Виды и методы защиты информации

Вид защиты	Метод защиты
От сбоев оборудования	- Архивирование файлов (со сжатием и без); - резервирование файлов.
От случайной потери или искажения информации, хранящейся в компьютере	- Запрос на подтверждение выполнения команд, изменяющих файлы; - установка специальных атрибутов документов и программ; - возможность отмены неверного действия или восстановления ошибочно удаленного файла; - разграничение доступа пользователей к ресурсам файловой системы.
От намеренного искажения, вандализма (компьютерных вирусов)	- Общие методы защиты информации; - профилактические меры - использование антивирусных программ.
От несанкционированного (нелегального) доступа к информации (ее использования, изменения, распространения)	- шифрование; - паролирование; - «электронные замки»; - совокупность административных и правоохранительных мер.

Программно-технические меры образуют последний и самый; важный рубеж информационной защиты. Напомним, что основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

Известны основные сервисы безопасности:

§ идентификация и аутентификация;

§ управление доступом;

§ протоколирование и аудит;

§ криптография;

§ экранирование.

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных объектов. Идентификация и аутентификация — это первая линия обороны, «проходная» информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

Идентификация позволяет субъекту (пользователю или процессу, действующему от имени определенного пользователя) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют сочетание «проверка подлинности».

Общая схема идентификации и установления подлинности пользователя при его доступе в компьютерную систему представлена на рис. 8.1.

Если в процессе аутентификации подлинность пользователя установлена, то система защиты должна определить его полномочия по использованию ресурсов ВС для последующего контроля установленных полномочий.

Управление доступом. В настоящее время следует признать устаревшим (или, по крайней мере, не полностью соответствующим действительности) положение о том, что разграничение доступа направлено исключительно на защиту от злоумышленных пользователей. Современные информационные системы характеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). Речь идет о логическом (в отличие от физического) управлении доступом, который реализуется программными средствами.

Рис. 8.1. Блок-схема общего алгоритма идентификации и установления подлин­ности пользователя

Логическое управление доступом — это основной механизм много­пользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.

Логическое управление доступом — одно из сложнейших в области информационной безопасности. Причина в том, что само понятие объекта (а тем более видов доступа) меняется от -сервиса к сервису. Для операционной системы в число объектов входят файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать.

Протоколирование и аудит. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит — это анализ накопленной информации, проводимый оперативно, (почти) в реальном времени или периодически (например, раз в день).

Реализация протоколирования и аудита преследует следующие главные цели:

• обеспечение подотчетности пользователей и администраторов;

• обеспечение возможности реконструкции последовательности событий;

• обнаружение попыток нарушения информационной безопасности;

• предоставление информации для выявления и анализа проблем.

Криптография. Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и, в то же время, последним (а подчас и единственным) защитным рубежом. Например, для портативных компьютеров, которые физически защитить крайне трудно, только криптография позволяет гарантировать конфиденциальность информации даже в случае кражи.

Экранирование. Постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран — это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 8.3).

В простейшем случае экран состоит из двух механизмов, ' один из которых ограничивает перемещение данных, а второй,: наоборот, ему способствует (т. е. осуществляет перемещение; данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, -, может и сразу «перебросить» их «на другую сторону». Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.

Рис. 8.3. Экран как средство разграничения доступа

 

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационного обмена.

Обычно экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана — устройство защиты порта компьютера, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Криптографические методы защиты данных

Криптографическое закрытие является специфическим способом защиты информации, оно имеет многовековую историю развития и применения. В США еще в 1978 г. утвержден и рекомендован для широкого применения национальный стандарт (DES) криптографического закрытия информации. Подобный стандарт в 1989 г. (ГОСТ 28147—89) утвержден и в СССР.

Сформировалось самостоятельное научное направление — криптология (kryptos — тайный, logos — наука), изучающая и разрабатывающая научно-методо­логические основы, способы, методы и средства криптографического преобразования информации.

Криптология, криптография, криптоанализ

Можно выделить следующие три периода развития криптологии. Первый период — эра донаучной криптологии, являвшейся ремеслом - уделом узкого круга искусных умельцев. Началом второго периода можно считать 1949 г., когда появилась работа К. Шеннона «Теория связи в секретных системах», в которой проведено фундаментальное научное исследование шифров и важнейших вопросов их стойкости. Благодаря этому труду криптология оформилась как прикладная математическая дисциплина. И, наконец, начало третьему периоду было положено появлением в 1976 работы У. Диффи, М. Хеллмана «Новые направления в криптографии», где показано, что секретная связь возможна без предварительной передачи секретного ключа. Так началось и продолжается до настоящего времени бурное развитие наряду с обычной классической криптографией и криптографии с открытым ключом.

