Кистанов А.М.

Конспект лекций по дисциплине

Б3.В.ОД.7 «Защита информации»

По направлению 231000 «Программная инженерния»

Самара 2013

Оглавление

1. Основные понятия и определения 6

1.1 Определения и соглашенияпо ГОСТ Р 51624-2000. 7

1.2 Основные криптографические термины (См. также глоссарий) 10

1.3 История криптографии 12

2. Источники, риски и формы атак на информацию 15

2.1 Механизмы и виды угроз на информацию 15

2.2Компьютерные вирусы и их виды 19

2.1.1 Вирусы, черви, трояны 23

2.3 Уязвимость XSS 26

2.4 Вставка кода. (Code Insertion) 26

2.4 Классификация угроз. 27

2.5DLPсистемы. 31

3. Политика безопасности 32

4. Стандарты безопасности 33

4.1 История вопроса 33

4.1.1 Стандарт ISO 17799 34

4.1.2 НИСТ 34

4.1.3 Стандарт ISO 15408 35

4.2 Стандарты компьютерной безопасности 35

4.2.1 Международные и национальные стандарты в области информационной безопасности 38

4.2.2 PCI DSS v 2.0октябрь 2010 г.- стандарт защиты информации в индустрии платежных карт 39

4.2.3 Алгоритм Луна (Luhn algorithm)  40

4.3 Стандарты для безопасности электронной коммерции в сети Интернет 41

4.4 Государственные стандарты 53

4.5 Безопасность в платежных системах 55

4.5.1 Безопасность JAVA-банка 55

4.5.2 Безопасность Интернет-банка 55

4.5.3 Стандарты банковской безопасности 55

4.6 Законодательство в области информационной безопасности. 56

4.6.1N 152-ФЗ 56

4.6.2 Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 02.07.2013) "Об электронной подписи" 57

Статья 5. Виды электронных подписей 57

4.6.3ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕот 16 апреля 2012 г. N 313 59

4.7 Порядок классификации 61

4.8Постановление №584 63

5. Криптографические модели. 64

5.1 Секретные системы. Основы информационной теории Шеннона. 64

5.2 Сеть Файстеля 65

5.3. Структурная модель многоуровневого доступа 70

5.4. Специальные криптографические протоколы 71

6. Алгоритмы шифрования 85

6.1 Симметричные алгоритмы. Шифры замены (Substitution) и перестановки(Permutation). 85

