- •П.Н. Девянин, о.О. Михальский, д.И. Правиков, а.Ю. Щербаков Теоретические основы компьютерной безопасности
- •Глава 1 структура теории компьютерной безопасности 8
- •Глава 2 методология построения систем защиты информации в ас 22
- •Глава 3 политика безопасности 72
- •Глава 4 модели безопасности 95
- •Глава 5 основные критерии защищенности ас. Классификация систем защиты ас 123
- •Введение
- •Глава 1структура теории компьютерной безопасности
- •1.1Основные понятия и определения
- •1.2 Анализ угроз информационной безопасности
- •1.3 Структуризация методов обеспечения информационной безопасности
- •1.4 Основные методы реализации угроз информационной безопасности
- •1.5Основные принципы обеспечения информационной безопасности в ас
- •1.6Причины, виды и каналы утечки информации
- •Глава 2методология построения систем защиты информации в ас
- •2.1 Построение систем защиты от угрозы нарушения конфиденциальности информации Организационно-режимные меры защиты носителей информации в ас
- •Передача пароля по сети
- •Криптографические методы защиты
- •Утечки информации по техническим каналам:
- •Требования к скзи
- •Требования надежности
- •Требования к средам разработки, изготовления и функционирования скзи.
- •Криптографическая защита транспортного уровня ас
- •Криптографическая защита на прикладном уровне ас
- •Особенности сертификации и стандартизации криптографических средств
- •Защита от угрозы нарушения конфиденциальности на уровне содержания информации
- •2.2Построение систем защиты от угрозы нарушения целостности информации Организационно-технологические меры защиты целостности информации на машинных носителях
- •Модель контроля целостности Кларка-Вилсона
- •Защита памяти
- •Барьерные адреса
- •Динамические области памяти
- •Адресные регистры
- •Страницы и сегменты памяти
- •Цифровая подпись
- •Защита от угрозы нарушения целостности информации на уровне содержания
- •2.3 Построение систем защиты от угрозы отказа доступа к информации
- •Защита от сбоев программно-аппаратной среды
- •Обеспечение отказоустойчивости по ас
- •Предотвращение неисправностей в по ac
- •Защита семантического анализа и актуальности информации
- •2.4 Построение систем защиты от угрозы раскрытия параметров информационной системы
- •2.5 Методология построения защищенных ас
- •Иерархический метод разработки по ас
- •Исследование корректности реализации и верификация ас
- •Теория безопасных систем (тсв)
- •Список литературы к главе 2
- •Глава 3политика безопасности
- •3.1 Понятие политики безопасности
- •3.2 Понятия доступа и монитора безопасности
- •3.3 Основные типы политики безопасности
- •3.4 Разработка и реализация политики безопасности
- •3.5Домены безопасности
- •Список литературы к главе 3
- •Глава 4модели безопасности
- •4.1 Модель матрицы доступов hru Основные положения модели
- •Безопасность системы
- •4.2 Модель распространения прав доступа take-grant Основные положения модели
- •Возможность похищения прав доступа
- •Расширенная модель Take-Grant
- •4.3 Модель системы безопасности белла-лападула Основные положения модели
- •Пример некорректного определения безопасности в модели бл
- •Эквивалентные подходы к определению безопасности в модели бл
- •Подход Read-Write (rw)
- •Подход Transaction (т)
- •Проблемы использования модели бл
- •Модель Low-Water-Mark
- •4.4Модель безопасности информационных потоков
- •Пример автоматной модели системы защиты gm
- •Список литературы к главе 4
- •Глава 5основные критерии защищенности ас. Классификация систем защиты ас
- •5.1Руководящие документы государственной технической комиссии россии
- •5.2 Критерии оценки безопасности компьютерных систем министерства обороны сша ("оранжевая книга")
- •Глава 5 Основные критерии защищенности ас. Классификация систем
- •Демонстрационный материал к учебной теме “Криптосистема rsa” Введение
- •Системные требования
- •Описание программы
Защита от угрозы нарушения конфиденциальности на уровне содержания информации
Рассмотрим ситуацию, когда злоумышленнику удалось получить доступ к синтаксическому представлению конфиденциальной информации, т.е. он имеет перед собой последовательность знаков некоторого языка, удовлетворяющую формальным правилам нотации. Данная ситуация может возникнуть, например, тогда, когда удалось дешифровать файл данных и получить текст, который может рассматриваться как осмысленный. В этом случае для сокрытия истинного содержания сообщения могут применяться различные приемы, суть которых сводится к тому, что в соответствие одной последовательности знаков или слов одного языка ставятся знаки или слова другого.
В качестве примеров можно привести так называемый шифр "Аве Мария" [18], в кодовом варианте которого каждому слову, а порой, и фразе ставятся в соответствие несколько слов явной религиозной тематики, в результате чего сообщение выглядит как специфический текст духовного содержания. Обычный жаргон (арго) также может иллюстрировать применяемые в повседневной практике подходы к сокрытию истинного смысла сообщений.
В общем случае способы сокрытия либо самого факта наличия сообщения, либо его истинного смысла называются стеганографией. Слово "стеганография" в переводе с греческого буквально означает "тайнопись". К ней относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков (применяемое в сигнальной агентурной связи), цифровые подписи, тайные каналы и средства связи на плавающих частотах [9].
Вот какое определение предлагает Маркус Кун: " Стеганография -это искусство и наука организации связи таким способом, который скрывает собственно наличие связи. В отличие от криптографии, где неприятель имеет возможность обнаруживать, перехватывать и декодировать сообщения-при том, что ему противостоят определенные меры безопасности, гарантированные той или иной криптосистемой,-методы стеганографии позволяют встраивать секретные сообщения в безобидные послания так, чтобы нельзя было даже подозревать существования подтекста".
Стеганография занимает свою нишу в обеспечении безопасности информации: она не заменяет, а дополняет криптографию, хотя криптография, судя по известным историческим примерам использования секретной связи, как отдельное направление появилась позже. При наличии шифрованного сообщения, т.е. при применении криптографических методов защиты, противнику хотя и неизвестно содержание сообщения, но известен факт наличия такого сообщения. При использовании стегано-графических методов противнику неизвестно, является ли полученное содержание сообщения окончательным или за ним скрыт дополнительный смысл.
В доступной литературе приводится масса увлекательных и полезных своей аналогией исторических примеров практического использования стеганографии с помощью бесцветных чернил, "пустых" дощечек, покрытых воском, и т.п. Применительно к компьютерным технологиям можно сказать, что стеганография использует методы размещения файла-сообщения" в файле "контейнере", изменяя файл "контейнера" таким образом, чтобы сделанные изменения были практически незаметны.
Несмотря на то, что существуют разнообразные частные методы, используемые различными инструментальными средствами, большинство из компьютерных стеганографических приемов объединяет методология изменения наименьшего значимого бита (Least Significant Bits-LSB), который считается "шумящим", т.е. имеющим случайный характер, в отдельных байтах файла -"контейнера".
Для понимания основ стеганографических методов рассмотрим простейший пример. Пусть мы имеем следующую двоичную последовательность, представляющую числа от 20 до 27:
1010010101 1011010111 1100011001 1101011011
Модифицируя LSB этих двоичных цифр, мы можем спрятать двоичное представление числа 200 (11001000) в вышеуказанном потоке данных:
10101 10101 10110 10110-И001 110001101011010
Извлекая LSB из вышеуказанного потока данных, мы восстанавливаем число 200 (11001000). В рассматриваемом примере исходной поток данных чисел 20...27 является контейнером, а число 200-файлом ссобщения. Это очень примитивный пример, поскольку результирующий файл закрытого контейнера не является точным представлением исходного файла. После модификации, проведенной чтобы включить файл сообщения, числа 20...27 будут читаться как
21 21 22 22 25 24 26 26
На практике, в большинстве случаев открытый контейнер не содержит бесполезных данных, которые могут быть использованы для модификации LSB. Вместо этого контейнерные файлы естественно содержат различные уровни "шума" на уровне LSB, который при ближайшем рассмотрении, за исключением остальной части байта, может являться произвольной величиной. Звуковой (.WAV) файл, например, содержит по большей части неслышный шум фона на уровне LSB; 8-битовый графический файл будет содержать незначительные различия цвета на уровне LSB, в то время как 24-битовый образ будет содержать изменения цвета, которые почти незаметны человеческому глазу.