Еще несколько веков назад само применение письменности можно было рассматривать как способ закрытия информации, так как владение письменностью было уделом немногих.

Криптология разделяется на два направления — криптографию и криптоанализ. Цели этих направлений прямо противоположны:

• криптография занимается поиском и исследованием математических методов преобразования информации;

• сфера интересов криптоанализа — исследование возможности расшифровывания информации без знания ключей;

Современная криптография включает в себя четыре крупных раздела:

• симметричные криптосистемы;

• криптосистемы с открытым ключом;

• системы электронной подписи;

• управление ключами.

Основные направления использования криптографических методов — передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Криптосистемы разделяются на симметричные и асимметричные (с открытым ключом):

• в симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Сущест­вуют весьма эффективные (быстрые и надежные) методы симметричного шифрования. Существует и стандарт на по­добные методы — ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм крип­тографического преобразования».

Основным недостатком симметричного шифрования явля­ется то, что секретный ключ должен быть известен и от­правителю, и получателю;

• в асимметричных методах используются два ключа. Один из них, несекретный (он может публиковаться вместе с ад­ресом пользователя), используется для шифровки, другой (секретный, известный только получателю) — для расшиф­ровки. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (скажем, 100-значными) простыми числами и их произведениями. Использование асимметричного шифрования проиллюстрировано рис. 8.4.

Рис. 8.4. Использование асимметричного метода шифрования

 

Асимметричные методы позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения — открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования). Получатель может зашифровать с помощью открытого ключа отправителя дешифрованнный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

 

Классы методов криптографии

Рассмотрим классификацию методов криптографического закрытия.

• Шифрование

• ЗАМЕНА (ПОДСТАНОВКА)

• Простая (одноалфавитная)

• Многоалфавитная одноконтурная обыкновенная

• Многоалфавитная одноконтурная монофоническая

• Многоалфавитная многоконтурная

• ПЕРЕСТАНОВКА

• Простая

• Усложненная по таблице

• Усложненная по маршрутам

• АНАЛИТИЧЕСКОЕ ПРЕОБРАЗОВАНИЕ

• С использованием алгебры матриц

• По особым зависимостям

• ГАММИРОВАНИЕ

• С конечной короткой гаммой

• С конечной длинной гаммой

• С бесконечной гаммой

• КОМБИНИРОВАННЫЕ МЕТОДЫ

• Замена и перестановка

• Замена и гаммирование

• Перестановка и гаммирование

• Гаммирование и гаммирование

• Кодирование

• СМЫСЛОВОЕ 2.1.1. По специальным таблицам (словарям)

• СИМВОЛЬНОЕ 2.2.1. По кодовому алфавиту

• Другие виды

• РАССЕЧЕНИЕ-РАЗНЕСЕНИЕ

• Смысловое

• Механическое

• СЖАТИЕ-РАСШИРЕНИЕ

Под шифрованием понимается такой вид криптографического закрытия, при котором преобразованию подвергается каждый символ защищаемого сообщения. Все известные способы шифрования можно разбить на пять групп: подстановка (замена), перестановка, аналитическое преобразование, гаммирование и комбинированное шиф­рование.

\ Под кодированием понимается такой вид криптографи­ческого закрытия, когда некоторые элементы защищаемых данных (это не обязательно отдельные символы) заменяются заранее выбранными кодами (цифровыми, буквенными, буквенно-цифровыми сочетаниями и т. п.). Этот метод имеет две разновидности: смысловое и символьное кодирование, при смысловом кодировании кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы предложений). При символьном кодировании кодируется каждый символ защищаемого сообщения. Символьное кодирование по существу совпадает с шифрованием заменой.

Перестановки — несложный метод криптографического преобразования.

Многоалфавитная подстановка — наиболее простой вид преобразований, заключающийся в замене символов исходного текста на другие (того же алфавита) по более или менее сложному правилу. Для обеспечения высокой криптостойкости требуется использование больших ключей.

Гаммирование — этот метод заключается в наложении на исходный текст некоторой псевдослучайной последовательности, генерируемой на основе ключа.

Блочные шифры — последовательность (с возможным повторением и чередованием) основных методов преобразования, применяемая к блоку (части) шифруемого текста. Блочные шифры на практике встречаются чаще, чем «чистые» преобразования того или иного класса в силу их более высокой криптостойкости. Российский и американский стандарты шифрования основаны именно на этом классе шифров.

К отдельным видам криптографического закрытия отнесены методы рассечения — разнесения и сжатия данных. Рассечение—разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях. Сжатие данных представляет собой замену часто встречающихся одинаковых строк данных или последовательностей одинаковых символов некоторыми заранее выбранными символами.

 

⇐ Предыдущая12

Поделиться:

Воспользуйтесь поиском по сайту: