Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Розділ 1. Захист інформації. Шифрування. Криптографічні методи захисту інформації

Скачати 271.91 Kb.

Розділ 1. Захист інформації. Шифрування. Криптографічні методи захисту інформації




Скачати 271.91 Kb.
Сторінка2/4
Дата конвертації11.05.2017
Розмір271.91 Kb.
1   2   3   4

Розділ 1. Захист інформації. Шифрування. Криптографічні методи захисту інформації

Захист інформації (англ. Data protection) — сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.

Кори́стува́ч - той, хто користується чим-небудь - майном, землею, комп'ютером тощо.
Те, що інформація має цінність, люди усвідомили дуже давно. Тоді-то і виникло завдання захисту від надмірно цікавих людей. Стародавні намагалися використовувати для вирішення цього завдання найрізноманітніші методи, і одним з них був тайнопис - уміння складати повідомлення так, щоб його сенс був недоступний нікому окрім присвячених в таємницю. Є свідоцтва тому, що мистецтво тайнопису зародилося ще в доантичні часи і проіснувало аж до зовсім недавнього часу. І лише декілька десятиліть тому все змінилося корінним чином - інформація придбала самостійну комерційну цінність і стала широко поширеною, майже звичайним товаром. Її проводять, зберігають, транспортують, продають і купують, а значить - крадуть і підроблюють - і, отже, її необхідно захищати. Сучасне суспільство все більшою мірою стає інформаційно-обумовленим, успіх будь-якого виду діяльності все сильніше залежить від володіння певними відомостями і від відсутності їх у конкурентів. [25]

Серед всього спектру методів захисту даних від небажаного доступу особливе місце займають криптографічні методи. Сучасні методи шифрування гарантують практично абсолютний захист даних, але завжди залишається проблема надійності їх реалізації. В даний час особливо актуальною стала оцінка вже використовуваних криптоалгоритмів. Завдання визначення ефективності засобів захисту часто більш трудомістка, ніж їх розробка, вимагає наявності спеціальних знань і, як правило, вищої кваліфікації, ніж завдання розробки. Це обставини призводять до того, що на ринку з'являється безліч засобів криптографічного захисту інформації, про які ніхто нічого не знає. При цьому розробники тримають криптоалгоритм в секреті.

Шифрування — це спосіб зміни повідомлення або іншого документа, що забезпечує спотворення (заховання) його вмісту. (Кодування – це перетворення звичайного, зрозумілого, тексту в код (виконується без ключа)). Шифрувати можна не тільки текст, але і різні комп'ютерні файли – від файлів баз даних і текстових процесорів до файлів зображень.

Криптографі́чна сті́йкість - здатність криптографічного алгоритму протистояти криптоаналізу. Стійким вважається алгоритм, який для успішної атаки вимагає від противника недосяжних обчислювальних ресурсів, недосяжного обсягу перехоплених відкритих і зашифрованих повідомлень чи ж такого часу розкриття, що по його закінченню захищена інформація буде вже не актуальна, і т. д.
Те́кстовий проце́сор (англ. word processor) - комп'ютерна програма-застосунок, що дозволяє виконувати операції набору, редагування та оформлення тексту.

Ідея шифрування полягає в запобіганні прогляданню дійсного змісту повідомлення (тексту, файлу і т.п.) тими, у кого немає засобів його дешифровки. А прочитати файл зможе лише той, хто зможе його дешифрувати.

Шифрування з'явилося приблизно чотири тисячі років тому.

Років тому - шкала часу, що широко використовується в археології, геології та інших науках для датування подій в минулому. Оскільки час відрахунку змінюється, стандартна практика пропонує використання 1950 року як еталонної точки «сучасності».
Першим відомим застосуванням шифру (коду) вважається єгипетський текст, датований приблизно 1900 р. до н. э., автор якого використовував замість звичайних (для єгиптян) ієрогліфів не співпадаючі з ними знаки.

Один з найвідоміших методів шифрування носить ім'я Цезаря, який якщо і не сам його винайшов, то активно їм користувався. Не довіряючи своїм посильним, він шифрував листи елементарною заміною А на D, В на Е і так далі по всьому латинському алфавіту. При такому кодуванні комбінація XYZ була б записана як АВС (прямий код N 3). [4]
1.1 Основи безпеки даних в комп'ютерних системах
Витік комерційної інформації призводить до небажаних наслідків. Збитки від діяльності конкурентів, що використовують методи шпигунства є дуже великими. Таким чином, задачі безпеки будь-яких видів доводиться вирішувати щораз при розгляді всіляких аспектів людської діяльності. Але, як бачимо, всі види безпеки тісно пов'язані з інформаційною безпекою (ІБ) і, більш того, їх неможливо забезпечити без забезпечення ІБ.

