- •Тема 1. Введение в проблемы информационной безопасности 9
- •Тема 2. Криптографические методы защиты информации 30
- •Тема 3. Симметричные криптосистемы 52
- •Тема 4. Асимметричные криптосистемы 81
- •Тема 5. Методы и средства защиты информации от несанкционированного доступа 105
- •Тема 6. Средства защиты от компьютерных вирусов 126
- •Введение
- •Тема 1. Введение в проблемы информационной безопасности
- •1.1. Концептуальная модель информационной безопасности
- •1.1.1. Основные понятия и определения
- •1.1.2. Взаимосвязь понятий в области информационной безопасности
- •1.2. Основные угрозы информационной безопасности и каналы утечки информации
- •1.2.1. Основные виды угроз
- •1.2.2. Каналы утечки информации
- •1.3. Основные виды атак на информацию
- •1.3.1. Атаки доступа
- •1.3.2. Атаки модификации
- •1.3.3. Атаки на отказ в обслуживании
- •1.3.4. Атаки отказа от обязательств
- •1.4. Классификация методов и средств защиты информации
- •1.4.1. Основные методы защиты информации
- •1.4.2. Неформальные средства защиты
- •1.4.3. Формальные средства защиты
- •Вопросы для повторения
- •Резюме по теме
- •Тема 2. Криптографические методы защиты информации
- •2.1. Принципы криптографической защиты информации
- •2.1.1. Шифры
- •2.1.2. Односторонние функции
- •2.1.4. Электронная цифровая подпись
- •2.1.5. Генераторы псевдослучайных последовательностей
- •2.2. Криптоанализ и виды криптоаналитических атак
- •2.3. Основные криптографические преобразования в симметричных криптосистемах
- •2.3.1. Шифры перестановки
- •2.3.2. Шифры замены (подстановки)
- •2.3.3. Шифры гаммирования
- •2.3.4. Композиционные блочные шифры
- •Вопросы для повторения
- •Резюме по теме
- •Тема 3. Симметричные криптосистемы
- •3.1. Сеть Фейстеля
- •3.2. Алгоритм криптографического преобразования данных гост 28147-89
- •3.3. Стандарт шифрования сша нового поколения
- •3.4. Комбинирование блочных шифров
- •3.5. Режимы работы блочных шифров
- •3.5.1. Режим "Электронная кодовая книга"
- •3.5.2. Режим "Сцепление блоков шифртекста"
- •3.5.3. Режим обратной связи по шифртексту
- •3.5.4. Режим обратной связи по выходу
- •3.6. Режимы работы алгоритма криптографического преобразования данных гост 28147-89
- •Вопросы для повторения
- •Резюме по теме
- •Тема 4. Асимметричные криптосистемы
- •4.1. Алгоритмы шифрования с открытым ключом
- •4.1.1. Криптосистема rsa
- •4.1.2. Криптосистемы Диффи-Хеллмана и Эль Гамаля
- •4.1.3. Криптосистема на основе эллиптических кривых
- •4.2. Алгоритмы криптографического хэширования
- •4.2.1. Алгоритм безопасного хэширования
- •4.2.2. Односторонние хэш-функции на основе симметричных блочных алгоритмов
- •4.2.3. Алгоритм хэширования гост р 34.11–94
- •4.3. Алгоритмы электронной цифровой подписи
- •4.3.1. Алгоритм цифровой подписи rsa
- •4.3.2. Алгоритм цифровой подписи Эль Гамаля (egsa)
- •4.3.3. Алгоритм цифровой подписи dsa
- •4.3.4. Алгоритмы электронной цифровой подписи гост р 34.10–94 и гост р 34.10–2001
- •Вопросы для повторения
- •Резюме по теме
- •Тема 5. Методы и средства защиты информации от несанкционированного доступа
- •5.1. Основные понятия концепции защиты от несанкционированного доступа
- •5.2. Идентификация и аутентификация
- •5.2.1 Аутентификация пользователя на основе паролей и процедуры "рукопожатия"
- •5.2.2. Проверка подлинности пользователя по наличию материального аутентификатора
- •5.2.3. Аутентификация пользователя по биометрическим характеристикам
- •5.3. Управление доступом и регистрация доступа к ресурсам асои
- •5.4. Защита информации от несанкционированного доступа в сетях
- •Вопросы для повторения
- •Резюме по теме
- •Тема 6. Средства защиты от компьютерных вирусов
- •6.1. Классификация компьютерных вирусов
- •6.1.1. Файловые вирусы
- •6.1.2. Загрузочные вирусы
- •6.1.3. Макровирусы
- •6.1.4. Сетевые вирусы
- •6.1.5. Прочие вредоносные программы
- •6.2. Методы обнаружения и удаления компьютерных вирусов
- •6.2.1. Профилактика заражения компьютера
- •6.2.2. Использование антивирусных программ
- •6.2.3. Методы обнаружения и удаления неизвестных вирусов
- •Вопросы для повторения
- •Резюме по теме
- •Практикум (лабораторный)
- •Лабораторная работа №1. Программная реализация простых шифров перестановки и замены
- •Требования к содержанию, оформлению и порядку выполнения
- •Теоретическая часть
- •Общая постановка задачи
- •Список индивидуальных данных
- •Пример выполнения работы
- •Контрольные вопросы к защите
- •Способ оценки результатов
- •Лабораторная работа №2. Генерация и исследование псевдослучайных последовательностей. Реализация потокового шифрования данных
- •Требования к содержанию, оформлению и порядку выполнения
- •Теоретическая часть
- •Общая постановка задачи
- •Список индивидуальных данных
- •Пример выполнения работы
- •Контрольные вопросы к защите
- •Общая постановка задачи
- •Список индивидуальных данных
- •Пример выполнения работы
- •Теоретическая часть
- •Общая постановка задачи
- •Список индивидуальных данных
- •Пример выполнения работы
- •Контрольные вопросы к защите
- •Способ оценки результатов
- •Лабораторная работа №5. Изучение электронной цифровой подписи и принципов шифрования с открытым ключом с использованием системы pgp
- •Требования к содержанию, оформлению и порядку выполнения
- •Теоретическая часть
- •Общая постановка задачи
- •Список индивидуальных данных
- •Пример выполнения работы
- •Рекомендуемая дополнительная литература
- •Глоссарий
1.4.2. Неформальные средства защиты
Неформальными называются такие средства защиты, которые реализуются в результате деятельности людей, либо регламентируют эту деятельность. Неформальные средства включают организационные, законодательные и морально-этические меры и средства.
Под организационными средствами защиты понимаются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации АСОИ для обеспечения безопасности информации. Организационная защиты охватывают все структурные элементы АСОИ на всех этапах ее жизненного цикла.
Можно выделить следующие принципы организации работ, которые способствуют обеспечению информационной безопасности.
Минимизация данных, доступных персоналу. Этот принцип означает, что каждый сотрудник должен знать только те детали процесса обеспечения безопасности данных, которые необходимы ему для выполнения своих обязанностей.
Минимизация связей персонала. Организация технологического цикла сбора, обработки и передачи данных, по мере возможности, должна исключать или минимизировать контакты обслуживающего персонала.
Разделение полномочий. В системах с высокими требованиями по обеспечению безопасности ответственные процедуры выполняются, как правило, после подтверждения их необходимости двумя сотрудниками.
Дублирование контроля. Контроль важнейших операций нельзя поручать одному сотруднику.
Особенности организации обеспечения информационной безопасности отражаются в эксплуатационной документации и функциональных обязанностей персонала, которые разрабатываются с учетом целей и задач, стоящих перед АСОИ, и требований по защите данных в ней.
Законодательные меры позволяют сдерживать потенциальных преступников, причем под законодательными мерами понимаются законодательные акты, которыми регламентируются правила использования информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Законодательный уровень защиты информации предусматривают создание в стране законодательной базы, предусматривающей разработку новых или корректировку существующих законов, положений, постановлений и инструкций, а также создание действенной системы контроля за исполнением указанных документов. Все это в целом образует информационное законодательство.
Информационное законодательство – это совокупность норм права, регулирующих общественные отношения в информационной сфере.
Предметом правового регулирования в информационной сфере являются:
создание и распространение информации;
формирование информационных ресурсов;
реализация права на поиск, получение, передачу и потребление информации;
создание и применение информационных систем и технологий;
создание и применение средств информационной безопасности.
Формирование законодательства в области информационного права в России началось, в основном, со времени появления "Концепции правовой информатизации России", утвержденной Указом Президента РФ от 28.06.93г. №966. В основе информационного законодательства находится свобода информации и запретительный принцип права (все, что не запрещено законом – разрешено). Это закреплено в основных международных правовых документах, например, в ст. 3 Всеобщей декларация прав человека от 10.12.48г. и в ст. 29 Конституции Российской Федерации, принятой 12.12.93г. В целях реализации этих прав и свобод принимаемые законодательные акты устанавливают гарантии, обязанности, механизмы защиты и ответственность.
В настоящее время в стране действуют следующие нормативные акты, регулирующие отношения в информационной сфере.
Конституция Российской Федерации.
Федеральные законы:
Гражданский кодекс Российской Федерации;
Уголовный кодекс Российской Федерации;
Законы "Об информации, информатизации и защите информации", "О лицензировании отдельных видов деятельности", "Об участии в международном информационном обмене", "Об электронной цифровой подписи" и др. (всего около 80 законов);
Указы и Распоряжения Президента Российской Федерации.
Постановления Правительства Российской Федерации.
Другие подзаконные акты: местные, ведомственные и внутриорганизационные.
Совокупность вышеперечисленных документов составляет правовую базу, обеспечивающую нормативное регулирование процессов информационного обмена, в том числе и защиту информации.
К морально-этическим мерам защиты относятся всевозможные нормы поведения, которые традиционно сложились или складываются в обществе по мере распространения информационных технологий. Эти нормы большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаными (например, общепризнанные нормы честности, патриотизма и т.д.), так и оформленными в некий свод правил или предписаний. Например, "Кодекс профессионального поведения членов ассоциации пользователей ЭВМ США" рассматривает как неэтичные действия, которые умышленно или неумышленно:
нарушают нормальную работу компьютерных систем;
вызывают неоправданные затраты вычислительных ресурсов;
нарушают целостность хранимой или обрабатываемой информации;
нарушают интересы других законных пользователей и т.п.