Главная страница
Навигация по странице:

  • Фильтры и защитные экраны

  • Сервисы-посредники

  • Современные комплексные системы

  • Биометрия. Классы и способы применения

  • Биометрические технологии

    		•

    вопросы по курсу. Вопросы по курсу Защита информации


    Скачать 1.23 Mb.
    НазваниеВопросы по курсу Защита информации
    Анкорвопросы по курсу
    Дата15.06.2022
    Размер1.23 Mb.
    Формат файлаdocx
    Имя файлаVoprosy_po_kursu.docx
    ТипДокументы
    #592951
    страница4 из 5
    1   2   3   4   5

    Алгоритм RSA.

    Алгоритм RSA стоит у истоков асимметричной криптографии. Он был предложен тремя исседователями-математиками Рональдом Ривестом (R.Rivest) , Ади Шамиром (A.Shamir) и Леонардом Адльманом (L.Adleman) в 1977-78 годах.

    Первым этапом любого асимметричного алгоритма является создание пары ключей : открытого и закрытого и распространение открытого ключа "по всему миру". Для алгоритма RSA этап создания ключей состоит из следующих операций :

    1. Выбираются два простых (!) числа p и q

    2. Вычисляется их произведение n(=p*q)

    3. Выбирается произвольное число e (e

    4. Методом Евклида решается в целых числах (!) уравнение e*d+(p-1)(q-1)*y=1. Здесь неизвестными являются переменные d и y – метод Евклида как раз и находит множество пар (d,y), каждая из которых является решением уравнения в целых числах.

    5. Два числа (e,n) – публикуются как открытый ключ.

    6. Число d хранится в строжайшем секрете – это и есть закрытый ключ, который позволит читать все послания, зашифрованные с помощью пары чисел (e,n).

    Как же производится собственно шифрование с помощью этих чисел :

    1. Отправитель разбивает свое сообщение на блоки, равные k=[log2(n)] бит, где квадратные скобки обозначают взятие целой части от дробного числа.

    2. Подобный блок, может быть интерпретирован как число из диапазона (0;2k-1). Для каждого такого числа (назовем его mi) вычисляется выражение ci=((mi)e)mod n. Блоки ci и есть зашифрованное сообщение Их можно спокойно передавать по открытому каналу, поскольку операция возведения в степень по модулю простого числа, является необратимой математической задачей. Обратная ей задача носит название "логарифмирование в конечном поле" и является на несколько порядков более сложной задачей. То есть даже если злоумышленник знает числа e и n, то по ci прочесть исходные сообщения mi он не может никак, кроме как полным перебором mi.

    А вот на приемной стороне процесс дешифрования все же возможен, и поможет нам в этом хранимое в секрете число d. Достаточно давно была доказана теорема Эйлера, частный случай которой утвержает, что если число n представимо в виде двух простых чисел p и q, то для любого x имеет место равенство (x(p-1)(q-1))mod n = 1. Для дешифрования RSA-сообщений воспользуемся этой формулой. Возведем обе ее части в степень (-y) : (x(-y)(p-1)(q-1))mod n = 1(-y) = 1. Теперь умножим обе ее части на x : (x(-y)(p-1)(q-1)+1)mod n = 1*x = x.

    А теперь вспомним как мы создавали открытый и закрытый ключи. Мы подбирали с помощью алгоритма Евклида d такое, что e*d+(p-1)(q-1)*y=1, то есть e*d=(-y)(p-1)(q-1)+1. А следовательно в последнем выражении предыдущего абзаца мы можем заменить показатель степени на число (e*d). Получаем (xe*d)mod n = x. То есть для того чтобы прочесть сообщение ci=((mi)e)mod n достаточно возвести его в степень d по модулю m : ((ci)d)mod n = ((mi)e*d)mod n = mi.

    На самом деле операции возведения в степень больших чисел достаточно трудоемки для современных процессоров, даже если они производятся по оптимизированным по времени алгоритмам. Поэтому обычно весь текст сообщения кодируется обычным блочным шифром (намного более быстрым), но с использованием ключа сеанса, а вот сам ключ сеанса шифруется как раз асимметричным алгоритмом с помощью открытого ключа получателя и помещается в начало файла.

    1. Файерволлы.

    Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.
      Межсетевые экраны базируются на двух основных приемах защиты:

    • пакетной фильтрации;

    • сервисах-посредниках (proxyservices).

    Эти две функции можно использовать как по отдельности, так и в комбинации.
    Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.
     
    Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.
     
    Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.
     
    Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:

    1. «Баги» и «Дыры» в области безопасности компьютерных систем.

    2. Физические способы защиты данных.

    3. Фильтры и защитные экраны

      Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.
     
    Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.
     
    Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.
     
    Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:
     
    межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;
     
    у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.

    1. Сервисы-посредники

    Сервисы-посредники не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.
    Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения. Пример: Sock - широко применяемый набор инструментальных средств для создания программ-посредников.

    Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.

    Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.

    Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.

    Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.

    1. Современные комплексные системы

    При создании корпоративных информационных систем в условиях современного рынка неизбежно возникает вопрос о защищенности и устойчивости этих систем к угрозам информационной безопасности.

    Можно выделить несколько основных угроз для информационных систем:

    • Внешняя опасность: вирусы, хакерские атаки, спам;

    • Внутренняя опасность: хищение данных, невнимательное и неосторожное действие сотрудников, саботаж;

    • Технологическая опасность: сбой, выход из строя оборудования, потеря данных;

    Под стратегией информационной безопасности принято понимать совокупность мероприятий (юридических, технических, организационных), направленных на предотвращение утечки и использования информации. Говоря о механизмах защиты информации, рассматриваются те или иные превентивные, охранные меры в отношении информационных ресурсов, ограничивающие их использование или доступ к ним.
    К техническим мерам относятся: использование защищенных подключений, использование межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от НСД; в соответствии с разными уровнями конфиденциальности обрабатываемой информации.
    К организационным мерам относятся:

    • поднятие общего уровня грамотности пользователей сети в вопросах информационной безопасности;

    • четко оговоренная ответственность сотрудников, использующих в своей деятельности конфиденциальную информацию;

    • периодическое плановое обучение, профилактическая работа администраторов безопасности с пользователями и персоналом вычислительных сетей, выработка единых правил безопасного использования информационных ресурсов предприятия.

    Анализ безопасности информационных систем проводится для четкого определения, что, от кого и зачем необходимо защищать. Оценивая состояние защиты информационных систем, предлагаются различные решения организации информационной безопасности. Рекомендации формируются с учетом особенностей и потребностей клиента.

    Только оценив риски, возможно, правильно определить баланс между затратами на информационную безопасность и убытками, связанными с бездействием по отношению к защите критически важных ресурсов организации. Оценка рисков позволяет в дальнейшем принять правильное решение по выявлению и устранению существующих угроз информационной безопасности.
    Проектирование и внедрение систем защиты информации.

    Решения по обеспечению информационной безопасности информационных систем строятся на базе продукции ведущих производителей. В числе партнеров компании "ИКС-Бизнес", компании ОКБ САПР, Аладдин, АНКАД, Лаборатория Касперского, Symantec. Все решения реализуемые компанией «Икс-Бизнес» обладают сертификатами соответствия государственным и отраслевым стандартам. Имея большой опыт работы в области информационной безопасности, компания "ИКС-Бизнес" гарантирует высокое качество и надежность предоставляемых решений.

    Эффективная система защиты неосуществима без единой корпоративной политики в области информационной безопасности. Разработка регламентной документации заключается в реализации пакета документов, отражающих правила работы и ответственность персонала при работе с информацией. В общем случае пакет документов включает в себя:

    • концепцию информационной безопасности компании;

    • распределение обязанностей по обеспечению информационной безопасности;

    • регламент уведомлений о случаях нарушения защиты;

    • регламент защиты от вирусов, внешних и внутренних атак;

    • регламент использования программного обеспечения, защищенного законом об авторском праве;

    • регламент резервного копирования информации



    1. Биометрия. Классы и способы применения

    Биометрия предполагает систему распознавания людей по одной или более физическим или поведенческим чертам. В области информационных технологий биометрические данные используются в качестве формы управления идентификаторами доступа и контроля доступа. Также биометрический анализ используется для выявления людей, которые находятся под наблюдением (широко распространено в США, а также в России — отпечатки пальцев).

    Биометрические данные можно разделить на два основных класса:

    • Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах, голос.

    • Поведенческие — связаны с поведением человека. Например, походка и речь. Иногда для этого класса биометрии используется термин англ. behaviometrics.

