Защита информации

Безопасность - это состояние защищенности информации от внутренних или внешних угроз, от случайного или преднамеренного разрушения, раскрытия или модификации.

Конфиденциальность - это статус, предоставленный данным и согласованный между лицом или организацией, предоставившей данные, и организацией, получающей их. Определяет требуемую степень защиты.

Секретность - это право лица или организации решать, какая информация в какой степени должна быть скрыта от других.

Мероприятия по защите делятся на:

- организационные;

- технические;

- программно-технические;

- криптографические.

Организационные мероприятия:

- выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;

- определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставляется;

- разработка правил разграничения доступа (ПРД);

- ознакомление субъекта доступа с перечнем защищаемых сведений и уровнем полномочий, с организационно-распорядительной и рабочей документацией, требованиями и порядком обработки конфиденциальной информации;

- получение расписки о неразглашении конфиденциальной информации;

- охрана объекта (посты, технические средства охраны зданий, помещений и т.д.) и другие способы, предотвращающие или затрудняющие доступ или хищения СВТ, информационных носителей, НСД к СВТ и линиям связи;

- организация службы безопасности (ответственные лица, администратор АС, специалисты по защите), в т.ч. учет, хранение, выдача информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД, контроль хода обработки информации и т.д.;

- проектирование, разработка и внедрение СЗИ, приемка СЗИ;

- анализ риска нарушения безопасности информации и планы возможных мероприятий по их ликвидации;

К области организационных мероприятий можно отнести:

- этические нормы поведения сотрудников фирмы, организации, предприятия;

- законодательные акты.

Технические мероприятия (применение технических средств для защиты):

- средства защиты от физического доступа (ключи, магнитные карты, кодовые наборы, сейфы и т.п.);

- защита от излучений (экранирование и другие возможные методы);

- средства шифрования автоматические;

- средства измерения параметров КТС, КС, излучений с целью обнаружения отклонения от заданных величин или появления несанкционированных излучений;

- встроенные средства тестирования ВС;

- мини-ЭВМ, микропроцессоры как контролеры безопасности при доступе к информации;

- и другие.

Программно-технические мероприятия (программные средства защиты):

- системы управления доступом; в том числе:

- парольная защита;

- идентификация всех составляющих (терминалов, ЭВМ, КС и т.д.) вычислительной системы;

- контроль доступа в соответствии с матрицей доступа;

- системы регистрации и учета:

- все входы субъекта доступа в систему регистрируются, дата, время, результаты входа сохраняются;

- все выходы регистрируются и результаты выхода;

- выдача документов на печать регистрируются;

- и т.д.

- система обеспечения целостности:

- контроль неизменности программной среды;

- контроль неизменности СЗИ НСД;

- тестирование функций СЗИ НСД при изменениях программной среды и средств ЗИ;

- другие.

Криптографические средства.

Криптография ("тайнопись" с греческого) - преобразование информации с целью ее скрытия от НСД.

Коды и шифры появились давно. Спартанцы в V веке до н.э. использовали методы шифрования. В Венеции (Совет десяти) - правящая верхушка, в XV веке использовала шрифты. Примеров много.

Существуют:

- программные средства шифрования;

- аппаратные средства шифрования;

- ГОСТ на шифрование (в США федеральный стандарт);

- а также научные основы защиты информации, математические модели и методы.

Немного терминологии.

Криптология (от древнегреческих слов “kriptos” (тайна) и “logos” (слово, знание)) - это общая дисциплина о безопасности и секретности передачи информации, коммуникации.

Криптография - это научная дисциплина о разработке методов и приемов шифрования сообщения и обратного его восстановления из зашифрованного вида при помощи ключа.

Криптоанализ - это дисциплина о методах и способах перевода зашифрованного сообщения в текст без ключа и/или без алгоритма шифрования (т.е. взламывание шифров).

Некоторые элементы СЗИ.

Пароль - идентификатор субъекта доступа, который является его (субъекта) секретом. Пароль представляет собой некоторую последовательность символов и пароли могут быть различной длины. Пользователь сам меняет пароль и предпринимает другие действия в соответствии с правилами защиты информации.

