.09
Если, абонент, обладатель закрытого ключа D, хочет аутентифицировать себя (поставить электронную подпись), то он щифрует известные сообщения S1, S2, S3 своим закрытым ключом D и передает шифровку своим корреспондентам, обладателям открытого ключа E. Если им удается расшифровать текст открытым ключом абонента, то это доказывает, что текст был зашифрован его же закрытым ключом, а значит, именно он является автором этого сообщения. В этом случае сообщения S1, S2, S3, адресованные разным абонентам, не являются секретными, так как они все – обладатели одного и того же открытого ключа, вс помощью которого они могут расшифровать се сообщения, зашифрованные ключом.
Достоинство - маштабирование: При необходимости взаимной аутентификации и двунаправленного секретного обмена сообщения, каждая из общающихся сторон генерирует собственную пару ключей и посылает открытый ключ своему корреспонденту.
Для того чтобы в сети все N абонентов имели возможность нетолько принимать зашифрованные сообщения , но и сами посылать таковые, каждый абонент должен обладать своей собственной парой ключей E и D. Всего в сети будет 2N ключей: N открытых ключей для шифрования и N секретных ключей для дешифрования.
Достоинства несимметричных криптоалгоритмов:
· Решатся проблема масштабируемости – квадратичная зависимость количества ключей от числа абонентов в симметричных алгоритмах заменяется линейной зависимостью в несимметричных алгоритмах;
· Исчезает задача секретной доставки ключа. Злоумышленнику нет смысла стремиться завладеть открытым ключом, поскольку это не дает аозможности расшифровать текст или вычислить закрытый ключ.
Информация об открытом ключе не является секретной, но ее нужно защищать от подлогов, чтобы злоумышленник под именем легального пользователя не навязал свой открытый ключ, после чего с помощью своего закрытого ключа он может расшифровать все сообщения, посылаемые легальному пользователю и отправлять свои сообщения от его имени.
Наиболее популярный криптоалгоритм с открытым ключом – криптоалгоритм RSA.
· Случайно выбираются два очень больших простых числа p и q.
· Вычисляются два произведения n=pq и n=(p-1)(q-1).
· Выбирается случайное целое число E, не имеющее общих сомножителей с m.
· Находится D, такое, что DE=1 по модулю m.
· Исходный текст X, разбивается на блоки таким образом, чтобы 0<X<n.
· Для шифрования сообщения необходимо вычислить Y=XE по модулю n.
· Для дешифрования вычисляюется X=YD по модулю n.
· Таким образом, чтобы зашифровать сообщения, необходимо знать пару чисел (E, n), а чтобы дешифровать – пару чисел (D, n). Первая пара – это открытый ключ, а вторая – закрытый.
Достоинства криптоалгоритмов RSA:
Ø Вычислить значение закрытого ключа D (взломать криптоалгоритм RSA) можно, зная открытый ключ (E, n). При этом необходимо найти p и q, т.е. разложить на рпостые множиетли очень большее число n, что является сложнейшей вычислительной задачей.
Ø К сведению: для того чтобы найти разложение 200-занчного числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду. В алгоритме RSA применяют числа длиной более 200 десятичных разрядов.
Недостатки криптоалгоритма RSA:
Программная реализация несимметричных криптоалгоритмов типа RSA значительно сложнее и менее производительна, чем реализация классических криптоалгоритмов типа DES. Поэтому их часто используют только для шифрования небольших объемов инофрмации, например для рассылки классических секретных ключей или в алгоритмах цифровой подписи, а основную часть пересылаемой информации шифруют с помощью симметричных алгоритмов.
Табл. 3 Сравнительные характеристики алгоритмов шифрования.
Односторонние фуекции шифрования:
Ø Во многих базовых технологиях безопасности используется еще один прием шифрования – шифрование с помощью односторонней функции (one-way function), называемой также хэш-функцией (digest function).
Ø Хешфункция, примененная к шифруемым данным, дает в результате значение (дайджест), состоящие из фиксированного небольшого числа байт.