6.1.1 Шифры моноалфавитной замены. Шифр Вижинера 85

6.1.2 Шифры гомофонической замены 86

6.1.3 Шифрование перестановкой 86

6.1.4Исторические заметки. Энигма. 87

6.2 Симметричные алгоритмы. Блочные шифры. 87

6.2.1Алгоритм шифрования DES 87

6.2.2Режимы работы алгоритма DES, 3DES. 88

6.2.3Подмена шифра в режиме OFB 90

6.2.4 Сравнение некоторых симметричных алгоритмов шифрования 91

6.3 Ассиметричныеалгоритмы 91

6.3.1 Алгоритм RSA. Генерация ключей и функция шифрования 92

6.3.2 Алгритм Евклида. Расширенный алгоритм Евклида 94

6.4Алгоритмы шифрования в криптографических протоколах 96

6.4.1 Протокол передачи сообщений с использованием шифра - RSA 96

6.4.2.1 Протокол цифровой подписи 96

6.4.2.2Свойства HASH - функций 97

6.4.2.3Тестирование HASH–функций 98

6.4.2.2 АлгоритмDSA 100

6.4.3 Протокол защищенной передачи сообщений SSL 100

6.4.4 Пример протокола защищенной передачи сообщений SSL 107

6.4.4.1Самоподписанный сертификат 109

6.4.5 Алгори́тм Ди́ффи — Хе́ллмана 110

6.4.5 Алгори́тм ГОСТ Р 3410-2001 (Р3410-94 прежний вариант) 113

113

6.5 Основные положения стеганографии 116

6.5.1 Термины и определения 117

6.5.2 Требования 119

6.5.3 Приложения 119

6.5.4 Ограничения 120

6.5.5 Контейнеры 121

6.5.6 Методы сокрытия информации 122

6.5.7 Цифровые водяные знаки 123

6.5.8 Исторические заметки о стеганографических методах 124

6.6 Шифрование и кодирование 125

6.7. Криптография в платежных системах. 126

6.8. Вскрытие шифров простой замены. 126

6.8.1. Частотные характеристики открытого и шифртекста. 126

6.9. Датчики ПСЧ на основе неприводимых многочленов.Регистры сдвига с линейной обратной связью 128

6.10. Линейные конгруэнтные датчики ПСЧ 130

6.11. Метод Фибоначчи с запаздываниями (Lagged Fibonacci generator) 131

6.12. Потоковые шифры на основе датчиков ПСЧ. 133

6.13. ПроверкаПСЧнаслучайность 133

6.13. Программноеобеспечение 138

6.13.1.JDK (Java Development Kit) 138

6.13.1.OpenSSL 139

7. Модели безопасности основных ОС 139

7.1 Четырехуровневая модель. 140

7.2 Основные положения безопасности ОС 140

8 Администрирование сетей 141

8.1 Программирование межсетевых экранов 141

9. Алгоритмы аутентификации пользователей. 143

9.1 Базы учетных записей 144

9.2 Способы аутентификации 145

9.3 Протоколы аутентификации 145

9.4 Алгоритм рукопожатия (Handshake) 146

9.4.1 Аутентификация при помощи USNи ключа (рисунок вверху). 146

9.4.2 Аутентификация при помощи случайного числа и ключа (рисунок внизу). 146

9.4.3 Двухфакторная аутентификация 147

9.5 Биометрические и видео способы аутентификации 149

9.5.1 Алгоритмы сжатия видеоизображений. 149

10. Мнгоуровневая защита корпоративных сетей 149

10.1 Ключевые вопросы сетевой безопасности. 149

10.2 Роль межсетевых экранов в многоуровневой защите сетей 150

11. Защита информации в сетях 154

11.1 Основные положения защиты информации в сетях 154

11.2 безопасное подключение к Интернету. 157

12.Требования к системам защиты информации по ГОСТ Р 51624-2000. 164

12.1 Общие и функциональные требования 165

12.2 Практические методики обеспечения безопасности при внедрении и использовании устройств аппаратной защиты (HSM). 172

12.2.1 Введение 172

12.2.2 Аудит 173

12.2.3 Использование авторизационных функций и функций требующих доверенного состояния 174

12.2.4. Безопасность физических ключей 175

12.2.5. Безопасность смарт карт 175

12.2.6. Безопасность PIN кодов и паролей 176

12.2.7. Меры защиты зоны безопасности HSM 176

12.2.8 Управление ключами 177

12.2.9. Техническое обслуживание 179

12.2.10 Приложения на хосте 180

12.2.11. Обычная эксплуатация 180

12.2.12 Инспекционные процедуры 181

12.3 eToken 184

Литература основная 184

Литература дополнительная 185

Методические указания 187

ГОСТы 187

Ссылки на сайты. 187

Приложения 188

Приложение 1 Логарифмы вероятности биграмм в русском тексте 188

Приложение 2. Тестовые векторыдля алгоритма DES 189

Приложение 3.1: Требуется расшифровать текст зашифрованный шифром замены. Подсказка: речь идет о приобретении билетов в театр через Интернет. 190

Приложение 3.2: Требуется расшифровать текст зашифрованный шифром замены. Подсказка: речь идет о приглашении на конференцию. 191

Приложение 4: Требуется расшифровать текст (Задача заданная на олимпиаде учеников 9-го класса речь идет о создании некоторого шифра для мистической планеты) 192

Приложение 5 192

Неприводимые многочлены степени 3. 192

Глоссарий 195

Вопросы для самоконтроля 209

1. Основные понятия и определения

Развитие информационных и телекоммуникационных систем различного назначения (в первую очередь сети Интернет), а также электронный обмен ценной информацией, нуждающейся в защите, потребовали от специалистов, работающих в этой сфере, систематизировать и упорядочить основные требования и характеристики компьютерных систем в части обеспечения безопасности. Однако перед тем, как перейти к рассмотрению сформированных стандартов, нужно определить, что же такое безопасность.

