Сдам Сам

ПОЛЕЗНОЕ


КАТЕГОРИИ







Информация и её свойства. Предмет защиты информации.





Информация и её свойства. Предмет защиты информации.

Информация - это сведения о лицах, фактах, предметах, явлениях, событиях и процессах.

Свойства информации

- Объективность информации. Понятие объективности информации относительно. Более объективной является та информация, в которую методы обработки вносят меньше субъективности. Например, в результате наблюдения фотоснимка природного объекта образуется более объективная информация, чем при наблюдении рисунка того же объекта. В ходе информационного процесса объективность информации всегда понижается.

- Полнота информации. Полнота информации характеризует достаточность данных для принятия решения. Чем полнее данные, тем шире диапазон используемых методов их обработки и тем проще подобрать метод, вносящий минимум погрешности в информационный процесс.

- Адекватность информации. Это степень её соответствия реальному состоянию дел. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостоверных данных. Однако полные и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

- Доступность информации. Это мера возможности получить информацию. Отсутствие доступа к данным или отсутствие адекватных методов их обработки приводят к тому, что информация оказывается недоступной.

- Актуальность информации. Это степень соответствия информации текущему моменту времени. Поскольку информационные процессы растянуты во времени, то достоверная и адекватная, но устаревшая информация может приводить к ошибочным решениям. Необходимость поиска или разработки адекватного метода обработки данных может приводить к такой задержке в получении информации, что она становится ненужной.



Предметом защиты является информация, хранящаяся, обрабатываемая и передаваемая в компьютерных (информационных) системах. Особенностями данного вида информации являются:

- двоичное представление информации внутри системы, независимо от физической сущности носителей исходной информации;

- высокая степень автоматизации обработки и передачи информации;

- концентрация большого количества информации в КС.

 

Объект защиты информации.

Объекты защиты информации – это информация, носитель информации или информационный процесс, которые нуждаются в защите от несанкционированного доступа, изменения и копирования третьими лицами.

Основные объекты защиты информации

- информационные ресурсы, содержащие конфиденциальную информацию;

- системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ);

- ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.

 

Угроза информации. Разновидности угроз.

Источниками внутренних угроз являются:

1. Сотрудники организации;

2. Программное обеспечение;

3. Аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

- ошибки пользователей и системных администраторов;

- нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

- ошибки в работе программного обеспечения;

- отказы и сбои в работе компьютерного оборудования.

К внешним источникам угроз относятся:

1. Kомпьютерные вирусы и вредоносные программы;

2. Организации и отдельные лица;

3. Стихийные бедствия.

Формами проявления внешних угроз являются:

- заражение компьютеров вирусами или вредоносными программами;

- несанкционированный доступ (НСД) к корпоративной информации;

- информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

- действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

- аварии, пожары, техногенные катастрофы.

Все перечисленные нами виды угроз (формы проявления) можно разделить на умышленные и неумышленные.

 

Угроза информации. Варианты классификации угроз.

Существуют различные способы классификации угроз безопасности: по объекту воздействия, по источнику угрозы, способам ее осуществления, возможным последствиям и видам ущерба. Одновременно могут использоваться несколько критериев классификации, например, угрозы, классифицированные по объекту воздействия, дополнительно, внутри каждого класса, могут классифицироваться по видам ущерба и источникам угрозы.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

- несанкционированный доступ к информационным ресурсам;

- незаконное копирование данных в информационных системах;

- хищение информации из библиотек, архивов, банков и баз данных;

- нарушение технологии обработки информации;

- противозаконный сбор и использование информации;

- использование информационного оружия.

К программным угрозам относятся:

- использование ошибок и "дыр" в ПО;

- компьютерные вирусы и вредоносные программы;

- установка "закладных" устройств;

К физическим угрозам относятся:

- уничтожение или разрушение средств обработки информации и связи;

- хищение носителей информации;

- хищение программных или аппаратных ключей и средств криптографической защиты данных;

- воздействие на персонал;

К радиоэлектронным угрозам относятся:

- внедрение электронных устройств перехвата информации в технические средства и помещения;

- перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

- закупки несовершенных или устаревших информационных технологий и средств информатизации;

- нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

 

Каналы утечки информации.

Каналы утечки информации - методы и пути утечки информации из информационной системы; паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой. Играют основную роль в защите информации, как фактор информационной безопасности.

Косвенные каналы не требуют непосредственного доступа к техническим средствам информационной системы:

- Кража или утеря носителей информации, исследование не уничтоженного мусора;

- Дистанционное фотографирование, прослушивание;

- Перехват электромагнитных излучений.

Прямые каналытребуют доступа к аппаратному обеспечению и данным информационной системы.

- Инсайдеры (человеческий фактор). Утечка информации вследствие несоблюдения коммерческой тайны;

- Прямое копирование.

