Главная страница
Навигация по странице:

  • Информация – это продукт взаимодействия данных и

  • Понятие о симметричном и несимметричном шифровании информации

  • Принцип достаточности защиты

  • Понятие об электронной подписи

  • Понятие об электронных сертификатах

  • Сертификация Web-узлов.

  • Сертификация издателей.

  • Типовые схемы построения защищенных сетей

  • Государственные органы РФ, контролирующие деятельность в

  • Службы, организующие защиту информации на уровне предприятия

  • Уголовный кодекс

  • Лекция-Информационная безопасность. Информационная безопасность план


    Скачать 0.91 Mb.
    НазваниеИнформационная безопасность план
    Дата10.02.2023
    Размер0.91 Mb.
    Формат файлаpdf
    Имя файлаЛекция-Информационная безопасность.pdf
    ТипДокументы
    #930051
    страница3 из 3
    1   2   3
    Атаки по электронной почте. Этот метод тоже очень распространен в последнее время. Мораль: никогда не запускайте файл, пришедший к вам по электронной почте, не посмотрев, что это такое на самом деле, хорошим антивирусом. Даже если в поле отправителя письма стоит надпись techsupport@microsoft.com, не запускайте приложенный якобы апдейт или апгрейд, сулящий вам бешеный прирост производительности работы и исправление все глюков всех операционных систем вместе взятых, не запускайте этот файл, тщательно с ним не разобравшись.
    В последнее время очень модно и популярно стало посылать по e-mail пользователям Internet сообщения от технической поддержки провайдера с советом запустить прилагаемую программу для ускорения работы в Сети, причем для этого предварительно рекомендуется войти в Internet. На самом деле эта программа при запуске просматривает ваш жесткий диск, собирает

    25 всю интересную информацию и отсылает ее куда-нибудь Васе Пупкину на станцию, расположенную за тридевять земель в хорошо упрятанном месте.
    Такая программа называется Troyan - по аналогии с троянским конем из "Илиады" Гомера. Троянцы чаще всего предназначены для собирания информации о провайдере атакуемой жертвы, его телефоне и логину с паролем. Так что, если ваш счет у провайдера стал резко уменьшаться, то для начала смените пароль и внимательно изучайте статистику соединений с провайдером.
    Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в
    Интернете следует подходить как к обычной переписке с использованием почтовых открыток.
    Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Потребность в аналогичных «конвертах» для защиты информации существует и в Интернете. Начиная с 1999 года Интернет становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств.
    Принципы защиты информации в Интернете опираются на определение информации. Информация – это продукт взаимодействия данных и
    адекватных им методов. Если в ходе коммуникационного процесса данные передаются через открытые системы, то исключить доступ к ним посторонних лиц невозможно даже теоретически. Соответственно, системы защиты сосредоточены на втором компоненте информации - на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адекватного метода для преобразования данных в информацию. Одним из приемов такой защиты является шифрование данных.

    26
    Понятие о симметричном и
    несимметричном шифровании информации
    Обычный подход состоит в том, что к документу применяется некий метод шифрования, называемый его ключом, после чего документ становится недоступен для чтения обычными средствами. Его можно прочитать только тот, кто знает ключ, – только он может применить адекватный метод чтения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс является симметричным.
    Основной недостаток симметричного процесса заключается в том, что, прежде чем начать обмен информацией, надо выполнить передачу ключа, а для этого опять-таки нужна защищенная связь, то есть проблема повторяется, хотя и на другом уровне.
    В настоящее время в Интернете используют несимметричные
    криптографические системы с использованием не одного, а двух ключей.
    Компания для работы с клиентами создает два ключа: один — открытый
    (public публичный) ключ, а другой — закрытый (private личный) ключ.
    Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой (не той которой оно было закодировано). Создав пару ключей, торговая компания широко распространяет
    публичный ключ (открытую половинку) и надежно сохраняет закрытый ключ
    (свою половинку).
    Никто из участников цепочки, по которой пересылается информация, не в состоянии прочесть сообщение. Даже сам отправитель не может прочитать собственное сообщение, хотя ему хорошо известно содержание. Лишь получатель сможет прочесть сообщение, поскольку только у него есть закрытый ключ, дополняющий использованный публичный ключ.

