Технологии защиты информационного пространства управления
Значение и виды информационных ресурсов. Методы, технологии и экономическая целесообразность их защиты. Современная система удостоверяющих документов и её недостатки. Типы шифров, шифрование в Word и Excel. Основы и принципы использования криптографии.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | реферат |
| Язык | русский |
| Дата добавления | 10.02.2011 |
| Размер файла | 93,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
1. Пароль не должен быть значимым словом или сочетанием слов какого-либо языка. Словари всех языков давно составлены вместе со всеми возможными формами слов. Распространённые системы подбора паролей начинают перебор, используя словарь, в котором слова расставлены по частоте их употребления. Например, у вас длина пароля до 12 символов. Противник начинает взламывать вашу защиту, перебирая пароль со скоростью 10 000 вариантов в секунду (средний компьютер). Если в качестве пароля выбрано случайное сочетание символов (цифр и латинских букв разного регистра), то возможных вариантов примерно 1262, и перебор вариантов займёт
лет.
Возраст вселенной существенно меньше этого срока. Но если вы для более лёгкого запоминания поставили в качестве пароля осмысленное слово, то количество вариантов резко сокращается. В языке примерно 100 000 слов, вместе два языка дадут 200 000, с учётом всех возможных форм и кодировок пусть 106. Такое число будет перебрано за
Несколько выше ваши шансы, если использовалась пара слов. Сочетаний из двух слов - 1012. Перебор займёт 108 с - около 3 лет. Однако стоит противнику применить более мощный компьютер, как время полного перебора вновь упадёт до нескольких минут. Если же ваше сочетание слов сколь-нибудь осмысленно, то задача упрощается на несколько порядков.
2. Не записывайте свой пароль в файл или на бумажке. Это приведёт к тому, что пароль не только станет известен тому, кто захочет его узнать, но и вы не будете подозревать, что пароль скомпрометирован. Когда вы не рискуете положиться на свою память, пароль записывается в специальный журнал паролей, который опечатывается и хранится в сейфе или в другом месте, исключающем доступ посторонних.
3. Не используйте один пароль для нескольких целей. Предположим, что вы придумали и ухитрились запомнить хороший пароль. И вы ставите его на свой аккаунт в локальной сети, на свой почтовый ящик, аккаунт в системе баннерного обмена, электронный кошелёк, шифруете им свои архивы и т.д. У всех этих систем разная степень стойкости. Грамотному хакеру не составит большого труда перехватить ваш пароль на почтовый ящик. После этого, если не полный лентяй, он попробует его ко всем вашим аккаунтам и, конечно, будет прав. Чтобы избежать такой "цепной реакции", придётся вам запоминать несколько паролей. Надо заметить, что не везде нужны пароли длинные и стойкие. Где-то возможно применение и простых паролей, если информация не представляет особой ценности.
4. При наборе пароля, хотя он, как правило, на экране не отображается, следует всё же избегать чужих глаз. Будет очень полезно, если вы заведёте в коллективе такой порядок, что когда кто-то набирает свой пароль, остальные, как истинные джентльмены, отворачиваются, независимо от того, видно им или нет.
Шифрованные архивы
Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надёжны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Всё это не позволяет всерьёз рассчитывать на такую защиту. Архивы с паролем можно использовать только "для чайников".
На некоторых сайтах в Internet можно найти "ломалки" для зашифрованных архивов. Например, архив ZIP взламывается на хорошем компьютере за несколько минут, при этом от пользователя не требуется никакой особой квалификации.
Шифрование в Word и Excel
Фирма Microsoft включила в свои продукты некоторое подобие криптозащиты. Но это весьма законопослушная фирма, которая чётко соблюдает все экспортные ограничения США, да ещё и перестраховывается. Это не позволяет надеяться на стойкость такой защиты. К тому же, алгоритм шифровки не описан, что, как было показано выше, является показателем ненадёжности.
