Создание защиты для программных пакетов, на примере системы дистанционного обучения

Обеспечение повышенных требований к  ИБ предполагает соответствующие мероприятия  на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий  производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

По завершении работ, можно будет  определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности ДОТ большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Формирование организационной политики безопасности

Прежде чем предлагать какие-либо решения по системе информационной безопасности ДОТ, предстоит разработать  политику безопасности. Организационная  политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения организационной политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.

Прежде всего необходимо составить  детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут распределяться на правовые, технологические, технические и организационные.

Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями “базовая”, “средняя”, “высокая”. Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.

Перечень требований к системе  информационной безопасности ДОТ, эскизный проект, план защиты (далее – техническая  документация, ТД) содержит набор требований безопасности информационной среды  объекта, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.

В общем виде разработка ТД включает:

• уточнение функций защиты;
• выбор архитектурных принципов построения СИБ;
• разработку логической структуры СИБ (четкое описание интерфейсов);
• уточнение требований функций обеспечения гарант способности СИБ;
• разработку методики и программы испытаний на соответствие сформулированным требованиям.

На этапе оценки достигаемой  защищенности производится оценка меры гарантии безопасности информационной среды. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта. Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности. Увеличение усилий оценки предполагает:

• значительное число элементов информационной среды объекта, участвующих в процессе оценивания;
• расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;
• строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Это, во-первых, позволит защитить данные от модификации, а, во-вторых, "подпишет" полученные данные. Достаточно каждого студента снабдить пакетом тестирования с уникальным ключом, и будет невозможно воспользоваться чужим файлом с отчетом.

 

 

2.2. Шифрование данных

 

Проблема защиты информации путем  ее преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен. История криптографии - ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные.

Бурное развитие криптографические  системы получили в годы первой и  второй мировых войн. Появление вычислительных средств в послевоенные годы ускорило разработку и совершенствование криптографических методов. Вообще история криптографии крайне увлекательна, и достойна отдельного рассмотрения. В качестве хорошей книги по теме криптографии можно рекомендовать "Основы современной криптографии" Баричев С. Г. [10].

Почему проблема использования  криптографических методов в информационных системах (ИС) стала в настоящий момент особо актуальна?

С одной стороны, расширилось использование  компьютерных сетей, в частности, глобальной сети Интернет, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможность доступа к ней посторонних лиц.

С другой стороны, появление новых  мощных компьютеров, технологий сетевых  и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся практически нераскрываемыми.

Все это постоянно подталкивает исследователей на создание новых криптосистем и тщательный анализ уже существующих.

Проблемой защиты информации путем  ее преобразования занимается криптология. Криптология разделяется на два направления – криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском  и исследованием методов преобразования информации с целью скрытия ее содержания.

Сфера интересов криптоанализа  - исследование возможности расшифровывания информации без знания ключей.

Современная криптография разделяет их на четыре крупных класса.

1. Симметричные криптосистемы.
2. Криптосистемы с открытым ключом.
3. Системы электронной цифровой подписи (ЭЦП).
4. Системы управление ключами.

Основные направления использования  криптографических методов –  передача конфиденциальной информации по каналам связи (например, электронная  почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Итак, криптография дает возможность  преобразовать информацию таким  образом, что ее прочтение (восстановление) возможно только при знании ключа.

Приведем определения некоторых  основных терминов, используемых в криптографии.

Алфавит - конечное множество используемых для кодирования информации знаков.

Текст - упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современных ИС можно привести следующие:

• алфавит Z₃₃ – 32 буквы русского алфавита (исключая "ё") и пробел;
• алфавит Z₂₅₆ – символы, входящие в стандартные коды ASCII и КОИ-8;
• двоичный алфавит - Z₂ = {0,1};
• восьмеричный или шестнадцатеричный алфавит.

Шифрование – процесс преобразования исходного текста, который носит  также название открытого текста, в шифрованный текст.

Расшифрование – процесс, обратный шифрованию. На основе ключа шифрованный  текст преобразуется в исходный.

Криптографическая система представляет собой семейство T преобразований открытого текста. Члены этого семейства индексируются, или обозначаются символом k; параметр k обычно называется ключом. Преобразование T_k определяется соответствующим алгоритмом и значением ключа k.

Ключ – информация, необходимая  для беспрепятственного шифрования и расшифрования текстов.

Пространство ключей K – это набор возможных значений ключа.

Криптосистемы подразделяются на симметричные и асимметричные (или с открытым ключом).

В симметричных криптосистемах для  шифрования, и для расшифрования  используется один и тот же ключ.

В системах с открытым ключом используются два ключа - открытый и закрытый (секретный), которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения.

Термины распределение ключей и  управление ключами относятся к  процессам системы обработки информации, содержанием которых является выработка и распределение ключей между пользователями.

Электронной цифровой подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Кpиптостойкостью называется характеристика шифра, определяющая его стойкость к расшифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, среди которых:

• количество всех возможных ключей;
• среднее время, необходимое для успешной криптоаналитической атаки того или иного вида.

Эффективность шифрования с целью  защиты информации зависит от сохранения тайны ключа и криптостойкости шифра.

 

2.4. Функциональность  системы защиты

 

Ранее были рассмотрены цели, для  которых разрабатывается система  защиты, а также методы, с использованием которых эта система будет  построена. Сформулируем функции системы защиты, которые она должна будет предоставить программисту.

1. Генератор полиморфных алгоритмов шифрование и расшифрования.
2. Виртуальная машина, в которой могут исполняться полиморфные алгоритмы. Отметим также, что виртуальная машина может быть легко адаптирована, с целью выполнения программ иного назначения.
3. Ограничение использования полиморфных алгоритмов по времени.
4. Защита исполняемых файлов от модификации.
5. Контроль за временем возможности запуска исполняемых файлов.
6. Поддержка таблиц соответствий между именами зашифрованных файлов и соответствующих им алгоритмам шифрования/расшифрования.
7. Упаковка шифруемых данных.

 

 

ЗАКЛЮЧЕНИЕ

 

Выполнен сравнительный анализ существующих подходов к организации  защиты данных в системах с монопольным  доступом, на примере автоматизированных систем дистанционного обучения. Отмечено, что существует много защищенных обучающие систем, функционирующих в среде интернет, но практически отсутствуют защищенные пакеты для локального использования. Это обусловлено плохо проработанными и еще не достаточно хорошо изученными методами построения защищенных систем.

Защита информации должна быть системной, а в систему помимо методов, средств  и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непрерывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем, основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

 

 

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

 

1. Белокрылова О.С. Использование курса дистанционного обучения на экономическом факультете РГУ // Cовременные информационные технологии в учебном процессе: Тез. докл. Учебно-методическая конференция. – Апрель 2000.
2. Пресс-группа СГУ. Компьютер-экзаменатор. // Электронный еженедельник "Закон. Финансы. Налоги." – 2000. – № 11 (77).
3. Алешин С.В. Принципы построения оболочки информационно – образовательной среды CHOPIN // Новые информационные технологии : Тез. докл. Восьмая международная студенческая школа семинар. – Крым: Алтайский государственный технический университет, Май 2000.
4. Оганесян А.Г. Проблема обратной связи при дистанционном обучении // Открытое образование. – 2002. – март.
5. Занимонец Ю.М., Зинькова Ж.Г. Проведение всероссийского компьютерного тестирования "Телетестинг-2000" в Ростовском госуниверситет // Современные информационные технологии в учебном процессе : Тез. докл. Учебно-методическая конференция. – 2000. – апрель.
6. Сенцов, В.С. Программный комплекс тестового контроля знаний «Тест» // Новые информационные технологии: Тез. докл. Восьмая международная студенческая школа семинар. – Крым: Алтайский государственный технический университет, Май 2000.
7. Ложников П. С. Распознавание пользователей в системах дистанционного образования: обзор // Educational Technology & Society. – 2001. – № 4
8. Расторгуев С.П., Долгин А.Е., Потанин М.Ю. Как защитить информацию // Электронное пособие по борьбе с хакерами. http://kiev-security.org.ua
9. Баpичев С. Kpиптогpафия без секретов. – М.: Наука, 1998. – 105 с.
10. Баричев С. Г. и др. «Основы современной криптографии». – М.: «Горячая линия –Телеком», 2001 – 120 с
11. Аунапу Т.Ф., Веронская М.В. Автоматизация обучения с позиций системного анализа // Управление качеством высшего образования в условиях многоуровневой подготовки специалистов и внедрения образовательных стандартов: Тез. докладов республиканской научно-методической конференции. — Барнаул: Алт. гос. техн. ун-т, 1996. — С. 5 — 6. д
12. А. В. Соколов, В. Ф. Шаньгин «Защита информации в распределенных  корпоративных сетях и системах» Издательство: ДМК пресс, 2002 г.
13. В.Романец, П.А.Тимофеев, В.Ф.Шаньгин «Защита информации в компьютерных системах и сетях» Издательство: Радио и связь, 2001 г.
14. А.А. Торокин «Инженерно-техническая защита информации» Издательство: Гелиос АРВ , 2005 г.
15. Соболь Б.В., Галин А.Б., Панов Ю.В., Рашидова Е.В., Садовой Н.Н. «Информатика: учебник» Издательство: Ростов н/Д: Феникс, 2007 г.
16. Скляров Д.В. «Искусство защиты и взлома информации» Издательство: BHV-Санкт-Петербург, 2004 г.