Восстановить сообщение по хешфуекции невозможно. Дайджест передается с исходным сообщения, зная, какая односторония функция шифрования была примененена для получения дайджеста, заново вычисляет его, используя незашифрованную часть сообщения. Если значения получаемого и вычисленного дайджеста совпадают, то значит сообщение не было изложенно.
Дайджест является аналог контрольной суммы (CRC) для исходного сообщения. Однако использование контрольной суммы является сресдством проверки целостности передаваемых сообщений по ненадежным каналам связи и е направлено на борьбу со злоумышленниками, которые могут подменить сообщение, добавить к нему новое значение контрольной суммы.
В отличии от контрольной суммы при вычисление дайджеста требуются секретные ключи.
В случае если для получения дайджеста использовалась односторония функция с параметром, который известен только отправителю и получателю, любая модификация исходного сообщения будет немедленно обнаруженв.
Одностороние функции должны удовлетворять двум условиям:
· По дайржесту, вычисленному с помощью данной организации, невозможно каким-либо образом вычислить исходное сообщение;
· Должнв отсутствовать возможность вычисления двух разных сообщений, для которых с помощбю данной функции могли быть вычислены одинаковые дайджесты.
Стандарты дайджест функции: MD2, MD4, MD5, - все они генерируют дайджесты фиксированной длины 16 байтов. Адаптированный вариант MD4 – SHA (американский стандарт), длина его дайджеста 20 бит. Компания MBI поддерживает односторонние функции MDC2 и MDC4 основанные на алгоритме шифрования DES.
Аутентификация. (установление подлинности)
Аутентификация – предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей.
Это процедура доказательства пользователем того, что он есть тот, за кого себя выдает.
В этой процедуре есть 2 стороны: одна докзывает аутентификантность, друкая – аутентификатор – проверяет эти доказательства.
Доказательства аутентичности :
¨ Аутентифицируемый может предъявить знание общего для них секрета: пароль или факт.
¨ Владение неким физическим предметом (электроная магнитная карта).
¨ Использование биологических характеристик, доказательство своей идентичности.
Авторизация доступа.
Контролирует доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором.
Формы предоставления правил доступа:
· избирательный доступ – определенные операции над определенными ресурсами разрешаются или запрещаются пользоваетелм или группой пользователей , явно указанным своим идентификатором.
· мандатный доступ – вся информация делится на уровни в зависимости от степени секретности, а все пользователи делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации, например, информация для служебного пользования, «секртено», «совершенно секретно».
Аудит.
Аудиция – фиксация в системнном журнале событий, связанных с доступом к защищаемым системным ресурсам. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать любые попытки взлома системы.
Технологии защищенного канала.
Обеспечивает безопасность передачи данных по открытой транспортной сети, например, интернет. В зависимости от места расположений програмного обеспечения защищенного канала различают 2 схемы ее преобразования:
· схема с конечными узлами, взаимодействующими через публичные сети;
· схема с оборудованием поставщика услуг публтчной сети, расположенным на границе между частной и публичной сетями.
Создание защищенного канала подразумевает 3 основных функций:
взаимную аутентификацию абонентов при установлении соединения, например, путем обмена паролями;
защиту передаваемых сообщений от несанкционированного доступа , например, путем шифрования;
потверждение целостности поступающих по каналам сообщения, например, путем передачи одновременно с сообщением его дайджеста.
Виртуальная сатная сеть – совокупнсоть защищенных каналов, созданных предприятием в публичной сети для объединения своих филиалов.(VPN)
1. Принцип предоставления каждому сотруднику предприятия того минимального привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нарушений в области безопасности предприятий исходит именно от собственных сотрудников, важно ввести четкие ограничения для всех пользователей сети, не наделяя их излишними возможностями.
2. Принцип комплексного подхода к обеспечению безопасности. Необходимо предусмотреть самые разные средства безопасности, начиная с административных запретов и кончая встроенными средствами сетевой аппаратуры. Например, административный запрет на работу в воскресные дни ставит нарушителя под контроль администратора и других пользователей, физические средства защиты (закрытый помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером.
3. Принцип баланса надежности защиты всех уровней. Примеры, когда принцип не соблюден:
· Все сообщения в сети шифруются, но ключи не доступны.