    Биометрическая система может работать в двух режимах:

    • Верификация — сравнение один к одному с биометрическим шаблоном. Проверяет, что человек тот, за кого он себя выдает. Верификация может быть осуществлена по смарт-карте, имени пользователя или идентификационному номеру.

    • Идентификация — сравнение один ко многим: после «захвата» биометрических данных идет соединение с биометрической базой данных для определения личности. Идентификация личности проходит успешно, если биометрический образец уже есть в базе данных.

    Первое частное и индивидуальное применение биометрической системы называлось регистрацией. В процессе регистрации биометрическая информация от индивида сохранялась. В дальнейшем биометрическая информация регистрировалась и сравнивалась с информацией, полученной ранее. Обратите внимание: если необходимо, чтобы биометрическая система была надежна, очень важно, чтобы хранение и поиск внутри самих систем были безопасными.

    Первая часть (сенсор) — промежуточная связь между реальным миром и системой; он должен получить все необходимые данные. В большинстве случаев это изображения, но сенсор может работать и с другими данными в соответствии с желаемыми характеристиками.

    Вторая часть (блок) осуществляет все необходимые предварительные процессы: она должна удалить все «лишнее» с сенсора (датчика) для увеличения чувствительности на входе (например, удаление фоновых шумов при распознавании голоса)

    В третьей части (третьем блоке) извлекаются необходимые данные. Это важный шаг, так как корректные данные нуждаются в извлечении оптимальным путём. Вектор значений или изображение с особыми свойствами используется для создания шаблона. Шаблон — это синтез (совокупность) релевантных характеристик, извлечённых из источника. Элементы биометрического измерения, которые не используются в сравнительном алгоритме, не сохраняются в шаблоне, чтобы уменьшить размер файла и защитить личность регистрируемого, сделав невозможным воссоздание исходных данных по информации из шаблона.

    Регистрация, представленная шаблоном, просто хранится в карте доступа или в базе данных биометрической системы, или в обоих местах сразу. Если при попытке входа в систему было получено совпадение, то полученный шаблон передается к сравнителю (какому-либо алгоритму сравнения), который сравнивает его с другими существующими шаблонами, оценивая разницу между ними с использованием определённого алгоритма (например, англ. Hamming distance — расстояние Хемминга — число позиций цифр в двух одинаковой длины кодовых посылках (отправленной и полученной), в которых соответствующие цифры отличаются). Сравнивающая программа анализирует шаблоны с поступающими, а затем эти данные передаются для любого специализированного использования (например, вход в охраняемую зону, запуск программы и т. д.).

    1. Биометрические технологии

    Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения (ДНК, отпечатки пальцев, радужная оболочка глаза), так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием (почерк, голос или походка).

    Обычно при классификации биометрических технологий выделяют две группы систем по типу используемых биометрических параметров:

    • Первая группа систем использует статические биометрические параметры: отпечатки пальцев, геометрия руки, сетчатка глаза и т. п.

    • Вторая группа систем использует для идентификации динамические параметры: динамика воспроизведения подписи или рукописного ключевого слова, голос и т. п.

    В отличие от аутентификации пользователей по паролям или уникальным цифровым ключам, биометрические технологии всегда вероятностные, так как всегда сохраняется малый, иногда крайне малый шанс, что у двух людей могут совпасть сравниваемые биологические характеристики. В силу этого биометрия определяет целый ряд важных терминов:

    • FAR (False Acceptence Rate) — процентный порог, определяющий вероятность того, что один человек может быть принят за другого (коэффициент ложного доступа)(также именуется «ошибкой 2 рода»). Величина называется специфичность.

    • FRR (False Rejection Rate) — вероятность того, что человек может быть не распознан системой (коэффициент ложного отказа в доступе) (также именуется «ошибкой 1 рода»). Величина называется чувствительность.

    • Verification — сравнение двух биометрических шаблонов, один к одному. См. также: биометрический шаблон

    • Identification — идентификация биометрического шаблона человека по некой выборке других шаблонов. То есть идентификация — это всегда сравнение один ко многим.

    • Biometric template — биометрический шаблон. Набор данных, как правило, в закрытом, двоичном формате, подготавливаемый биометрической системой на основе анализируемой характеристики. Существует стандарт CBEFF на структурное обрамление биометрического шаблона, который также используется в BioAPI.
    1. 1   2   3   4   5

    написать администратору сайта