Курс МСЗИ (Лекции по информационной безопасности)
Описание файла
Файл "Курс МСЗИ" внутри архива находится в папке "Лекции по информационной безопасности". Документ из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.
Онлайн просмотр документа "Курс МСЗИ"
Текст из документа "Курс МСЗИ"
"Методы и средства защиты информации"
(курс лекций)
Авторские права: Беляев А.В.
Имущественные права: ЧФ СПбГТУ
Содержание
Курс "Методы и средства защиты информации"
Введение. Основные виды и источники атак на информацию
Современная ситуация в области информационной безопасности
Категории информационной безопасности
Абстрактные модели защиты информации
Обзор наиболее распространенных методов "взлома"
Комплексный поиск возможных методов доступа
Терминалы защищенной информационной системы
Получение пароля на основе ошибок администратора и пользователей
Получение пароля на основе ошибок в реализации
Социальная психология и иные способы получения паролей
Криптография
Классификация криптоалгоритмов
Симметричные криптоалгоритмы
Скремблеры
Блочные шифры
Общие сведения о блочных шифрах
Сеть Фейштеля
Блочный шифр TEA
AES: cтандарт блочных шифров США c 2000 года
Общие сведения о конкурсе AES
Финалист AES – шифр MARS
Финалист AES – шифр RC6
Финалист AES – шифр Serpent
Финалист AES – шифр TwoFish
Победитель AES – шифр Rijndael
Симметричные криптосистемы
Функции криптосистем
Алгоритмы создания цепочек
Методы рандомизации сообщений
Обзор методик рандомизации сообщений
Генераторы случайных и псевдослучайных последовательностей
Архивация
Общие принципы архивации. Классификация методов
Алгоритм Хаффмана
Алгоритм Лемпеля-Зива
Хеширование паролей
Транспортное кодирование
Общая схема симметричной криптосистемы
Асимметричные криптоалгоритмы
Общие сведения об асимметричных криптоалгоритмах
Алгоритм RSA
Технологии цифровых подписей
Механизм распространения открытых ключей
Обмен ключами по алгоритму Диффи-Хеллмана
Асимметричные криптосистемы
Сетевая безопасность
Атакуемые сетевые компоненты
Сервера
Рабочие станции
Среда передачи информации
Узлы коммутации сетей
Уровни сетевых атак согласно модели OSI
ПО и информационная безопасность
Обзор современного ПО
Операционные системы
Прикладные программы
Ошибки, приводящие к возможности атак на информацию
Основные положения по разработке ПО
Комплексная система безопасности
Классификация информационных объектов
Классификация по требуемой степени безотказности
Классификация по уровню конфиденциальности
Требования по работе с конфиденциальной информацией
Политика ролей
Создание политики информационной безопасности
Методы обеспечения безотказности
Список литературы
©ЧФСПбГТУ
Автор выражает глубокую признательность за помощь в работе:
Мыльникову Михаилу Радиевичу, старшему преподавателю кафедры ВТ и СУ ЧГУ
Хабачеву Андрею Георгиевичу, специалисту по сетевой безопасности фирмы "Метаком"
Последнее изменение: 30.11.2000
Автор с благодарностью примет любые
конструктивные замечания по электронной почте.
Вперед
Курс "Методы и средства защиты информации"
1. Введение. Основные виды и источники атак на информацию
В современном компьютерном сообществе атаки на информацию стали обыденной практикой. Злоумышленники используют как ошибки в написании и администрировании программ, так и методы социальной психологии для получения желаемой информации.
2. Криптография
Криптография – наука о способах двунаправленного преобразования информации с целью конфиденциальной передачи ее по незащищенному каналу между двумя станциями, разделенными в пространстве и/или времени. Криптография, используя достижения в первую очередь математики, позволяет модифицировать данные таким образом, что никакие самые современные ЭВМ за разумный период времени не могут восстановить исходный текст, известный только отправителю и получателю.
3. Сетевая безопасность
С развитием компьютерных сетей надежной локальной защиты ЭВМ уже недостаточно : существует множество способов удаленного вторжения на ЭВМ с неправильно сконфигурированной системой сетевой безопасности, либо временного выведения компьютера из строя.
4. ПО и информационная безопасность
Ошибки в программном обеспечении до сих пор составляют одну из самых обширных брешей в системе безопасности ЭВМ.
5. Комплексная система безопасности
Основная рекомендация по разработке системы безопасности – комплексный подход к этой проблеме. Существует множество методик, обеспечивающих выявление самых уязвимых мест в структуре работы с информацией. Комплекс превентивных мер против атак на информацию называется политикой безопасности предприятия.
Список рекомендуемой литературы
Содержание | Вперед
Введение. Основные виды и источники атак на информацию
1.1. Современная ситуация в области информационной безопасности
Атака на информацию – это умышленное нарушение правил работы с информацией. Атаки на информацию могут принести предприятию огромные убытки. На сегодняшний день примерно 90% всех атак на информацию производят ныне работающие либо уволенные с предприятия сотрудники.
1.2. Категории информационной безопасности
В тех случаях, когда идет речь о безопасности, в отношении информации и информационно-вычислительных систем применяются общепринятые термины о свойствах этих объектов – категории.
1.3. Абстрактные модели защиты информации
Разработки в области теории защиты информационных объектов велись достаточно давно. Их результатами являются так называемые абстрактные модели защиты данных, в которых исследователи излагают общие идеи по этому вопросу и формируют наборы ограничений, связывающие субъект, объект и прочие категории.
1.4. Обзор наиболее распространенных методов "взлома"
Часто злоумышленники проникают в систему не напрямую, "сражаясь" с системами шифрования или идентификации, а "в обход", используя либо явные промахи создателей, не заметивших какой-либо очень простой метод обойти их систему, либо ошибки в реализации программ защиты. Также злоумышленники широко используют психологические приемы для того, чтобы получить нужную им информацию у рядовых сотрудников фирм.
Назад | Содержание | Вперед
Современная ситуация в области информационной безопасности
Последнее время сообщения об атаках на информацию, о хакерах и компьютерных взломах наполнили все средства массовой информации. Что же такое "атака на информацию"? Дать определение этому действию на самом деле очень сложно, поскольку информация, особенно в электронном виде, представлена сотнями различных видов. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. И все эти объекты могут подвергнуться и подвергаются атакам со стороны некоторой социальной группы лиц.
При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец, либо уполномоченное им лицо, накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.
С массовым внедрением компьютеров во все сферы деятельности человека объем информации, хранимой в электронном виде вырос в тысячи раз. И теперь скопировать за полминуты и унести дискету с файлом, содержащим план выпуска продукции, намного проще, чем копировать или переписывать кипу бумаг. А с появлением компьютерных сетей даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности информации.
Каковы возможные последствия атак на информацию? В первую очередь, конечно, нас будут интересовать экономические потери:
-
Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке
-
Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций
-
Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки
-
Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам
-
Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов
Естественно, компьютерные атаки могут принести и огромный моральный ущерб. Понятие конфиденциального общения давно уже стало "притчей во языцех". Само собой разумеется, что никакому пользователю компьютерной сети не хочется, чтобы его письма кроме адресата получали еще 5-10 человек, или, например, весь текст, набираемый на клавиатуре ЭВМ, копировался в буфер, а затем при подключении к Интернету отправлялся на определенный сервер. А именно так и происходит в тысячах и десятках тысяч случаев.
Несколько интересных цифр об атаках на информацию. Они были получены исследовательским центром DataPro Research в 1998 году. Основные причины повреждений электронной информации распределились следующим образом: неумышленная ошибка человека – 52% случаев, умышленные действия человека - 10% случаев, отказ техники – 10% случаев, повреждения в результате пожара - 15% случаев, повреждения водой – 10% случаев. Как видим, каждый десятый случай повреждения электронных данных связан с компьютерными атаками.
Кто был исполнителем этих действий: в 81% случаев – текущий кадровый состав учреждений, только в 13% случаев – совершенно посторонние люди, и в 6% случаев – бывшие работники этих же учреждений. Доля атак, производимых сотрудниками фирм и предприятий, просто ошеломляет и заставляет вспомнить не только о технических, но и о психологических методах профилактики подобных действий.
И, наконец, что же именно предпринимают злоумышленники, добравшись до информации: в 44% случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16% случаев выводилось из строя программное обеспечение, столь же часто – в 16% случаев – производилась кража информации с различными последствиями, в 12% случаев информация была cфальсифицирована, в 10% случаев злоумышленники с помощью компьютера воспользовались либо заказали услуги, к которым в принципе не должны были иметь доступа.
Назад | Содержание | Вперед
Категории информационной безопасности
Информация с точки зрения информационной безопасности обладает следующими категориями:
-
конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации
-
целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения
-
аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения
-
апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается "откреститься" от своих слов, подписанных им однажды.
В отношении информационных систем применяются иные категории :
-
надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
-
точность – гарантия точного и полного выполнения всех команд
-
контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
-
контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
-
контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
-
устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.
Назад | Содержание | Вперед
Абстрактные модели защиты информации
Одной из первых моделей была опубликованная в 1977 модель Биба (Biba). Согласно ей все субъекты и объекты предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения: 1) субъект не может вызывать на исполнение субъекты с более низким уровнем доступа; 2) субъект не может модифицировать объекты с более высоким уровнем доступа. Как видим, эта модель очень напоминает ограничения, введенные в защищенном режиме микропроцессоров Intel 80386+ относительно уровней привилегий.
Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно ей система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы – домены, и переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано какие операции может выполнять субъект, скажем, из домена C над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.
Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986 году, делает акцент на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.
Важную роль в теории защиты информации играет модель защиты Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и модифицированная в 1989. Основана данная модель на повсеместном использовании транзакций и тщательном оформлении прав доступа субъектов к объектам. Но в данной модели впервые исследована защищенность третьей стороны в данной проблеме – стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем.
Назад | Содержание | Вперед