Кроме того, имеются данные, что Майкрософт оставляет в используемых криптоалгоритмах “чёрный ход”. Если вам очень нужно расшифровать файл, пароль к которому утрачен (или враг не хочет говорить), можно обратиться в фирму. По официальному запросу, при достаточных основаниях они проводят расшифровку файлов Word и Excel. Так, кстати, поступают и некоторые другие производители ПО.
Шифрованные диски (каталоги)
Шифрование - достаточно надёжный метод защиты информации на вашем жёстком диске. Однако если количество закрываемой информации не исчерпывается двумя-тремя файлами, то вам будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования - зашифровывать обратно. При этом на диске могут остаться страховочные копии файлов, которые создают многие редакторы.
Поэтому удобно использовать специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи её на диск и чтении с диска.
Меры организационного характера
Обязательные
· Познакомить всех сотрудников с принципами ЗИ и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
· Чётко классифицировать всю информацию по степени её закрытости и ввести правила обращения с документами ограниченного распространения.
· Обязать сотрудников исполнять требования по ЗИ, подкрепив это соответствующими организационными и дисциплинарными мерами.
Желательные
· Заставить всех сотрудников изучить современные средства ЗИ и сдать по ним зачёт.
· Иметь в штате специалиста, профессионально разбирающегося в проблемах ЗИ.
· Не использовать в работе ПО, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Internet сведений изготовителю ПО. Особенно подобным поведением "грешат" программные продукты фирмы Microsoft.
· Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.
· Приобрести сертифицированные средства ЗИ.
· Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое ПО. При получении любых исполняемых файлов по электроной почте стирать их, не разбираясь.
Дополнительные
· Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.
· Провести "испытание" имеющихся у вас средств ЗИ, поручив стороннему специалисту испробовать на прочность вашу защиту.
Комплексные меры по защите информации
Принцип “слабейшего звена”
Когда мы реализуем целый комплекс мер по защите информации, мы как бы выстраиваем сплошную стену, охраняющую нашу территорию от вторжения врагов. Если хотя бы один участок стены окажется с брешью или недостаточно высок, вся остальная конструкция лишается смысла. Так и с защитой информации - устойчивость всей системы защиты равна устойчивости её слабейшего звена. Отсюда делаются следующие выводы.
· ЗИ может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла;
· Стойкость защиты во всех звеньях должна быть примерно одинакова; усиливать отдельные элементы комплекса при наличии более слабых элементов - бессмысленно;
· При преодолении ЗИ усилия прикладываются именно к слабейшему звену.
Рассмотрим, какие есть “звенья” в системе защиты, и какое из них слабейшее. Надёжность защиты можно классифицировать по следующим группам:
· количество вариантов ключа (определяет устойчивость к прямому перебору);
· качество алгоритма (устойчивость к косвенным методам дешифровки);
· наличие у противника априорной информации;
· надёжность хранения или канала передачи секретного ключа;
· надёжность допущенных сотрудников;
· надёжность хранения незашифрованной информации.
Экономическая целесообразность защиты
Абсолютно надёжной защиты не существует. Это следует помнить всем, кто организует ЗИ. Любую защиту можно преодолеть. Но лишь “в принципе”. Это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.
Поэтому прежде чем защищать ту или иную информацию, следует подумать, а имеет ли это смысл. Прежде всего - с экономической точки зрения.
Итак, при построении защиты нужно руководствоваться следующим принципом. На защиту информации можно потратить средств для обеспечения уровня защиты не свыше необходимого. Необходимый же уровень определяется тем, чтобы затраты вероятного противника на преодоление защиты были выше ценности этой информации с точки зрения этого противника.
Категоризация информации
Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:
· возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;
· экономической целесообразности преодоления защиты для противника.
Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в государственных органах используются 4 категории секретности:
· “для служебного пользования”;
· “секретно”;
· “совершенно секретно”;
· “совершенно секретно особой важности”.
Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ.
Комплекс мер защиты
Постановка задач
Систематический подход к вопросам ЗИ требует прежде всего поставить задачи. Для этого мы должны ответить на следующие вопросы.
1. Что именно мы намереваемся защищать?
