русс | укр

Программирование:

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании

Обучение

Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Соответствие стандартам безопасности информационных технологий

Дата добавления: 2013-12-23; просмотров: 1999; Нарушение авторских прав

Противодействие угрозам безопасности

Автоматизация процесса обработки конфиденциальной информации

Как и все автоматизированные (компьютерные) системы обработки информации, защищенные системы решают задачу автоматизации некоторого процесса обработки информации. Под процессом обработки информации мы понимаем действия, связанные с ее хранением, преобразованием и передачей.

Кроме традиционных свойств, которыми обладают автоматизированные системы (надежности, эффективности, удобства использования и т.д.) защищенная система обработки информации должна вдобавок обладать еще одним — свойством безопасности, которое является для нее самым главным.

Свойство обеспечения собственной безопасности присуще всем высокоорганизованным системам (как естественного, так и искусственного происхождения) и означает способность функционирования в условиях действия факторов, стремящихся нарушить работу системы.

Поскольку проблема безопасности компьютерных систем изучается и прорабатывается уже достаточно давно, защищенная система должна соответствовать сложившимся требованиям и представлениям. Кроме того, необходимо обеспечить возможность сопоставления параметров и характеристик защищенных систем для того, чтобы их можно было сравнивать между собой. Для решения этой задачи и были разработаны стандарты информационной безопасности в виде соответствующих критериев и требований, регламентирующие подходы к информационной безопасности на государственном или межгосударственном уровне. Наличие таких общепринятых стандартов позволяет согласовать подходы различных участников процесса создания защищенных систем (потребителей, разработчиков и экспертов) и хотя бы качественно оценить обеспечиваемый уровень безопасности. При этом следует понимать, что все требования и критерии безопасности носят исключительно необходимый, но никак не достаточный характер, т. к. никакой сертификат соответствия стандартам не сможет защитить систему от реальных угроз.

 

Классификация методов и средств защиты данных

 

Отставшая часть лекций будет посвящена вопросу «Как защищать?».

С этим вопросом неразрывно связано понятие система защиты – комплекс средств и методов, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объекта защиты.

Принято различать следующиесредства защиты:

Формальные СЗ– выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека.

Физические средства- механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно от ИС, создавая различного рода препятствия на пути дестабилизирующих факторов (замок на двери, жалюзи, биометрические средства защиты, экраны).

Аппаратные средства- механические, электрические, электромеханические, электронные, электронно-механические, оптические, лазерные, радиолокационные и тому подобные устройства, встраиваемые в ИС или сопрягаемые с ней специально для решения задач защиты информации.

Программные средства- пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства не требуют специальной аппаратуры, однако они ведут к снижению производительности ИС, требуют выделения под их нужды определенного объема ресурсов и т.п.

К специфическим средствам защиты информации относятся криптографические методы. В ИС криптографические средства защиты информации могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами.

Неформальные СЗ– регламентируют деятельность человека.

Организационные средства- организационно-технические и организационно-правовые мероприятия, осуществляемые в течение всего жизненного цикла защищаемой ИС (строительство помещений, проектирование ИС, монтаж и наладка оборудования, испытания и эксплуатация ИС). Другими словами – это средства, регламентирующие перечень лиц, оборудования, материалов и т.д., имеющих отношение к ИС, а также режимов их работы и использования. К организационным мерам также относят сертификацию[3] ИС или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д. Обязательной сертификации в Федеральном агентстве правительственной связи и информатизации при Президенте РФ (ФАПСИ) и Государственной технической комиссии при Президенте РФ (Гостехкомиссии) подлежат «ИС федеральных органов государственной власти и субъектов РФ, других государственных органов и организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем».

Организационные мероприятия могут быть применены практически на любом этапе переработки данных. Реализация их не требует специальной аппаратуры (как при технических средствах) и не снижает производительности ИС (как при программных средствах). Применение технических и программных средств при отсутствии или недостаточной разработке организационных мероприятий может свести на нет все усилия работников системы защиты данных.

Законодательные средства– законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами, иногда достаточно противоречивыми. К важной группе нормативных актов относятся руководящие и методические документы Гостехкомиссии и ФАПСИ.

Морально-этические средства- сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета.