    27
    Принцип достаточности защиты
    Защита публичным ключом не является абсолютно надежной. Дело в том, что поскольку каждый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, то есть реконструировать закрытый ключ.
    Это настолько справедливо, что алгоритмы кодирования публичным ключом даже нет смысла скрывать. Тонкость заключается в том, что знание алгоритма еще не означает возможности провести реконструкцию ключа в разумно приемлемые
    сроки.
    Принцип достаточности защиты – Защиту информации принято считать достаточной, если затраты на ее преодоление превышают ожидаемую ценность самой информации. Он предполагает, что защита не абсолютна, и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным.
    Область науки, посвященная этим исследованиям называется
    криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его опубликования называется
    криптостойкостью алгоритма шифрования.
    Понятие об электронной подписи
    Если надо создать себе электронную подпись, следует с помощью специальной программы (полученной от банка) создать те же два ключа:
    закрытый и публичный. Публичный ключ передается банку. Если теперь надо отправить поручение банку на операцию с расчетным счетом, оно кодируется
    публичным ключом банка, а своя подпись под ним кодируется собственным
    закрытым ключом. Банк поступает наоборот. Он читает поручение с помощью своего закрытого ключа, а подпись — с помощью публичного ключа поручителя.

    28
    Понятие об электронных сертификатах
    Системой несимметричного шифрования обеспечивается делопроизводство в Интернете. Благодаря ей каждый из участников обмена может быть уверен, что полученное сообщение отправлено именно тем, кем оно подписано. Однако здесь возникает еще ряд проблем, например проблема регистрации даты отправки сообщения. Такая проблема возникает во всех случаях, когда через Интернет заключаются договоры между сторонами. Отправитель документа может легко изменить текущую дату средствами настройки операционной системы. Поэтому обычно дата и время отправки электронного документа не имеют юридической силы. В тех же случаях, когда это важно, выполняют сертификацию даты/времени.
    Сертификация даты. Сертификация даты выполняется при участии третьей, независимой стороны. Это может быть сервер организации, авторитет которой в данном вопросе признают оба партнера. В этом случае документ, зашифрованный открытым ключом партнера и снабженный своей электронной подписью, отправля- ется сначала на сервер сертифицирующей организации. Там он получает
    «приписку» с указанием точной даты и времени.
    Сертификация Web-узлов. Сертифицировать можно не только даты. При заказе товаров в Интернете важно убедиться в том, что сервер, принимающий заказы и платежи от имени некоей фирмы, действительно представляет эту фирму.
    Подтвердить действительность ключа может третья организация путем выдачи сертификата продавцу. В сертификате указано, когда он выдан и на какой срок.
    Прежде чем выполнять платежи через Интернет или отправлять данные о своей кредитной карте кому-либо, следует проверить наличие действующего сертифи- ката у получателя путем обращения в сертификационный центр. Это называется
    сертификацией Web-узлов.
    Сертификация издателей. Схожая проблема встречается и при распространении программного обеспечения через Интернет. Так, например, мы указали, что Web-браузеры, служащие для просмотра Web-страниц, должны