Інформація - це відомості про осіб, факти, предмети, події, явища і процеси, незалежно від форми їх уявлення.

Захист інформації - комплекс заходів, проведених із метою запобігання (зниження до безпечного рівня) можливостей витікання, розкрадання, втрати, поширення, знищення, перекручування, підробки або блокування інформації. [25]

Види дій над інформацією:



  1. Блокування інформації (користувач не може дістати доступ до інформації; за відсутності доступу сама інформація не втрачається).

  2. Порушення цілісності (втрата, вихід з ладу носія; спотворення, тобто порушення смислової значущості; порушення логічної зв'язаності; втрата достовірності (наявна інформація не відповідає реальному стану)).

  3. Порушення конфіденційності (з інформацією ознайомлюються суб'єкти, на яких це не покладено). Рівень допуску до інформації визначає її власник. Порушення конфіденційності може відбутися із-за неправильної роботи системи обмеження доступу або наявності побічного каналу доступу.

  4. Несанкціоноване тиражування (під захистом розуміється захист авторських прав і прав власності на інформацію).
    Пра́во вла́сності (в об'єктивному розумінні) - це сукупність правових норм, які регулюють відносини, пов'язані з володінням, користуванням і розпорядженням власником належним йому майном на свій розсуд і у своїх інтересах, усуненням усіх третіх осіб від протиправного втручання у сферу його володіння цим майном, а також обов'язки власника не порушувати прав та законних інтересів інших осіб.


Автоматизована система (АС) - це організаційно-технічна система, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію. [26]

Захист інформації в АС (іnformation security, computer system security) - діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС у цілому і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.

Комплексна система захисту інформації (КСЗІ) - сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.

Обчи́слювальна систе́ма (англ. computer system) - сукупність ЕОМ та їх програмного забезпечення, що призначені для організації ефективного обчислювального процесу;
Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).

Загроза - потенційно можлива подія, дія, процес або явище, яке може привести до нанесення збитку інтересам певної фізичної чи юридичної особи.

Юриди́чна осо́ба - організація, суб'єкт права, здатний від свого імені набувати майнових і особистих немайнових прав і нести обов'язки та самостійно брати участь у правовідносинах, бути позивачем та відповідачем у суді.
Реалізацією загрози є порушення роботи системи. Загрози поділяються на природні та штучні.

Природні загрози - загрози, викликані дією на АС об'єктивних фізичних процесів або стихійних природних явищ, незалежних від людини.

Природне явище - сукупність процесів матеріально-інформаційного перетворення у природі, обумовлених загальними причинами.
До них відносяться: стихійні лиха, магнітні бурі, радіоактивне випромінювання, опади тощо, а також загрози опосередковано технічного характеру, пов'язані з надійністю технічних засобів обробки інформації і підсистем забезпечення АС.
Апара́тне забезпе́чення (англ. hardware; сленг. залі́зо) - комплекс технічних засобів, який включає електронний пристрій і, зокрема, ЕОМ: зовнішні пристрої, термінали, абонентські пункти тощо, які необхідні для функціонування тієї чи іншої системи; фізична частина ЕОМ.
Геомагнітні бурі - збурення магнітного поля Землі тривалістю від кількох годин до кількох діб (від 12 до 72 або більше годин), викликане надходженням в околиці Землі збуджених високошвидкісних потоків сонячного вітру і пов'язаної з ними ударної хвилі.
Радіоакти́вність (від лат. radio - «випромінюю» radius - «промінь» і activus - «дієвий») - явище мимовільного перетворення нестійкого ізотопа хімічного елементу в інший ізотоп (зазвичай іншого елемента) (радіоактивний розпад) шляхом випромінювання гамма-квантів, елементарних частинок або ядерних фрагментів.
Обробка інформації́ - вся сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних [6.

Штучні загрози - такі, що викликані діяльністю людини.

Діяльність - це процес взаємодії людини з довкіллям, завдяки чому вона досягає свідомо поставленої мети, яка виникла внаслідок появи потреби.
Вони поділяються на:

•ненавмисні - загрози, пов'язані з випадковими діями людей, через незнання, халатність, цікавість, але без злого наміру.

•навмисні - дії людини, що здійснюються умисне для дезорганізації роботи системи, виведення її з ладу, для незаконного проникнення в систему і несанкціонованого доступу до інформації.