Ожидаемое безопасное время - ожидаемое время раскрытия пароля.

Существуют математические методы и модели создания и обоснования средств защиты, в частности, для обоснования выбора метода шифрования, определения безопасного времени, необходимой длины ключа.

Формула Андерсена:

где:

R - скорость передачи (символ/мин) в линии связи;

М - время попыток (период времени) в месяцах;

Е - число символов в каждом передаваемом сообщении при попытке получить доступ;

Р - вероятность того, что пароль может быть раскрыт;

А - длина алфавита (число символов);

S - длина пароля.

Пример:

Пусть А=26 (английский алфавит)

R=600 байт/мин

М=3 месяца

Р<0,001

Е=20

S=?

Осуществим вычисления:

4.32*10000*(600*3)/(20*0.001) £

или

Для S=6

S=7

Таким образом, для обеспечения не менее трехмесячного срока на раскрытие пароля при вероятности его раскрытия равной 0.001 следует выбрать длину пароля в 7 байт, т.е. S=7.

Шифр Цезаря.

Одной из простых криптографических систем, применяемых в древности Цезарем, была обыкновенная замена букв алфавита другими буквами того же алфавита, а именно буквы заменялись на другие путем сдвига алфавита по кольцу. Буквы ABCDE....UVWXYZ заменялись соответственно на CDE....UVWXYZAB, т.е. вместо буквы А проставлялась буква С и т.д.

Такая подстановка, метод шифрования получили название "шифр Цезаря".

В русском языке это будет выглядеть так:

АБВГДЕ....ЭЮЯ заменяются на ВГДЕ....ЭЮЯАБ.

Математически шифр Цезаря можно отобразить формулой:

Г(р) = В(р) + 2 (mod 27) - для английского алфавита,

где:

р - исходный знак,

В - его число (В(А)=1, В(В)=2, В(С)=3,...),

Г - зашифрованное число.

Моноалфавитная подстановка:

Вход: ABC...XYZ исходный алфавит

Выход: ZHL...YMG преобразованный алфавит.

Шифровка: берется исходный знак, заменяется знаком из выхода и записывается.

Расшифровка простая - по частотному анализу.

Для применения моноалфавитной подстановки во многих ЭВМ имеется команда “транслировать”, которая позволяет через таблицу, определяемую пользователем, произвести кодирование - декодирование информации.

Многоалфавитная подстановка.

Простая многоалфавитная подстановка осуществляется следующим образом. Исходный текст разбивается последовательно на группы знаков равной длины. Пусть количество знаков в группе (длина) будет i. Тогда каждому знаку из группы будет поставлен в соответствие знак из моноалфавитной подстановки следующим образом. Первому знаку будет поставлен в соответствие знак из первого алфавита В1 (первая моноалфавитная подстановка). Второму знаку - из второго алфавита В2, и т.д., а i-тому символу ставится в соответствие символ из алфавита Вi. Далее все повторяется по цепочке. Символ i+1 заменяется символом из алфавита В1 и т.д. Число i называется периодом многоалфавитной подстановки, а сама подстановка называется i- алфавитнойподстановкой.

Приведем пример.

Пусть период будет равен 8, а в качестве алфавитов возьмем алфавиты, полученные из исходного путем сдвига по кольцу на число, равному номеру буквы в слове SECURITY (заметим, что в данном примере все буквы в слове разные). В качестве фразы возьмем слова

WE NEED MORE

Тогда процесс перекодировки будет выглядеть так:

W+S=23+19 (mod 27) =15=О

E+E= 05+05 =10=J

+C= 0+ 3 = 3=С

N+U=14+21 = 8=Н

E+R=05+18 =23=W

Е+I = 05+ 9 =14=N

D+T

+Y

M+S и так далее.

O+E

R+C

E+U

Для расшифровки обычно требуется 20i знаков.

Существуют различные методы шифрования. Для работы со средствами шифрования в соответствии с действующим законодательством для ряда информационных систем нужна лицензия.

Дата добавления: 2013-12-14; Просмотров: 418; Нарушение авторских прав?; Мы поможем в написании вашей работы!