    29 обеспечивать механизм защиты от нежелательного воздействия активных компонентов на компьютер клиента. Можно представить, что произойдет, если кто-то от имени известной компании начнет распространять модифицированную версию ее браузера, в которой специально оставлены бреши в системе защиты.
    Злоумышленник может использовать их для активного взаимодействия с компьютером, на котором работает такой браузер.
    Это относится не только к браузерам, но и ко всем видам программного обеспечения, получаемого через Интернет, в которое могут быть имплантированы
    «троянские кони», «компьютерные вирусы», «часовые бомбы» и прочие нежелательные объекты, в том числе и такие, которые невозможно обнаружить антивирусными средствами.
    Подтверждение того, что сервер, распространяющий программные продукты от имени известной фирмы, действительно уполномочен ею для этой деятельности, Осуществляется путем
    сертификации издателей. Она организована аналогично сертификации Web- узлов.
    Типовые схемы построения защищенных сетей
    Создание корпоративных сетей Интернет/Интранет возможно на основе специально организованного применения средств и услуг. В частности, на основе организации так называемых закрытых (с ограниченным доступом) сетей с "виртуальными" IP-адресами (Private Virtual Network - PVN) NAT
    (Network Address Translation), что связано с использованием сведений закрытого характера.
    Использование PVN позволит обеспечить защищенность (достоверность, конфиденциальность, сохранность) информации, циркулирующей в корпоративной (территориально распределенной сети), и значительно снизить затраты на подключение и взаимодействие удаленных абонентов (операторов- пользователей, локальных сетей и др.)

    30
    Рисунок 4 – Организация закрытой виртуальной корпоративной сети на основе Интернет
    Рациональных вариантов построения PVN в настоящее время может быть несколько. Возможность построения PVN на оборудовании и программном обеспечении (ПО) различных производителей достигается внедрением некоторого стандартного механизма - протокола Internet Protocol Security
    (IPSec). Он опеделяет все стандартные методы PVN, в частности, методы идентификации при инициализации туннеля, методы преобразования в конечных точках туннеля и механизмы обмена и управления ключами преобразования между этими точками.
    Варианты построения закрытой виртуальной сети
    Построение закрытой PVN возможно на основе применения 1) так называемых брандмауэров (рисунок 5). Брандмауэры большинства производителей содержат функции устойчивого туннелирования и надѐжного защитного преобразования данных.

    31
    Рисунок 5 – Виртуальная сеть на базе брандмауэров
    Недостаток этого варианта в том, что общая производительность сети зависит от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе персональных компьютеров подобный вариант приемлем только для небольших сетей с небольшим объемом передаваемой информации. Примером аппаратно-программного решения данного варианта является продукт FireWall-1 компании Check Point Software
    Technologies.
    2) Другой способ построения PVN предполагает применение маршрутизаторов содержащих функцию надѐжного защитного преобразования информации, исходящей из локальной сети представлен на рисунке 6.

    32
    Рисунок 6 – Закрытая виртуальная сеть на базе маршрутизаторов
    Пример оборудования для PVN на маршрутизаторах — устройства компании
    Cisco Systems. Помимо простого защитного преобразования информации
    Cisco реализует функции идентификации при установлении туннельного соединения и обмена ключами. Для построения PVN компания Cisco использует туннелирование с преобразованием любого IP-потока. Туннель можно установить на основе адресов источника и приемника, номера порта
    TCP(UDP) и заданного качества услуг (QoS). Для повышения производительности маршрутизатора можно использовать дополнительный модуль защитного преобразования ESA (Encryption Service Adapter).
    3) Еще один подход к построению сетей PVN — чисто программные решения (Рисунок 7). При реализации данного варианта используется специализированное программное обеспечение, работающее на выделенном компьютере и в большинстве случаев выполняющее функции сервера- посредника (proxy-схема). Компьютер с таким программным обеспечением можно расположить за брандмауэром.

    33
    Рисунок 7 – Закрытая виртуальная сеть на базе программного обеспечения
    Пример программных решений — пакет AltaVista Tunnel 97 компании Digital.
    При использовании этого программного обеспечения абонент подключается к серверу Tunnel 97, регистрируется на нем и обменивается ключами.
    Преобразование производится на базе 56- или 128-битных ключей Rivest-
    Cipher 4, полученных при установлении соединения. Преобразованные информационные пакеты инкапсулируются в другие IP-пакеты, которые и отправляются на сервер. При работе сервер Tunnel 97 проверяет целостность данных по алгоритму MD5. Кроме того, каждые 30 мин система генерирует новые ключи, что значительно повышает защищенность соединения.
    Достоинства пакета AltaVista Tunnel 97 — простота установки и удобство управления. Недостатками можно считать нестандартную архитектуру
    (собственный алгоритм обмена ключами) и низкую производительность.
    Возможен рациональный вариант PVN на платформе сетевой операционной системы (ОС). Данный способ реализован, например, в системе Windows NT.
    Для cоздания PVN компания Microsoft предлагает протокол РРТР, интегрированный в систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС, и, кроме того стоимость решения на основе сетевой ОС значительно ниже стоимости прочих решений. В сетях PVN, основанных на
    Windows NT, используется база абонентов, хранящаяся в Primary Domain

