- •1Поняття інформаційної безпеки
- •1.1Поняття інформаційної безпеки
- •1.2 Основні складові інформаційної безпеки
- •1.3Важливість і складність проблеми інформаційної безпеки
- •1.4Об'єктно-орієнтований підхід та інформаційна безпека
- •2Основні концептуальні положення системи захисту інформації
- •2.1Визначення інформації, що підлягає захисту
- •2.1.1Сфери розповсюдження державної таємниці на інформацію
- •2.1.2Комерційна таємниця
- •2.2Вимоги до захисту інформації
- •2.3Вимоги до системи захисту інформації
- •2.4Види забезпечення системи захисту інформації
- •2.5Компоненти концептуальної моделі
- •3 Найбільш поширені загрози
- •3.1Основні визначення і критерії класифікації загроз
- •3.2Найбільш поширені загрози доступності
- •3.2.1Класифікація загроз доступності
- •3.2.2Шкідливе програмне забезпечення
- •3.3Основні загрози цілісності
- •3.4Основні загрози конфіденційності
- •3.4.1Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •3.4.2Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •4Законодавчий рівень інформаційної безпеки
- •4.1Основні поняття законодавчого рівня інформаційної безпеки
- •4.2Українське законодавство
- •4.2.1Структура правових актів
- •4.2.2Страхове забезпечення
- •4.2.3Нормативно-правові документи
- •4.2.4Форми захисту інформації
- •4.2.5Захист комерційної таємниці від розголошення
- •4.2.6Правові норми забезпечення безпеки і захисту інформації
- •4.3Огляд українського законодавства у області інформаційної безпеки
- •4.4Огляд зарубіжного законодавства у області інформаційної безпеки
- •5Стандарти і специфікації у області інформаційної безпеки
- •5.1"Оранжева книга" як оціночний стандарт
- •5.1.1 Основні поняття
- •5.1.2 Механізми безпеки
- •5.1.3Класи безпеки (може в додаток)
- •5.2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •5.2.1Мережеві сервіси безпеки
- •5.2.2Мережеві механізми безпеки
- •5.2.3Адміністрування засобів безпеки
- •5.3Стандарт iso/iec 15408
- •5.3.1 Основні поняття
- •5.3.2Функціональні вимоги
- •5.3.3 Вимоги довіри безпеки
- •6Адміністративний рівень інформаційної безпеки
- •6.1Основні поняття
- •6.2Управління ризиками
- •6.3Політика безпеки
- •6.4Програма безпеки
- •6.5Синхронізація програми безпеки з життєвим циклом систем
- •7Процедурний (Організаційний) рівень інформаційної безпеки. Служба безпеки
- •7.1Основні класи заходів процедурного рівня
- •7.2Управління персоналом
- •7.3Фізичний захист
- •7.4Підтримка працездатності
- •7.5Реагування на порушення режиму безпеки
- •7.6Планування відновних робіт
- •7.7Служба безпеки підприємства
- •8Основні програмно-технічні заходи
- •8.1Основні поняття програмно-технічного рівня інформаційної безпеки
- •8.2Перехоплення даних та канали витоку інформації
- •Шкідливе програмне забезпечення;
- •8.3Сервіси безпеки
- •8.4Особливості сучасних інформаційних систем, з погляду безпеки
- •8.5Архітектурна безпека
- •8.6Ідентифікація і автентифікація
- •8.6.1Основні поняття
- •8.6.2Парольна автентифікація
- •8.6.3Ідентифікація/автентифікація за допомогою біометричних даних
- •8.7Логічне управління доступом
- •8.7.1Основні поняття
- •8.7.2Ролеве управління доступом
- •8.8Протоколювання і аудит
- •8.8.1 Основні поняття
- •8.8.2Активний аудит
- •8.8.3Функціональні компоненти і архітектура
- •8.9Шифрування інформації
- •8.9.1Основні поняття
- •8.9.2Технологія шифрування мови
- •8.10Контроль цілісності
- •8.11Екрануванняі
- •8.11.1Основні поняття
- •8.11.2Архітектурні аспекти
- •8.12Аналіз захищеності
- •8.13Забезпечення високої доступності
- •8.13.1Основні поняття
- •8.13.2Поняття відмовостійкоті
- •8.13.3Основи заходів забезпечення високої доступності
- •8.13.4Відмовостійкість і зона ризику
- •8.13.5Забезпечення відмовостійкості
- •8.13.6Програмне забезпечення проміжного шару
- •8.13.7Забезпечення обслуговуємості
- •8.14Тунелювання
- •8.15Управління інформаційними системами
- •8.15.1Основні поняття
- •8.15.2Можливості типових систем
- •8.16Інженерно-технічні заходи
- •8.17Фізичні засоби захисту
- •8.17.1Охоронні системи
- •8.17.2Охоронне телебачення
- •8.17.3Охоронне освітлення та засоби охоронної сигналізації
- •8.17.4Захист елементів будинків і приміщень
- •8.18Апаратні засоби захисту
- •9Висновки
- •Література
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
8.9.2Технологія шифрування мови
Найрозповсюдженим способом шифрування аналогового мовного сигналу є розбивка його на частини.
У цьому випадку вхідний мовний сигнал надходить у смугові фільтри для виділення смуг шифруємого спектра. Вихідний сигнал кожного фільтра в процесі шифрування піддається або перестановці по частоті, або перевороту спектра (інверсія), або і тому й інший одночасно. Потім синтезується повний шифрувальний вихідний сигнал.
По цьому принципі працює система АVР (Analog Voice Prived System) - мовний шифратор (скремблер), що здійснює перестановку окремих «вирізок» вхідного сигналу за допомогою; смугового фільтра - аналізатора. Система має 12 ключів шифрування, обумовлених можливими перестановками, що забезпечує надійність використовуваного методу. Система АУРЗ використовується в реальному часі з будь-якими уніфікованими телефонами. Якість шифрування мови високе. Знаходять дуже широке поширення цифрові системи шифрування мовних сигналів. Ці системи забезпечують високу надійність шифрування.
У системах шифрування даних використовуються в основному дві елементарні системи:
Перестановка (біти усередині блоку вхідних даних міняються місцями).
Заміщення (біти усередині блоку вхідних даних заміняються).
Розроблено велике число алгоритмів шифрування. До числа найбільш ефективних відноситься алгоритм DES (Data Encryption Standard) - стандарт шифрування даних. Американське національне бюро по стандартизації N65 узаконило алгоритм RSA як стандарт для систем зв'язку.
Для захисту промислової і комерційної інформації на міжнародному і вітчизняному ринку пропонуються різні технічні пристрої і комплекти професійної апаратури шифрування і криптозахисту телефонних і радіопереговорів, ділового переписування й ін.
Широке поширення одержали так звані скемблери та маскувачи, що заміняють мовний сигнал цифровою передачею даних. Виробляються засоби захисту телетайпів, телексів і факсів. Для цих цілей використовуються шифратори, виконувані у виді окремих пристроїв, у виді приставок до чи апаратів, що вбудовуються в конструкцію телефонів, факсів-модемів і інших апаратів зв'язку (радіостанції й ін.).
Апаратні, програмні, програмно-апаратні і криптографічні засоби реалізують ті чи інші послуги інформаційної безпеки різними механізмами захисту інформації, що забезпечують дотримання конфіденційності, цілісності, повноти і приступності.
8.10Контроль цілісності
Криптографічні методи дозволяють надійно контролювати цілісність як окремих порцій даних, так і їх наборів (таких як потік повідомлень); визначати достовірність джерела даних; гарантувати неможливість відмовитися від виконаних дій ("безвідмовність").
У основі криптографічного контролю цілісності лежать два поняття хэш-функція та електронний цифровий підпис (ETSP).