Учитывая важность понятия, попробуем сформулировать его расширенное определение, в котором будут учтены последние международные и отечественные наработки в этой области. Итак, безопасность информации - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя. Такое определение наиболее полно учитывает главное назначение коммерческой информационной компьютерной системы - минимизация финансовых потерь, получение максимальной прибыли в условии реальных рисков.

Это положение особенно актуально для так называемых открытых систем общего пользования, которые обрабатывают закрытую информацию ограниченного доступа, не содержащую государственную тайну. Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране.

1.1 Определения и соглашенияпо гост р 51624-2000.

1.1.1 Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (по ГОСТ Р 51583).

1.1.2 Служебная тайна - защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная ин формация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости (по ГОСТ Р 51583).

1.1.3 Секретная информация - информация, содержащая сведения, отнесенные к государственной тайне.

1.1.4 Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (по ГОСТ Р 50922).

1.1.5 Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (по ГОСТ Р 50922).

1.1.6 Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003).

1.1.7 Автоматизированная система в защищенном исполнении - автоматизированная систе ма, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.

1.1.8 Интегрированная автоматизированная система - совокупность двух или более взаимоувязанных АС, в которой функционирование одной из них зависит от результатов функционирования другой (других) так, что эту совокупность можно рассматривать как единую АС (по ГОСТ 34.003).

1.1.9 Система защиты информации автоматизированной системы - совокупность всех технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации (по ГОСТ Р 51583).

1.1.10 Специальная проверка - проверка компонентов автоматизированной системы, осуществляемая с целью поиска и изъятия закладочного устройства (по ГОСТ Р 51583).

1.1.11 Специальные исследования (специсследования) - выявление с использованием контрольно-измерительной аппаратуры возможных технических каналов утечки защищаемой информации от основных и вспомогательных технических средств и систем и оценка соответствия зашиты информации требованиям нормативных документов по защите информации (по ГОСТ Р 51583).

1.1.12 Обработка информации - совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации (по ГОСТ Р 51275).

1.1.13 Техническое обеспечение автоматизированной системы - совокупность технических средств, используемых при функционировании АС (по ГОСТ 34.003).

1.1.14 Программное обеспечение автоматизированной системы - совокупность программ на носителях данных и программных документов, предназначенных для отладки, функционирования и проверки работоспособности АС (по ГОСТ 34.003).

1.1.15 Испытания - экспериментальное определение количественных и/или качественных характеристик свойств объекта испытаний как результата воздействия на него при его функционировании, при моделировании объекта и/или воздействий (по ГОСТ 16504).

1.1.16 Фактор, воздействующий на защищаемую информацию, - явление, действие или процесс, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней (по ГОСТ Р 51275).

1.1.17 Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, и/или несанкционированными и/или непреднамеренными воздействиями на нее.

1.1.18 Побочное электромагнитное излучение - электромагнитное излучение, возникающее при работе технических средств обработки информации (по ГОСТ Р 51275).

1.1.19 Электромагнитные наводки - токи и напряжения в токопроводящих элементах, электрические заряды или магнитные потоки, вызванные электромагнитным полем.

1.1.20 Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации) (по ГОСТ Р 51275).

1.1.21 Программная закладка - внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275).

1.1.22 Вирус - вредоносная программа, способная создавать свои копии или другие вредоносные программы и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия.

1.1.23 Класс защищенности автоматизированной системы - определенная совокупность требований по защите информации, предъявляемых к автоматизированной системе.