Наиболее показательные пример – кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.

Рассмотренные выше средства обеспечения безопасности на практике реализуются посредством применения различных методов. Классифицировать их можно по следующим видам.

1. По возможным способам предупреждения несанкционированного доступа к данным. При этом выделяют следующие способы: препятствие проникновению в систему; управление доступом к ресурсам системы; маскировка; регламентация; принуждение; побуждение.

Препятствие проникновениюв систему состоит в том, чтобы создать для злоумышленника физическую преграду на пути к защищаемым данным: на территорию ВЦ, в здание ВЦ и т. д.

Управление доступом к ресурсамИС состоит в установлении регламента использования всех ресурсов системы и контроля за его выполнением.

Управление доступом подразумевает регламентацию:

- пользователей, которым разрешена работа;

- терминалов, с которых разрешается доступ;

- аппаратных и программных средств системы, к которым разрешен доступ, а также порядок доступа к ним;

- данных, к которым разрешен доступ;

- процедур (операций), разрешенных для выполнения;

- временных параметров работы ИС и ее компонентов и т.д.;

Управление доступом включает следующие функции защиты;

- идентификацию пользователей, персонала и ресурсов системы;

- опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору (аутентификацию);

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работы, отказ в запросе) при попытках несанкционированных действий.

Препятствие- метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

Маскировка - метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется как при обработке, так и при хранении информации. При передаче информации по каналам телекоммуникаций большой протяженности этот метод является единственно надежным.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Считается, что для эффективной защиты необходимо строго регламентировать архитектуру зданий, оборудование помещений, размещение аппаратуры, организацию и обеспечение работы персонала и т. д.

Принуждение - способ защиты, при котором пользователи и персонал вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - метод защиты, который побуждает пользователя и персонал не нарушать сложившиеся моральные и этические нормы (как регламентированные, так и "неписаные").

2. По уровню защиты. При этом выделяют: уровень защиты территории ИС; уровень непосредственной защиты ИС; уровень аппаратных средств; уровень программных средств; уровень базы данных.

3. По наличию средств реагирования на возникновение опасности несанкционированного действия на активные и пассивные. В отличие от активных в пассивных методах не предусмотрены регистрация и передача лицам, ответственным за защиту данных, сведений о попытках проникновения в систему.

Активные методы разделяются на оперативные, т.е.имеющие средства немедленно сообщить о попытках несанкционированного доступа к данным, и неоперативные, которые позволяют регистрировать любые (в том числе несанкционированные) действия по получению данных с целью дальнейшего анализа их лицами, ответственными за защиту.

 

Криптография

 

Реализация на практике политики безопасности, моделей управления доступом и контроля за его осуществлением немыслима без применения криптографических методов. Применение криптографии в решении вопросов аутентификации, целостности данных, передачи информации по каналам связи и т.д. стало неотъемлемым атрибутом защищенных ИС.

Рассмотрим проблему тайной передачи информации и ее сокрытия от злоумышленника на расстоянии. Именно для решения этой проблемы возникли первые криптографические методы. Путей ее решения существует великое множество, среди которых можно выделить три основные направления.

1. Создать абсолютно надежный, недоступный для других канал связи между абонентами.

2. Использовать общедоступный канал связи, но скрыть сам факт передачи информации.

3. Использовать общедоступный канал связи, но передавать по нему нужную информацию в таком преобразованном виде, чтобы восстановить ее мог только адресат.

Проанализируем эти возможности.

1. Еще совсем недавно применялись силовые методы защиты информации: охрана документа (носителя информации) физическими лицами, передача его специальным курьером и т.д. В настоящий момент для реализации данного механизма защиты используют современные телекоммуникационные каналы связи. Однако следует заметить, что данный подход требует значительных капитальных вложений. При современном уровне развития науки и техники сделать такой канал связи между удаленными абонентами для неоднократной передачи больших объемов информации практически нереально.

2. Разработкой средств и методов скрытия факта передачи сообщения занимается стеганография. Этот способ получил свое название от латино-греческое сочетания слов, означающих в совокупности "тайнопись". Вопросам сокрытия информации с помощью стеганографических методов будет посвящена отдельная лекция.