· На компьютерах установлена файловая система, поддерживающая избирательный доступ на уровне отдельных файлов, но имеется возможность получить жесткий диск и установить его на другой машине.
· Внешний трафик сети, подключенный к Интернету, проходит через брандмауэр, но пользователи имеют возможность связываться с Интернет, используя локально установленные модемы.
4. Принцип использования средств, при отказе переходящих в состояние максимальной защиты. Например, если автоматический пропусуной пукт в каком-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти га защищаемую территорию. Или если в сети имеется устройство, кторое анализирует весь входной трафик и отбрасывает кадры с определенным, заранеее заданным обратном адресом, то при отказе оно должно блоктровать вход в сеть.
5. Принцип единого контрольно-пропускного пункта. Весь, входящий во внутреннюю сеть и выходящий во внешнию сеть, трафик должен проходить через единственный узел сети, например через межсетевой экран (firewall). Только это позволяет в достаточной степени контролировать трафик.
6. Принцип баланса возможного ущерба от реализации угрозы и затрат на его предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100%, поскольку явлеятся результатом компромисса между возможными рисками и возможными затратами. Определяя политику безопасности, необходимо взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных.
Политика безопасности для сети, имеющий выход в Интернет.
· Политика доступа к сетевым службам Инетернета;
· Политика доступа к ресурсам внутренней сети компании.
Политика доступа к сетевым службам Интернета:
· Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
· Определение ограничений на методы доступа, например на использование протоколов SLP и PPP. Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями.
· Принятие решения о том, разрешен ли доступ внешних пользователей из Интернет во внутреннюю сеть. Например, доступ разрешить только для некоторых необходимых для работы предприятия служб, например электронной почты.
Политика доступа к ресурсам внутренней сети компании может быть одной из двух:
· Запрещать все, что не разрешено в явной форме;
· Разрешать все, что не зарпещено в явной форме.
Первая дает более высокую степень безопасности, однако при этом могут возникать больщие неудобства у пользователй, кроме того, такой способ защиты обойдется значительно дороже. При реализации второй политики сеть окажется менее защищенной, однако пользоваться ею будет удобнее и потребуется меньще затрат.
Базовые технологии безопасности.
К базовым технологиям безопасности относятся:
· Аутентификация;
· Авторизация;
· Аудит;
· Технологии защищенного канала (VPN).
Все эти технологии основаны на шифровании.
Уровень технической защиты должен соответствовать уровню информации.
Пункты :
Порядок определения защищаемой информации.
Порядок взаимодействия
Классы защиты:
А объекты, на которых осуществляется полное скрытие информационных сигналов, которые возникают при обработки информации или ведении переговоров. (скрытие фактов обработки конфединциальной информации на объекте.
Б Классу защиты Б относятся объекты, на которых осуществляется скрытие параметров информационных сигналов, возникающих при обработке или ведении переговоров, по которым возможна восстановление конфендициальной информации. (скрытие информации, обрабатываемой на объекте)
Какие возможны технические каналы для утечки информации:
1. Электромагнитный – перехват побочных излучений. Средства разветки ПЭИиН. (и наводки) Они установлены в ближайших строениях и транспортных средствах, находящиеся за границей контролируемой зоны.
2. Электрический – перехват наведенных электрических сигналов. Сюда относят средства разветки ПЭИиН, подключаемые к линиям электропитания ТСОИ ( тех средства обратоки инфо).
3. Высоко-частотное облучение ТСОИ. Сюда относится аппаратура высоко-частотного облучения, установленная в ближайших строениях или смежных помещениях, находящихся за пределами контролируемой зоны.
4. Внедрение в ТСОИ электронных устройств перехвата информации. Сюда относятся аппаратные закладки модульного типа, установлиемые в системный блок или переферийные устройства в процессе сборки, эксплуатации и ремонта ЭВМ. (закладки с монитора, с устройства печати, с жесткого диска).
Потенциальные технические каналы утечки речевой информации:
1. Прямой, акустический, т.е. через окна, двери, щели. К ним относятся специальные технические средаства – направленные микрофоны, установленные в ближайших строениях и транспортных средствах, находящихся за границей контролируемой зоны.
2. Специальные высокочувствительные микрофоны, установленные в воздухоходах или в смежных помещениях, принадлежащих другим организациям.
3. Электронные устройства перехвата речевой информации с дачиками микрофоного типа, установленные в воздухоходах.
4. Прослушивание разговоров, ведущихся в выделенных комнатах без примененения технических средств постороними лицами, посетителями, техническим персоналом. При их нахождении в коридорах и смежных с выделенными помещениями. Непреднамеренной прослушивание.
5. Акустовибрационный, через ограждающие конструкции, трубы инженерных коммуникаций. Электронные устройств перехвата речевой инофрмации с дачиками контактного типа.
6. Акустооптический, т.е. через стекла. Лазерные акустические лакационные системы.
7. Акустоэлектрический через соединительные линии. Специальные низкочастотные усилители, которые обладают микрофоным эффектом.
8. Акустоэлектромагнитный. К нем относятся специальные радиоприемные устройства, установленные в ближайших строениях и транспортных средствах, находящихся за границами контролируемой зоны, перехватывающие ПЭИ (побочные электромагнитные излучения) на частотах работы высокочастотных генераторов, входящих в состав ВТВС (вспомагательной техники и средств); аппаратура высокочастотного облучения.
Шифрование.
Криптосистема – парные процедуры шифрования и дешифрования.
В алгоритмах шифрования предусматривается наличие параметра – секретного ключа.
Правило Керкхоффа: «Стойкость шифра должна определяться только секретностью ключа».
Алгоритм шифрования считается раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время. Сложность алгоритма раскрытия является одной из важных характеристик криптосистемы и называется криптостойкостью.
Классы криптосистемы:
Симметричные;
Асимметричные.
В симметричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки.
В асимметричных схемах шифрования (криптография с открытым ключом) открытый ключ зашифровки не совпадает с секретным ключом расшифровки.
Классическая модель симметричной криптосистемы
Теоретические основы впервые изложены в 1949 году в работе Клода Шеннона. табл 1 27.04
Наиболее популярный стандартный симметричный алгоритм шифрования данных DES (Data Encryption Standard) табл 2, 27.04.
Алгоритм разработан фирмой IBM и в 1976 году рекомендован Национальным бюром стандартов США к использованию в открытых секторах экономики.
Схема шифрования по алгоритму DES. табл 2.
Данные шифруются поблочно. Перед шифрованием все данные преобразуется в числовую форму. На вход шифрующей функции поступает блок данных размером 64 бита, он делится пополам на левую и правую части. На первом этапе на место левой части результирущего блока помещается правая часть исходного блока, правая часть результируещего блока вычисляется как сумма по модулю 2 (операция XOR) левой и правой частей исходного блока. Затем на основе случайной двоичной последовательности по определенной схеме в полученном результате выполняются побитные замены и перестановки. Используемая двоичная последовательность, представляющая собой ключ данного алгоритма, имеет длину 64 бита, из которых 56 действительно случайны, а 8 предназначены для контроля ключа.
Недостатки симметричных криптоалгоритмов.
· Криптостойкость алгоритмов зависит от качества ключа, что предъявляет повышенные тербования к службе генерации ключей;
· Принципиально важна надежность канала передачи ключа второму участнику секретных переговоров;
· Трудности генерации и распределения ключей – в системе из N абонентов для общения «каждый с каждым» потребуется N(N-1)/2 ключей.
Несимметричные алгоритмы шифрования
Шифрование на основе открытых ключей состоит в том, что одновременно генерируется уникальная пара ключей, таких, что текст, зашифрованный одним ключом, может быть расшифрован только с использованием второго ключа и наоборот.
Принципы ширования с открытыми ключами разработали в середине 70х гг. XX века Винфилд Диффи и Мартин Хеллман. В 1978 году Ривест, Шамир и Адлеман разработали систему шифрования с открытыми ключами RSA (Rivest, Shamir, Adleman), полностью отвечающую всем принципам Диффи-Хеллмана.
Модель криптосхемы с открытым ключом. Табл 3.
В модели три участника: отправитель, получатель, злоумышленник. Задача отправителя заключается в том, чтобы по открытому каналу связи передать некоторое сообщение в защищенном виде.
Получатель генерирует
Использование несимметричной криптосхемы для ведения секретной переписки.
Табл. 1, 04.05.09.
Пользователи – обладатели открытого ключа Е передают по открытому каналу связи свои зашифрованные открытым ключом сообщения S1, S2, S3 общему абоненту, котрый на своей стороне расшифровывает их с помощью закрытого ключа D. Прочитать сообщения друг друга разные пользователи не могут, т.к. не обладают секретным ключом D.
Использование несимметричной криптосистемы для подтверждения авторства посылаемого сообщения.
Табл. 2, 04.05.09
Если, абонент, обладатель закрытого ключа D, хочет аутентифицировать себя (поставить электронную подпись), то он щифрует известные сообщения S1, S2, S3 своим закрытым ключом D и передает шифровку своим корреспондентам, обладателям открытого ключа E. Если им удается расшифровать текст открытым ключом абонента, то это доказывает, что текст был зашифрован его же закрытым ключом, а значит, именно он является автором этого сообщения. В этом случае сообщения S1, S2, S3, адресованные разным абонентам, не являются секретными, так как они все – обладатели одного и того же открытого ключа, вс помощью которого они могут расшифровать се сообщения, зашифрованные ключом.
Достоинство - маштабирование: При необходимости взаимной аутентификации и двунаправленного секретного обмена сообщения, каждая из общающихся сторон генерирует собственную пару ключей и посылает открытый ключ своему корреспонденту.
Для того чтобы в сети все N абонентов имели возможность нетолько принимать зашифрованные сообщения , но и сами посылать таковые, каждый абонент должен обладать своей собственной парой ключей E и D. Всего в сети будет 2N ключей: N открытых ключей для шифрования и N секретных ключей для дешифрования.
Достоинства несимметричных криптоалгоритмов:
· Решатся проблема масштабируемости – квадратичная зависимость количества ключей от числа абонентов в симметричных алгоритмах заменяется линейной зависимостью в несимметричных алгоритмах;
· Исчезает задача секретной доставки ключа. Злоумышленнику нет смысла стремиться завладеть открытым ключом, поскольку это не дает аозможности расшифровать текст или вычислить закрытый ключ.
Информация об открытом ключе не является секретной, но ее нужно защищать от подлогов, чтобы злоумышленник под именем легального пользователя не навязал свой открытый ключ, после чего с помощью своего закрытого ключа он может расшифровать все сообщения, посылаемые легальному пользователю и отправлять свои сообщения от его имени.
Наиболее популярный криптоалгоритм с открытым ключом – криптоалгоритм RSA.
· Случайно выбираются два очень больших простых числа p и q.
· Вычисляются два произведения n=pq и n=(p-1)(q-1).
· Выбирается случайное целое число E, не имеющее общих сомножителей с m.
· Находится D, такое, что DE=1 по модулю m.
· Исходный текст X, разбивается на блоки таким образом, чтобы 0<X<n.
· Для шифрования сообщения необходимо вычислить Y=XE по модулю n.
· Для дешифрования вычисляюется X=YD по модулю n.
· Таким образом, чтобы зашифровать сообщения, необходимо знать пару чисел (E, n), а чтобы дешифровать – пару чисел (D, n). Первая пара – это открытый ключ, а вторая – закрытый.
Достоинства криптоалгоритмов RSA:
Ø Вычислить значение закрытого ключа D (взломать криптоалгоритм RSA) можно, зная открытый ключ (E, n). При этом необходимо найти p и q, т.е. разложить на рпостые множиетли очень большее число n, что является сложнейшей вычислительной задачей.
Ø К сведению: для того чтобы найти разложение 200-занчного числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду. В алгоритме RSA применяют числа длиной более 200 десятичных разрядов.
Недостатки криптоалгоритма RSA:
Программная реализация несимметричных криптоалгоритмов типа RSA значительно сложнее и менее производительна, чем реализация классических криптоалгоритмов типа DES. Поэтому их часто используют только для шифрования небольших объемов инофрмации, например для рассылки классических секретных ключей или в алгоритмах цифровой подписи, а основную часть пересылаемой информации шифруют с помощью симметричных алгоритмов.
