- •Курс "Методы и средства защиты информации"
- •Введение. Основные виды и источники атак на информацию
- •Современная ситуация в области информационной безопасности
- •Категории информационной безопасности
- •Абстрактные модели защиты информации
- •Обзор наиболее распространенных методов "взлома"
- •Комплексный поиск возможных методов доступа
- •Терминалы защищенной информационной системы
- •Получение пароля на основе ошибок администратора и пользователей
- •Получение пароля на основе ошибок в реализации
- •Социальная психология и иные способы получения паролей
- •Криптография
- •Классификация криптоалгоритмов
- •Симметричные криптоалгоритмы
- •Скремблеры
- •Блочные шифры
- •Общие сведения о блочных шифрах
- •Сеть Фейштеля
- •Блочный шифр tea
- •Aes : cтандарт блочных шифров сша c 2000 года
- •Общие сведения о конкурсе aes
- •Финалист aes – шифр mars
- •Ф иналист aes – шифр rc6
- •Ф иналист aes – шифр Serpent
- •Финалист aes – шифр TwoFish
- •Победитель aes – шифр Rijndael
- •Симметричные криптосистемы
- •Функции криптосистем
- •Алгоритмы создания цепочек
- •Методы рандомизации сообщений
- •Обзор методик рандомизации сообщений
- •Генераторы случайных и псевдослучайных последовательностей
- •Архивация
- •Общие принципы архивации. Классификация методов
- •Алгоритм Хаффмана
- •Алгоритм Лемпеля-Зива
- •Хеширование паролей
- •Общая схема симметричной криптосистемы
- •Асимметричные криптоалгоритмы
- •Общие сведения об асимметричных криптоалгоритмах
- •Алгоритм rsa
- •Технологии цифровых подписей
- •Механизм распространения открытых ключей
- •Обмен ключами по алгоритму Диффи-Хеллмана
- •Общая схема асимметричной криптосистемы
- •Сетевая безопасность
- •Атакуемые сетевые компоненты
- •Сервера
- •Рабочие станции
- •Среда передачи информации
- •Узлы коммутации сетей
- •Уровни сетевых атак согласно модели osi
- •По и информационная безопасность
- •Обзор современного по
- •Операционные системы
- •Прикладные программы
- •Ошибки, приводящие к возможности атак на информацию
- •Основные положения по разработке по
- •Комплексная система безопасности
- •Классификация информационных объектов
- •Классификация по требуемой степени безотказности
- •Классификация по уровню конфиденциальности
- •Требования по работе с конфиденциальной информацией
- •Политика ролей
- •Создание политики информационной безопасности
- •Методы обеспечения безотказности
- •Список литературы
Комплексная система безопасности
5.1. Классификация информационных объектов Обрабатываемые данные могут классифицироваться согласно различным категориям информационной безопасности : требованиям к их доступности (безотказности служб), целостности, конфиденциальности.
5.2. Политика ролей Ролями называются характерные наборы функций и степени отвественности, свойственные теми или иными группами лиц. Четкое определение ролей, классификация их уровней доступа и ответственности, составление списка соответствия персонала тем или иным ролям делает политику безопасности в отношении рабочих и служащих предприятия четкой, ясной и легкой для исполнения и проверки.
5.3. Создание политики информационной безопасности Методика создания политики безопасности предприятия состоит из учета основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и генеральной стоимости проекта.
5.4. Методы обеспечения безотказности Безотказность сервисов и служб хранения данных достигается с помощью систем самотестирования и внесения избыточности на различных уровнях : аппаратном, программном, информационном.
Классификация информационных объектов
5.1.1. Классификация по требуемой степени безотказности От различных типов данных требуется различная степень безотказности доступа. Тратить большие деньги на системы безотказности для не очень важной информации невыгодно и даже убыточно, но нельзя и неправильно оценивать действительно постоянно требуемую информацию – ее отсутствие в неподходящий момент также может принести значительные убытки.
5.1.2. Классификация по уровню конфиденциальности Классификация по степени конфиденциальности – одна из основных и наиболее старых классификаций данных. Она применялась еще задолго до появления вычислительной техники и с тех пор изменилась незначительно.
5.1.3. Требования по работе с конфиденциальной информацией Различные классы конфиденциальной информации необходимо снабжать различными по уровню безопасности системами технических и административных мер.
Классификация по требуемой степени безотказности
Безотказность, или надежность доступа к информации, является одной из категорий информационной безопасности. Предлагается следующая схема классификации информации на 4 уровня безотказности.
Параметр |
класс 0 |
класс 1 |
класс 2 |
класс 3 |
Максимально возможное непрерывное время отказа |
1 неделя |
1 сутки |
1 час |
1 час |
В какое время время отказа не может превышать указанное выше ? |
в рабочее |
в рабочее |
в рабочее |
24 часа в сутки |
Средняя вероятность доступности данных в произвольный момент времени |
80% |
95% |
99.5% |
99.9% |
Среднее максимальное время отказа |
1 день в неделю |
2 часа в неделю |
20 минут в неделю |
12 минут в месяц |
Классификация по уровню конфиденциальности
Уровень конфиденциальности информации является одной из самых важных категорий, принимаемых в рассмотрение при создании определенной политики безопасности учреждения. Предлагается следующая схема классификации информации на 4 класса по уровню ее конфиденциальности.
Класс |
Тип информации |
Описание |
Примеры |
0 |
открытая информация |
общедоступная информация |
информационные брошюры, сведения публикававшиеся в СМИ |
1 |
внутренняя информация |
информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии |
финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы |
2 |
конфиденциальная информация |
раскрытие информации ведет к значительным потерям на рынке |
реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм |
3 |
секретная информация |
раскрытие информации приведет к финансовой гибели компании |
(зависит от ситуации) |