3. Разработкой методов преобразования (шифрования) информации с целью ее защиты от незаконных пользователей занимается криптография. Криптография - слово греческое и в переводе означает тоже "тайнопись". О важности сохранения информации в тайне знали уже в древние времена, когда с появлением письменности появилась и опасность прочтения ее нежелательными лицами. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. С широким распространением письменности криптография стала формироваться как самостоятельная наука. В документах древних цивилизаций - Индии, Египта, Месопотамии - есть сведения о системах и способах составления шифрованных писем.

В древнеиндийских рукописях описаны 64 способа письма. Один из самых старых шифрованных текстов из Месопотамии представляет собой табличку, написанную клинописью и содержащую рецепт для изготовления глазури для гончарных изделий. Для написания его были использованы редко употребляемые клинописные знаки, игнорировались некоторые гласные и согласные и употреблялись числа вместо имен.

Совершенно отсутствуют сведения об использовании шифров в Древнем Китае, что объясняется, по-видимому, сложностью употреблявшегося иероглифического письма.

Одно из основных понятий криптографии - шифр (от арабского "цифра"; арабы первыми стали заменять буквы на цифры с целью защиты исходного текста).

Под шифром понимается совокупность методов и способов обратимого преобразования информации с целью ее защиты от незаконных пользователей.

Шифрование (зашифрование)— процесс применения шифра к защищаемой информации, т.е. преобразование защищаемой информации (открытого текста) в шифрованное сообщение (шифртекст, криптограмму) с помощью определенных правил, содержащихся в шифре.

Дешифрование — процесс, обратный шифрованию, т. е. преобразование шифрованного сообщения в защищаемую информацию с помощью определенных правил, содержащихся в шифре.

Алгоритм криптографического преобразования— набор математических правил, определяющих содержание и последовательность операций, зависящих от ключа шифрования, по шифрованию и дешифрованию информации.

Для шифрования и дешифрования, кроме алгоритма преобразования, необходимо, как правило, знание некоторой секретной информации, которая называется ключом. Ключ шифра (секретный ключ)– конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования информации, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма.

Используя понятие ключа, процессы шифрования и дешифрования можно описать в виде соотношений:

fа(A) = B,

gа(B) = A,

где A - открытое сообщение, B - шифрованное сообщение, f - правило шифрования, g - правило расшифрования, а – выбранный ключ, известный отправителю и адресату.

В настоящее время проблемами защиты информации занимается криптология (kryptos — тайный, logos — наука). Криптология разделяется на два направления — криптографию и криптоанализ. Цели этих двух правлений криптологии прямо противоположны.

Криптография - наука о способах преобразования (шифрования) информации с целью ее защиты от незаконных пользователей.

Криптоанализ - наука (и практика ее применения) о методах и способах вскрытия шифров.

Следует отметить, что исторически в криптографии закрепились некоторые военные слова (противник, атака на шифр и др.) Они наиболее точно отражают смысл соответствующих криптографических понятий. Вместе с тем широко известная военная терминология, основанная на понятии кода (военно-морские коды, коды Генерального штаба, кодобозначения и т.п.), уже не применяется в теоретической криптографии. Дело в том, что за последние десятилетия сформировалась теория кодирования- большое научное направление, которое разрабатывает и изучает методы защиты информации от случайных искажений в каналах связи. В настоящее время, термины кодирование и шифрование применяются для обозначения самостоятельных научных направлений и употреблять их как синонимы недопустимо.

 

Предмет криптографии

 

Задача защиты информации возникает только для информации, которая нуждается в защите. Обычно в таких случаях говорят, что информация содержит тайну или является защищаемой, приватной, конфиденциальной, секретной.

Защищаемая информация характеризуется следующими признаками:

- имеется какой-то определенный круг законных пользователей, которые имеют право владеть этой информацией;

- имеются незаконные пользователи, которые стремятся овладеть этой информацией с тем, чтобы обратить ее себе во благо, а законным пользователям во вред.

Изобразим ситуацию, в которой возникает задача тайной передачи, следующей схемой.

А B

П (Рис. 1.)

