- •Основні теоретичні поняття криптології План
- •Основні терміни, визначення та предмет науки «криптологія»
- •Криптоаналіз
- •1 Основні терміни, визначення та предмет науки «криптологія»
- •2 Криптоаналіз
- •Контрольні запитання
- •Список літератури
- •Шифри перестановки План
- •2 Таблиці для шифрування
- •2.1 Таблиці для шифрування. Проста перестановка
- •2.2 Таблиці для шифрування. Одиночна перестановка по ключу
- •2.3 Таблиці для шифрування. Подвійна перестановка
- •2.4 Застосування магічних квадратів
- •Список літератури
- •Шифри простої заміни План
- •1 Полібіанський квадрат
- •2 Система шифрування Цезаря
- •Криптоаналіз шифру Цезаря
- •3 Аффінна система підстановок Цезаря
- •4 Система Цезаря із ключовим словом
- •5 Таблиці Трисемуса
- •Криптографічний аналіз системи одноалфавітної заміни
- •6 Біграмний шифр Плейфейра
- •7 Криптосистема Хілла
- •8 Система омофонів
- •Додаток а
- •Список літератури
- •Шифри складної заміни План
- •1 Шифр Гронсфельда
- •Криптоаналіз шифру Гронсфельда
- •2 Система шифрування Віженера
- •3 Шифр “Подвійний квадрат Уітстона”
- •4 Одноразова система шифрування
- •5 Шифрування методом Вернама
- •6 Роторні машини
- •7 Шифрування методом гамірування
- •Список літератури
- •Блочні шифри План
- •1 Алгоритм des
- •1 Алгоритм des
- •Обчислення значень ключів
- •Аналіз ефективності алгоритму des
- •Список літератури
- •Асиметричні криптосистеми План
- •Керування ключами План
- •1 Алгоритм шифрування Діффі - Хеллмана
- •Керування ключами
- •1 Алгоритм шифрування Діффі - Хеллмана
- •Контрольні питання
- •Список літератури
- •Криптографічні протоколи План
- •Контрольні запитання
- •Список літератури
- •Ідентифікація та перевірка істинності План
- •Інформаційна безпека План
- •1.2 Основні складові інформаційної безпеки
- •1.3 Важливість і складність проблеми інформаційної безпеки
- •2 Розповсюдження об’єктно-орієнтованого підходу на інформаційну безпеку.
- •2.1 Про необхідність об’єктно-орієнтованого підходу до інформаційної безпеки
- •2.2 Основні поняття об’єктно-орієнтованого підходу
- •2.3 Вживання об’єктно-орієнтованого підходу до розгляду систем, що захищаються
- •2.4 Недоліки традиційного підходу до інформаційної безпеки з об’єктної точки зору
- •2.5 Основні визначення і критерії класифікації загроз
- •Контрольні запитання
- •Список літератури
- •Інформаційна безпека Найпоширеніші загрози План
- •1 Найпоширеніші загрози доступності
- •1 Найпоширеніші загрози доступності
- •2 Деякі приклади загроз доступності
- •3 Шкідливе програмне забезпечення
- •4 Основні загрози цілісності
- •5 Основні загрози конфіденційності
- •Список літератури
- •1.2 Механізми безпеки
- •1.3 Класи безпеки
- •2 Інформаційна безпека розподілених систем. Рекомендації X.800
- •2.1 Мережні сервіси безпеки
- •2.2 Мережні механізми безпеки
- •2.3 Адміністрування засобів безпеки
- •3 Стандарт iso/iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •3.1 Основні поняття
- •3.2 Функціональні вимоги
- •3.3 Вимоги довір’я безпеці
- •4 Гармонізовані критерії європейських країн
- •5 Інтерпретація "Оранжевої книги" для мережних конфігурацій
- •Список літератури
- •Інформаційна безпека Управління ризиками План
- •2 Підготовчі етапи управління ризиками
- •3 Основні етапи управління ризиками
- •Список літератури
5 Основні загрози конфіденційності
Конфіденційну інформацію можна розділити на наочну і службову. Службова інформація (наприклад, паролі користувачів) не відноситься до певної наочної області, в інформаційній системі вона грає технічну роль, але її розкриття особливо небезпечне, оскільки воно чревате отриманням несанкціонованого доступу до всієї інформації, у тому числі наочної.
Навіть якщо інформація зберігається в комп’ютері або призначена для комп’ютерного використовування, загрози її конфіденційності можуть носити некомп’ютерний і взагалі нетехнічний характер.
Багатьом людям доводиться виступати як користувачі не однієї, а цілого ряду систем (інформаційних сервісів). Якщо для доступу до таких систем використовуються багаторазові паролі або інша конфіденційна інформація, то напевно ці дані зберігатимуться не тільки в голові, але і в записнику або на листках паперу, які користувач часто залишає на робочому столі, а то і просто втрачає. І справа тут не в неорганізованості людей, а в початковій непридатності парольної схеми. Неможливо пам’ятати багато різних паролів; рекомендації по їх регулярній (по можливості - частої) зміні тільки усугубляють положення, примушуючи застосовувати нескладні схеми чергування або взагалі прагнути звести справу до двох-трьом паролів, що легко запам’ятовуються (і так же легко вгадуваним).
Описаний клас вразливих місць можна назвати розміщенням конфіденційних даних в середовищі, де ним не забезпечений (часто - і не може бути забезпечена) необхідний захист. Загроза ж полягає в тому, що хтось не відмовиться взнати секрети, які самі просяться в руки. Крім паролів, що зберігаються в записниках користувачів, в цей клас потрапляє передача конфіденційних даних у відкритому вигляді (в розмові, в листі, по мережі), яка робить можливим перехоплення даних. Для атаки можуть використовуватися різні технічні засоби (підслуховування або прослуховування розмов, пасивне прослуховування мережі і т.п.), але ідея одна - здійснити доступ до даних в той момент, коли вони якнайменше захищені.
Загрозу перехоплення даних слід брати до уваги не тільки при початковому конфігуруванні ІС, але і, що дуже важливе, при всіх змінах. Вельми небезпечною загрозою є... виставки, на які багато організацій, недовго думаючи, відправляють устаткування з виробничої мережі, зі всіма даними, що зберігаються на них. Залишаються колишніми паролі, при видаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть в межах захищеної мережі організації; в з’єднаній мережі виставки - це дуже суворе випробування чесності всіх учасників.
Ще один приклад зміни, про яку часто забувають, - зберігання даних на резервних носіях. Для захисту даних на основних носіях застосовуються розвинені системи управління доступом; копії ж нерідко просто лежать в шафах і дістати доступ до них може багато хто.
Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсно є критичною, а дані передаються по багатьох каналах, їх захист може виявитися вельми складним і дорогим. Технічні засоби перехоплення добре пропрацювали, доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може хто завгодно, так що цю загрозу потрібно брати до уваги по відношенню не тільки до зовнішніх, але і до внутрішніх комунікацій.
Крадіжки устаткування є загрозою не тільки для резервних носіїв, але і для комп’ютерів, особливо портативних. Часто ноутбуки залишають без нагляду на роботі або в автомобілі, іноді просто втрачають.
Небезпечною нетехнічною загрозою конфіденційності є методи морально-психологічної дії, такі як маскарад - виконання дій під виглядом особи, що володіє повноваженнями для доступу до даних (див., наприклад, статтю Айре Вінклера "Завдання: шпигунство" в Jet Info, 1996, 19).
До неприємних загроз, від яких важко захищатися, можна віднести зловживання повноваженнями. На багатьох типах систем привілейований користувач (наприклад системний адміністратор) здатний прочитати будь-який (незашифрований) файл, дістати доступ до пошти будь-якого користувача і т.д. Інший приклад - нанесення збитку при сервісному обслуговуванні. Звичайно сервісний інженер дістає необмежений доступ до устаткування і має нагоду діяти в обхід програмних захисних механізмів.
Такі основні загрози, які завдають найбільшого збитку суб’єктам інформаційних відносин.