Информационная безопасность

Вместе с тем противодействие  угрозам безопасности являются основной задачей системы защиты, и успешность ее решения определяет степень безопасности системы. Любая успешная реализации угрозы использует определенные особенности построения и функционирования системы обработки информации и системы защиты.

Эти особенности получили название — уязвимостей (изъянов) защиты– совокупность свойств архитектуры систем обработки информации, особенностей, методов их реализации, условий и обстоятельств их эксплуатации, которые могут быть использованы злоумышленником для нарушения безопасности системы.

Существует определенный перечень причин, благодаря которым появляются уязвимости в системе защиты: Некорректная реализация модели безопасности; Отсутствие идентификации и аутентификации субъектов и объектов на всех уровнях взаимодействия; Недостаточный контроль целостности, средств защиты и подлинности привеллегированных программ; Ошибки, допущенные в ходе программной реализации; Ошибки администрирования.  

Криптография — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.   

Методы  криптографического преобразования информации:

- шифрование, заключается в проведении обратимых математических, логических, комбинаторных преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотичный набор букв, цифр, др символов или двоичных кодов. Для шифрования информации используется алгоритм преобразований и ключ. Для определенного метода шифрования алгоритм остается неизменен. Исходными данными для алгоритма служит ключ и определяет выбор преобразований на определенных шагах алгоритма и использования величины.

- стеганография позволяет скрыть смысл хранящейся или передаваемой информации, а также факт хранения и передачи. В основе этих методов лежит маскирование закрытой информации среди открытых файлов. Простые методы скрытия заключаются в следующем: Двоичный файл небольшого объема записывается за текстовый открытым файлом. В обычном режиме доступа к нему не будет; Сложный метод скрывает информацию в мультимедийных файлах. В них младшие разряды определенных байтов звука и изображения помещаются виды скрытого файла.

- кодирование-замена смысловых конструкций исходной информации кодами. В качестве кодов могут использоваться сочетание букв и цифр. Кодирование принимается в системах с ограниченным набором смысловых конструкций. Для кодирования и обратного преобразования используются специальные таблицы или словари.

- архивирование и сжатие информации – сжатая информация не может быть прочитана или использована без обратного преобразования. Обычно совмещают сжатие с другим видом криптографического преобразования.

- Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) — система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифровки сообщения используется секретный ключ. Электро́нная по́дпись (ЭП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

- Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения

- Квантовая криптография — метод защиты коммуникаций, основанный на принципах квантовой физики. В отличие от традиционной криптографии, которая использует математические методы, чтобы обеспечить секретность информации, квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики. Процесс отправки и приёма информации всегда выполняется физическими средствами, например, при помощи электронов в электрическом токе, или фотонов в линиях волоконно-оптической связи. А подслушивание может рассматриваться, как измерение определённых параметров физических объектов — в нашем случае, переносчиков информации.

 

5.Основные технологии  построения защищенных экономических  информационных систем. Концепция  информационной безопасности

В условиях современного динамично  развивающегося общества и усложнении технической и социальной инфраструктуры информация становится таким же стратегическим ресурсом как традиционные материалы и энергетические ресурсы, следовательно, наиболее экономичным и социальный успех сопутствуют тем странам, кот активно используют современные средства компьютерной коммуникаций и сетей, ИТ и системы управления информационными ресурсами. Перенесенные на электронные носители информационные ресурсы приобретают качественно новое состояние и становятся активами. По ряду причин используется интернет технологии при создании информационных ресурсов и построении защищенных экономических ИС (ЭИС) становятся доминирующими в мировом информационном пространстве.

Для построения ЭИС используются различные средства защиты. К ним  относятся различные электронные  устройства и спец программы, которые реализуют самостоятельно или в комплексе с другими средствами следующие способы защиты: идентификация (распознавание) и аутентификация (проверка подлинности) субъектов (пользователей, процессов); разграничение доступа к ресурсам; контроль целостности данных; обеспечение конфиденциальности данных; регистрацию и анализ событий; резервирование ресурсов и компонентов.

Технологии:

Электронная подпись –служит для подтверждения правильности содержания сообщения. Она удостоверяет факт его отправки именно тем абонентом, кот указан в заголовке в кач-ве источника данных.

Банковские криптографические  протоколы.

Электронный бумажник (индивидуальное средство, используемое в платежной системе и обеспечивающее с одной стороны - неотслеживаемость действий, с другой - безопасность банка.) и электронная монета (основные операции: снятие со счета, платеж, депозит).

Интеллектуальные  карточки - пластиковые карты со встроенным программируемым микропроцессором, который осуществляет контроль доступа к памяти карт во время транзакции, а также выполняет ряд др специфических функций, как правило, криптографических.

Аппаратные средства защиты - криптографический адаптер-плата включающая микропроцессор, ПЗУ,ЗУ с произвольным доступом, микросхему, реализующий какой-либо криптографический алгоритм (MDC) и управляющую логику.

Под ИБ понимают защищенность информации и поддержание инфраструктуры от случайного или преднамеренного воздействия естественного или искусственного характера, кот могут нанести неприемлемый ущерб владельцам и пользователям информации.

Защита информации -это комплекс мероприятий, направленное на обеспечение ИБ. Т.о. подход к проблемам ИБ начинается с выявления субъектов информац-х отношений и их интересов связанных с использованием ИС.

Основные составляющие ИБ: доступность, конфиденциальность-гарантия того, что конкретная информация доступна только тем субъектам информационных отношений, для которых она предназначена. Целостность – гарантия того, что информация сейчас существует в ее исходном виде, т.е. при ее хранении или передачи не было произведено несанкционированных изменений. Аутентичность – гарантия того, что источником информации является именно то лицо, кот заявлено как ее автор.

Концепция ИБ - официально принятая система взглядов на проблему иб и пути ее решения с учетом современных тенденций. Она является методологической основой политики разработки практических мер по защите информации. В основе концепции лежит стратегия, самой важной особенность которой является изучение защищаемой ИС (обычно уделяется внимание анализу средств защиты и возможным способам НСД), а также четкое определение процедур защиты и способов их применения.

Политика защиты - общий документ, где перечислены правила доступа, определяются пути реализации политики безопасности -совокупность документированных управленческих решений, направленных на защиту информации. Концепция включает 3 этапа разработчики: определение ценностей объекта защиты информации; анализ потенциальных действий злоумышленника; оценка надежности используемых средств защиты информации.

Политика защиты включает след элементы: контроль доступа, идентификация и аутентификация, учетная запись всех действующих пользователей, контрольный журнал (где и когда были нарушения), аккуратность (защита от случайных нарушений), обмен данными (защита всех коммуникаций).

Недостатки обеспечения  иб: 1.на сегодняшний день нет единой теории защищенных систем.

2.производство средств  защиты в основном предполагает  отдельные компоненты для решения  частных задач. 3.для обеспечения  надежной защиты информации необходимо  решить целый комплекс технических  и организационных проблем и  разработать соответствующие документы.

 

 

Подход к обеспечению  ИБ:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ

1Таксономия нарушений информационной безопасности вычислительной системы и причины, обусловливающие их существование.

Выделяют три вида нарушения безопасности:

- нарушение конфиденциальности обрабатываемой информации (направлены на разглашение секретной информации, т. е. информация становится известной лицу, которое не должно иметь к ней доступ. Иногда для обозначения этого явления используется понятие "несанкционированный доступ" (НСД));

- нарушение целостности обрабатываемой информации (любое искажение или изменение неавторизованным на это действие лицом хранящейся в вычислительной системе или передаваемой информации. Целостность информации может быть нарушена как злоумышленником, так и результате объективных воздействий со стороны среды эксплуатации системы. Наиболее актуально это нарушение для систем передачи информации — компьютерных сетей и систем телекоммуникаций);

- нарушения работоспособности системы (отказа в обслуживании) (направлены на создание ситуаций, когда в результате преднамеренных действий ресурсы вычислительной системы становятся недоступными, или снижается ее работоспособность).

Причины нарушения  безопасности ВС

К причинам нарушения безопасности ВС относятся:

1) предопределенные на  стадии разработки требований  выбора модели безопасности, не соответствующей назначению или архитектуре ВС;

2) обусловленные принципами  организации системы обеспечения безопасности:

• неправильное внедрение  модели безопасности;

• отсутствие идентификации  и/или аутентификации субъектов и объектов;

• отсутствие контроля целостности средств обеспечения безопасности;

3) обусловленные реализацией:

• ошибок, допущенных в  ходе программной реализации средств  обеспечения безопасности;

• наличием средств отладки  и тестирования в конечных продуктах;

4) ошибки администрирования.

Сопоставление таксономии причин нарушений безопасности и классификации источников появления  УЗ демонстрирует тот факт, что  источником появления наибольшего  количества категорий УЗ является неправильное внедрение модели безопасности и  ошибки в ходе программной реализации. Это означает, что перечисленные  причины являются наиболее значимыми и должны быть устранены в первую очередь.

Сопоставление причин нарушений безопасности и классификации ИЗ по этапу внесения показывает, что появление основных причин нарушения безопасности закладывается на этапе разработки, причем в основном на стадии задания спецификаций. Это вполне ожидаемый результат, так как именно этап составления спецификаций является одним из самых трудоемких, а последствия ошибок в спецификациях сказываются на всех последующих этапах разработки и распространяются на все взаимосвязанные компоненты системы.

Перекрестный  анализ таксономии причин нарушений  безопасности и классификации ИЗ по источнику появления и этапу внесения показывает, что наиболее значимые причины (неправильное внедрение модели безопасности и ошибки программной реализации) действуют в процессе разработки и реализации. Следовательно, именно на этих этапах должны быть сосредоточены основные усилия при создании защищенных систем. 

 

 

 

2. Понятие угрозы. Три вида возможных нарушений информационной системы.

Угроза — это потенциальные или реальные действия, приводящие к моральному или ма-териальному ущербу.

Каждая угроза влечет за собой определенный ущерб — моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале — полностью, реально — значительно или хотя бы частично. Но и это удается далеко не всегда. С учетом этого угрозы могут быть классифицированы по следующим кластерам: