10. Основные понятия информационной безопасности. Классификация угроз.

Конфиденциальность – гарантия того, что секретные данные будут доступны только тем

пользователям, которым этот доступ разрешен (авторизованным).

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность – гарантия сохранения данными правильных (не искаженных) значений.

Угроза – любое действие направленное на нарушение конфиденциальности, целостности и,или доступности данных.

Атака – реализованная угроза

Риск – вероятностная оценка величины возможного ущерба в результате успешной атаки

Универсальной классификации угроз не существует!

Неумышленные угрозы и умышленные угрозы.

Неумышленные угрозы – вызываются ошибочными действиями персонала

Умышленные угрозы - Незаконное проникновение в один из компьютеров под видом легального пользователя:

• Разрушение системы с помощью программ-вирусов

• Нелегальные действия легального пользователя

• «подслушивание» внутрисетевого трафика

10. Системный подход к обеспечению информационной безопасности. Политика информационной безопасности.

Системный подход к обеспечению безопасности:

• Морально-этические средства защиты

• Законодательные средства защиты

• Административные меры

• Психологические меры безопасности

• Физические средства безопасности

• Технические средства безопасности

Политика безопасности:

• Какую информацию защищать

• Какой ущерб понесет предприятие при потере или раскрытии тех или иных данных

• Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты

• Какие средства использовать для защиты каждого вида информации

Базовые принципы политики безопасности:

• Предоставление каждому сотруднику того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.

• Комплексный подход к обеспечению безопасности

• Баланс надежности защиты всех уровней

• Использование средств, которые при отказе переходят в состояние максимальной защиты.

• Единый контрольно-пропускной пункт (firewall)

• Баланс возможного ущерба от реализации угроз и затрат на ее предотвращение

Политика доступа к сетевым службам Интернет:

• Определение списка служб Интернет к которым пользователь внутренней сети должен иметь ограниченный доступ

• Определение ограничений на методы доступа, например, на использование протоколов SLIP и РРР

• Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть. Если да, то кому. Часто это только электронная почта.

• Физическое отделение сети Интернет от внутренней сети предприятия

Политика доступа к ресурсам внутренней сети:

• Запрещать все, что не разрешено в явной форме

• Разрешать все, что не запрещено в явной форме

10. Базовые технологии информационной безопасности.

• Шифрование

• Аутентификация, авторизация, аудит

• Технология защищенного канала

Шифрование

• Криптосистема – пара процедур: шифрование и дешифрование

• Секретный ключ. Стойкость шифра определяется только секретностью ключа.

• Алгоритм шифрования считается раскрытым, если найдена процедура, позволяющая подобрать ключ за реальное время.

Классы криптосистем

• Симметричные (классическая криптография) – секретный ключ зашифровки совпадает с секретным ключом расшифровки

• Ассиметричные (криптография с открытым ключом) – открытый ключ зашифровки не совпадает с секретным ключом расшифровки

Симметричные алгоритмы шифрования

Модель симметричного шифрования (Клод Шеннон)

Алгоритм DES (Data Encryption Standard)

В системе с N абонентами для обмена каждый с каждым необходимо N*(N-1)/2 ключей.

Количество ключей пропорционально квадрату количества абонентов

Несимметричные

• В 70-х годах Винфилд Диффи и Мартин Хеллман

• Пара уникальных ключей: текст зашифрованный одним ключом, может быть расшифрован только с использованием второго ключа и наоборот

Криптоалгоритм RSA (Rivest, Shamir, Adleman)

1.Случайно выбираются два очень больших числа p и q

2.Вычисляются два произведения n=p*q и m=(p-1)*(q-1)

3.Выбирается случайное целое число Е не имеющее общих сомножителей с m

4.Находится D, такое, что DE=1 по модулю m

5.Исходный текст, X, разбивается на блоки таким образом, чтобы 0 < X < n

6.Для шифрования сообщения необходимо вычислить C=X в степени E по модулю n

7.Для дешифрования вычисляется X=C в степени D по модулю n

Таким образом, чтобы зашифровать сообщение необходимо знать пару чисел (E, n), а чтобы дешифрировать – пару чисел (D, n). Первая пара это открытый ключ, а вторая – закрытый.

Криптостойкость RSA- Зная закрытый ключ, можно вычислить значение закрытого ключа. Необходимое промежуточное действие нахождение чисел p и q, для чего нужно разложить на простые множители очень большое число n. Для того, чтобы найти разложение 200-значного числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду.

Сравнительные характеристики DES и RSA

• Скорость шифрования высокая низкая

• Используемая функция шифрования перестановка и подстановка возведение в степень

• Длина ключа 56 бит более 500 бит

• Наименее затратный криптоанализ перебор по всему ключевому пространству Разложение числа на простые множители

• Время генерации ключа миллисекунды минуты

• Тип ключа симметричный Ассиметричный

Односторонние функции шифрования (ОФШ)

Эта функция, примененная к шифруемым данным, даст в результате значение (дайджест), состоящее из фиксированного небольшого числа байт. Дайджест передается вместе с исходным сообщением. Получатель, зная ОФШ, заново вычисляет его по незашифрованной части. При совпадении искажений не было.

Два условия ОФШ

По дайджесту, вычисленному с помощью данной функции, невозможно каким-либо образом вычислить исходное сообщение.

Отсутствует возможность вычисления двух разных сообщений, для которых с помощью данной функции могли бы быть вычислены одинаковые дайджесты

Аутентификация

Аутентификация – предотвращение доступа к сети нежелательных лиц.

В процедуре аутентификации участвуют две стороны: одна предъявляет, другая проверяет

Доказательства аутентичности:

- Знание пароля или факта

- Владение доступом (магнитная карта и пр.)

- Биохарактеристики

Авторизация

Контроль доступа легальных пользователей к ресурсам системы, с предоставлением разрешенных прав

Системы доступа:

Избирательные права доступа – определяются идентификатором пользователя и назначаются администраторами или владельцем

Мандатный доступ – вся информация делится на уровни, а пользователи на группы, в соответствии с правами доступ. Дополнительно определяется форма допуска.

Схемы авторизации

• Централизованная схема авторизации, базирующаяся на сервере

• Децентрализованная схема, базирующаяся на рабочих станциях

• Комбинированный подход

Аудит

Фиксация в системном журнале событий, связанных с доступом к защищенным системным ресурсам Достаточность аудита (избыточный аудит сильно замедляет работу системы)

Технология защищенного канала

Защита внутри компьютера, защита в процессе передачи данных от одного компьютера к другому Технология защищенного канала обеспечивает безопасность передачи данных по открытой транспортной сети.

Функции ТЗК

Взаимная аутентификация абонентов при установлении соединения (например обмен

паролями).

Защита передаваемых по каналу сообщений от несанкционированного доступа (шифрование).

Подтверждение целостности поступающих по каналу сообщений (передача с сообщением его дайджеста).

VPN

Совокупность защищенных каналов, созданных организацией в публичной сети для

объединения своих филиалов, называют виртуальной частной сетью (Virtual Private

Network, VPN)

Технологии защищенного канала могут реализовываться на различных уровнях модели

ОSI (SSL представительный уровень, IP транспортный уровень, РРТР (туннелирование)

канальный уровень)

Две схемы ТЗК

• С конечными узлами, взаимодействующими через публичную сеть.

• С оборудованием поставщика услуг публичной сети, расположенному на границе между частной и публичной сетями.