    34
    Controller (PDC). При подключении к РРТР-серверу оператор-пользователь авторизуется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для преобразования применяется нестандартный фирменный протокол Point-to-Point Encryption с
    40- или 128-битным ключом, получаемым при установлении соединения.
    Недостатки данной системы — отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Достоинства — легкость интеграции с Windows и низкая стоимость.
    4) В сетях, требующих высокой информационной производительности рациональным является вариант построения PVN на основе специальных аппаратных средств (рисунок 8 ). Примером такого решения служит продукт cIPro-
    Рисунок 8 – Закрытая виртуальная сеть на базе аппаратных средств
    PVN компании Radguard. В этом устройстве реализовано аппаратное защитное преобразование информации, передаваемой в 100-Мбит/с потоке.
    Изделие cIPro-PVN обслуживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, это устройство обеспечивает трансляцию сетевых адресов и может быть оборудовано специальной платой, добавляющей функции брандмауэра.

    35
    6
    Информационные технологии и право
    Важнейшим аспектом решения проблемы информационной безопасности является правовой аспект.
    Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий, но создаются предпосылки такого регулирования.
    Гражданский кодекс РФ (ГК) определяет систему правоотношений в этой области. Часть первая ГК устанавливает следующие правовые режимы информации: государственная тайна, служебная и коммерческая тайна,
    личная и семейная тайна.
    На уровне действующих законов России в области компьютерного права можно считать в достаточной степени урегулированными вопросы охраны исключительных прав и частично защиты информации (в рамках государственной тайны).
    Основными
    нормативно-правовыми актами российского законодательства в сфере информатизации являются:
    1. Закон «Об информации, информатизации и защите информации» от
    20.02.1995 г.
    2. Закон о «Государственной тайне» от 21.07.1993 г.
    3. Закон «Об авторском праве и смежных правах».
    4. Закон «О правовой охране программ для ЭВМ и баз данных».
    5. Закон «О правовой охране топологии интегральных схем».,
    6. Федеральный закон. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г // СЗ РФ.
    2006. N 31
    Государственные органы РФ, контролирующие деятельность в
    области защиты информации:

    Комитет Государственной думы по безопасности;

    Совет безопасности России;

    36

    Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

    Федеральная служба безопасности Российской Федерации (ФСБ
    России);

    Федеральная служба охраны Российской Федерации (ФСО
    России);

    Служба внешней разведки Российской Федерации (СВР России);

    Министерство обороны Российской Федерации (Минобороны
    России);

    Министерство внутренних дел Российской Федерации (МВД
    России);

    Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
    Службы, организующие защиту информации на уровне предприятия

    Служба экономической безопасности;

    Служба безопасности персонала (Режимный отдел);

    Отдел кадров;

    Служба информационной безопасности.
    Весьма продвинутым в плане информационной безопасности является
    Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).
    Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
    статья 272. Неправомерный доступ к компьютерной информации;
    статья 273. Создание, использование и распространение вредоносных программ для ЭВМ;
    статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
    Первая имеет дело с посягательствами на конфиденциальность, вторая - с вредоносным ПО, третья - с нарушениями доступности и целостности,

    37 повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ. Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
    Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
    Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями на 22 августа 2004 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской
    Федерации. Там же дается определение средств защиты информации.
    Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
    1   2   3


    написать администратору сайта