Способи захисту інформації у мережі. Захист інформації у комп'ютерних мережах

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму, розташовану нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Вступ

1. Проблеми захисту інформації в комп'ютерних системах

2. Забезпечення захисту у мережах

3. Механізми забезпечення безпеки

3.1 Криптографія

3.2 Електронний підпис

3.3 Аутентифікація

3.4 Захист мереж

4. Вимоги до сучасним засобамзахисту інформації

Висновок

Література

Вступ

У обчислювальної техніки поняття безпеки є дуже широким. Воно має на увазі і надійність роботи комп'ютера, і збереження цінних даних, і захист інформації від внесення змін до неї неуповноваженими особами, і збереження таємниці листування в електронному зв'язку. Зрозуміло, у всіх цивілізованих країнах на сторожі безпеки громадян стоять закони, але у сфері обчислювальної техніки правозастосовна практика поки що розвинена недостатньо, а законотворчий процес не встигає за розвитком комп'ютерних систем, багато в чому спирається на заходи самозахисту.

Завжди існує проблема вибору між необхідним рівнем захисту та ефективністю роботи в мережі. У деяких випадках користувачами або споживачами заходи безпеки можуть бути розцінені як заходи з обмеження доступу та ефективності. Однак такі засоби, як, наприклад, криптографія дозволяють значно посилити ступінь захисту, не обмежуючи доступ користувачів до даних.

1. Проблеми захисту інформації вкомп'ютернихсистемах

Широке застосування комп'ютерних технологійв автоматизованих системах обробки інформації та управління призвело до загострення проблеми захисту інформації, що циркулює у комп'ютерних системах, від несанкціонованого доступу. Захист інформації в комп'ютерних системах має низку специфічних особливостей, пов'язаних з тим, що інформація не є жорстко пов'язаною з носієм, може легко і швидко копіюватись і передаватися каналами зв'язку. Відомо дуже велику кількість загроз інформації, які можуть бути реалізовані як з боку зовнішніх порушників, так і внутрішніх порушників.

Радикальне вирішення проблем захисту електронної інформаціїможе бути отримано тільки на основі використання криптографічних методів, які дозволяють вирішувати найважливіші проблеми захищеної автоматизованої обробки та передачі даних. У цьому сучасні швидкісні методи криптографічного перетворення дозволяють зберегти вихідну продуктивність автоматизованих систем. Криптографічні перетворення даних є найбільш ефективним засобомзабезпечення конфіденційності даних, їх цілісності та справжності. Тільки їх використання в сукупності з необхідними технічними та організаційними заходами може забезпечити захист від широкого спектру потенційних загроз.

Проблеми, що виникають із безпекою передачі інформації при роботі в комп'ютерних мережах, можна поділити на три основні типи:

· перехоплення інформації - цілісність інформації зберігається, та її конфіденційність порушена;

· модифікація інформації - вихідне повідомлення змінюється чи повністю підміняється іншим і надсилається адресату;

· підміна авторства інформації. Ця проблемаможе мати серйозні наслідки. Наприклад, хтось може надіслати листа від вашого імені (цей вид обману прийнято називати спуфінгом) або Web-сервер може вдаватися електронним магазином, приймати замовлення, номери кредитних карток, але не надсилати жодних товарів.

Потреби сучасної практичної інформатики призвели до виникнення нетрадиційних завдань захисту електронної інформації, однією з яких є автентифікація електронної інформації в умовах, коли сторони, що обмінюються інформацією, не довіряють одна одній. Ця проблема пов'язана із створенням систем електронного цифрового підпису. Теоретичною базою для вирішення цієї проблеми стало відкриття двоключової криптографії американськими дослідниками Діффі та Хеміманом у середині 1970-х років, яке стало блискучим досягненням багатовікового еволюційного розвитку криптографії. Революційні ідеї двоключової криптографії призвели до різкого зростання кількості відкритих досліджень у галузі криптографії та показали нові шляхи розвитку криптографії, нові її можливості та унікальне значенняїї методів у сучасних умовах масового застосування електронних інформаційних технологій.

Технічною основою переходу в інформаційне суспільство є сучасні мікроелектронні технології, які забезпечують безперервне зростання якості засобів обчислювальної техніки та є базою для збереження основних тенденцій її розвитку - мініатюризації, зниження електроспоживання, збільшення обсягу оперативної пам'яті(ОП) та ємності вбудованих та знімних накопичувачів, зростання продуктивності та надійності, розширення сфер та масштабів застосування. Дані тенденції розвитку засобів обчислювальної техніки призвели до того, що на етапі захист комп'ютерних систем від несанкціонованого доступу характеризується зростанням ролі програмних і криптографічних механізмів захисту порівняно з апаратними.

Зростання ролі програмних та криптографічних засобівзашит виявляється в тому, що виникають нові проблеми в галузі захисту обчислювальних системвід несанкціонованого доступу, вимагають використання механізмів та протоколів із порівняно високою обчислювальною складністюі може бути ефективно вирішені шляхом використання ресурсів ЕОМ.

Однією з важливих соціально-етичних проблем, породжених застосуванням методів криптографічного захисту інформації, що дедалі більше розширюється, є протиріччя між бажанням користувачів захистити свою інформацію та передачу повідомлень та бажанням спеціальних державних служб мати можливість доступу до інформації деяких інших організацій та окремих осіб з метою припинення незаконної діяльності. . У розвинених країнах спостерігається широкий спектр думок щодо підходів до питання про регламентацію використання алгоритмів шифрування. Висловлюються пропозиції від заборони широкого застосування криптографічних методів до повної свободи їх використання. Деякі пропозиції стосуються дозволу використання лише ослаблених алгоритмів або встановлення порядку обов'язкової реєстрації ключів шифрування. Надзвичайно важко знайти оптимальне вирішення цієї проблеми. Як оцінити співвідношення втрат законослухняних громадян та організацій від незаконного використання їхньої інформації та збитків держави від неможливості отримання доступу до зашифрованої інформації окремих груп, які приховують свою незаконну діяльність? Як можна гарантовано не допустити незаконне використання криптоалгоритмів особами, які порушують інші закони? Крім того, завжди існують способи прихованого зберігання та передачі інформації. Ці питання ще належить вирішувати соціологам, психологам, юристам та політикам.

Виникнення глобальних інформаційних мереж типу INTERNET є важливим досягненням комп'ютерних технологій, однак, з INTERNET пов'язано безліч комп'ютерних злочинів.

Результатом досвіду застосування мережі INTERNET є виявлена ​​слабкість традиційних механізмів захисту та відставання у застосуванні сучасних методів. Криптографія надає можливість забезпечити безпеку інформації в INTERNET і зараз активно ведуться роботи з впровадження необхідних криптографічних механізмів у цю мережу. Чи не відмова від прогресу в інформатизації, а використання сучасних досягнень криптографії - ось стратегічно правильне рішення. Можливість широкого використання глобальних інформаційних мереж та криптографії є ​​досягненням та ознакою демократичного суспільства.

Володіння основами криптографії в інформаційному суспільствіоб'єктивно не може бути привілеєм окремих державних служб, а є нагальною необхідністю для найширших верств науково-технічних працівників, які застосовують комп'ютерну обробку даних або розробляють інформаційні системи, співробітників служб безпеки та керівного складу організацій та підприємств. Тільки це може бути базою для ефективного застосування та експлуатації засобів інформаційної безпеки.

Одна окремо взята організація не може забезпечити достатньо повний та ефективний контроль за інформаційними потоками в межах усієї держави та забезпечити належний захист національного інформаційного ресурсу. Однак окремі державні органи можуть створити умови для формування ринку якісних засобів захисту, підготовки достатньої кількості фахівців та оволодіння основами криптографії та захисту інформації з боку масових користувачів.

У Росії її та інших країнах СНД на початку 1990-х років чітко простежувалася тенденція випередження розширення масштабів та сфер застосування інформаційних технологій над розвитком систем захисту даних. Така ситуація певною мірою була і є типовою для розвинених капіталістичних країн. Це закономірно: спочатку має виникнути практична проблема, а потім буде знайдено рішення. Початок перебудови у ситуації сильного відставання країн СНД у сфері інформатизації наприкінці 1980-х років створило благодатний ґрунт для різкого подолання розриву, що склався.

Приклад розвинених країн, можливість придбання системного програмного забезпечення та комп'ютерної технікинадихнули вітчизняних користувачів. Включення масового споживача, зацікавленого в оперативній обробці даних та інших перевагах сучасних інформаційно-обчислювальних систем, у вирішенні проблеми комп'ютеризації призвело до дуже високих темпів розвитку цієї галузі у Росії та інших країнах СНД. Однак, природний спільний розвиток засобів автоматизації обробки інформації та засобів захисту інформації значною мірою порушився, що спричинило масові комп'ютерні злочини. Ні для кого не секрет, що комп'ютерні злочини зараз складають одну з дуже актуальних проблем.

Використання систем захисту зарубіжного виробництва неспроможна виправити цей перекіс, оскільки що надходять ринку Росії продукти цього не відповідають вимогам через існуючих експортних обмежень, прийнятих США - основному виробнику засобів захисту інформації. Іншим аспектом, що має першорядне значення, є те, що продукція такого типу має пройти встановлену процедуру сертифікування у уповноважених для проведення таких робіт організаціях.

Сертифікати іноземних фірм та організацій ніяк не можуть бути заміною вітчизняним. Сам факт використання зарубіжного системного та прикладного програмного забезпечення створює підвищену потенційну загрозу інформаційним ресурсам. Застосування іноземних засобів захисту без належного аналізу відповідності виконуваним функціям і рівня захисту може багаторазово ускладнити ситуацію.

Форсування процесу інформатизації потребує адекватного забезпечення споживачів засобами захисту. Відсутність на внутрішньому ринку достатньої кількості засобів захисту інформації, що циркулює в комп'ютерних системах, значний час не дозволяло в необхідних масштабах здійснювати заходи щодо захисту даних. Ситуація посилювалася відсутністю достатньої кількості фахівців у галузі захисту інформації, оскільки останні, як правило, готувалися лише для спеціальних організацій. Реструктурування останніх, що з змінами, які у Росії, призвело до утворення незалежних організацій, що спеціалізуються у сфері захисту, поглинули вивільнені кадри, як наслідок виникненню духу конкуренції, що призвела до появи нині досить великої кількості сертифікованих засобів захисту вітчизняних розробників.

Однією з важливих особливостей масового використання інформаційних технологій є те, що для ефективного вирішення проблеми захисту державного інформаційного ресурсу потрібне розподіл заходів із захисту даних серед масових користувачів. Інформація має бути захищена насамперед там, де вона створюється, збирається, переробляється і тими організаціями, які несуть безпосередню шкоду при несанкціонованому доступі до даних. Цей принцип раціональний та ефективний: захист інтересів окремих організацій – це складова реалізації захисту інтересів держави загалом.

2. Забезпечення захисту інформації вмережах

У ЗС зосереджується інформація, виключне право на користування якої належить певним особам або групам осіб, які діють у порядку особистої ініціативи або відповідно до посадових обов'язків. Така інформація має бути захищена від усіх видів стороннього втручання: читання особами, які не мають права доступу до інформації та навмисної зміни інформації. До того ж у ЗС мають вживати заходів щодо захисту обчислювальних ресурсів мережі від своїх несанкціонованого використання, тобто. повинен бути виключено доступ до мережі осіб, які не мають на це права. Фізичний захист системи та даних може здійснюватися тільки щодо робочих ЕОМ та вузлів зв'язку і виявляється неможливим для засобів передачі, що мають велику протяжність. З цієї причини у ЗС повинні використовуватися засоби, що виключають несанкціонований доступ до даних та забезпечують їхню секретність.

Дослідження практики функціонування систем обробки даних та обчислювальних систем показали, що існує досить багато можливих напрямів витоку інформації та шляхів несанкціонованого доступу в системах та мережах. Серед них:

· читання залишкової інформації у пам'яті системи після виконання санкціонованих запитів;

· копіювання носіїв інформації та файлів інформації з подолання заходів захисту;

· маскування під зареєстрованого користувача;

· маскування під запит системи;

· використання програмних пасток;

· використання недоліків операційної системи;

· незаконне підключення до апаратури та ліній зв'язку;

· зловмисне виведення з ладу механізмів захисту;

· впровадження та використання комп'ютерних вірусів.

Забезпечення безпеки інформації у ЗС та в автономно працюючих ПЕОМ досягається комплексом організаційних, організаційно-технічних, технічних та програмних заходів.

До організаційних заходів захисту інформаціївідносяться:

· обмеження доступу до приміщень, у яких відбувається підготовка та обробка інформації;

· допуск до обробки та передачі конфіденційної інформації лише перевірених посадових осіб;

· зберігання магнітних носіїв та реєстраційних журналів у закритих для доступу сторонніх осіб сейфах;

· виключення перегляду сторонніми особами змісту оброблюваних матеріалів через дисплей, принтер тощо;

· використання криптографічних кодів під час передачі каналами зв'язку цінної інформації;

· знищення барвників, паперу та інших матеріалів, що містять фрагменти цінної інформації.

Організаційно-технічні заходи захисту інформаціївключають:

· здійснення живлення обладнання, яке обробляє цінну інформацію від незалежного джерела живлення або через спеціальні мережеві фільтри;

· встановлення на дверях приміщень кодових замків;

· використання для відображення інформації при вводі-виводі рідкокристалічних або плазмових дисплеїв, а для отримання твердих копій - струменевих принтерів та термопринтерів, оскільки дисплей дає таке високочастотне електромагнітне випромінювання, що зображення з його екрана можна приймати на відстані кількох сотень кілометрів;

· знищення інформації, що зберігається в ПЗУ та на НЖМД, при списанні або відправленні ПЕОМ на ремонт;

· встановлення клавіатури та принтерів на м'які прокладки з метою зниження можливості зняття інформації акустичним способом;

· обмеження електромагнітного випромінюванняшляхом екранування приміщень, де відбувається обробка інформації, листами з металу або спеціальної пластмаси.

Технічні засоби захисту інформації- це системи охорони територій та приміщень за допомогою екранування машинних залів та організації контрольно-пропускних систем. Захист інформації в мережах та обчислювальних засобахза допомогою технічних засобів реалізується на основі організації доступу до пам'яті за допомогою:

· контролю доступу до різних рівнів пам'яті комп'ютерів;

· блокування даних та введення ключів;

· виділення контрольних бітів для записів з метою ідентифікації та ін.

Архітектура програмних засобів захисту інформаціївключає:

· контроль безпеки, у тому числі контроль реєстрації входження до системи, фіксацію у системному журналі, контроль дій користувача;

· реакцію (зокрема звукову) порушення системи захисту контролю доступу до ресурсів мережі;

· контроль мандатів доступу;

· формальний контроль захищеності операційних систем (базової загальносистемної та мережевої);

· контроль алгоритмів захисту;

· перевірку та підтвердження правильності функціонування технічного та програмного забезпечення.

Для надійного захисту інформації та виявлення випадків неправомочних дій проводиться реєстрація роботи системи: створюються спеціальні щоденники та протоколи, в яких фіксуються всі дії, що стосуються захисту інформації в системі. Фіксуються час надходження заявки, її тип, ім'я користувача та терміналу, з якого ініціалізується заявка. При відборі подій, що підлягають реєстрації, необхідно мати на увазі, що зі зростанням кількості подій, що реєструються, утруднюється перегляд щоденника і виявлення спроб подолання захисту. В цьому випадку можна застосовувати програмний аналізта фіксувати сумнівні події. Використовуються спеціальні програми для тестування системи захисту. Періодично або у випадково вибрані моменти часу вони перевіряють працездатність апаратних та програмних засобів захисту.

До окремої групи заходів щодо забезпечення безпеки інформації та виявлення несанкціонованих запитів відносяться програми виявлення порушень у режимі реального часу. Програми цієї групи формують спеціальний сигнал при реєстрації дій, які можуть призвести до неправомірних дій по відношенню до інформації, що захищається. Сигнал може містити інформацію про характер порушення, місце його виникнення та інші характеристики. Крім того, програми можуть заборонити доступ до інформації, що захищається, або симулювати такий режим роботи (наприклад, моментальне завантаження пристроїв введення-виведення), який дозволить виявити порушника і затримати його відповідною службою. інформація комп'ютерна аутентифікація захист

Один із поширених способів захисту - явна вказівка ​​секретності виведеної інформації. У системах, що підтримують кілька рівнів секретності, виведення на екран терміналу або друкуючого пристрою будь-якої одиниці інформації (наприклад, файлу, запису та таблиці) супроводжується спеціальним грифом із зазначенням рівня секретності. Ця вимога реалізується за допомогою відповідних програмних засобів.

В окрему групу виділено засоби захисту від несанкціонованого використання програмного забезпечення. Вони набувають особливого значення внаслідок поширення ПК.

3. Хутроанізми забезпечення безпеки

3.1 Криптографія

Для забезпечення секретності застосовується шифрування або криптографія, що дозволяє трансформувати дані в зашифровану форму, з якої витягти вихідну інформацію можна тільки за наявності ключа.

Системам шифрування стільки ж років, як письмовому обміну інформацією.

"Криптографія" у перекладі з грецької мови означає "таємнопис", що цілком відображає її первісне призначення. Примітивні (з позицій сьогодення) криптографічні методи відомі з найдавніших часів і дуже тривалий час вони розглядалися скоріше як певне хитрощі, ніж сувора наукова дисципліна. Класичним завданням криптографії є ​​оборотне перетворення деякого зрозумілого вихідного тексту (відкритого тексту) у випадкову послідовність деяких знаків, звану шифртекстом або криптограмою. При цьому шифр-пакет може містити як нові, так і знаки, що є у відкритому повідомленні. Кількість знаків у криптограмі та у вихідному тексті у випадку може відрізнятися. Неодмінною вимогою є те, що, використовуючи деякі логічні заміни символів у шифртексті, можна однозначно та в повному обсязі відновити вихідний текст. Надійність збереження інформації в таємниці визначалося в далекі часи тим, що секрет тримався сам метод перетворення.

Пройшли багато століть, протягом яких криптографія була предметом обраних - жерців, правителів, великих воєначальників та дипломатів. Незважаючи на малу поширеність використання криптографічних методів і способів подолання шифрів противника мало істотний вплив на результат важливих історичних подій. Відомий не один приклад того, як переоцінка використовуваних шифрів призводила до військових та дипломатичних поразок. Незважаючи на застосування криптографічних методів у важливих областях, епізодичне використання криптографії не могло навіть близько підвести її до тієї ролі та значення, які вона має у суспільстві. Своїм перетворенням на наукову дисципліну криптографія завдячує потребам практики, породженим електронною інформаційною технологією.

Пробудження значного інтересу до криптографії та її розвиток розпочалося з ХІХ століття, що пов'язані з зародженням електрозв'язку. У XX столітті секретні служби більшості розвинених країн стали ставитися до цієї дисципліни як обов'язкового інструменту своєї діяльності.

В основі шифрування лежать два основні поняття: алгоритм та ключ. Алгоритм - це спосіб закодувати вихідний текст, у результаті виходить зашифроване послання. Зашифроване послання може бути інтерпретоване лише за допомогою ключа.

Очевидно, щоб зашифрувати послання достатньо алгоритму.

Голландський криптограф Керкхофф (1835 - 1903) вперше сформулював правило: стійкість шифру, тобто. криптосистеми - набору процедур, керованих деякою секретною інформацією невеликого обсягу, має бути забезпечена у разі, коли криптоаналитику противника відомий весь механізм шифрування крім секретного ключа - інформації, керуючої процесом криптографічних перетворень. Мабуть, одним із завдань цієї вимоги було усвідомлення необхідності випробування криптосхем, що розробляються в умовах більш жорстких у порівнянні з умовами, в яких міг би діяти потенційний порушник. Це правило стимулювало появу якісніших шифруючих алгоритмів. Можна сміливо сказати, що він міститься перший елемент стандартизації у сфері криптографії, оскільки передбачається розробка відкритих способів перетворень. В даний час це правило інтерпретується ширше: усі довготривалі елементи системи захисту мають передбачатися відомими потенційному зловмиснику. В останнє формулювання криптосистеми входять як окремий випадок систем захисту. У цьому формулюванні передбачається, що це елементи систем захисту поділяються на дві категорії - довгострокові і легко змінювані. До довгострокових елементів відносяться ті елементи, які відносяться до розробки систем захисту та для зміни вимагають втручання спеціалістів або розробників. До легко змінюваних елементів відносяться елементи системи, які призначені для довільного модифікування або модифікування за заздалегідь заданим правилом, виходячи з початкових параметрів, що випадково вибираються. До елементів, що легко змінюються, відносяться, наприклад, ключ, пароль, ідентифікація тощо. Розглянуте правило відображає той факт, що належний рівень секретності може бути забезпечений тільки по відношенню до елементів, що легко змінюються.

Незважаючи на те, що згідно з сучасними вимогами до криптосистем вони повинні витримувати криптоаналіз на основі відомого алгоритму, великого обсягу відомого відкритого тексту та відповідного шифртексту, шифри, використовувані спеціальними службами, зберігаються в секреті. Це обумовлено необхідністю мати додатковий запас міцності, оскільки в даний час створення криптосистем з доведеною стійкістю є предметом теорії, що розвивається, і є досить складною проблемою. Щоб уникнути можливих слабкостей, алгоритм шифрування може бути побудований на основі добре вивчених та апробованих принципів та механізмів перетворення. Жоден серйозний сучасний користувач не покладатиметься лише на надійність збереження в секреті свого алгоритму, оскільки вкрай складно гарантувати низьку ймовірність того, що інформація про алгоритм стане відомою зловмиснику.

Секретність інформації забезпечується запровадженням алгоритми спеціальних ключів (кодів). Використання ключа при шифруванні надає дві істотні переваги. По-перше, можна використовувати один алгоритм із різними ключами для надсилання послань різним адресатам. По-друге, якщо секретність ключа буде порушена, його можна легко замінити, не змінюючи алгоритм шифрування. Таким чином, безпека систем шифрування залежить від секретності використовуваного ключа, а не секретності алгоритму шифрування. Багато алгоритмів шифрування загальнодоступні.

Кількість можливих ключів для даного алгоритму залежить від кількості бітів у ключі. Наприклад, 8-бітний ключ допускає 256 (28) комбінацій ключів. Чим більше можливих комбінацій ключів, тим важче підібрати ключ, тим надійніше зашифроване послання. Так, наприклад, якщо використовувати 128-бітний ключ, то необхідно буде перебрати 2128 ключів, що в даний час не під силу навіть найпотужнішим комп'ютерам. Важливо відзначити, що продуктивність техніки, що зростає, призводить до зменшення часу, необхідного для розкриття ключів, і системам безпеки доводиться використовувати все більш довгі ключі, що, в свою чергу, веде до збільшення витрат на шифрування.

Оскільки таке важливе місце в системах шифрування приділяється секретності ключа, то основною проблемою подібних системє генерація та передача ключа. Існують дві основні схеми шифрування: симетричне шифрування(його також іноді називають традиційним або шифруванням із секретним ключем) та шифрування з відкритим ключем(Іноді цей тип шифрування називають асиметричним).

При симетричне шифрування відправник та одержувач володіють одним і тим же ключем (секретним), за допомогою якого вони можуть зашифровувати та розшифровувати дані. При симетричному шифруванні використовуються ключі невеликої довжини, тому можна швидко шифрувати великі обсяги даних. Симетричне шифрування використовується, наприклад, деякими банками у мережах банкоматів. Однак симетричне шифрування має кілька недоліків. По-перше, дуже складно знайти безпечний механізм, за допомогою якого відправник та одержувач зможуть потай від інших вибрати ключ. Виникає проблема безпечного розповсюдження секретних ключів. По-друге, кожного адресата необхідно зберігати окремий секретний ключ. По-третє, у схемі симетричного шифрування неможливо гарантувати особистість відправника, оскільки два користувача мають один ключ.

У схемі шифрування з відкритим ключемДля шифрування послання використовуються два різні ключі. За допомогою одного з них лист зашифровується, а за допомогою другого - розшифровується. Таким чином, необхідної безпеки можна домагатися, зробивши перший ключ загальнодоступним (відкритим), а другий ключ зберігати лише у отримувача (закритий, особистий ключ). У такому разі будь-який користувач може зашифрувати послання за допомогою відкритого ключа, але розшифрувати послання може лише власник особистого ключа. При цьому немає необхідності дбати про безпеку передачі відкритого ключа, а для того, щоб користувачі могли обмінюватися секретними повідомленнями, достатньо наявності у них відкритих ключів один одного.

Недоліком асиметричного шифрування є необхідність використання довших, ніж при симетричному шифруванні, ключів для забезпечення еквівалентного рівня безпеки, що впливає на обчислювальні ресурси, необхідні для організації процесу шифрування.

3.2 Електронний підпис

Якщо послання, безпеку якого ми хочемо забезпечити, належним чином зашифроване, все одно залишається можливість модифікації вихідного повідомлення або заміни повідомлення іншим. Одним із шляхів вирішення цієї проблеми є передача користувачем одержувачу короткого подання повідомлення. Подібне коротке уявлення називають контрольною сумою або дайджестом повідомлення.

Контрольні суми використовуються для створення резюме фіксованої довжини для представлення довгих повідомлень. Алгоритми розрахунку контрольних сум розроблені те щоб вони були по можливості унікальні кожному за повідомлення. Таким чином, усувається можливість підміни одного повідомлення іншим із збереженням того ж значення контрольної суми.

Проте за використанні контрольних сум виникає проблема передачі їх одержувачу. Одним із можливих шляхів її вирішення є включення контрольної суми до так званої електронний підпис.

За допомогою електронного підпису одержувач може переконатися в тому, що отримане ним повідомлення надіслано не сторонньою особою, а відправником, що має певні права. Електронні підписи створюються шифруванням контрольної суми та додаткової інформації за допомогою особистого ключа відправника. Таким чином, будь-хто може розшифрувати підпис, використовуючи відкритий ключАле коректно створити підпис може тільки власник особистого ключа. Для захисту від перехоплення та повторного використання підпис включає унікальне число - порядковий номер.

3.3 Аутентифікація

Аутентифікаціяє одним із найважливіших компонентів організації захисту інформації в мережі. Перш ніж користувачеві буде надано право отримати той чи інший ресурс, необхідно переконатися, що він справді той, за кого себе видає.

При отриманні запиту використання ресурсу від імені будь-якого користувача сервер, надає даний ресурс, передає управління серверу аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс.

При аутентифікації використовується, як правило, принцип, що отримав назву "що він знає", - користувач знає деяке секретне слово, яке він посилає серверу аутентифікації у відповідь на запит. Однією із схем аутентифікації є використання стандартних паролів. Пароль- сукупність символів, відомих підключеному до мережі абоненту, - вводиться ним на початку сеансу взаємодії з мережею, котрий іноді наприкінці сеансу (у особливо відповідальних випадках пароль нормального виходу з мережі може відрізнятися від вхідного). Ця схема є найбільш уразливою з погляду безпеки - пароль може бути перехоплений та використаний іншою особою. Найчастіше використовуються схеми із застосуванням одноразових паролів. Навіть будучи перехопленим, цей пароль буде марним під час наступної реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори, що є пристроями, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачеві для приведення цього пристрою.

Однією з найбільш простих систем, що не вимагають додаткових витрат на обладнання, але в той же час, що забезпечують хороший рівень захисту, є S/Key, на прикладі якої можна продемонструвати порядок подання одноразових паролів.

У процесі аутентифікації з використанням S/Key беруть участь дві сторони – клієнт та сервер. При реєстрації в системі, що використовує схему автентифікації S/Key, сервер надсилає на клієнтську машину запрошення, що містить зерно, що передається по мережі у відкритому вигляді, поточне значення лічильника ітерацій та запит на введення одноразового пароля, який має відповідати поточному значенню лічильника ітерації. Отримавши відповідь, сервер перевіряє її та передає управління серверу необхідного користувачеві сервісу.

3.4 Захист мереж

Останнім часом корпоративні мережі все частіше включаються до Інтернету або навіть використовують його як свою основу. Враховуючи те, яка шкода може принести незаконне вторгнення в корпоративну мережу, необхідно виробити методи захисту. Для захисту корпоративних інформаційних мереж використовують брандмауери. Брандмауери- це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин та реалізувати набір правил, що визначають умови проходження пакетів з однієї частини до іншої. Як правило, цей кордон проводиться між локальною мережею підприємства та INTERNETOM, хоча її можна провести і всередині. Проте захищати окремі комп'ютери невигідно, тому зазвичай захищають усю мережу. Брандмауер пропускає через себе весь трафік і для кожного пакета, що проходить, приймає рішення - пропускати його або відкинути. Щоб брандмауер міг приймати рішення, йому визначається набір правил.

Брандмауер може бути реалізований як апаратними засобами (тобто як окреме фізичний пристрій), і у вигляді спеціальної програми, запущеної на комп'ютері.

Як правило, в операційну систему, під керуванням якої працює брандмауер, вносяться зміни, які мають на меті підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ​​ОС, і відповідні файли конфігурації. На самому брандмауері не дозволяється мати розділи користувачів, а отже, і потенційні дірки - лише розділ адміністратора. Деякі брандмауери працюють тільки в режимі одного користувача, а багато хто мають систему перевірки цілісності програмних кодів.

Брандмауер зазвичай складається з декількох різних компонентів, включаючи фільтри або екрани, які блокують передачу трафіку.

Усі брандмауери можна розділити на два типи:

· пакетні фільтри, що здійснюють фільтрацію IP-пакетів засобами фільтруючих маршрутизаторів;

· сервери прикладного рівня, які блокують доступ до певних сервісів у мережі.

Таким чином, брандмауер можна визначити як набір компонентів або систему, яка розташовується між двома мережами і має наступні властивості:

· весь трафік із внутрішньої мережі у зовнішню та із зовнішньої мережі у внутрішню повинен пройти через цю систему;

· тільки трафік, визначений локальною стратегією захисту, може пройти цю систему;

· система надійно захищена від проникнення.

4. Вимоги до сучасних засобівзахисту інформації

Відповідно до вимог держтехкомісії Росії засоби захисту інформації від несанкціонованого доступу (СЗІ НСД), що відповідають високому рівню захисту, повинні забезпечувати:

· дискреційний та мандатний принцип контролю доступу;

· очищення пам'яті;

· ізоляцію модулів;

· маркування документів;

· захист введення та виведення на відчужуваний фізичний носій інформації;

· зіставлення користувача з пристроєм;

· ідентифікацію та автентифікацію;

· гарантії проектування;

· реєстрацію;

· взаємодію користувача з комплексом засобів захисту;

· надійне відновлення;

· цілісність комплексу засобів захисту;

· контроль модифікації;

· контроль дистрибуції;

· гарантії архітектури;

Комплексні СЗІ НСД повинні супроводжуватись пакетом наступних документів:

· посібник із СЗІ;

· керівництво користувача;

· тестова документація;

· конструкторська (проектна) документація.

Таким чином, відповідно до вимог держтехкомісії Росії комплексні СЗІ НСД повинні включати базовий набірпідсистем. Конкретні можливості цих підсистем щодо реалізації функцій захисту визначають рівень захищеності засобів обчислювальної техніки. Реальна ефективність СЗІ НСД визначається функціональними можливостямияк базових, а й додаткових підсистем, і навіть якістю реалізації.

Комп'ютерні системи та мережі схильні до широкого спектру потенційних загроз інформації, що обумовлює необхідність передбачити великий перелік функцій та підсистем захисту. Доцільно насамперед забезпечити захист найбільш інформативних каналів витоку інформації, якими є такі:

· можливість копіювання даних із машинних носіїв;

· канали передачі;

· розкрадання ЕОМ чи вбудованих накопичувачів.

Проблема перекриття цих каналів ускладнюється тим, що процедури захисту не повинні призводити до помітного зниження продуктивності обчислювальних систем. Це завдання може бути ефективно вирішено на основі технології глобального шифрування інформації, що розглянута в попередньому розділі.

Сучасна масова система захисту повинна бути ергономічною і мати такі властивості, що сприяють широкому її застосуванню, як:

· комплексність - можливість встановлення різноманітних режимів захищеної обробки даних з урахуванням специфічних вимогрізних користувачів та передбачати широкий перелік можливих дій передбачуваного порушника;

· сумісність - система має бути сумісною з усіма програмами, написаними для даної операційної системи, і повинна забезпечувати захищений режим роботи комп'ютера обчислювальної мережі;

· переносимість - можливість встановлення системи різні типи комп'ютерних систем, включаючи портативні;

· зручність у роботі - система має бути простою в експлуатації і не повинна змінювати звичну технологію роботи користувачів;

· робота у масштабі реального часу - процеси перетворення інформації, включаючи шифрування, мають виконуватися з великою швидкістю;

· високий рівеньзахисту інформації;

· мінімальна вартість системи.

Висновок

Після масовим застосуванням сучасних інформаційних технологій криптографія вторгається у життя сучасної людини. На криптографічних методах ґрунтується застосування електронних платежівможливість передачі секретної інформації по відкритих мережах зв'язку, а також вирішення великої кількості інших завдань захисту інформації в комп'ютерних системах та інформаційних мережах. Потреби практики призвели до необхідності масового застосування криптографічних методів, а отже, до необхідності розширення відкритих досліджень та розробок у цій галузі. Володіння основами криптографії стає важливим для вчених та інженерів, що спеціалізуються в галузі розробки сучасних засобів захисту інформації, а також в галузях експлуатації та проектування інформаційних та телекомунікаційних систем.

Однією з актуальних проблем сучасної прикладної криптографії є ​​розробка швидкісних програмних шифрів блочного типу, і навіть швидкісних пристроїв шифрування.

В даний час запропоновано ряд способів шифрування, захищених патентами Російської Федерації та заснованих на ідеях використання:

· гнучкого розкладу вибірки підключень;

· генерування алгоритму шифрування за секретним ключем;

· підстановок, що залежать від перетворюваних даних.

Література

1. Острейковський В.А. Інформатика: Навч. посібник для студ. середовищ. проф. навч. закладів. - М: Вища. шк., 2001. - 319с.: іл.

2. Економічна інформатика/за ред. П.В. Конюховського та Д.М. Колесова. - СПб.: Пітер, 2000. - 560с.: іл.

3. Інформатика: Базовий курс/ С.В. Симонович та ін. – СПб.: Пітер, 2002. – 640с.:іл.

4. Молдовян А.А., Молдовян Н.А., Рад Б.Я. Криптографія. - СПб.: Видавництво "Лань", 2001. - 224с., іл. - (Підручники для вузів. Спеціальна література).

Розміщено на Allbest.ru

Подібні документи

Проблема вибору між необхідним рівнем захисту та ефективністю роботи в мережі. Механізми забезпечення захисту в мережах: криптографія, електронний підпис, аутентифікація, захист мереж. Вимоги до сучасних засобів захисту.

курсова робота , доданий 12.01.2008


Проблема захисту. Особливості захисту в комп'ютерних мережах. Загрози, атаки та канали витоку інформації. Класифікація методів та засобів забезпечення безпеки. Архітектура мережі та її захист. Методи забезпечення безпеки мереж.

дипломна робота , доданий 16.06.2012


Способи та засоби захисту інформації від несанкціонованого доступу. Особливості захисту в комп'ютерних мережах. Криптографічний захист та електронний цифровий підпис. Методи захисту інформації від комп'ютерних вірусів та хакерських атак.

реферат, доданий 23.10.2011


Поняття захисту умисних загроз цілісності інформації у комп'ютерних мережах. Характеристика загроз для безпеки інформації: компрометація, порушення обслуговування. Характеристика ТОВ НВО "Мехінструмент", основні способи та методи захисту інформації.

дипломна робота , доданий 16.06.2012


Основні положення теорії захисту. Сутність основних методів та засобів захисту інформації в мережах. Загальна характеристикадіяльності та корпоративної мережі підприємства "Вестел", аналіз його методик захисту інформації у телекомунікаційних мережах.

дипломна робота , доданий 30.08.2010


Проблеми захисту інформації в інформаційних та телекомунікаційних мережах. Вивчення загроз інформації та способів їхнього впливу на об'єкти захисту інформації. Концепція інформаційної безпеки підприємства. Криптографічні методи захисту.

дипломна робота , доданий 08.03.2013


Шляхи несанкціонованого доступу, класифікація способів та засобів захисту інформації. Аналіз методів захисту інформації у ЛОМ. Ідентифікація та аутентифікація, протоколювання та аудит, управління доступом. Концепція безпеки комп'ютерних систем.

дипломна робота , доданий 19.04.2011


Методи та засоби захисту інформаційних даних. Захист від несанкціонованого доступу до інформації. Особливості захисту комп'ютерних систем за методами криптографії. Критерії оцінки безпеки інформаційних комп'ютерних технологій у країнах.

контрольна робота , доданий 06.08.2010


Основні характеристики інформації. Операції із даними. Дані - діалектична складова частина інформації. Види умисних загроз безпеці інформації. Класифікація шкідливих програм. Основні методи та засоби захисту інформації в комп'ютерних мережах.

курсова робота , доданий 17.02.2010


Сутність проблеми та завдання захисту інформації в інформаційних та телекомунікаційних мережах. Загрози інформації, способи впливу на об'єкти. Концепція інформаційної безпеки підприємства. Криптографічні методи та засоби захисту інформації.

Захист даних у комп'ютерних мережах стає однією з найгостріших проблем у сучасній інформатиці. На сьогоднішній день сформульовано три базові принципи інформаційної безпеки, яка повинна забезпечувати:

Цілісність даних – захист від збоїв, що ведуть до втрати інформації, а також неавторизованого створення або знищення даних;

Конфіденційність інформації та, одночасно,

Слід також зазначити, що окремі сфери діяльності (банківські та фінансові інститути, інформаційні мережі, системи державного управління, оборонні та спеціальні структури) вимагають спеціальних заходів безпеки даних та висувають підвищені вимоги до надійності функціонування інформаційних систем.

При розгляді проблем захисту даних у мережі насамперед виникає питання щодо класифікації збоїв та порушень прав доступу, які можуть призвести до знищення або небажаної модифікації даних. Серед таких потенційних "загроз" можна виділити:

1. Збої обладнання:

Збої кабельної системи;

Перебої електроживлення;

Збої дискових систем;

Збої систем архівації даних;

Збої роботи серверів, робочих станцій, мережевих карт тощо;

2. Втрати інформації через некоректну роботу ПЗ:

Втрата або зміна даних при помилках;

Втрати під час зараження системи комп'ютерними вірусами;

3. Втрати, пов'язані з несанкціонованим доступом:

Несанкціоноване копіювання, знищення чи підробка інформації;

Ознайомлення з конфіденційною інформацією, яка становить таємницю, сторонніх осіб;

4. Втрата інформації, пов'язана з неправильним зберіганням архівних даних.

5. Помилки обслуговуючого персоналу та користувачів.

Випадкове знищення чи зміна даних;

Некоректне використання програмного та апаратного забезпечення, що веде до знищення або зміни даних.

Залежно від можливих видів порушень роботи мережі численні види захисту об'єднуються в три основні класи:

Засоби фізичного захисту, що включають засоби захисту кабельної системи, систем електроживлення, засоби архівації, дискові масиви тощо.

Програмні засоби захисту, зокрема: антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу.

Адміністративні заходи захисту, що включають контроль доступу до приміщень, розробку стратегії безпеки фірми, планів дій у надзвичайних ситуаціях тощо.

Слід зазначити, що подібний поділ є досить умовним, оскільки сучасні технології розвиваються у напрямку поєднання програмних та апаратних засобів захисту.

Системи архівування та дублювання інформації

Організація надійної та ефективної системи архівації даних є одним з найважливіших завдань із забезпечення безпеки інформації в мережі. У невеликих мережах, де встановлені один-два сервери, найчастіше застосовується встановлення системи архівації безпосередньо у вільні слоти серверів. У великих корпоративних мережах найкраще організувати виділений спеціалізований архіваційний сервер.

Такий сервер автоматично здійснює архівування інформації з жорстких дисківсерверів та робочих станцій у вказаний адміністратором локальної обчислювальної мережі час, видаючи звіт про проведене резервне копіювання. При цьому забезпечується керування всім процесом архівації з консолі адміністратора, наприклад, можна вказати конкретні томи, каталоги або окремі файли, які потрібно архівувати.

Можлива також організація автоматичного архівування після настання тієї чи іншої події ("event driven backup"), наприклад, при отриманні інформації про те, що на жорсткому диску сервера або робочої станції залишилося мало вільного місця або при виході з ладу одного з "дзеркальних" дисків на файловому сервері

Для відновлення даних при збоях магнітних дисків останнім часом найчастіше застосовуються системи дискових масивів - групи дисків, які працюють як єдиний пристрій, відповідних стандарту RAID (Redundant Arrays of Inexpensive Disks).

Захист від комп'ютерних вірусів

На сьогоднішній день додатково до тисяч вже відомих вірусів з'являється 100-150 нових штамів щомісяця. Найбільш поширеними методами захисту від вірусів досі залишаються різні антивірусні програми.

Однак як перспективний підхід до захисту від комп'ютерних вірусів в останні роки все частіше застосовується поєднання програмних та апаратних методів захисту. Серед апаратних пристроїв такого плану можна відзначити спеціальні антивірусні плати, які вставляють у стандартні слоти розширення комп'ютера.

Захист від несанкціонованого доступу

Проблема захисту від несанкціонованого доступу особливо загострилася з поширенням локальних і, особливо, глобальних комп'ютерних мереж. Необхідно також зазначити, що найчастіше шкода завдається не через "злий намір", а через елементарні помилки користувачів, які випадково псують або видаляють життєво важливі дані. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту в комп'ютерних мережах є розмежування повноважень користувачів.

У комп'ютерних мережах при організації контролю доступу та розмежування повноважень користувачів найчастіше використовуються вбудовані засоби мережевих операційних систем

Існує досить багато можливих напрямів витоку інформації та шляхів несанкціонованого доступу в системах та мережах. Серед них:

читання залишкової інформації у пам'яті системи після виконання санкціонованих запитів;

· Копіювання носіїв інформації та файлів інформації з подолання заходів захисту;

· маскування під зареєстрованого користувача;

· маскування під запит системи;

· Використання програмних пасток;

· Використання недоліків операційної системи;

· Незаконне підключення до апаратури та ліній зв'язку;

· зловмисний висновок з ладу механізмів захисту;

· Використання та використання комп'ютерних вірусів.

Забезпечення безпеки інформації досягається комплексом організаційних, організаційно-технічних, технічних та програмних заходів.

До організаційних заходівзахисту інформації відносяться:

· обмеження доступу до приміщень, у яких відбувається підготовка та обробка інформації;

· Допуск до обробки та передачі конфіденційної інформації тільки перевірених посадових осіб;

· Зберігання магнітних носіїв та реєстраційних журналів у закритих для доступу сторонніх осіб сейфах;

· Виняток перегляду сторонніми особами змісту оброблюваних матеріалів через дисплей, принтер і т.д.;

· Використання криптографічних кодів при передачі по каналах зв'язку цінної інформації;

· Знищення фарбуючих стрічок, паперу та інших матеріалів, що містять фрагменти цінної інформації.

Організаційно-технічні заходизахисту інформації включають:

· Здійснення живлення обладнання, що обробляє цінну інформацію від незалежного джерела живлення або через спеціальні мережеві фільтри;

· Встановлення на дверях приміщень кодових замків;

· Використання для відображення інформації при вводі-виводі рідкокристалічних або плазмових дисплеїв, а для отримання твердих копій - струменевих принтерів і термопринтерів, оскільки дисплей дає таке високочастотне електромагнітне випромінювання, що зображення з його екрана можна приймати на відстані кількох сотень кілометрів;

· Знищення інформації, при списанні або відправці ЕОМ в ремонт;

· Встановлення клавіатури та принтерів на м'які прокладки з метою зниження можливості зняття інформації акустичним способом;

· Обмеження електромагнітного випромінювання шляхом екранування приміщень, де відбувається обробка інформації, листами з металу або зі спеціальної пластмаси.

Технічні засобизахисту інформації - це системи охорони територій та приміщень за допомогою екранування машинних залів та організації контрольно-пропускних систем. Захист інформації в мережах та обчислювальних засобах за допомогою технічних засобів реалізується на основі організації доступу до пам'яті за допомогою:

· Контролю доступу до різних рівнів пам'яті комп'ютерів;

· Блокування даних та введення ключів;

· Виділення контрольних бітів для записів з метою ідентифікації та ін.

Архітектура програмних засобівзахисту інформації включає:

· Контроль безпеки, у тому числі контроль реєстрації входження в систему, фіксацію в системному журналі, контроль дій користувача;

· Реакцію (у тому числі звукову) на порушення системи захисту контролю доступу до ресурсів мережі;

· Контроль мандатів доступу;

· Формальний контроль захищеності операційних систем (базової загальносистемної та мережевої);

· Контроль алгоритмів захисту;

· Перевірку та підтвердження правильності функціонування технічного та програмного забезпечення.

Для надійного захисту інформації та виявлення випадків неправомочних дій проводиться реєстрація роботи системи: створюються спеціальні щоденники та протоколи, в яких фіксуються всі дії, що стосуються захисту інформації в системі. Використовуються спеціальні програми для тестування системи захисту. Періодично або у випадково вибрані моменти часу вони перевіряють працездатність апаратних та програмних засобів захисту.

До окремої групи заходів щодо забезпечення безпеки інформації та виявлення несанкціонованих запитів відносяться програми виявлення порушень у режимі реального часу. Програми цієї групи формують спеціальний сигнал при реєстрації дій, які можуть призвести до неправомірних дій по відношенню до інформації, що захищається. Сигнал може містити інформацію про характер порушення, місце його виникнення та інші характеристики. Крім того, програми можуть заборонити доступ до інформації, що захищається, або симулювати такий режим роботи (наприклад, моментальне завантаження пристроїв введення-виведення), який дозволить виявити порушника і затримати його відповідною службою.

Один із поширених способів захисту - явна вказівка ​​секретності виведеної інформації. Ця вимога реалізується за допомогою відповідних програмних засобів.

Оснастивши сервер або мережеві робочі станції, наприклад, пристроєм читання смарт-карток та спеціальним програмним забезпеченням, можна значно підвищити рівень захисту від несанкціонованого доступу. У цьому випадку для доступу до комп'ютера користувач повинен вставити смарт-картку у пристрій читання та ввести персональний код.

Смарт-карти управління доступом дозволяють реалізувати, зокрема, такі функції, як контроль входу, доступ до пристроїв персонального комп'ютера, доступ до програм, файлів та команд.

У мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів - їх поділ та передача паралельно по двох лініях, - що унеможливлює "перехоплення" даних при незаконному підключенні "хакера" до однієї з ліній. До того ж процедура стиснення переданих пакетів, що використовується при передачі даних, гарантує неможливість розшифровки "перехоплених" даних. Крім того, мости та маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддалені користувачібудуть обмежені доступу до окремих ресурсів мережі головного офісу.

Механізми забезпечення безпеки

1. Криптографія.

Для забезпечення секретності застосовується шифрування або криптографія, що дозволяє трансформувати дані в зашифровану форму, з якої витягти вихідну інформацію можна тільки за наявності ключа.

В основі шифрування лежать два основні поняття: алгоритм та ключ. Алгоритм - це спосіб закодувати вихідний текст, у результаті виходить зашифроване послання. Зашифроване послання можна інтерпретувати лише за допомогою ключа.

Всі елементи систем захисту поділяються на дві категорії - довготривалі та легко змінювані. До довгострокових елементів відносяться ті елементи, які відносяться до розробки систем захисту та для зміни вимагають втручання спеціалістів або розробників. До легко змінюваних елементів відносяться елементи системи, які призначені для довільного модифікування або модифікування за заздалегідь заданим правилом, виходячи з початкових параметрів, що випадково вибираються. До елементів, що легко змінюються, відносяться, наприклад, ключ, пароль, ідентифікація тощо.

Секретність інформації забезпечується запровадженням алгоритми спеціальних ключів (кодів). Використання ключа при шифруванні надає дві істотні переваги. По-перше, можна використовувати один алгоритм із різними ключами для надсилання послань різним адресатам. По-друге, якщо секретність ключа буде порушена, його можна легко замінити, не змінюючи алгоритм шифрування. Таким чином, безпека систем шифрування залежить від секретності використовуваного ключа, а не секретності алгоритму шифрування.

Важливо відзначити, що продуктивність техніки, що зростає, призводить до зменшення часу, необхідного для розкриття ключів, і системам безпеки доводиться використовувати все більш довгі ключі, що, в свою чергу, веде до збільшення витрат на шифрування.

Оскільки таке важливе місце у системах шифрування приділяється секретності ключа, то основною проблемою подібних систем є генерація та передача ключа.

Існують дві основні схеми шифрування: симетричне шифрування (його також іноді називають традиційним або шифруванням із секретним ключем) та шифрування з відкритим ключем (іноді цей тип шифрування називають асиметричним).

При симетричному шифруванні відправник і одержувач володіють одним і тим же ключем (секретним), за допомогою якого вони можуть зашифровувати та розшифровувати дані.

Електронний підпис

За допомогою електронного підпису одержувач може переконатися в тому, що отримане ним повідомлення надіслано не сторонньою особою, а відправником, що має певні права. Електронні підписи створюються шифруванням контрольної суми та додаткової інформації за допомогою особистого ключа відправника. Таким чином, будь-хто може розшифрувати підпис, використовуючи відкритий ключ, але коректно створити підпис може тільки власник особистого ключа. Для захисту від перехоплення та повторного використання підпис включає унікальне число - порядковий номер.

Аутентифікація

Аутентифікація є одним із найважливіших компонентів організації захисту інформації в мережі. Перш ніж користувачеві буде надано право отримати той чи інший ресурс, необхідно переконатися, що він справді той, за кого себе видає.

При отриманні запиту використання ресурсу від імені будь-якого користувача сервер, надає даний ресурс, передає управління серверу аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс.

При аутентифікації використовується, як правило, принцип, що отримав назву "що він знає", - користувач знає деяке секретне слово, яке він посилає серверу аутентифікації у відповідь на запит. Однією із схем аутентифікації є використання стандартних паролів. Пароль - вводиться ним на початку сеансу взаємодії з мережею, інколи ж і наприкінці сеансу (у особливо відповідальних випадках пароль нормального виходу з мережі може відрізнятися від вхідного). Ця схема є найбільш уразливою з погляду безпеки - пароль може бути перехоплений та використаний іншою особою.

Найчастіше використовуються схеми із застосуванням одноразових паролів. Навіть будучи перехопленим, цей пароль буде марним під час наступної реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори, що є пристроями, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачеві для приведення цього пристрою.

Захист мереж

Останнім часом корпоративні мережі все частіше включаються до Інтернету або навіть використовують його як свою основу. Для захисту корпоративних інформаційних мереж використовують брандмауери. Брандмауери - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин та реалізувати набір правил, що визначають умови проходження пакетів з однієї частини до іншої. Як правило, цей кордон проводиться між локальною мережею підприємства та INTERNETOM, хоча її можна провести і всередині. Проте захищати окремі комп'ютери невигідно, тому зазвичай захищають усю мережу. Брандмауер пропускає через себе весь трафік і для кожного пакета, що проходить, приймає рішення - пропускати його або відкинути. Щоб брандмауер міг приймати рішення, йому визначається набір правил.

Брандмауер може бути реалізований апаратними засобами (тобто як окремий фізичний пристрій), так і у вигляді спеціальної програми, запущеної на комп'ютері.

Як правило, в операційну систему, під керуванням якої працює брандмауер, вносяться зміни, які мають на меті підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ​​ОС, і відповідні файли конфігурації. На самому брандмауері не дозволяється мати розділи користувачів, а отже, і потенційні дірки - лише розділ адміністратора.

Деякі брандмауери працюють тільки в режимі одного користувача, а багато хто мають систему перевірки цілісності програмних кодів.

Брандмауер зазвичай складається з декількох різних компонентів, включаючи фільтри або екрани, які блокують передачу трафіку.

Усі брандмауери можна розділити на два типи:

· пакетні фільтри, що здійснюють фільтрацію IP-пакетів засобами фільтруючих маршрутизаторів;

· сервери прикладного рівня, які блокують доступ до певних сервісів у мережі.

Таким чином, брандмауер можна визначити як набір компонентів або систему, яка розташовується між двома мережами і має наступні властивості:

· весь трафік з внутрішньої мережі у зовнішню та із зовнішньої мережі у внутрішню повинен пройти через цю систему;

· Тільки трафік, визначений локальною стратегією захисту, може пройти через цю систему;

У першій частині «Основ інформаційної безпеки» нами було розглянуто основні види загроз інформаційної безпеки. Для того щоб ми могли приступити до вибору засобів захисту інформації, необхідно детальніше розглянути, що можна віднести до поняття інформації.

Інформація та її класифікація

Інформацію можна класифікувати за декількома видами і в залежності від категорії доступу до неї поділяється на загальнодоступну інформацію, а також на інформацію, доступ до якої обмежений – конфіденційні дані та державна таємниця.

Інформація залежно від порядку її надання чи розповсюдження поділяється на інформацію:

1. Вільно поширювану
2. За угодою осіб, що надається, що беруть участь у відповідних відносинах
3. Яка відповідно до федеральних законів підлягає наданню чи розповсюдженню
4. Поширення, якою у Російській Федерації обмежується чи забороняється

1. Масова- містить тривіальні відомості та оперує набором понять, зрозумілим більшій частині соціуму.
2. Спеціальна- Містить специфічний набір понять, які можуть бути не зрозумілі основній масі соціуму, але необхідні і зрозумілі в рамках вузької соціальної групи, де використовується дана інформація.
3. Секретна- доступ, до якого надається вузькому колу осіб та по закритих (захищених) каналах.
4. Особиста (приватна)- Набір відомостей про будь-яку особистість, що визначає соціальне становище та типи соціальних взаємодій.

Відповідно до закону РФ від 21.07.1993 N 5485-1 (ред. Від 08.03.2015) «Про державну таємницю» стаття 5. «Перелік відомостей, що становлять державну таємницю»відноситься:

1. Відомості у військовій галузі.
2. Відомості у галузі економіки, науки та техніки.
3. Відомості у сфері зовнішньої політики та економіки.
4. Відомості у галузі розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, а також у сфері протидії тероризму та у сфері забезпечення безпеки осіб, щодо яких прийнято рішення про застосування заходів державного захисту.

Конфіденційні дані– це інформація, доступ до якої обмежений відповідно до законів держави та норм, які компанії встановлюються самостійно. Можна виділити такі види конфіденційних даних:

• Особисті конфіденційні дані:Відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особистість (персональні дані), за винятком відомостей, що підлягають поширенню у засобах масової інформації у встановлених федеральними законами випадках. Винятком є ​​лише інформація, яка розповсюджується у ЗМІ.
• Службові конфіденційні дані:Службові відомості, доступ до яких обмежений органами державної влади відповідно до Цивільного кодексу Російської Федерації та федеральними законами (службова таємниця).
• Судові конфіденційні дані:Про державний захист суддів, посадових осіб правоохоронних та контролюючих органів. Про державний захист потерпілих, свідків та інших учасників кримінального судочинства. Відомості, що містяться у особових справах засуджених, а також відомості про примусове виконання судових актів, актів інших органів та посадових осіб, крім відомостей, що є загальнодоступними відповідно до Федерального закону від 2 жовтня 2007 р. N 229-ФЗ «Про виконавче провадження» .
• Комерційні конфіденційні дані:всі види інформації, що пов'язана з комерцією (прибутком) та доступ до якої обмежується законом або відомості про сутність винаходу, корисної моделі чи промислового зразка до офіційної публікації інформації про них підприємством (секретні розробки, технології виробництва тощо).
• Професійні конфіденційні дані:Відомості, пов'язані з професійною діяльністю, доступ до яких обмежений відповідно до Конституції Російської Федерації та федеральних законів (лікарська, нотаріальна, адвокатська таємниця, таємниця листування, телефонних переговорів, поштових відправлень, телеграфних або інших повідомлень тощо)

Персональні дані

Оператором персональних даних є- державний орган, муніципальний орган, юридичний або фізична особа, що самостійно або спільно з іншими особами організують та (або) здійснюють обробку персональних даних, а також визначальні цілі обробки персональних даних, склад персональних даних, що підлягають обробці, дії (операції), що здійснюються з персональними даними.

Обробка персональних даних- будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (розповсюдження, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.

Права на обробку персональних даних закріплено у положеннях про державні органи, федеральні закони, ліцензії на роботу з персональними даними, які видає Роскомнагляд або ФСТЕК.

Компанії, які професійно працюють із персональними даними широкого кола осіб, наприклад, хостинг компанії віртуальних серверів або оператори зв'язку, повинні увійти до Реєстру, його веде Роскомнагляд.

Для прикладу наш хостинг віртуальних серверів VPS.HOUSE здійснює свою діяльність у рамках законодавства РФ та відповідно до ліцензій Федеральної службиз нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій №139322 від 25.12.2015 (Телематичні послуги зв'язку) та №139323 від 25.12.2015 (Послуги зв'язку з передачі даних, за винятком послуг зв'язку з передачі даних для цілей передачі голосової інформації) .

Виходячи з цього, будь-який сайт, на якому є форма реєстрації користувачів, в якій вказується і згодом обробляється інформація, що відноситься до персональних даних, є оператором персональних даних.

Враховуючи статтю 7 закону №152-ФЗ«Про персональні дані» , оператори та інші особи, отримали доступом до персональним даним, зобов'язані не розкривати третім особам і поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше передбачено федеральним законом. Відповідно будь-який оператор персональних даних, зобов'язаний забезпечити необхідну безпеку та конфіденційність даної інформації.

Для того щоб забезпечити безпеку та конфіденційність інформації необхідно визначити які бувають носії інформації, доступ до яких буває відкритим та закритим. Відповідно способи та засоби захисту підбираються так само залежно і від типу носія.

Основні носії інформації:

• Друковані та електронні засоби масової інформації, соціальні мережі, інші ресурси в Інтернеті;
• Співробітники організації, які мають доступ до інформації на підставі своїх дружніх, сімейних, професійних зв'язків;
• Засоби зв'язку, що передають чи зберігають інформацію: телефони, АТС, інше телекомунікаційне обладнання;
• Документи всіх типів: індивідуальні, службові, державні;
• Програмне забезпечення як самостійний інформаційний об'єкт, особливо якщо його версія допрацьовувалась спеціально для конкретної компанії;
• Електронні носії інформації, що обробляють дані в автоматичному порядку.

Класифікація засобів захисту

Відповідно до федерального закону від 27 липня 2006 року №149-ФЗ(ред. від 29.07.2017 року) «Про інформацію, інформаційні технології та захист інформації» , стаття 7, п. 1. та п. 4:

1. Захист інформаціїявляє собою вживання правових, організаційних та технічних заходів, спрямованих на:

• Забезпеченнязахисту інформації від неправомірного доступу, знищення, модифікування, блокування, копіювання, надання, розповсюдження, а також від інших неправомірних дій щодо такої інформації;
• Дотриманняконфіденційності інформації обмеженого доступу;
• Реалізаціюправа доступу до інформації.

• Запобіганнянесанкціонованого доступу до інформації та (або) передачі її особам, які не мають права на доступ до інформації;
• Своєчасне виявленняфактів несанкціонованого доступу до інформації;
• Попередженняможливості несприятливих наслідків порушення порядку доступу інформації;
• Недопущенняна технічні засоби обробки інформації, внаслідок якого порушується їх функціонування;
• Можливість негайного відновленняінформації, модифікованої чи знищеної внаслідок несанкціонованого доступу до неї;
• Постійний контрольза забезпеченням рівня захищеності інформації;
• Знаходженняна території Російської Федерації баз даних інформації, з використанням яких здійснюються збір, запис, систематизація, накопичення, зберігання, уточнення (оновлення, зміна), вилучення персональних даних громадян Російської Федерації (п. 7 запроваджено Федеральним законом від 21.07.2014) №242-ФЗ).

1. Правовий рівеньзабезпечує відповідність державним стандартам у сфері захисту інформації та включає авторське право, укази, патенти та посадові інструкції.
   Грамотно побудована система захисту не порушує права користувачів та норми обробки даних.
2. Організаційний рівеньдозволяє створити регламент роботи користувачів з конфіденційною інформацією, підібрати кадри, організувати роботу з документацією та носіями даних.
   Регламент роботи користувачів із конфіденційною інформацією називають правилами розмежування доступу. Правила встановлюються керівництвом компанії разом із службою безпеки та постачальником, який впроваджує систему безпеки. Мета – створити умови доступу до інформаційних ресурсів кожному за користувача, наприклад, декларація про читання, редагування, передачу конфіденційного документа.
   Правила розмежування доступу розробляються на організаційному рівні та впроваджуються на етапі робіт із технічної складової системи.
3. Технічний рівеньумовно поділяють на фізичний, апаратний, програмний та математичний (криптографічний).

Засоби захисту інформації

Неформальні засоби захисту інформації

Правову основу ( законодавчі кошти) інформаційну безпеку забезпечує держава. Захист інформації регулюється міжнародними конвенціями, Конституцією, федеральними законами «Про інформацію, інформаційні технології та захист інформації», закони Російської Федерації «Про безпеку», «Про зв'язок», «Про державну таємницю» та різні підзаконні акти.

Також деякі з перерахованих законів були наведені та розглянуті нами вище, як правові засади інформаційної безпеки. Не дотримання цих законів тягне за собою загрози інформаційній безпеці, які можуть призвести до значних наслідків, що карається відповідно до цих законів до кримінальної відповідальності.

Держава також визначатиме міру відповідальності за порушення положень законодавства у сфері інформаційної безпеки. Наприклад, глава 28 "Злочини у сфері комп'ютерної інформації" в Кримінальному кодексі Російської Федерації, включає три статті:

• Стаття 272 «Неправомірний доступ до комп'ютерної інформації»;
• Стаття 273 «Створення, використання та розповсюдження шкідливих комп'ютерних програм»;
• Стаття 274 "Порушення правил експлуатації засобів зберігання, обробки або передачі комп'ютерної інформації та інформаційно-телекомунікаційних мереж".

Для зниження впливу цих аспектів необхідна сукупність організаційно-правових та організаційно-технічних заходів, які б виключали або зводили до мінімуму можливість виникнення загроз конфіденційній інформації.

У цій адміністративно-організаційній діяльності із захисту інформаційної для співробітників служб безпеки відкривається простір для творчості.

Це і архітектурно-планувальні рішення, що дозволяють захистити переговорні кімнати та кабінети керівництва від прослуховування, та встановлення різних рівнів доступу до інформації.

З погляду регламентації діяльності персоналу важливим стане оформлення системи запитів на допуск до інтернету, зовнішньої електронній пошті, Інші ресурси. Окремим елементомстане отримання електронного цифрового підпису для посилення безпеки фінансової та іншої інформації, яку передають державним органам каналами електронної пошти.

