- •Понятие информационной безопасности. Базовые понятие.
- •Понятие государственной тайны
- •Информационная система
- •Угрозы защиты информации
- •Классы каналов несанкционированного получения информации
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Одноразовые пароли
- •Сервер аутентификации Kerberos
- •Идентификация и аутентификация с использованием биометрических данных
- •Требования, предъявляемые к протоколам аутентификации
- •Виды аутентификации
- •Управление доступом
- •Ролевое управление доступом
- •Основные понятия ролевого управления доступом
- •Процедурный уровень информационной безопасности
- •Управление рисками
- •Криптографические методы
- •Методы криптографического преобразования данных
- •Вредоносные программы
- •Системы симметричного шифрования
- •Система с открытым ключом
- •Электронная подпись (ранняя электронная цифровая подпись)
- •Административный уровень информационной безопасности
- •Программа безопасности
- •Стандарты и спецификации в области информационной безопасности
- •Оранжевая книга
- •Механизмы безопасности
- •Информационная безопасность распределенных систем. Рекомендации х.800
- •Стандарт «критерии оценки безопасности информационных технологий» iso/iec 15408
- •Руководящие документы гос.Тех. Комиссии России Классификация автоматизированных систем по уровню защищенности от нсд
- •Глава 28 – преступления в сфере компьютерной безопасности:
- •Закон о государственной тайне
- •Закон об информации, информационных технологиях и о защите информации
- •Закон о лицензировании отдельных видов деятельности
- •1 Фз об электронной цифровой подписи (эцп)
- •63 Фз об электронной подписи
- •Электронная подпись юридического лица или государственного органа
- •Подтверждение принадлежности ключа эп ее владельцу
- •Федеральный закон о персональных данных 152 фз
- •Классификация атак (!!! важные 3 принципа по цели воздействия знать!!)
- •По цели воздействия
- •Классификация средств обеспечение секретности информации по уровням модели iso/osi
- •Классификация способов обнаружения атак
Управление рисками
Рассматриваются на административном уровне информационной безопасности. Это означает, что ресурсы, необходимые для выполнения программ управления рисками может обеспечить только руководство организации.
Суть мероприятия по управлению рисками состоит в том, чтобы оценивать их размер, выработать эффективные меры снижения риска, затем убедиться, что риски сохраняются приемлемыми.
Управление рисками включают в себя 2 вида деятельности, которые чередуются циклическими:
Оценка или переоценка рисков (изменения)
Выбор защитных средств (нейтрализация)
По отношению к рискам возможны следующие действия:
Ликвидация риска
Уменьшение риска (дополнительная защита)
Принятие риска (выбор плана действий)
Принятие риска (выбор плана действий)
Этапы управления рисками:
Выбор объектов
Выбор методологии оценки рисков
Идентификация ресурсов
Анализ угроз и их последствий
Оценка рисков
Выбор защитных мер
Реализация и проверки выбранных мер
Оценка остаточного риска
Криптографические методы
Современная криптография включает 4 раздела:
Симметричная криптосистема
Криптосистема с открытым ключом
Система электронной подписи
Управление ключами
Основные направления использования криптографических методов:
Передача конфиденциальной информации по каналам связи
Установление подлинности передаваемых документов
Хранение информации на носителях в зашифрованном виде.
Методы криптографического преобразования данных
Криптография дает возможность преобразовать информацию таким образом, что ее прочтение, восстановление возможно только при знании ключа.
Крипто ситемы разделяются на:
Симметричные – для шифрования и дешифрования используется один и тот же ключ
Асимметричные – используется 2 ключа: открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, доступного всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю.
Термины распределения ключей и управление ключами относятся к процессам системы обработки информации, содержание в которых является составление и распределение ключей между пользователями.
Электронной подписью называется атрибут электронного документа, являющийся криптографическим преобразованием, присоединяемым к тексту. Который позволяет при получению текста другим пользователем проверить авторскую подлинность сообщения.
Криптоустойчивостью называется характеристика шифра, определяющая его стойкость, где шифрование без знания ключа, то есть криптоанализу.
Среди показателей криптостойкости можно отметить количество всех возможных ключей и сведения, которые необходимо для криптоанализа.
Процесс криптографического закрытия данных шифрования может осуществляться программно и аппаратно. Программная отличается большей гибкостью, аппаратная – большей производительностью.
Для современных криптографических систем защиты информации сформулированы следующие требования:
Зашифрованное сообщение должно поддаваться чтению только при наличии ключа
Число операций, необходимых для определения использованного ключа шифрования, по фрагменту шифрованного сообщения и соответствующего сообщения, должно быть не меньше общего числа возможных ключей
Число, операций необходимых для расшифрования информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров с учетов использования системы распределения сетевых вычислений
Знание алгоритма шифрования не должно влиять на надежность защиты
Незначительное изменение ключа должно приводить к существенным изменениям сообщения
Структурные элементы алгоритма шифрования должны быть неизменными
При использовании дополнительных вводимых данных их обнаружение должно быть невозможным
Длина зашифрованного текста должна быть равна длине исходного текста
В случае использования нескольких ключей последовательно, не должно бть простых зависимостей между ключами
Любой ключ должен обеспечивать надежную защиту информации
Алгоритм должен допускать как программную так и аппаратную реализацию, при этом изменение длинны ключа не должно вести к качественному ухудшению алгоритма.
Под шифрованием понимается вид криптографического сокрытия, при котором преобразовании подвергается каждый символ защищаемого сообщения.
Различают 5 групп способов шифрования:
Подстановка (замена) Схема шифрования Вижинера - основан на формировании ключа на основе исходного алфавита. Количество и состав алфавита выбирается таким образом, чтобы частоты всех символов зашифрованного текста были одинаковы, что затрудняет криптоанализ на основе статистической обработки. Для реализации используется большее число заменяемых элементов.
Перестановка – символы переставляются по определенным правилам внутри шифрованного блока.
Аналитическое преобразование – шифрование с использованием аналитических преобразований является общей категорией методов, использующихся и не реализующих описанные ранее методы
Гаммирование – символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, которая называется гаммой. При хороших статистических свойствах гаммы, стойкость шифрования определяется только длинной ее периода. Если длинна периода гаммы больше длинны текста, то шифр является абсолютно стойким к статистической обработке. Для последовательности могут использоваться случайные символы, сформированные с использованием датчика псевдослучайных чисел, либо используемых в математики случайные числа.
Комбинированное шифрование
Кодирование - вид криптографического закрытия, когда некоторые элементы защищаемых данных заменяются заранее выбранными кодами.
Смысловое кодирование – вид кодирования, когда элементы имеют определенный смысл.
При символьном - кодирование кодируется каждый символ (шифрование замена).
Многоалфавитная подстановка – замена символов исходного на другие по определенным правилам. Используется только в случаях, когда шифрованный текст короткий. Для усложнения используются одноконтурная и многоконтурная подстановки.
Виды шифрования:
Подстановка -
Шифрование методом перестановки