Система складових загроз безпеки даних представлена в табл. 1.1.
Таблиця 1.1

Класифікаційні складові загроз безпеки інформації



Параметр класифікації

Значення параметра

Зміст

1. Види

1.1. Фізична цілісність

- знищення (спотворення);

1.2. Логічна цілісність

- спотворення;

1.3. Конфіденційність

- несанкціоноване отримання;

1.4. Порушення прав власності

- привласнення чужого права

2.Природа походження

2.1.Випадкова

2.2.Навмисна



-відмови, збої, помилки,стихійні біди;

-зловмисні дії людей



3. Передумови появи

3.1. Об'єктивні

3.2. Суб'єктивні



-кількісна або якісна

недостатність елементів систем;

-розвідувальні органи іноземної держави

4. Джерела загрози

4.1. Люди

4.2. Технічні пристрої

4.3. ПЗ (ППЗ, СМЗ)

4.4. Зовнішнє середовище



-сторонній персонал;

-пристрої обробки, зберігання, передачі інформації;

-помилки;

-атмосфера, побічні явища



Сучасні засоби перехоплення інформації дозволяють на відстані в десятки і сотні, а іноді і більше метрів реєструвати різної природи побічні інформативні сигнали, що виникають при роботі технічних засобів, і за результатами цієї реєстрації відновлювати оброблювану, передану, прийняту, копійовану інформацію. [26]

Інформацію можна одержувати не тільки шляхом перехоплення побічних інформативних сигналів, але й за результатами прямої реєстрації сигналів, що циркулюють в інформаційних ланцюгах технічних систем (насамперед, у лініях зв'язку).

Техні́чна систе́ма (ТС) - це штучно створена сукупність елементів і відношень (зв'язків) між ними, які утворюють цілісну структуру об'єкта, що має властивості, які не зводяться до властивостей елементів і призначена для виконання корисних функцій.
Реалізувати засоби перехоплення тут, як правило, легше, ніж у випадку побічних випромінювань і наведень.

Фізичні заходи захисту інформації базуються на застосуванні всілякого роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів системи і інформації, а також технічних засобів візуального нагляду, зв'язку та охоронної сигналізації.

Ідентифікація - привласнення суб'єктам або об'єктам доступу ідентифікатора або порівняння пред'явленого ідентифікатора з переліком привласнених ідентифікаторів. Ідентифікація об'єкта - це його впізнання, ототожнення із чим-небудь. Якщо ж говорити про області інформаційних технологій, то даний термін звичайно означає встановлення особистості користувача.

Інформаці́йні техноло́гії, ІТ (використовується також загальніший / вищий за ієрархією термін інформаційно-комунікаційні технології (Information and Communication Technologies, ICT) - сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збирання, опрацювання, зберігання, розповсюдження, показу і використання інформації в інтересах її користувачів.
Цей процес необхідний для того, щоб система надалі змогла ухвалити рішення щодо видачі людині дозволу для роботи на комп'ютері, доступу до закритої інформації тощо. Таким чином, ідентифікація є одним з основних понять в інформаційній безпеці.

Аутентифікацією - називається процедура верифікації належності ідентифікатора суб'єкту. Аутентифікація здійснюється на основі того чи іншого секретного елемента (аутентифікатора), який є у розпорядженні як суб'єкта, так і інформаційної системи. Звичайно, інформаційна система має в розпорядженні не сам секретний елемент, а деяку інформацію про нього, на основі якої приймається рішення про адекватність суб'єкта ідентифікатору. Наприклад, перед початком інтерактивного сеансу роботи більшість операційних систем запитують у користувача його ім'я та пароль. Введене ім'я є ідентифікатором користувача, а його пароль - аутентифікатором. Операційна система зазвичай зберігає не сам пароль, а його хеш-суму, що забезпечує складність відновлення пароля.
1.2 Захист даних від несанкціонованого доступу (НСД)
Одним з напрямків захисту інформації в інформаційних системах є технічний захист інформації (ТЗІ).

Інформацíйна систéма (англ. Information system) - сукупність організаційних і технічних засобів для збереження та обробки інформації з метою забезпечення інформаційних потреб користувачів.
Операці́йна систе́ма, скорочено ОС (англ. operating system, OS) - це базовий комплекс програм, що виконує управління апаратною складовою комп'ютера або віртуальної машини; забезпечує керування обчислювальним процесом і організовує взаємодію з користувачем.
Техні́чний за́хист інформа́ції (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
У свою чергу, питання ТЗІ розбиваються на два великих класи завдань: захист інформації від несанкціонованого доступу і захисту інформації від витоку технічними каналами. Під НСД мається на увазі доступ до інформації, що порушує встановлену в інформаційній системі політику розмежування доступу. Під технічними каналами розуміються канали сторонніх електромагнітних випромінювань і наведень, акустичні канали, оптичні канали й ін. [25]

Захист від НСД може здійснюватися в різних складових інформаційної системи:



  1. Прикладне й системне ПЗ.