До морально-етичнихзасобам можна віднести що склалися у суспільстві чи цьому колективі моральні норми чи етичні правила, дотримання яких сприяє захисту інформації, а порушення їх прирівнюється недотримання правил поведінки у суспільстві чи колективі. Ці норми є обов'язковими, як законодавчо затверджені норми, проте, їх недотримання веде до падіння авторитету, престижу людини чи організації.

Формальні засоби захисту інформації

Фізичні засоби захисту інформації– це будь-які механічні, електричні та електронні механізми, які функціонують незалежно від інформаційних систем та створюють перешкоди для доступу до них.

Замки, у тому числі електронні, екрани, жалюзі, покликані створювати перешкоди для контакту дестабілізуючих факторів із системами. Група доповнюється засобами систем безпеки, наприклад відеокамерами, відеореєстраторами, датчиками, що виявляють рух або перевищення ступеня електромагнітного випромінювання в зоні розташування технічних засобів для зняття інформації.

Апаратний засіб захисту інформації– це будь-які електричні, електронні, оптичні, лазерні та інші пристрої, що вбудовуються в інформаційні та телекомунікаційні системи: спеціальні комп'ютери, системи контролю співробітників, захисту серверів та корпоративних мереж. Вони перешкоджають доступу до інформації, зокрема за допомогою її маскування.

До апаратних засобів відносяться: генератори шуму, мережеві фільтри, скануючі радіоприймачі та безліч інших пристроїв, що «перекривають» потенційні канали витоку інформації або дозволяють їх виявити.

Програмні засоби захисту інформації– це прості та комплексні програми, призначені для вирішення завдань, пов'язаних із забезпеченням інформаційної безпеки.

Прикладом комплексних рішеньслужать DLP-системи та SIEM-системи.

DLP-системи(«Data Leak Prevention» буквально «запобігання витоку даних») відповідно служать для запобігання витоку, переформатування інформації та перенаправлення інформаційних потоків.

SIEM-системи("Security Information and Event Management", що в перекладі означає "Управління подіями та інформаційною безпекою") забезпечують аналіз у реальному часі подій (тривог) безпеки, що виходять від мережевих пристроїв та програм. SIEM представлено програмами, приладами або послугами, і використовується також для журналування даних та генерації звітів з метою сумісності з іншими бізнес-даними.

Програмні засоби вимагають потужності апаратних пристроїв, і при установці необхідно передбачити додаткові резерви.

Математичний (криптографічний)– впровадження криптографічних та стенографічних методів захисту даних для безпечної передачі по корпоративній або глобальній мережі.

Криптографія вважається одним із найнадійніших способів захисту даних, адже вона охороняє саму інформацію, а не доступ до неї. Криптографічно перетворена інформація має підвищений рівень захисту.

Впровадження засобів криптографічного захисту інформації передбачає створення програмно-апаратного комплексу, архітектура та склад якого визначається, виходячи з потреб конкретного замовника, вимог законодавства, поставлених завдань та необхідних методів та алгоритмів шифрування.

Сюди можуть входити програмні компоненти шифрування (криптопровайдери), засоби організації VPN, засоби посвідчення, засоби формування та перевірки ключів та електронного цифрового підпису.

Засоби шифрування можуть підтримувати алгоритми шифрування ГОСТ та забезпечувати необхідні класи криптозахисту залежно від необхідного ступеня захисту, нормативної бази та вимог сумісності з іншими, у тому числі зовнішніми системами. При цьому засоби шифрування забезпечують захист всієї множини інформаційних компоненту тому числі файлів, каталогів з файлами, фізичних та віртуальних носіїв інформації, повністю серверів та систем зберігання даних.

На закінчення другої частини розглянувши коротко основні засоби і засоби захисту інформації, а так само класифікацію інформації, можна сказати наступне: Про те, що ще раз підтверджується давно відома теза, що забезпечення інформаційної безпеки - це цілий комплекс заходів, який включає всі аспекти захисту інформації, до створення та забезпечення якого необхідно підходити найбільш ретельно і серйозно.

Необхідно суворо дотримуватись і за жодних обставин не можна порушувати «Золоте правило» - це комплексний підхід.

Для більш наочного уявлення засоби захисту інформації, саме як неподільний комплекс заходів, представлені нижче на малюнку 2, кожна з цеглинок якого є захистом інформації в певному сегменті, заберіть одну з цеглинок і виникне загроза безпеці.

Рисунок 2. Класифікація засобу захисту.

Програмні засоби захисту — це спеціальні програми та програмні комплекси, призначені для захисту інформації в інформаційній системі.

Програмні засоби включають програми ідентифікації користувачів, контролю доступу, видалення залишкової (робочої) інформації типу тимчасових файлів, тестового контролю системи захисту та інші. Переваги програмних засобів - універсальність, гнучкість, надійність, простота установки, здатність до модифікації та розвитку.

Недоліки – використання частини ресурсів файл-сервера та робочих станцій, висока чутливість до випадкових чи навмисних змін, можлива залежність від типів комп'ютерів (їх апаратних засобів).

До програмних засобів захисту програмного забезпечення належать:

· Вбудовані засоби захисту інформації - це засоби, що реалізують авторизацію та автентифікацію користувачів (вхід до системи з використанням пароля), розмежування прав доступу, захист програмного забезпечення від копіювання, коректність введення даних відповідно до заданого формату і так далі.

Крім того, до цієї групи засобів відносяться вбудовані засоби операційної системи захисту від впливу роботи однієї програми на роботу іншої програми при роботі комп'ютера в мультипрограмному режимі, коли в його пам'яті може одночасно перебувати в стадії виконання кілька програм, що поперемінно отримують управління в результаті переривань, що виникають . У кожній з таких програм можливі відмови (помилки), які можуть вплинути виконання функцій іншими програмами. Операційна система займається обробкою переривань та керуванням мультипрограмним режимом. Тому операційна системаповинна забезпечити захист себе та інших програм від такого впливу, використовуючи, наприклад, механізм захисту пам'яті та розподіл виконання програм у привілейованому чи користувальницькому режимі;

· Управління системою захисту.

Для того, щоб сформувати оптимальний комплекс програмно-технічних засобів захисту інформації, необхідно пройти такі етапи:

· Визначення інформаційних та технічних ресурсів, що підлягають захисту;

· Виявлення повної множини потенційно можливих загроз і каналів витоку інформації;

· Проведення оцінки вразливості та ризиків інформації при наявній безлічі загроз та каналів витоку;

· Визначення вимог до системи захисту;

· Здійснення вибору засобів захисту інформації та їх характеристик;

· Впровадження та організація використання обраних заходів, способів та засобів захисту;

· Здійснення контролю цілісності та управління системою захисту.

Інформація сьогодні коштує дорого та її необхідно охороняти. Інформацією володіють та використовують усі люди без винятку. Кожна людина вирішує собі, яку інформацію їй необхідно отримати, яка інформація не повинна бути доступна іншим. Для запобігання втраті інформації та розробляються різні способи її технічного захисту, які використовуються на всіх етапах роботи з нею, захищаючи від пошкоджень та зовнішніх впливів.

Під програмними засобами захисту інформаціїрозуміють спеціальні програми, що включаються до складу програмного забезпечення КС виключно для виконання захисних функцій.

До основних програмних засобів захисту інформації відносяться:

Програми ідентифікації та автентифікації користувачів КС;

Програми розмежування доступу користувачів до ресурсів КС;

Програми шифрування інформації;

Програми захисту інформаційних ресурсів (системного та прикладного програмного забезпечення, баз даних, комп'ютерних засобів навчання тощо) від несанкціонованої зміни, використання та копіювання.

Зауважимо, що під ідентифікацією,стосовно забезпечення інформаційної безпеки КС, розуміють однозначне розпізнавання унікального імені суб'єкта КС. Аутентифікаціяозначає підтвердження того, що пред'явлене ім'я відповідає цьому суб'єкту (підтвердження справжності суб'єкта).

Приклади допоміжних програмних засобів захисту інформації:

Програми знищення залишкової інформації (у блоках оперативної пам'яті, тимчасових файлах тощо);

Програми аудиту (ведення реєстраційних журналів) подій, пов'язаних із безпекою КС, для забезпечення можливості відновлення та доказу факту події цих подій;

Програми імітації роботи з порушником (відволікання його на отримання нібито конфіденційної інформації);

Програми тестового контролю захищеності КС та ін.

До переваг програмних засобів захисту відносяться:

Простота тиражування;

гнучкість (можливість налаштування на різні умови застосування, що враховують специфіку загроз інформаційної безпеки конкретних КС);

Простота застосування - одні програмні засоби, наприклад шифрування, працюють у «прозорому» (непомітному для користувача) режимі, інші не вимагають від користувача жодних нових (проти іншими програмами) навичок;

Практично необмежені можливості їхнього розвитку шляхом внесення змін для врахування нових загроз безпеці інформації.

Рис. 1.1 Приклад пристикованого програмного засобу захисту

Рис. 1.2. Приклад вбудованого програмного засобу захисту інформації

До недоліків програмних засобів захисту відносяться:

Зниження ефективності КС за рахунок споживання її ресурсів, необхідних для функціонування програм захисту;

Нижча продуктивність (порівняно з апаратними засобами захисту, що виконують аналогічні функції, наприклад шифрування);

Пристикованість багатьох програмних засобів захисту (а не їх вбудованість у програмне забезпечення КС, рис. 1.1 та 1.2), що створює для порушника принципову можливість їхнього обходу;

Можливість зловмисної зміни програмних засобів у процесі експлуатації КС.

2.2.4 "Автентифікація користувачів"

Аутентифікація користувачів на основі паролів та моделі «рукостискання»

При виборі паролів користувачі КС повинні керуватися двома, по суті, взаємовиключними правилами - паролі повинні важко підбиратися і легко запам'ятовуватися (оскільки пароль за жодних умов не повинен ніде записуватися, тому що в цьому випадку необхідно буде додатково вирішувати завдання захисту носія пароля).

Складність підбору пароля визначається насамперед потужністю безлічі символів, що використовується при виборі пароля. (N),та мінімально можливою довжиною пароля (К).У цьому випадку кількість різних паролів може бути оцінена знизу як З р = N k.Наприклад, якщо безліч символів пароля утворюють малі латинські літери, а мінімальна довжина пароля дорівнює 3, то З р = 26 3 = 17576 (що зовсім небагато для програмного підбору). Якщо ж безліч символів пароля складається з малих і великих латинських літер, а також цифр і мінімальна довжина пароля дорівнює 6, то З р = 62 6 = 56800235584.

Складність паролів, що вибираються користувачами КС, повинна встановлюватися адміністратором при реалізації встановленої для даної системи політики безпеки. Іншими параметрами політики облікових записів під час використання парольної автентифікації мають бути:

Максимальний термін дії пароля (будь-який секрет не може зберігатися в таємниці вічно);

Розбіжність пароля з логічним ім'ям користувача, під яким він зареєстрований у КС;

Неповторність паролів одного користувача.

