- •2 Информационная безопасность системы. Базовые понятия: угроза, уязвимость, атака. Виды угроз.
- •3 Характеристики информации. Задача информационной безопасности.
- •1 Понятие информационной безопасности и основные проблемы.
- •4 Способы обеспечения защиты: законодательные, административные, технические. Основные механизмы и службы защиты.
- •I. Подсистема управления доступом.
- •II. Криптографическая подсистема.
- •III. Подсистема регистрации и учёта.
- •IV. Подсистема контроля целостности.
- •5 Теоретические основы информационной безопасности. Криптографические методы закрытия информации. Кодирование и шифрование.
- •6 Криптография. Основные понятия. Правило Кирхгоффа. Классификация методов шифрования. Ключевое пространство.
- •8 Гаммирование. Общее понятие и применение.
- •С одноразовым ключом.
- •С конечным ключом – ключ короче текста.
- •7 Криптография: симметричные и асимметричные алгоритмы. Принцип действия, пример.
- •11. Алгоритм rsa.
- •9 Гост 28147-89. Ключевая информация. Основной шаг криптоприобразования.
- •10 Генераторы случайных чисел: типы, применение. Число инициализации.
- •10. Гост 28147-89. Режимы шифрования. Достоинства и недостатки. Имитовставка: понятие и применение.
- •Простая замена.
- •Гаммирование.
- •Гаммирование с обратной связью.
- •12. Pgp. Принцип функционирования. Свойства ключа.
3 Характеристики информации. Задача информационной безопасности.
Информацией являются любые данные, находящиеся в памяти вычислительной системы, любые сообщения, пересылаемые по СЕТИ или хранящиеся на носителях. Информация - любой результат работы человеческого разума (это может быть идея (технология, программа) независимая от форм их представления)
Характеристики информации:
Статичность информации определяет, может ли, защищаемая информация изменятся в процессе норм. использования.
Размер ед. информации - накладывает ограничения при выборе средств защиты (при выборе систем шифрования)
Время жизни информации - параметр, определяющий, как долго информация должна оставаться закрытой.
Стоимость создания информации - численное выражение совокупности финансовых, человеческих и временных ресурсов, затраченных на создание информации, т.е. ее себестоимость.
Стоимость потери конфиденциальности - выражает потенциальные убытки, которые понесёт владелец информации, если к ней получат доступ посторонние лица.(Стоимость потери конфиденциальности значительно выше себестоимости!!!)
Стоимость скрытого нарушения цельности - выражает убытки, которые могут возникнуть вследствие внесений изменений в информацию, если факт модификации не был обнаружен (случайного и целенаправленного нарушения). Изменяется дата, подпись автора (соправителя)
Стоимость утраты - описывает ущерб от полного или частичного разрушения информации.
Задачи информационной безопасности
Секретность (privacy, confidentiality) - одна из самых востребованных задач. Сводится к тому, чтобы сделать возможным хранение передачи данных т.о. чтобы противник, даже получив доступ к носителям или среде передачи данных, не смог получить сами защищённые данные.
Целостность (data integrity)- обеспечение целостности заключается в том, чтобы позволить либо утверждать, что данные не были модифицированы, либо определить факт их искажения, т.е. никакие изменения данных не должны пройти незамечено.
Идентификация (identification)- необходимо для того, чтобы отожествить пользователя с некоторым уникальным идентификатором. После этого ответственность за все действия возлагаются на пользователя, за которым этот идентификатор закреплён.
Аутентификация (data origin, authentification) - является необходимым дополнением к идентификации и предназначено для подтверждения истинности пользователя.
Уполномочивание (authorization)- сводится к тому, чтобы ни один пользователь не получил доступ к системе без успешного выполнения идентификации и последующей аутентификации, а также к тому, чтобы ни один пользователь не получил доступ к ресурсам, если он не уполномочен на такие действия.
Контроль доступа (access control)- совокупность методов и средств, предназначенных для ограничения доступа к ресурсам. Доступ должны иметь уполномоченные пользователи, а попытки доступа должны протоколироваться.
Право собственности (ownership)- используется, чтобы предоставить пользователю законное право на использование ресурса и при желании владельца иметь возможность передачи ресурса в собственность другого пользователя.
Сертификация (certification)- процесс подтверждения некоторого факта стороной (3-м лицом), которому пользователь доверяет. Организации, занимающиеся выдачей сертификатов, называются Удостоверяющими центрами.
Связано с распределением открытых ключей при использовании асимметрических систем шифрования.
Цифровая подпись (signature)- позволяет получателю документа доказать, что он подписан именно отправителем. При этом цифровая подпись не может быть перенесена на другой документ, любая модификация документа приводит к нарушению ц.п., отправитель письма не может отказаться от его авторства.
Неотказуемость (non-repudiation)- свойство системы информационного обмена, при котором существует математическое доказательство, что никто, кроме автора, не способен создать такое сообщение и которое получатель сообщения способен предъявить третьей стороне для независимой проверки отправителя.
Датирование (time stamping)- чаще всего применяется совместно с подписью и позволяет зафиксировать момент подписания документа. Используется для:
1)Для подтверждения первенства автора
2)При сертификатах (ограничении времени использовании ключей)
Расписка в получении (receipt)- передаётся от получателя к отправителю и может быть впоследствии использована для доказательства того, что информация была получена не позже определённого момента времени.
Аннулирование (annul)- используется для отмены действия сертификатов, полномочий или подписей.
Валидация (validation) – подтверждение на основе представления объективных свидетельств, того, что требования, предназначенные для конкретного использования или применения, выполненные, декламированные свойства и характеристики подтверждаются, а поставленная цель достигнута.
- сверка выставленных требований с необходимыми для достижения поставленной цели.
Вертификация (vertification) – подтверждение на основе представления свидетельств того, что установленные требования выполнены.
- это подтверждение соответствия конечного продукта предопределенным эталоном требования.