Эта группа вопросов относится к информационному процессу, нормальное течение которого мы намерены обеспечить:
· кто является участником информационного процесса;
· каковы задачи участников информационного процесса;
· каким именно образом участники процесса выполняют стоящие перед ними задачи.
2. От чего мы собираемся защищать нашу систему?
Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия:
· каков критерий "нормального" прохождения процесса информационного взаимодействия;
· какие возможны отклонения от "нормы".
3. От кого мы собираемся защищать нашу систему?
Эта группа вопросов относится к тем субъектам, которые предпринимают те или иные действия для того, чтобы отклонить процесс от нормы:
· кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения;
· каких целей добиваются злоумышленники;
· какими ресурсами могут воспользоваться злоумышленники для достижения своих целей;
· какие действия могут предпринять злоумышленники для достижения своих целей.
Развернутый ответ на первый вопрос является моделью информационного процесса управления. Подробный ответ на второй вопрос должен включать критерий "нормальности" процесса и список возможных отклонений от этой "нормальности", называемых в криптографии угрозами, - ситуаций, которые мы бы хотели сделать невозможными. Субъект, препятствующий нормальному протеканию процесса информационного взаимодействия, в криптографической традиции называется "злоумышленником", в качестве него может выступать, в том числе, и законный участник информационного обмена, желающий добиться преимуществ для себя. Развернутый ответ на третий вопрос называется в криптографии моделью злоумышленника.
Злоумышленник - это не конкретное лицо, а некая персонифицированная сумма целей и возможностей, для которой справедлив принцип Паули из физики элементарных частиц: два субъекта, имеющие идентичные цели и возможности по их достижению, в криптографии рассматриваются как один и тот же злоумышленник.
Ответив на все перечисленные выше вопросы, вы получите постановку задачи защиты своего информационного процесса.
Физическая защита
Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации. Воспрепятствовать в таком случае может лишь криптография, да и то не всегда. Например, если злоумышленник получил физический доступ к компьютеру, на котором хранятся секретные данные в зашифрованном виде, он может считать свою задачу выполненной. Он устанавливает на компьютер резидентную программу, которая перехватывает информацию в процессе ее зашифровки или расшифровки.
Прежде всего, следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи. Если ваши коммуникации проходят вне охраняемого объекта, то все передаваемые по ним данные должны априори считаться известными противнику.
Электромагнитная защита
Практически любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн.
Разуметься, экранировать помещение будет очень дорого. При решении такого вопроса главным станет фактор экономической целесообразности защиты, о котором говорилось выше.
Человеческий фактор
Как правило, человек является наименее надёжным звеном в системе ЗИ. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.
Активная защита
Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются следующие активные мероприятия против попыток получить доступ к вашей информации:
· поиск и выведение из строя устройств для скрытого съёма вашей информации;
· выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;
· выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;
· создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;
· демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;
· контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.
Преодоление защиты информации
Экономическая целесообразность преодоления защиты
Планируя мероприятия по преодолению защиты информации, первое, что нужно сделать, это оценить возможные затраты. Очень часто бывает, что после этого всё заканчивается. Грамотно организованная защита стоит на порядок-два меньше, чем обойдётся её «взлом». Как правило, браться за преодоление защиты стоит лишь тогда, когда имеются существенные недостатки в её организации.
Кроме материального аспекта существует также временной. Многие виды информации через определённое время теряют свою актуальность и, следовательно, ценность. В этом случае применяются меры защиты, которые практически преодолимы, но для этого потребуется время, превышающее срок актуальности.