Вимога неповторності паролів може бути реалізовано двома способами. По-перше, можна встановити мінімальний термін дії пароля (у інакшекористувач, змушений після закінчення терміну дії свого пароля змінити його, зможе відразу змінити пароль на старий). По-друге, можна вести список паролів, що вже використовуються даним користувачем (максимальна довжина списку при цьому може встановлюватися адміністратором) .

На жаль, забезпечити реальну унікальність кожного пароля, що вибирається користувачем, за допомогою наведених вище заходів практично неможливо. Користувач може, не порушуючи встановлених обмежень, вибирати паролі Al, A2, ... де А1 - перший пароль користувача, що задовольняє вимогам складності.

Забезпечити прийнятний рівень складності паролів та їх реальну унікальність можна шляхом призначення паролів усім користувачам адміністратором КС з одночасною забороною на зміну пароля самим користувачем. Для генерації паролів адміністратор може використовувати програмний генератор, що дозволяє створювати паролі різної складності.

Однак при такому способі призначення паролів виникають проблеми, пов'язані з необхідністю створення захищеного каналу передачі пароля від адміністратора до користувача, труднощами перевірки збереження користувачем не ним вибраного пароля тільки в своїй пам'яті і потенційною можливістю адміністратора, знає паролі всіх користувачів, зловживання своїми повноваженнями. Тому найбільш доцільним є вибір пароля користувачем з урахуванням встановлених адміністратором правил із можливістю завдання адміністратором нового пароля користувачеві у разі, якщо той забув свій пароль.

Ще одним аспектом політики облікових записів користувачів КС має стати визначення протидії системи спробам добору паролів.

Можуть застосовуватися такі правила:

Обмеження кількості спроб входу до системи;

Приховування логічного імені останнього користувача (знання логічного імені може допомогти порушнику підібрати або вгадати його пароль);

Врахування всіх спроб (успішних і невдалих) входу в систему в журналі аудиту.

Реакцією системи на невдалу спробу входу користувача можуть бути:

Блокування облікового запису, під яким здійснюється спроба входу, при перевищенні максимально можливої ​​кількості спроб (на заданий час або до ручного зняття блокування адміністратором);

Зростання тимчасової затримки перед наданням користувачу наступної спроби входу.

При початковому введенні або зміні пароля користувача зазвичай застосовуються два класичні правила:

Символи пароля, що вводиться, не відображаються на екрані (це ж правило, застосовується і для введення користувачем пароля при його вході в систему);

Для підтвердження правильності введення пароля (з урахуванням першого правила) це введення повторюється двічі.

Для зберігання паролів можливе їхнє попереднє шифрування або хешування.

Шифрування паролів має два недоліки:

Оскільки при шифруванні необхідно використовувати ключ, потрібно забезпечити його захищене зберігання в КС (знання ключа шифрування пароля дозволить виконати його розшифрування та здійснити несанкціонований доступ до інформації);

Існує небезпека розшифрування будь-якого пароля та отримання його у відкритому вигляді.

Хешування є незворотним перетворенням і знання хеш-значення пароля не дасть порушнику можливості його отримання у відкритому вигляді (він зможе тільки намагатися підібрати пароль за відомої функції хешування). Тому набагато безпечнішим є зберігання паролів у хешованому вигляді. Недоліком є ​​те, що немає навіть теоретичної можливості відновити забутий користувачем пароль.

Другий приклад – автентифікація на основі моделі «рукостискання». При реєстрації в КС користувачеві пропонується набір невеликих зображень (наприклад, піктограм), серед яких він має вибрати задану кількість картинок. При наступному вході в систему йому виводиться інший набір зображень, частина яких він бачив при реєстрації. Для правильної аутентифікації користувач повинен відзначити ті зображення, які він вибрав під час реєстрації.

Переваги автентифікації на основі моделі «рукостискання» перед парольною автентифікацією:

Між користувачем та системою не передається жодної конфіденційної інформації, яку потрібно зберігати в таємниці.

Кожен наступний сеанс входу користувача в систему відмінний від попереднього, тому навіть тривалий нагляд за цими сеансами нічого не дасть порушнику.

До недоліків аутентифікації на основі моделі "рукостискання" відноситься велика тривалість цієї процедури порівняно з парольною аутентифікацією.

Аутентифікація користувачів за їх біометричними характеристиками

До основних біометричних характеристик користувачів КС, які можуть застосовуватися при їх автентифікації, належать:

Відбитки пальців;

Геометрична форма руки;

Візерунок райдужної оболонки ока;

Малюнок сітківки ока;

Геометрична форма та розміри особи;

Геометрична форма та розміри вуха та ін.

Найбільш поширеними є програмно-апаратні засоби аутентифікації користувачів за їх відбитками пальців. Для зчитування цих відбитків зазвичай використовуються оснащені спеціальними сканерами клавіатури та миші. Наявність досить великих банків даних з відбитками пальців громадян є основною причиною досить широкого застосування подібних засобів аутентифікації в державних структурах, а також у великих комерційних організаціях. Недоліком таких засобів є потенційна можливість застосування відбитків пальців користувачів контролю над їх приватним життям.

Якщо з об'єктивних причин (наприклад, через забрудненість приміщень, в яких проводиться аутентифікація) отримання чіткого відбитка пальця неможливе, може застосовуватися аутентифікація за геометричною формою руки користувача. У цьому випадку сканери можна встановити на стіні приміщення.

Найбільш достовірними (але й найдорожчими) є засоби автентифікації користувачів, засновані на характеристиках ока (візерунок райдужної оболонки або малюнку сітківки). Імовірність повторення цих ознак оцінюється в 10-78.

Найдешевшими (але й найменш достовірними) є засоби аутентифікації, засновані на геометричній формі та розмірі особи користувача або на тембрі його голосу. Це дозволяє використовувати ці засоби і для аутентифікації при віддаленому доступікористувачів до КС.

Основні переваги аутентифікації користувачів за їх біометричними характеристиками;

Складність фальшування цих ознак;

Висока достовірність аутентифікації через унікальність таких ознак;

Невіддільність біометричних ознак особистості користувача.

Для порівняння аутентифікації користувачів на основі тих чи інших біометричних характеристик застосовуються оцінки ймовірностей помилок першого та другого роду. Імовірність помилки першого роду (відмови у доступі до КС легальному користувачеві) становить 10-6...10-3. Ймовірність помилки другого роду (допуск до роботи в КС незареєстрованого користувача) сучасних системах біометричної аутентифікаціїстановить 10-5...10-2.

Загальним недоліком засобів аутентифікації користувачів КС за їх біометричними характеристиками є їхня висока вартість порівняно з іншими засобами аутентифікації, що обумовлено насамперед необхідністю придбання додаткових апаратних засобів. Способи аутентифікації, що ґрунтуються на особливостях клавіатурного почерку та розпису мишею користувачів, не вимагають застосування спеціальної апаратури.

Аутентифікація користувачів за їхнім клавіатурним почерком та розписом мишею

Одним із перших ідею автентифікації користувачів за особливостями їхньої роботи з клавіатурою та мишею запропонував С.П.Расторгуєв. При розробці математичної моделіаутентифікації на основі клавіатурного почерку користувачів було зроблено припущення, що часові інтервали між натисканнями сусідніх символів ключової фрази та між натисканнями конкретних сполучень клавіш у ній підпорядковуються нормальному закону розподілу. Сутью даного способуаутентифікації є перевірка гіпотези про рівність центрів розподілу двох нормальних генеральних сукупностей (отриманих при настроюванні системи на характеристики користувача та його аутентифікації).

Розглянемо варіант автентифікації користувача за набором ключової фрази (однієї й тієї ж у режимах налаштування та підтвердження справжності).

Процедура налаштування на характеристики користувача, що реєструється в КС:

1) вибір користувачем ключової фрази (її символи мають бути рівномірно рознесені на клавіатурі);

2) набір ключової фрази кілька разів;

3) виключення грубих помилок (за спеціальним алгоритмом);

4) розрахунок та збереження оцінок математичних очікувань, дисперсій та числа, спостережень для тимчасових інтервалів між наборами кожної пари сусідніх символів ключової фрази.

Достовірність аутентифікації на основі клавіатурного почерку користувача є нижчою, ніж при використанні його біометричних характеристик.

Однак цей спосіб аутентифікації має свої переваги:

Можливість приховування факту застосування додаткової аутентифікації користувача, якщо як ключова фраза використовується введена користувачем парольна фраза;

Можливість реалізації цього способу лише за допомогою програмних засобів (зниження вартості засобів автентифікації).

Тепер розглянемо спосіб аутентифікації, заснований на розпису мишею(за допомогою цього маніпулятора, природно, не можна виконати реальний розпис користувача, тому цей розпис буде досить простим розчерком). Назвемо лінією розпису ламану лінію, отриману з'єднанням точок від початку розпису до його завершення (сусідні точки при цьому не повинні мати однакових координат). Довжину лінії розпису розрахуємо як суму довжин відрізків, що з'єднують точки розпису.

Подібно до аутентифікації на основі клавіатурного почерку справжність користувача за його розписом мишею підтверджується насамперед темпом його роботи з цим пристроєм введення.

До переваг аутентифікації користувачів за їх розписом мишею, подібно до використання клавіатурного почерку, відноситься можливість реалізації цього способу тільки за допомогою програмних засобів; до недоліків - менша достовірність аутентифікації порівняно із застосуванням біометричних характеристик користувача, а також необхідність достатньо впевненого володіння користувачем навичками роботи з мишею.

Загальною особливістю способів аутентифікації, заснованих на клавіатурному почерку та розпису мишею є нестабільність їх характеристик в одного користувача, яка може бути викликана:

1) природними змінами, пов'язаними з покращенням навичок користувача по роботі з клавіатурою та мишею або, навпаки, з їх погіршенням через старіння організму;

2) змінами, пов'язаними з ненормальним фізичним чи емоційним станом користувача.

Зміни характеристик користувача, викликані причинами першого роду, є стрибкоподібними, тому можуть бути нейтралізовані зміною еталонних характеристик після кожної успішної аутентифікації користувача.

Зміни характеристик користувача, спричинені причинами другого роду, можуть бути стрибкоподібними і призвести до відхилення спроби входу в КС. Однак ця особливість аутентифікації на основі клавіатурного почерку та розпису мишею може стати і гідністю, якщо йдеться про користувачів КС поіншого, енергетичного та фінансового призначення.

Перспективним напрямом розвитку способів аутентифікації користувачів КС, заснованих на їх особистих особливостях, може стати підтвердження справжності користувача на основі його знань та навичок, що характеризують рівень освіти та культури.