Хэш-функція - це важко оборотне перетворення даних (одностороння функція), що реалізовується, як правило, засобами симетричного шифрування з скріпленням блоків. Результат шифрування останнього блоку (залежний всіх попередніх) і служить результатом хэш-функції.
Хай є дані, цілісність яких потрібно перевірити, хэш-функція і раніше обчислений результат її застосування до початкових даних (так званий дайджест). Позначимо хэш-функцію через h, початкові дані - через T, дані, що перевіряються, - через T'. Контроль цілісності даних зводиться до перевірки рівності h(T') = h(T). Якщо його виконано, вважається, що T' = T.
Збіг дайджестів для різних даних називається колізією. У принципі, колізії можливі, оскільки множини дайджестів менше, ніж множини хешованих даних, проте оскільки h є функція одностороння, то за прийнятний час спеціально організувати колізію неможливо.
Розглянемо тепер застосування асиметричного шифрування для вироблення і перевірки електронного цифрового підпису. Нехай E(T) позначає результат шифрування тексту T за допомогою відкритого ключа, а D(T) - результат дешифрування тексту Т (як правило, шифрованого) за допомогою секретного ключа. Щоб асиметричний метод міг застосовуватися для реалізації Etsp, необхідне виконання тотожності
E(D(T))= D(E(T))= T
З рівності
E(S')= h(T')
витікає, що S' = D(h(T')) (для доказу досить застосувати до обох частин перетворення D і викреслити в лівій частині тотожне перетворення D(E())). Таким чином, електронний цифровий підпис захищає цілісність повідомлення і засвідчує особу відправника, тобто захищає цілісність джерела даних і служить основою безвідмовності.
Для контролю цілісності послідовності повідомлень (тобто для захисту від крадіжки, дублювання і переупорядкування повідомлень) застосовують часові штампи і нумерацію елементів послідовності, при цьому штампи і номери включають в підписуваний текст.
При використанні асиметричних методів шифрування (і, зокрема, електронному цифровому підпису) необхідно мати гарантію достовірності пари (ім'я користувача, відкритий ключ користувача). Для вирішення цього завдання в специфікаціях X.509 вводяться поняття цифрового сертифікату і засвідчуючого центру.
Засвідчуючий центр – це компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів. Відкриті ключі і інша інформація про користувачів зберігається засвідчуючими центрами у вигляді цифрових сертифікатів, що мають наступну структуру:
порядковий номер сертифікату;
ідентифікатор алгоритму електронного підпису;
ім'я засвідчуючого центру;
термін придатності;
ім'я власника сертифікату;
відкриті ключі власника сертифікату (ключів може бути декілька);
ідентифікатори алгоритмів, що асоціюються з відкритими ключами власника сертифікату;
електронний підпис, що згенерував з використанням секретного ключа засвідчуючого центру (підписується результат хешування всієї інформації, що зберігається в сертифікаті).
Цифрові сертифікати мають такі властивості:
будь-який користувач, що знає відкритий ключ засвідчуючого центру, може дізнатися відкриті ключі інших клієнтів центру і перевірити цілісність сертифікату;
ніхто, окрім засвідчуючого центру, не може модифікувати інформацію про користувача без порушення цілісності сертифікату.
У специфікаціях X.509 не описується конкретна процедура генерації криптографічних ключів і управління ними, проте даються деякі загальні рекомендації. Зокрема, обумовлюється, що пара ключів може породжуватися будь-яким з наступних способів:
ключі може генерувати сам користувач. У такому разі секретний ключ не потрапляє до рук третьої осіб, проте потрібно вирішувати задачу безпечного зв'язку із засвідчуючим центром;
ключі генерує довірена особа. У такому разі доводиться вирішувати задачі безпечної доставки секретного ключа власнику і надання довірених даних для створення сертифікату;
ключі генеруються засвідчуючим центром. У такому разі залишається тільки завдання безпечної передачі ключів власнику.