- •Затверджую
- •Опорний конспект лекцій з курсу
- •1. Основні етапи історії розвитку інформаційної безпеки. 33
- •Лекція №1. Вступ. Предмет захисту. Проблеми безпечної діяльності. Визначення та загальні властивості інформації
- •1. Предмет захисту
- •1.1. Проблеми безпечної діяльності
- •1.2. Визначення та загальні властивості інформації
- •Контрольні запитання
- •Лекція №2. Вступ. Предмет захисту. Цінність та класифікація інформації
- •1.3. Цінність та класифікація інформації
- •Контрольні запитання
- •Лекція №3. Вступ. Предмет захисту. Проблеми захисту інформації
- •1.4. Проблеми захисту інформації
- •1.5. Предмет захисту інформації
- •1.6. З історії зі
- •Контрольні запитання
- •Лекція №4. Вступ. Предмет захисту. Проблеми захисту інформації
- •Контрольні запитання
- •1. Хто, від кого чи від чого, як і яку інформацію має захищати?
- •2. Зміст основних етапів історії розвитку інформаційної безпеки.
- •3. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте. Лекція №5. Нормативно-законодавча база із захисту інформації. Проблеми створення стандартів з зі
- •2. Нормативно-законодавча база із захисту інформації
- •2.1. Проблеми створення стандартів з зі
- •2.2. Огляд стандартів з захисту інформації
- •Контрольні запитання
- •Лекція №6. Нормативно-законодавча база із захисту інформації. Єдині критерії безпеки інформаційних технологій
- •Контрольні запитання
- •Лекція №7. Нормативно-законодавча база із захисту інформації. Законодавчі акти і нормативні документи України щодо зі
- •2.3. Законодавчі акти і нормативні документи України щодо зі
- •Контрольні запитання
- •Лекція №8. Нормативно-законодавча база із захисту інформації. Державний стандарт (Критерії) України з зі
- •2.4. Державний стандарт (Критерії) України з зі
- •Контрольні запитання
- •Лекція №9. Організаційно-технічні заходи щодо забезпечення захисту інформації. Класифікація засобів забезпечення безпеки ас
- •3. Організаційно-технічні заходи щодо забезпечення захисту інформації
- •3.1. Класифікація засобів забезпечення безпеки ас
- •3.2. Організаційні заходи
- •3.3. Служба безпеки
- •Контрольні запитання
- •Лекція №10. Організаційно-технічні заходи щодо забезпечення захисту інформації. Технічне забезпечення безпеки інформації
- •3.4. Технічне забезпечення безпеки інформації
- •3.5. Технічні канали витоку інформації
- •Канали витоку інформації.
- •4.2. Канали витоку інформації
- •Контрольні запитання
- •Лекція №12. Захист інформації від несанкціонованого доступу. Поняття загрози інформації
- •4.3. Поняття загрози інформації
- •4.4. Моделі загроз та порушника
- •Контрольні запитання
- •Лекція №13. Захист інформації від несанкціонованого доступу. Причини порушення безпеки
- •4.5. Причини порушення безпеки
- •4.5. Віруси як засіб атаки на кс
- •Контрольні запитання
- •Лекція №14. Захист інформації від несанкціонованого доступу. Віруси як засіб атаки на кс
- •Правила, що запобігають появі та поширенню комп‘ютерних вірусів
- •Дії при заражені комп‘ютерним вірусом
- •5.2. Ідентифікація та автентифікація
- •Контрольні запитання
- •Лекція №16. Механізми захисту інформації від нсд. Біометрична ідентифікація
- •Контрольні запитання
- •Лекція №17. Механізми захисту інформації від нсд. Вступ до криптології
- •5.3. Вступ до криптології
- •Контрольні запитання
- •Лекція №18. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №19. Механізми захисту інформації від нсд. Вступ до криптології
- •Контрольні запитання
- •Лекція №20. Окремі питання захисту інформації від нсд. Особливості зі від нсд в локальних обчислювальних мережах
- •6. Окремі питання захисту інформації від нсд
- •6.1. Особливості зі від нсд в локальних обчислювальних мережах
- •6.2. Зі від нсд в базах даних
- •6.3. Зі при організації конфіденційного зв’язку
- •6.4. Захист програмного забезпечення
- •Контрольні запитання
- •Лекція №21. Проблеми безпеки корпоративних інформаційних систем. Підходи щодо вирішення проблеми забезпечення безпеки
- •7. Проблеми безпеки корпоративних інформаційних систем
- •7.1. Підходи щодо вирішення проблеми забезпечення безпеки
- •7.2. Недоліки у сфері захищеності служб і протоколів Internet
- •Контрольні запитання
- •Лекція №22. Проблеми безпеки корпоративних інформаційних систем. Модель корпоративної мережі
- •7.3. Модель корпоративної мережі
- •7.4. Принципи побудови підсистеми інформаційної безпеки
- •Контрольні запитання
- •Лекція №24. Особливості процесів обробки інформації в іс дпс. Розвиток інформаційної інфраструктури
- •8.2. Розвиток інформаційної інфраструктури
- •8.3. Особливості податкової інформації
- •Контрольні запитання
- •Лекція №25. Особливості процесів обробки інформації в іс дпс. Підсистема інтегрованого електронного документообігу
- •8.4. Підсистема інтегрованого електронного документообігу
- •8.5. Електронна пошта
- •Контрольні запитання
- •Лекція №26. Політика інформаційної безпеки. Поняття політики безпеки
- •9. Політика інформаційної безпеки
- •9.1. Поняття політики безпеки
- •9.2. Види політик безпеки
- •Контрольні запитання
- •Лекція №27. Політика інформаційної безпеки. Загальний зміст політики інформаційної безпеки
- •9.3. Загальний зміст політики інформаційної безпеки
- •Контрольні запитання
- •Лекція №28. Політика інформаційної безпеки. Внутрішня політика безпеки організації дпс
- •9.4. Внутрішня політика безпеки організації дпс
- •9.4.1. Правила розмежування доступу
- •9.4.2. Внутрішня політика безпеки організації дпс
- •9.4.3. Політика оцінки ризику
- •9.4.4. Політика пароля
- •9.4.5. Політика антивірусного захисту
- •9.4.6. Політика етики
- •9.4.7. Політика адміністрування
- •Контрольні запитання
- •Перелік термінів
- •Література
- •Додаткова література
1.6. З історії зі
Проблеми захисту інформації хвилювали людство з незапам'ятних часів. Необхідність захисту інформації виникла з потреб таємної передачі як військових, так й дипломатичних повідомлень. Наприклад, античні спартанці шифрували свої військові повідомлення. У китайців простий запис повідомлення за допомогою ієрогліфів відразу робив його таємним для чужоземців.
Для позначення всієї області таємницею (секретного) зв'язку використовується термін «криптологія», що походить від грецьких коренів «cryptos» – таємний й «logos» – повідомлення. Криптологія досить чітко може бути розділена на два напрямки: криптографію й криптоаналіз. Задача криптографа – забезпечити конфіденційність (таємність) й автентичність (дійсність) переданих повідомлень. Задача криптоаналітика – «зламати» систему захисту, розроблену криптографами. Він намагається розкрити зашифрований текст чи видати підроблене повідомлення за справжнє.
Перші канали зв'язку були дуже простими. Їх організовували використовуючи надійних кур'єрів. Безпека таких систем зв'язку залежала як від надійності кур'єра, так і від його здатності не попадати в ситуації, при яких могло мати місце розкриття повідомлення. Створення сучасних комп'ютерних систем та поява глобальних комп'ютерних мереж радикально змінило характер і діапазон проблем захисту інформації. У широко комп'ютеризованому та інформатизованому сучасному суспільстві володіння реальними цінностями, керування ними, передача цінностей чи доступ до них часто засновані на неупредметненій інформації, тобто на інформації, існування якої не обов'язково зв'язується з яким-небудь записом на фізичному носії. Аналогічним чином іноді визначаються і повноваження фізичних та юридичних осіб на використання, модифікацію, копіювання, що має велике значення для конфіденційної інформації. Тому дуже важливо створювати і застосовувати ефективні засоби для реалізації всіх необхідних функцій, зв'язаних із забезпеченням конфіденційності і цілісності інформації. Оскільки інформація може бути дуже цінною чи особливо важливою, можливі різноманітні зловмисні дії стосовно комп'ютерних систем, що зберігають, обробляють чи передають таку інформацію. Наприклад, порушник може спробувати видати себе за іншого користувача системи, підслухати канал зв'язку чи перехопити і змінити інформацію, якою обмінюються користувачі системи. Порушником може бути і користувач системи, що відмовляється від повідомлення, у дійсності сформованого ним, або який намагається затверджувати, що їм отримане повідомлення, що у дійсності не передавалося. Він може спробувати розширити свої повноваження, щоб одержати доступ до інформації, до якої йому наданий тільки частковий доступ, чи спробувати зруйнувати систему, несанкціоновано змінюючи права інших користувачів.
Для вирішення зазначених та інших подібних проблем не існує якогось одного технічного прийому чи засобу. Але загальним у рішенні багатьох з них є використання криптографії і криптоподібних перетворень інформації. Протягом більш ніж тисячолітньої історії криптографії вона представляла собою набір технічних прийомів шифрування і розшифрування, що зберігалися в строгому секреті та постійно обновлялися й удосконалювалися.
Період розвитку криптології з древніх часів до 1949 р. прийнято називати ерою донаукової криптології, оскільки досягнення тих часів були засновані на інтуїції і не підкріплювалися доказами. Криптологією займалися тоді майже винятково як мистецтвом, а не як наукою. Звичайно, це не означає, що історія криптології тих часів не представляє для нас ніякого інтересу. Більш 2000 років тому Юлій Цезар писав Ціцерону і друзям у Римі, використовуючи шифр, тепер названий його ім'ям. Лише з початком другої світової війни криптологічні служби воюючих держав усвідомили, що математики можуть внести вагомий вклад у розвиток криптології. Зокрема, в Англії в цей час був покликаний на службу як фахівець з криптології Алан Тьюринг.
Публікація в 1949 р. статті К.Шеннона «Теорія зв'язку в секретних системах» стала початком нової ери наукової криптології із секретними ключами. У цій блискучій роботі Шеннон зв'язав криптографію з теорією інформації. Із середини сімдесятих років (у зв'язку з винаходом систем з відкритим ключем) криптографія не тільки перестала бути секретним набором прийомів шифровання-розшифрування, але і почала оформлятися в нову математичну теорію. За останні двадцять років відбулося значне підвищення активності в області розвитку криптографії і її застосувань для рішення проблем захисту інформації. Це викликано широким визнанням крайньої необхідності в засобах забезпечення захисту інформації у всіх областях діяльності широко інформатизованого людського співтовариства й обумовлено появою таких нових фундаментальних ідей, як асиметрична (з відкритим ключем) криптографія, доказово стійкі протоколи, надійність яких заснована на гарантованій складності рішення математичних задач і т.д.
У криптографічній системі перетворення шифрування може бути симетричним чи асиметричним щодо перетворення розшифрування. Відповідно розрізняють два класи криптосистем:
•симетричні одноключові криптосистеми (із секретним ключем);
•асиметричні двоключові криптосистеми (з відкритим ключем).
Сучасні симетричні одноключові криптоалгоритми базуються на принципах, викладених у згаданій роботі Шеннона (1949 р.). До них відносяться закордонні криптоалгоритми DES, IDEA і криптоалгоритм, описаний у стандарті Росії ГОСТ 28147-89. Схеми реалізації цих криптоалгоритмів відкрито опубліковані і ретельно проаналізовані багатьма дослідниками. У цих криптосистемах секретним є тільки ключ, за допомогою якого здійснюється шифрування і розшифрування інформації. Дані криптосистеми можуть використовуватися не тільки для шифрування, але і для перевірки дійсності (автентифікації) повідомлень.
Появі нового напрямку в криптології – асиметричної криптографії з відкритим ключем – сприяли дві проблеми, що не удавалося вирішити в рамках класичної симетричної одноключової криптографії. Перша з цих проблем зв'язана з поширенням секретних ключів. Наявність секретного ключа, відомого тільки одержувачу повідомлення і його відправнику, сторіччями вважалося неодмінною умовою безпечної передачі інформації. Але при використанні симетричних криптосистем із секретними ключами вимагають рішення наступні питання. Як передати учасникам обміну інформацією змінні секретні ключі, що необхідні йому для виконання цього обміну? Як учасники обміну зможуть переконатися в цілісності того, що вони одержали? Друга з цих проблем зв'язана з формуванням електронного цифрового підпису. Наприкінці листа чи іншого авторизованого документа відправник звичайно ставить свій підпис. Подібна дія переслідує дві цілі: по-перше, одержувач може переконатися в дійсності листа, звіривши підпис з наявним у нього зразком; по-друге, особистий підпис є юридичним гарантом авторства документа. Цей аспект особливо важливий при висновку різного роду торгових угод, складанні зобов'язань, доручень і т.д. Підробити підпис людини на папері зовсім не просто, а скопіювати ланцюжок цифр на ЕОМ – нескладна операція. Як у такому випадку гарантувати дійсність і авторство електронних повідомлень? У той же час існує багато додатків, що вимагають достовірного цифрового підпису для цифрової інформації, яка б виконувала всі ті задачі, що виконує підпис, поставлений на документі рукою. Обидві ці проблеми здавалося відносяться до тих, що важко розв'язуються. Але вони були успішно вирішені за допомогою криптографії з відкритими ключами. В опублікованій у 1976 р. статті «Нові напрямки в криптографії» У.Діффі і М.Хеллман уперше показали, що секретний зв'язок можливий без передачі секретного ключа між відправником і одержувачем.
В асиметричних криптосистемах з відкритим ключем використовуються два ключі, принаймні, один із яких неможливо обчислити з іншого. Один ключ використовується відправником для шифрування інформації; інший – одержувачем для розшифрування одержуваних шифртекстів. Звичайно в додатках один ключ повинен бути несекретним, а інший – секретним.
Якщо ключ розшифрування неможливо одержати з ключа зашифрування за допомогою обчислень, то таємність інформації, зашифрованої на несекретному (відкритому) ключі, буде забезпечена. Однак цей ключ повинен бути захищений від підміни чи модифікації, інакше відправник може бути обдуреним і буде виконувати зашифрування на підробленому ключі, відповідний ключ розшифрування якого відомий супротивнику. Для того щоб забезпечити закриття інформації, ключ розшифрування одержувача повинен бути секретним і фізично захищеним від підміни. Так працює канал забезпечення конфіденційності (таємності) інформації. Якщо ж, навпаки, обчислювально неможливо одержати ключ шифрування з ключа розшифрування, то ключ розшифрування може бути несекретним, а секретний ключ шифрування можна використовувати для формування електронного цифрового підпису під повідомленням. У цьому випадку, якщо результат розшифрування цифрового підпису містить автентифікаціійну інформацію (заздалегідь погоджену законним відправником інформації з потенційним одержувачем), цей підпис засвідчує цілісність повідомлення, отриманого від відправника. Так працює канал автентифікації повідомлення.
Крім задачі автентифікації повідомлення в проблемі автентифікації можна виділити ще дві:
•задачу автентифікації користувача – користувач, що звертається до ресурсів комп'ютерної системи, є саме тим, за кого він себе видає?
•задачу взаємної автентифікації абонентів мережі в процесі встановлення з'єднання між ними.
Обидві ці задачі також успішно вирішуються з залученням криптографічних методів і засобів.
Поява нових інформаційних технологій і інтенсивний розвиток комп'ютерних мереж привертає усе більшу увагу користувачів до глобальної мережі Internet. Багато компаній і організацій підключають сьогодні свої локальні мережі до мережі Internet, щоб скористатися її ресурсами і перевагами. Бізнесмени і державні організації використовують Internet у різних цілях, включаючи обмін електронною поштою, поширення інформації серед зацікавлених осіб і т.п. Підключення до Internet дає великі переваги, однак при цьому виникають серйозні проблеми з забезпеченням інформаційної безпеки при підключенні локальної чи корпоративної мереж. Через відкритість своєї ідеології Internet надає зловмисникам багато можливостей для вторгнення у внутрішні мережі підприємств і організацій з метою розкрадання, перекручування чи руйнування важливої і конфіденційної інформації. Рішення задач по захисту внутрішніх мереж від найбільш ймовірних атак через Internet може бути покладене на міжмережеві екрани, що іноді називаються брандмауерами або firewall.
Проте однієї криптографії для захисту інформації недостатньо. Отже, глянемо на історію з більш загальної позиції. Як виявилося, для вирішення проблем інформаційної безпеки необхідно створювати системи захисту інформації (СЗІ).