Наиболее распространённые «дыры» в защите
Если рассматривать защиту в отрыве от «человеческого фактора», о котором было уже сказано выше, то наиболее распространённые недостатки в технической реализации защиты информации следующие:
· Использование некриптостойких программных средств, поскольку стойкие - дороги, не слишком удобны в обращении и, как правило, запрещены к продаже или экспорту. Например, система шифровки паролей в ОС UNIX не выдерживает серьёзной криптоатаки. Есть даже общедоступная программа, которая расшифровывает такие пароли. Поставить более надёжный шифр разработчикам мешает экспортное законодательство;
· Применение пользователями слишком простых паролей, которые легко подбираются или угадываются. Некоторые системы, прежде чем принять новый пароль, анализируют его на стойкость, но большинство не имеет даже такой защиты;
· Нарушение правила "сплошной" защиты, когда один из этапов прохождения и хранения информации не защищён или защищён недостаточно. Например, программа PGP достаточно надёжно может шифровать файлы, однако первоначальный, незашифрованный вариант текста, который после шифровки удаляется обычной командой delete, может быть восстановлен с диска либо извлечён из своп-файла.
Использование априорной информации при криптоанализе
Многие шифры выглядят весьма надёжными. Но при оценке их устойчивости следует учитывать массу факторов. Например, возможность наличия у противника априорной информации о содержании сообщения.
Сама по себе такая информация даёт большое преимущество при <вскрытии> шифра. Рассмотрим простейший пример.
Пусть сообщение зашифровано при помощи операции XOR с длиной ключа 16 символов (байтов). Чтобы вскрыть данный шифр перебором, потребовалось бы порядка 6415 раз попробовать операцию расшифровки и проанализировать получившийся текст на осмысленность. Операция эта достаточно сложна, так что на обычном персональном компьютере можно будет перебирать 103..104 вариантов в секунду. То есть, подбор ключа займёт приблизительно 1023 секунд, что превышает любое разумное время.
В случае же, когда, к примеру, известно, что сообщение должно начинаться со слов <Алекс Юстасу>, то 12 первых символов ключа устанавливаются практически мгновенно (XOR указанной строки с первыми байтами шифровки), и остаётся подобрать лишь 4 символа ключа, а это всего несколько минут работы.
Таким образом, мы видим, что даже небольшая априорная информация о содержании шифровки может снизить криптостойкость на несколько порядков, а то и вовсе до нуля.
Размещено на Allbest.ru
Подобные документы
Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Краткая история развития криптографических методов защиты информации. Сущность шифрования и криптографии с симметричными ключами. Описание аналитических и аддитивных методов шифрования. Методы криптографии с открытыми ключами и цифровые сертификаты.
курсовая работа [1,2 M], добавлен 28.12.2014Определения криптографии как практической дисциплины, изучающей и разрабатывающей способы шифрования сообщений. История развития шифров. Хэш-функции и понятие электронной подписи. Системы идентификации, аутентификации и сертификации открытых ключей.
реферат [77,1 K], добавлен 10.12.2011Основные средства и технологии обработки и редактирования текстовых документов, принципы их использования. Характеристика функциональных возможностей текстового процессора Ms. Word. Описание дополнительных возможностей текстового редактора Word 2003.
курсовая работа [1,4 M], добавлен 19.03.2011Цели, методы и средства защиты информационных ресурсов. Права и обязанности субъектов. Обеспечение организационных мер. Попытки несанкционированного доступа. Виды угроз безопасности. Принципы создания системы защиты. Сущность криптографических методов.
контрольная работа [25,3 K], добавлен 17.11.2009Понятие информационной технологии, принципы и этапы ее формирования, предъявляемые требования, современные проблемы использования. Виды информационных технологий, специфика и направления их практического применения. Решение прикладной задачи в Excel.
курсовая работа [680,9 K], добавлен 09.06.2013Применение информационных технологий в управлении проектами (инновациями), определение их эффективности. Методические принципы защиты информации. Виды и особенности интеллектуальных информационных систем. Организация электронного документооборота.
курс лекций [1,1 M], добавлен 29.04.2012Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.
реферат [27,3 K], добавлен 30.04.2010Методы защиты автоматизированных систем и технологии построения виртуальных частных сетей. Использование технологий VРN во взаимодействии распределённых территориальных офисов, сдаче отчетности в контролирующие органы, клиент-банковские технологии.
курсовая работа [823,3 K], добавлен 02.07.2011
