Требования к современным средствам защиты информации

Автор работы: Пользователь скрыл имя, 16 Мая 2012 в 05:28, курсовая работа

Описание работы

Технологии компьютерных систем и сетей (КС) развиваются слишком быстро. Соответственно, также быстро появляются новые способы получения и защиты информации. Поэтому тема защиты информации в КС является весьма актуальной в наш век стремительного развития технологий.
Объектом исследования является информация, передаваемая по КС.
Предметом исследования является информационная безопасность КС.
Основной целью работы является изучение и анализ методов и средств защиты информации в КС.
Для достижения указанной цели необходимо решить ряд задач:
Рассмотреть угрозы безопасности и их классификацию;
Охарактеризовать методы и средства защиты информации в сети, их классификацию и особенности применения;

Содержание работы

Введение 3
1 Проблемы защиты информации в компьютерных системах 5
1.1 Наиболее распространенные угрозы безопасности информации 8
1.2 Обеспечение защиты информации в сетях 13
2 Механизмы обеспечения безопасности 17
2.1 Криптографические средства защиты информации 19
2.2 Электронно-цифровая подпись 24
2.3 Аутентификация 25
2.4 Защита сетей 26
3. Требования к современным средствам защиты информации 28
Заключение 31
Список использованных источников 32

Файлы: 1 файл

курсовик.doc

— 174.50 Кб (Скачать файл)


Содержание

 

Введение              3

1 Проблемы защиты информации в компьютерных системах              5

1.1 Наиболее распространенные угрозы безопасности информации              8

1.2 Обеспечение защиты информации в сетях              13

2 Механизмы обеспечения безопасности              17

2.1 Криптографические средства защиты информации              19

2.2 Электронно-цифровая подпись              24

2.3 Аутентификация              25

2.4 Защита сетей              26

3. Требования к современным средствам защиты информации              28

Заключение              31

Список использованных источников              32


Введение

 

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надёжность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в неё изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием компьютерных систем, во многом опирается на меры самозащиты.

Способы защиты информации постоянно меняются, как меняется наше общество и технологии. Появление и широкое распространение компьютеров привело к тому, что большинство людей и организаций стали хранить информацию в электронном виде. Возникла потребность в защите такой информации.

Всегда существует проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. В некоторых случаях пользователями или потребителями меры по обеспечению безопасности могут быть расценены как меры по ограничению доступа и эффективности. Однако такие средства, как, например, криптография, позволяют значительно усилить степень защиты, не ограничивая доступ пользователей к данным.

Технологии компьютерных систем и сетей (КС) развиваются слишком быстро. Соответственно, также быстро появляются новые способы получения и защиты информации. Поэтому тема защиты информации в КС является весьма актуальной в наш век стремительного развития технологий.

Объектом исследования является информация, передаваемая по КС.

Предметом исследования является информационная безопасность КС.

Основной целью работы является изучение и анализ методов и средств защиты информации в КС.

Для достижения указанной цели необходимо решить ряд задач:

Рассмотреть угрозы безопасности и их классификацию;

Охарактеризовать методы и средства защиты информации в сети, их классификацию и особенности применения;

Раскрыть возможности физических, аппаратных и программных средств защиты информации в КС, выявить их достоинства и недостатки.


1 Проблемы защиты информации в компьютерных системах

 

Сетью ЭВМ или компьютерной сетью (КС) принято называть совокупность взаимодействующих станций, организованных на базе ЭВМ, называемых узлами сети (УС), взаимосвязанных между собой посредством каналов передачи данных (КПД), образующих среду передачи данных (СПД). Каждый УС может осуществлять обработку информации в автономном режиме и обмениваться информационными сообщениями с другими УС.

Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

      целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

      конфиденциальность информации;

      доступность информации для всех авторизованных пользователей.

Решение проблем защиты электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить производительность автоматизированных систем. Криптографические преобразования данных являются наиболее эффективным средством обеспечения конфиденциальности данных, их целостности и подлинности. Только их использование в совокупности с необходимыми техническими и организационными мероприятиями могут обеспечить защиту от широкого спектра потенциальных угроз.

Технической основой перехода в информационное общество являются современные микроэлектронные технологии, которые обеспечивают непрерывный рост качества средств вычислительной техники и служат базой для сохранения основных тенденций её развития – миниатюризации, снижения электропотребления, увеличения объёма оперативной памяти (ОП) и ёмкости встроенных и съёмных накопителей, роста производительности и надёжности, расширение сфер и масштабов применения. Данные тенденции развития средств вычислительной техники привели к тому, что на современном этапе защита компьютерных систем от несанкционированного доступа характеризуется возрастанием роли программных и криптографических механизмов защиты по сравнению с аппаратными.

Возрастание роли программных и криптографических средств защиты проявляется в том, что возникающие новые проблемы в области защиты вычислительных систем от несанкционированного доступа, требуют использования механизмов и протоколов со сравнительно высокой вычислительной сложностью и могут быть решены путём использования ресурсов ЭВМ.

Одной из важных проблем, порождённых всё более расширяющимся применением методов криптографической защиты информации, является противоречие между желанием пользователей защитить свою информацию и передачу сообщений и желанием специальных государственных служб иметь возможность доступа к информации некоторых других организаций и отдельных лиц с целью пресечения незаконной деятельности. В развитых странах наблюдается широкий спектр мнений о подходах к вопросу о регламентации использования алгоритмов шифрования. Высказываются предложения от полного запрета широкого применения криптографических методов до полной свободы их использования. Некоторые предложения относятся к разрешению использования только ослабленных алгоритмов или к установлению порядка обязательной регистрации ключей шифрования.

Возникновение глобальных информационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNET связана масса компьютерных преступлений. Результатом опыта применения сети INTERNET является выявленная слабость традиционных механизмов защиты информации. Но это не значит, что общество должно отказаться от прогресса в информатизации. Правильным решением будет использование современных достижений в области защиты информации.

 

 


1.1    Наиболее распространенные угрозы безопасности информации

 

Под угрозой безопасности информации в КС понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.

Уязвимость информации — это возможность возникновения такого состояния, при котором создаются условия для реализации угроз безопасности информации.

Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.

Проблемы, возникающие с безопасностью передачи информации при работе в КС, можно разделить на три основных типа [4]:

      перехват информации – целостность информации сохраняется, но её конфиденциальность нарушена;

      модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;

      подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от чужого имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Специфика КС, с точки зрения их уязвимости, связана в основном с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнотипными элементами.

Уязвимыми являются буквально все структурно-функциональные элементы КС: рабочие станции, серверы (Host-машины), межсетевые мосты (шлюзы, центры коммутации), каналы связи и т.д.

Известно большое количество разноплановых угроз безопасности информации различного происхождения. В литературе встречается множество разнообразных классификаций, где в качестве критериев деления используются виды порождаемых опасностей, степень злого умысла, источники появления угроз и т.д. Одна из самых простых классификаций:

Рис. 1. Общая классификация угроз безопасности.

 

Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы КС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

      непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

      преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к КС могут быть внешними или внутренними (компоненты самой КС - ее аппаратура, программы, персонал).

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки.

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рис.2а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис.2б). Методы реализации можно разделить на группы по способам реализации (рис.2в). 

Рис. 2. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации».

 


Классификация возможностей реализации угроз (атак) представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Исходными данными для проведения оценки и анализа угроз безопасности при работе в сети служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых в сети и условий расположения и эксплуатации сети.

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть [18]. Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок.

Самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

Другие угрозы доступности можно классифицировать по компонентам КС, на которые нацелены угрозы:

      отказ пользователей;

      внутренний отказ сети;

      отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

      нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

      невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

      невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.);

Основными источниками внутренних отказов являются:

      отступление (случайное или умышленное) от установленных правил эксплуатации;

      выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);

      ошибки при (пере)конфигурировании системы;

      отказы программного и аппаратного обеспечения;

      разрушение данных;

      разрушение или повреждение аппаратуры.

 

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

      нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

      разрушение или повреждение помещений;

      невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации - "обидчику", например:

      испортить оборудование;

      встроить логическую бомбу, которая со временем разрушит программы и/или данные;

      удалить данные.

 

1.2 Обеспечение защиты информации в сетях

 

В КС сосредотачивается информация, право на пользование которой принадлежит определённым лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в КС должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т.е. должен быть исключён доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяжённость. По этой причине в КС должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

      чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

      копирование носителей информации и файлов информации с преодолением мер защиты;

      маскировка под зарегистрированного пользователя;

      маскировка под запрос системы;

      использование программных ловушек;

      использование недостатков операционной системы;

      незаконное подключение к аппаратуре и линиям связи;

      злоумышленный вывод из строя механизмов защиты;

      внедрение и использование компьютерных вирусов.

Для надёжной защиты информации в КС и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, её тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применять программный анализ и фиксировать сомнительные события. Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.

В отдельную группу выделены средства защиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения ПК.

2 Механизмы обеспечения безопасности

 

По способам осуществления все меры обеспечения безопасности КС подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные) [9].

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

К морально-этическим мерам противодействия относятся нормы поведения, которые традиционно сложились или складываются по мере распространения КС в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам сетей и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратные) меры защиты основаны на использовании различных электронных устройств, входящих в состав КС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Программные методы защиты предназначаются для непосредственной защиты информации по трем направлениям: а) аппаратуры; б) программного обеспечения; в) данных и управляющих команд.

Для защиты информации при ее передаче обычно используют различные методы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой. Как показывает практика, методы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Все программы защиты, осуществляющие управление доступом к машинной информации, функционируют по принципу ответа на вопросы: кто может выполнять, какие операции и над какими данными.

Также к эффективным мерам противодействия попыткам несанкционированного доступа относятся средства регистрации. Для этих целей наиболее перспективными являются новые операционные системы специального назначения, широко применяемые в зарубежных странах и получившие название мониторинга (автоматического наблюдения за возможной компьютерной угрозой).

Мониторинг осуществляется самой операционной системой (ОС), причем в ее обязанности входит контроль за процессами ввода-вывода, обработки и уничтожения машинной информации.


Задачи обеспечения безопасности:

      защита информации в каналах связи и базах данных криптографическими методами;

      подтверждение подлинности объектов данных и пользователей (аутентификация сторон, устанавливающих связь);

      обнаружение нарушений целостности объектов данных;

      обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации;

      обеспечение защиты программных продуктов и средств вычислительной техники от внедрения в них программных вирусов и закладок;

      защита от несанкционированных действий по каналу связи от лиц, не допущенных к средствам шифрования, но преследующих цели компрометации секретной информации и дезорганизации работы абонентских пунктов;

      организационно-технические мероприятия, направленные на обеспечение сохранности конфиденциальных данных.

 

2.1 Криптографические средства защиты информации

 

Для обеспечения секретности применяется шифрование, или криптография, позволяющая трансформировать данные в зашифрованную форму, из которой извлечь исходную информацию можно только при наличии ключа.

Системам шифрования столько же лет, сколько письменному обмену информацией.


“Криптография” в переводе с греческого языка означает “тайнопись”, что отражает её первоначальное предназначение. Примитивные криптографические методы известны с древнейших времён и очень длительное время они рассматривались скорее как некоторое ухищрение, чем строгая научная дисциплина. Классической задачей криптографии является обратимое преобразование некоторого понятного исходного текста (открытого текста) в кажущуюся случайной последовательность некоторых знаков, называемую шифртекстом или криптограммой. При этом шифр-пакет может содержать как новые, так и имеющиеся в открытом сообщении знаки. Количество знаков в криптограмме и в исходном тексте в общем случае может различаться. Непременным требованием является то, что, используя некоторые логические замены символов в шифртексте, можно однозначно и в полном объёме восстановить исходный текст. Надёжность сохранения информации в тайне определялось в далёкие времена тем, что в секрете держался сам метод преобразования.

Пробуждение значительного интереса к криптографии и её развитие началось с XIX века, что связано с зарождением электросвязи. В XX столетии секретные службы большинства развитых стран стали относится к этой дисциплине как к  обязательному инструменту своей деятельности.

В основе шифрования лежат два основных понятия: алгоритм и ключ. Алгоритм – это способ закодировать исходный текст, в результате чего получается зашифрованное послание. Зашифрованное послание может быть интерпретировано только с помощью ключа.

Очевидно, чтобы зашифровать послание , достаточно алгоритма.

Голландский криптограф Керкхофф (1835 – 1903) впервые сформулировал правило: стойкость шифра, т.е. криптосистемы – набора процедур, управляемых некоторой секретной информацией небольшого объёма, должна быть обеспечена в том случае, когда криптоаналитику противника известен весь механизм шифрования за исключением секретного ключа – информации, управляющей процессом криптографических преобразований [12]. Видимо, одной из задач этого требования было осознание необходимости испытания разрабатываемых криптосхем в условиях более жёстких по сравнению с условиями, в которых мог бы действовать потенциальный нарушитель. Это правило стимулировало появление более качественных шифрующих алгоритмов. Можно сказать, что в нём содержится первый элемент стандартизации в области криптографии, поскольку предполагается разработка открытых способов преобразований. В настоящее время это правило интерпретируется более широко: все долговременные элементы системы защиты должны предполагаться известными потенциальному злоумышленнику. Эта формулировка гласит, что все элементы систем защиты подразделяются на две категории – долговременные и легко сменяемые. К долговременным элементам относятся те элементы, которые относятся к разработке систем защиты и для изменения требуют вмешательства специалистов или разработчиков. К легко сменяемым элементам относятся элементы системы, которые предназначены для произвольного модифицирования или модифицирования по заранее заданному правилу, исходя из случайно выбираемых начальных параметров. К легко сменяемым элементам относятся, например, ключ, пароль, идентификация и т.п. Рассматриваемое правило отражает тот факт, надлежащий уровень секретности может быть обеспечен только по отношению к легко сменяемым элементам.

Чтобы избежать возможных слабостей, алгоритм шифрования может быть построен на основе хорошо изученных и апробированных принципах и механизмах преобразования. Ни один серьёзный современный пользователь не будет полагаться только на надёжность сохранения в секрете своего алгоритма, поскольку крайне сложно гарантировать низкую вероятность того, что информация об алгоритме станет известной злоумышленнику.

Секретность информации обеспечивается введением в алгоритмы специальных ключей (кодов). Использование ключа при шифровании предоставляет два существенных преимущества. Во-первых, можно использовать один алгоритм с разными ключами для отправки посланий разным адресатам. Во-вторых, если секретность ключа будет нарушена, его можно легко заменить, не меняя при этом алгоритм шифрования. Таким образом, безопасность систем шифрования зависит от секретности используемого ключа, а не от секретности алгоритма шифрования. Многие алгоритмы шифрования являются общедоступными.

Количество возможных ключей для данного алгоритма зависит от числа бит в ключе. Например, 8-битный ключ допускает 256 (28) комбинаций ключей. Чем больше возможных комбинаций ключей, тем труднее подобрать ключ, тем надёжнее зашифровано послание. Так, например, если использовать 128-битный ключ, то необходимо будет перебрать 2128 ключей, что в настоящее время не под силу даже самым мощным компьютерам. Важно отметить, что возрастающая производительность техники приводит к уменьшению времени, требующегося для вскрытия ключей, и системам обеспечения безопасности приходится использовать всё более длинные ключи, что, в свою очередь, ведёт к увеличению затрат на шифрование.

Поскольку столь важное место в системах шифрования уделяется секретности ключа, то основной проблемой подобных систем является генерация и передача ключа. Существуют две основные схемы шифрования: симметричное шифрование (его также иногда называют традиционным или шифрованием с секретным ключом) и шифрование с открытым ключом (иногда этот тип шифрования называют асимметричным).

При симметричном шифровании отправитель и получатель владеют одним и тем же ключом (секретным), с помощью которого они могут зашифровывать и расшифровывать данные.При симметричном шифровании используются ключи небольшой длины, поэтому можно быстро шифровать большие объёмы данных. Симметричное шифрование используется, например, некоторыми банками в сетях банкоматов. Однако симметричное шифрование обладает несколькими недостатками. Во-первых, очень сложно найти безопасный механизм, при помощи которого отправитель и получатель смогут тайно от других выбрать ключ. Возникает проблема безопасного распространения секретных ключей. Во-вторых, для каждого адресата необходимо хранить отдельный секретный ключ. В третьих, в схеме симметричного шифрования невозможно гарантировать личность отправителя, поскольку два пользователя владеют одним ключом.

В схеме шифрования с открытым ключом для шифрования послания используются два различных ключа. При помощи одного из них послание зашифровывается, а при помощи второго – расшифровывается. Таким образом, требуемой безопасности можно добиваться, сделав первый ключ общедоступным (открытым), а второй ключ хранить только у получателя (закрытый, личный ключ). В таком случае любой пользователь может зашифровать послание при помощи открытого ключа, но расшифровать послание способен только обладатель личного ключа. При этом нет необходимости заботиться о безопасности передачи открытого ключа, а для того чтобы пользователи могли обмениваться секретными сообщениями, достаточно наличия у них открытых ключей друг друга.

Недостатком асимметричного шифрования является необходимость использования более длинных, чем при симметричном шифровании, ключей для обеспечения эквивалентного уровня безопасности, что сказывается на вычислительных ресурсах, требуемых для организации процесса шифрования.

 


2.2 Электронно-цифровая подпись

 

Если послание, безопасность которого мы хотим обеспечить, должным образом зашифровано, всё равно остаётся возможность модификации исходного сообщения или подмены этого сообщения другим. Одним из путей решения этой проблемы является передача пользователем получателю краткого представления передаваемого сообщения. Подобное краткое представление называют контрольной суммой, или дайджестом сообщения.

Контрольные суммы используются при создании резюме фиксированной длины для представления длинных сообщений. Алгоритмы расчёта контрольных сумм разработаны так, чтобы они были по возможности уникальны для каждого сообщения. Таким образом, устраняется возможность подмены одного сообщения другим с сохранением того же самого значения контрольной суммы.

Однако при использовании контрольных сумм возникает проблема передачи их получателю. Одним из возможных путей её решения является включение контрольной суммы в так называемую электронную подпись.

При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определённые права отправителем. Электронные подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число – порядковый номер.

 


2.3 Аутентификация

 

Аутентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдаёт.

При получении запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передаёт управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс.

При аутентификации используется, как правило, принцип, получивший название “что он знает”, - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Пароль – совокупность символов, известных подключенному к сети абоненту, - вводится им в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода из сети может отличаться от входного) [16]. Эта схема является наиболее уязвимой с точки зрения безопасности – пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие.


2.4 Защита сетей

 

В последнее время корпоративные сети всё чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэры  - это  система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNETом, хотя её можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение – пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения,  для него определяется набор правил.

Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.

Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых  – повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр – только раздел администратора. Некоторые брандмауэры  работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.

Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика.

 

Все брандмауэры можно разделить на два типа:

      пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;

      серверы прикладного уровня, которые блокируют доступ к определённым сервисам в сети.

Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:

      весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;

      только трафик, определённый локальной стратегией защиты, может пройти через эту систему;

      система надёжно защищена от проникновения.


3. Требования к современным средствам защиты информации

 

Средства защиты информации от несанкционированного доступа (СЗИ НСД), отвечающие высокому уровню защиты, должны обеспечивать:

      контроль доступа;

      очистку памяти;

      изоляцию модулей;

      маркировку документов;

      защиту ввода и вывода на переносимый физический носитель информации;

      сопоставление пользователя с устройством;

      идентификацию и аутентификацию;

      регистрацию;

      взаимодействие пользователя с комплексом средств защиты;

      надёжное восстановление;

      целостность комплекса средств защиты;

      контроль модификации;

      контроль дистрибуции;

      гарантии архитектуры.

Комплексные СЗИ НСД должны сопровождаться пакетом следующих документов:

      руководство по СЗИ;

      руководство пользователя;

      тестовая документация;

      конструкторская (проектная) документация.