  2. Апаратна частина серверів і робочих станцій.
    Розмежування доступу (англ. access mediation) - сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі Правил розмежування доступу можливості надання доступу.
    Електромагн́ітне випром́інювання (англ. electromagnetic radiation) - взаємопов'язані коливання електричного (Е) i магнітного (B) полів, що утворюють електромагнітне поле а також, процес утворення вільного електро-магнітного поля при нерівномірному русі та взаємодії електричних зарядів.
    Робоча станція (англ. workstation) - комплекс апаратних і програмних засобів, призначених для вирішення певного кола завдань.


  3. Комунікаційне устаткування й канали зв'язку.

  4. Периметр інформаційної системи.

Для захисту інформації на рівні прикладного й системного ПЗ використовуються:

  • системи розмежування доступу до інформації;

  • системи ідентифікації й аутентифікації;

  • системи аудиту й моніторингу;

  • системи антивірусного захисту.

Для захисту інформації на рівні апаратного забезпечення використовуються:

  • апаратні ключі;

  • системи сигналізації;

  • засоби блокування пристроїв і інтерфейсів вводу-виводу інформації.

У комунікаційних системах використовуються наступні засоби мережевого захисту інформації:

  • міжмережеві екрани (Firewall);

  • системи виявлення вторгнень (IDS - Intrusion Detection System;

  • засоби створення віртуальних приватних мереж (VPN - Virtual Private Network;
    Система виявлення атак (вторгнень) - програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет.
    VPN (Віртуальна приватна мережа, англ. Virtual Private Network) - це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж (Інтернет). Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, внаслідок чого створюється закритий для сторонніх канал обміну інформацією.


  • засоби аналізу захищеності.

Для захисту периметра інформаційної системи створюються:

  • системи охоронної й пожежної сигналізації;
    Система пожежної сигналізації - сукупність технічних засобів, призначених для виявлення пожежі, обробки, передачі в заданому вигляді повідомлення про пожежу, спеціальної інформації та (або) видачі команд на включення автоматичних установок пожежогасіння і включення виконавчих установок систем протидимного захисту, технологічного та інженерного обладнання, а також інших пристроїв протипожежного захисту.


  • системи цифрового відеоспостереження;

  • системи контролю й керування доступом (СККД).
    Керування доступом (англ. access control) - сукупність заходів з визначення повноважень і прав доступу, контролю за додержанням Правил розмежування доступу.


При створенні програмно-апаратних засобів захисту від несанкціонованого доступу керуються наступними принципами:

  1. принцип обґрунтованості доступу (виконавець повинен мати достатню «форму допуску» до закритої інформації, відомості про яку потрібні йому для повноцінного виконання професійних обов'язків);

  2. принцип достатньої глибини контролю доступу (СЗІ повинні включати механізми контролю доступу до всіх видів інформаційних і програмних ресурсів);

  3. принцип розмежування потоків інформації (не дозволяє переписувати закриту інформацію на незакриті носії; здійснюється мічення на носії інформації і ідентифікація цих носіїв);
    Носі́й інформа́ції (англ. data medium) - матеріальний об'єкт природного або штучного походження, який здатен містити, зберігати і передавати інформацію.


  4. принцип чистоти повторно використовуваних ресурсів (звільнення від закритої інформації ресурсів при їх видаленні);

  5. принцип персональної відповідальності (виконавець повинен нести персональну відповідальність за свою діяльність в системі, включаючи всі дії із закритою інформацією);

  6. принцип цілісності засобів захисту (засоби захисту повинні точно виконувати свої функції і бути ізольовані від користувача). [26]

Не слід недооцінювати можливості непрофесіоналів щодо здійснення комп'ютерних злочинів. Нелояльні співробітники, що мають доступ до комп'ютерів, грають головну роль в більшості фінансових злочинів. Це швидше організаційна, ніж технічна проблема.

Процедури безпеки можуть забезпечувати перевірку паролів і строгий контроль доступу до цінних загальних даних, але зловмисника, обізнаного у внутрішньому устрої системи, практично неможливо зупинити.

Для побудови надійного захисту необхідно виявити можливі погрози безпеці інформації, оцінити їх наслідки, визначити необхідні заходи і засоби захисту і оцінити їх ефективність. [25]
1.3 Криптографічні методи захисту інформації
Криптографічний захист інформації — вид захисту інформації, що реалізується за допомогою перетворень інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо. [1]


1   2   3   4


Скачати 271.91 Kb.

  • 1.1 Основи безпеки даних в компютерних системах
  • 1.2 Захист даних від несанкціонованого доступу (НСД) Одним з напрямків захисту інформації в інформаційних системах є технічний захист інформації
  • Intrusion Detection System ; засоби створення віртуальних приватних мереж (VPN - Virtual Private Network
  • 1.3 Криптографічні методи захисту інформації