Табл. 3 Сравнительные характеристики алгоритмов шифрования.
Односторонние фуекции шифрования:
Ø Во многих базовых технологиях безопасности используется еще один прием шифрования – шифрование с помощью односторонней функции (one-way function), называемой также хэш-функцией (digest function).
Ø Хешфункция, примененная к шифруемым данным, дает в результате значение (дайджест), состоящие из фиксированного небольшого числа байт.
Восстановить сообщение по хешфуекции невозможно. Дайджест передается с исходным сообщения, зная, какая односторония функция шифрования была примененена для получения дайджеста, заново вычисляет его, используя незашифрованную часть сообщения. Если значения получаемого и вычисленного дайджеста совпадают, то значит сообщение не было изложенно.
Дайджест является аналог контрольной суммы (CRC) для исходного сообщения. Однако использование контрольной суммы является сресдством проверки целостности передаваемых сообщений по ненадежным каналам связи и е направлено на борьбу со злоумышленниками, которые могут подменить сообщение, добавить к нему новое значение контрольной суммы.
В отличии от контрольной суммы при вычисление дайджеста требуются секретные ключи.
В случае если для получения дайджеста использовалась односторония функция с параметром, который известен только отправителю и получателю, любая модификация исходного сообщения будет немедленно обнаруженв.
Одностороние функции должны удовлетворять двум условиям:
· По дайржесту, вычисленному с помощью данной организации, невозможно каким-либо образом вычислить исходное сообщение;
· Должнв отсутствовать возможность вычисления двух разных сообщений, для которых с помощбю данной функции могли быть вычислены одинаковые дайджесты.
Стандарты дайджест функции: MD2, MD4, MD5, - все они генерируют дайджесты фиксированной длины 16 байтов. Адаптированный вариант MD4 – SHA (американский стандарт), длина его дайджеста 20 бит. Компания MBI поддерживает односторонние функции MDC2 и MDC4 основанные на алгоритме шифрования DES.
Аутентификация. (установление подлинности)
Аутентификация – предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей.
Это процедура доказательства пользователем того, что он есть тот, за кого себя выдает.
В этой процедуре есть 2 стороны: одна докзывает аутентификантность, друкая – аутентификатор – проверяет эти доказательства.
Доказательства аутентичности :
¨ Аутентифицируемый может предъявить знание общего для них секрета: пароль или факт.
¨ Владение неким физическим предметом (электроная магнитная карта).
¨ Использование биологических характеристик, доказательство своей идентичности.
Авторизация доступа.
Контролирует доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором.
Формы предоставления правил доступа:
· избирательный доступ – определенные операции над определенными ресурсами разрешаются или запрещаются пользоваетелм или группой пользователей , явно указанным своим идентификатором.
· мандатный доступ – вся информация делится на уровни в зависимости от степени секретности, а все пользователи делятся на группы, образующие иерархию в соответствии с уровнем допуска к этой информации, например, информация для служебного пользования, «секртено», «совершенно секретно».
Аудит.
Аудиция – фиксация в системнном журнале событий, связанных с доступом к защищаемым системным ресурсам. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать любые попытки создать, получить доступ или удалить системные ресурсы. Аудит используется для того, чтобы засекать любые попытки взлома системы.
Технологии защищенного канала.
Обеспечивает безопасность передачи данных по открытой транспортной сети, например, интернет. В зависимости от места расположений програмного обеспечения защищенного канала различают 2 схемы ее преобразования:
· схема с конечными узлами, взаимодействующими через публичные сети;
· схема с оборудованием поставщика услуг публтчной сети, расположенным на границе между частной и публичной сетями.
Создание защищенного канала подразумевает 3 основных функций:
взаимную аутентификацию абонентов при установлении соединения, например, путем обмена паролями;
защиту передаваемых сообщений от несанкционированного доступа , например, путем шифрования;
потверждение целостности поступающих по каналам сообщения, например, путем передачи одновременно с сообщением его дайджеста.
Виртуальная сатная сеть – совокупнсоть защищенных каналов, созданных предприятием в публичной сети для объединения своих филиалов.(VPN)