Здесь A и B - удаленные законные пользователи защищаемой информации; они хотят обмениваться информацией по общедоступному каналу связи. П - незаконный пользователь (противник), который может перехватывать передаваемые по каналу связи сообщения и пытаться извлечь из них интересующую его информацию. Эту формальную схему можно считать моделью типичной ситуации, в которой применяются криптографические методы защиты информации.

Криптография занимается методами преобразования информации, которые бы не позволили противнику извлечь ее из перехватываемых сообщений. При этом по каналу связи передается уже не сама защищаемая информация, а результат ее преобразования с помощью шифра, и для противника возникает сложная задача вскрытия шифра.

Вскрытие (взламывание) шифра- процесс получения защищаемой информации из шифрованного сообщения без знания примененного шифра (ключа).

Однако помимо перехвата и вскрытия шифра противник может пытаться получить защищаемую информацию многими другими способами. Наиболее известным из таких способов является агентурный, когда противник каким-либо путем склоняет к сотрудничеству одного из законных пользователей и с помощью этого агента получает доступ к защищаемой информации. В такой ситуации криптография бессильна.

Противник может пытаться не получить, а уничтожить или модифицировать защищаемую информацию в процессе ее передачи. Это - совсем другой тип угроз для информации, отличный от перехвата и вскрытия шифра. Для защиты от таких угроз разрабатываются свои специфические методы.

Следовательно, на пути от одного законного пользователя к другому информация должна защищаться различными способами, противостоящими различным угрозам. В данной ситуации, противник будет стремиться найти самое слабое звено, чтобы с наименьшими затратами добраться до информации. А значит, и законные пользователи должны учитывать это обстоятельство в своей стратегии защиты: бессмысленно делать какое-то звено очень прочным, если есть заведомо более слабые звенья.

Не следует забывать и еще об одной важной проблеме: проблеме соотношения цены информации, затрат на ее защиту и затрат на ее добывание. При современном уровне развития техники сами средства связи, а также разработка средств перехвата информации из них и средств защиты информации требуют очень больших затрат. Прежде чем защищать информацию, задайте себе два вопроса:

- Является ли она для противника более ценной, чем стоимость атаки?

- Является ли она для вас более ценной, чем стоимость защиты?

Именно перечисленные соображения и являются решающими при выборе подходящих средств защиты: физических, стеганографических, криптографических и др.

Что касается применения криптографических методов, то следует отметить, что не существует единого шифра, подходящего для всех случаев. Выбор способа шифрования зависит:

- от вида защищаемой информации (документальная, телефонная, телевизионная, компьютерная и т.д.);

- от объема и требуемой скорости передачи шифрованной информации;

- от ценности защищаемой информации (некоторые тайны [например, государственные, военные и др.] должны сохраняться десятилетиями, а некоторые [например, биржевые] - уже через несколько часов можно разгласить);

- от возможностей владельцев секретной информации, а также от возможностей противника (одно дело - противостоять одиночке, а другое дело - мощной государственной структуре).

Способность шифра противостоять всевозможным атакам на него называют стойкостью шифра (криптостойкостью). Среди наиболее важных показателей кpиптостойкости: количество всех возможных ключей шифра и среднее время, необходимое для криптоанализа (его вскрытия).

Под атакой на шифр понимают попытку вскрытия этого шифра.

Понятие стойкости шифра является центральным для криптографии. Хотя качественно понять его довольно легко, но получение строгих доказуемых оценок стойкости для каждого конкретного шифра - проблема нерешенная. Поэтому стойкость конкретного шифра оценивается только путем всевозможных попыток его вскрытия и зависит от квалификации криптоаналитиков, атакующих шифр. Такую процедуру иногда называют проверкой стойкости.

Проверка стойкости шифра делается из предположения, что противник знает сам алгоритм преобразования, но не знает ключа. Противник также знает некоторые характеристики открытых текстов, например, общую тематику сообщений, их стиль, некоторые стандарты, форматы и т.д.

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.

 


<== предыдущая лекция | следующая лекция ==>
Причины возникновения кризисной ситуации с информационной безопасности | Основные требования, предъявляемые к криптографическим методам защиты информации

Карта сайта Карта сайта укр

Видео
Уроки php mysql Программирование
Онлайн сервисы
Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские
Полезное

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных

 


Не нашли то, что искали? Google вам в помощь!

  
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.
Генерация страницы за: 0.006 сек.