УМК. УМК Управление ИС 2019-20 ннн. Методические рекомендации по выполнению срс материалы по контролю и оценке учебных достижений обучающихся
 Скачать 2.55 Mb.
|
Вопросы для самоконтроля:Шифрование информации? Основные цели и методы шифрования? Продвинутая форма статической защиты информации? Разделение прав и контроль доступа к данным? Рекомендуемая литература:Информационные системы и технологии в экономике. В.Б.Уткин, К.В.Балдин. Учебник для вузов.-М.: ЮНИТИ-ДАНА, 2015. Салмии С.П. Управленческие информационные комплексы и автоматизированные информационные технологии. - Н. Новгород: Изд-во ННГУ, 2019. Тема: Защита данных с помощью электронной подписиЦель лекции: ознакомится защитой данных с помощью электронной подписи Ключевые слова: ит - служба, услуги, функций, факторы План лекции:Электронная подпись (ЭП) электронная подпись Достоверность Шифрование Электронная подпись (ЭП) — вставка в данные (добавление) фрагмента инородной зашифрованной информации, применяемая для идентификации подлинности переданных через третьи лица документов и произвольных данных. Сама передаваемая информация при этом никак не защищается, т.е. остается открытой и доступной для ознакомления тем лицам, через которых она передается (например, администраторам сети и инспекторам почтовых узлов электронной связи). Как правило, электронная подпись включает в себя специальным образом вычисляемую контрольную сумму от данных, с которыми она соотносится, за счет чего обеспечивается контроль целостности данных. В электронных подписях может использоваться симметричное шифрование, однако по сложившейся традиции почти все системы ЭП базируются на шифровании с открытым ключом. В этом случае для зашифрования контрольной суммы от данных применяется секретный ключ пользователя, публичный ключ дешифрации может быть добавлен непосредственно к подписи, так что вся информация, необходимая для аутентификации и контроля целостности данных, может находиться в одном (передаваемом) «конверте». Достоверность собственно электронной подписи целиком и полностью определяется качеством шифрующей системы. Однако, на самом деле, с ЭП не все так просто, и число уязвимых точек ЭП, базирующейся на шифровании с открытым ключом, также велико. С точки зрения решения задачи идентификации подлинности и контроля целостности полностью зашифрованный файл и открытый файл с добавочной зашифрованной информацией, включаю- щей контрольную сумму данных («электронной подписью»), абсолютно эквивалентны. Шифрование для обеспечения контроля прав доступа. Контроль права доступа — простейшее средство защиты данных и ограничения (разграничения) использования компьютерных ресурсов, предназначенное для ограждения паролем определенной информации и системных ресурсов ЭВМ от лиц, не имеющих к ним отношения и не имеющих специального умысла получить к ним доступ или не обладающих достаточной для этого квалификацией. Сами данные хранятся на дисках в открытом (незащищенном) виде и всегда могут быть востребованы (похищены) в обход системы контроля, сколь бы изощренной она ни была. Примерами систем, осуществляющих парольный контроль доступа, являются системы Norton’s partition security system, Stacker, Fastback, Quicken, Microsoft Money, системы парольного контроля доступа при загрузке BIOS и т.д. Слабые шифры, реализуемые в известных програм- мах Norton’s Dickreet, PKZIP, Unix crypt, Novell Netware, MS Excel, MS Word и др., для которых известны эффективные способы взлома, также можно отнести к системам контроля доступа. Несмотря на богатый научный потенциал в области криптографии и особенно бурное ее развитие в начале 90-х годов, на настоящий момент единственным лицензированным ФАПСИ шифром является шифр по ГОСТ 28147-89. Все остальные системы шифрования, предлагаемые зарубежными и отечественными фирмами (системы Symantec, RSA Data Security, АТ&Т, РGР, ЛАН Крипто, Аладдин, Novex, Элиас, Анкад и многие др.) в виде законченных продуктов или библиотек, начиная с устоявшихся зарубежных стандартов (алгоритмов шифрования DES, FEAL, IDEA) и кончая оригинальными новейшими разработками, являются в равной степени незаконными и подводят наиболее активных инициаторов их разработки и использования на грань уголовной ответственности. Что же касается непосредственно надежности шифрования, то практически все используемые коммерческие и индивидуально разработанные алгоритмы шифрования являются слабыми. Кроме того, существуют коммерческие и некоммерческие версии дешифраторов для всех известных архиваторов (pkzip, arj и др.). Зарубежные «стандарты» шифрования (с учетом многообразия предлагаемых модификаций), экспортируемые некоторыми технологически развитыми странами (в частности, США — алгоритм DES, Япония — алгоритм FEAL), на самом деле являются стандартами соответствующих разведывательных служб, предлагаемыми и внедряемыми на территориях дружеских государств. Исключениями в списке заведомо ненадежных систем шифрования, потенциально доступных для пользователя, являются лишь некоторые (две или три) оригинальные российские разработки. Разделение систем шифрозащиты на сильные и слабые (как по длине используемого пароля, так и по надежности самой системы) имеет принципиальное значение, обусловливающее возможность реального применения как слабых, так и сильных шифров в условиях их юридического запрета. Дело в том, что если используется заведомо слабая шифрозащита (например, программа pkzip с паролем), для которой существует эффективный взлом, то невозможно наверняка утверждать, что выбранное средство является криптосистемой. Скорее речь идет о шифрообразном ограничении и контроле прав доступа. С другой стороны, любая программа шифрования может потенциально рассматриваться как слабый шифр, т.е. шиф-рообразный контроль доступа к данным. Наконец, каким бы шифром вы не пользовались, применение коротких паролей безусловно переводит шифры в разряд слабых, не обеспечивающих должного Уровня защиты информации. |