Таким образом, комплексные СЗИ НСД должны включать базовый набор подсистем. Конкретные возможности этих подсистем по реализации функций защиты информации определяют уровень защищённости средств вычислительной техники. Реальная эффективность СЗИ НСД определяется функциональными возможностями не только базовых, но и дополнительных подсистем, а также качеством их реализации.

Компьютерные системы и сети подвержены широкому спектру потенциальных угроз информации, что обуславливает необходимость предусмотреть большой перечень функций и подсистем защиты. В первую очередь нужно обеспечить защиту наиболее информативных каналов утечки информации:

      возможность копирования данных с машинных носителей;

      каналы передачи данных;

      хищение ЭВМ или встроенных накопителей.

Проблема перекрытия этих каналов усложняется тем, что процедуры защиты данных не должны приводить к заметному снижению производительности вычислительных систем. Эта задача может быть эффективно решена на основе технологии глобального шифрования информации, рассмотренной в разделе 2.1.

Современная массовая система защиты должна быть эргономичной и обладать такими свойствами, как:

      комплексность – возможность установки разнообразных режимов защищённой обработки данных с учётом специфических требований различных пользователей и предусматривать широкий перечень возможных действий предполагаемого нарушителя;

      совместимость – система должна быть совместимой со всеми программами, написанными для данной операционной системы, и должна обеспечивать защищённый режим работы компьютера в вычислительной сети;

      переносимость – возможность установки системы на различные типы компьютерных систем, включая портативные;

      удобство в работе – система должна быть проста в эксплуатации и не должна менять привычную технологию работы пользователей;

      работа в масштабе реального времени – процессы преобразования информации, включая шифрование, должны выполняться с большой скоростью;

      высокий уровень защиты информации;

      минимальная стоимость системы.


Заключение

 

 


Список использованных источников

 

1.      Острейковский В.А. Информатика: Учеб. пособие для студ. сред. проф. учеб. заведений. – М.: Высш. шк., 2001. – 319с.:ил.

2.      Экономическая информатика / под ред. П.В. Конюховского и Д.Н. Колесова. – СПб.: Питер, 2000. – 560с.:ил.

3.      Информатика: Базовый курс / С.В. Симонович и др. – СПб.: Питер, 2002. – 640с.:ил.

4.      Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. 3-е изд. - М.: Издательский дом "Вильямс", 2003, с. 23.

5.      Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. – СПб.: Издательство “Лань”, 2001. – 224с.,ил. – (Учебники для вузов. Специальная литература).

  1. Балдин В.К., Уткин В.Б. Информатика: Учеб. для вузов. - М.: Проект, 2003. - 304 с.
  2. www.infosec.ru
  3. Вычислительные системы, сети и телекоммуникации: Учебник. - 2-е изд., перераб. и доп. / Под ред. А.П. Пятибратова. - М.: Финансы и статистика, 2003.
  4. Галатенко В.А. Стандарты информационной безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил.
  5. Козлов Д.А. Энциклопедия компьютерных вирусов. - М.: Изд-во "СОЛОН-Пресс", 2001. - 457 с.
  6. www.kaspersky.ru
  7. Лапонина О.Р. Криптографические основы безопасности. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 320 c.: ил.
  8. Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия. - М.: Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру", 2005. - 608 c.: ил.
  9. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. 3-е изд. - М.: Издательский дом "Вильямс", 2003. - 448 с.
  10. Оглрти Т. Firewalls. Практическое применение межсетевых экранов – М.: ДМК, 2003. – 401 с.
  11. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. - СПб.: Питер, 2002. - 864 с.: ил.
  12. www.intuit.ru
  13. Пятибpатов А. П. Вычислительные системы, сети и телекоммуникации:Учебник; Под pед. А. П. Пятибpатова. - 2-е изд., пеpеpаб. и доп. - М.:Финансы и статистика,2003. - 512 с.:ил. - Библиогp.: с. 495.
  14. Ярочкин В.И. Информационная безопасность. - М.: Изд-во "Академический проект", 2004. - 640 с.
  15. all-ib.ru

 

4

 

Информация о работе Требования к современным средствам защиты информации