Каналы утечки информации можно также разделить по физическим свойствам и принципам функционирования:

- акустические - запись звука, подслушивание и прослушивание;

- акустоэлектрические - получение информации через звуковые волны с дальнейшей передачей ее через сети электропитания;

- виброакустические - сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

- оптические - визуальные методы, фотографирование, видео съемка, наблюдение;

- электромагнитные - копирование полей путем снятия индуктивных наводок;

- радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации “закладочных устройств”, модулированные информативным сигналом;

- материальные - информация на бумаге или других физических носителях информации

 

Криптография. Основные понятия.

Криптогра­фия занимается разработкой методов преобразования (шифрования) информации с целью ее защиты от незаконных пользователей. Такие методы и способы преобразования информации называются шифрами.

Шифрование (зашифрование) - процесс применения шифра к защи­щаемой информации, т.е. преобразование защищаемой информации (от­крытого текста) в шифрованное сообщение (шифртекст, криптограмму) с помощью определенных правил, содержащихся в шифре.

Дешифрование - процесс, обратный шифрованию, т.е. преобразова­ние шифрованного сообщения в защищаемую информацию с помощью определенных правил, содержащихся в шифре (на основе ключа шифрованный текст преобразуется в исходный).

Ключ- сменный элемент шифра, ко­торый применяется для шифрования конкретного сообщения. Например, ключом может быть величина сдвига букв шифртекста отно­сительно букв открытого текста.

Вскрытие (взламывание) шифра ― процесс получения защищаемой информации из шифрованного сообщения без знания примененного ши­фра.

Стойкость шифра - способность шифра противостоять всевозможным атакам на него называют.

Атакана шифр - попытка вскрытия этого шифра.

Криптоанализ- наука (и практика ее применения) о методах и способах вскрытия шифров.

Шифр замены осуществляет преобразование замены букв или других «частей» открытого текста на аналогичные «части» шифрованно­го текста.

Алфавит - конечное множество используемых для кодирования информации знаков.

Текст- упорядоченный набор из элементов алфавита.

Ключ- ин­фор­ма­ция, не­об­хо­ди­мая для бес­пре­пят­ст­вен­но­го шиф­ро­ва­ния и де­шиф­ро­ва­ния тек­стов.

 

 

Стенография. Основные понятия

Стеганография - это метод организации связи, который собственно скрывает само наличие связи. В отличие от криптографии, где неприятель точно может определить является ли передаваемое сообщение зашифрованным текстом, методы стеганографии позволяют встраивать секретные сообщения в безобидные послания так, чтобы невозможно было заподозрить существование встроенного тайного послания

В качестве данных может использоваться любая информация: текст, сообщение, изображение и т. п. По аналогии с криптографией, по типу стегоключа стегосистемы можно подразделить на два типа:

  • с секретным ключом;
  • с открытым ключом.

В стегосистеме с секретным ключом используется один ключ, который должен быть определен либо до начала обмена секретными сообщениями, либо передан по защищенному каналу.В стегосистеме с открытым ключом для встраивания и извлечения сообщения используются разные ключи, которые различаются таким образом, что с помощью вычислений невозможно вывести один ключ из другого. Поэтому один ключ (открытый) может передаваться свободно по незащищенному каналу связи. Кроме того, данная схема хорошо работает и при взаимном недоверии отправителя и получателя.

Любая стегосистема должна отвечать следующим требованиям:

  • Свойства контейнера должны быть модифицированы, чтобы изменение невозможно было выявить при визуальном контроле. Это требование определяет качество сокрытия внедряемого сообщения: для обеспечения беспрепятственного прохождения стегосообщения по каналу связи оно никоим образом не должно привлечь внимание атакующего.
  • Стегосообщение должно быть устойчиво к искажениям, в том числе и злонамеренным. В процессе передачи изображение (звук или другой контейнер) может претерпевать различные трансформации: уменьшаться или увеличиваться, преобразовываться в другой формат и т. д. Кроме того, оно может быть сжато, в том числе и с использованием алгоритмов сжатия с потерей данных.
  • Для сохранения целостности встраиваемого сообщения необходимо использование кода с исправле нием ошибки.

 

Политики безопасности. Основные понятия

Политика безопасности (информации в организации) (англ. Organizational security policy)[1] — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[11]:

§ Защита объектов информационной системы;

§ Защита процессов, процедур и программ обработки информации;

§ Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

§ Подавление побочных электромагнитных излучений;

§ Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты;

5. Осуществление выбора средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

 

 

17 .Основумандатной (полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что: все субъекты и объекты системы должны быть однозначно идентифицированы;

o задан линейно упорядоченный набор меток секретности;

o каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности в AC;

o каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в AC – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.Основная цель мандатной политики безопасности – предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в АС информационных каналов сверху вниз.
Чаще всего мандатную политику безопасности описывают в терминах, понятиях и определениях свойств модели Белла-Лапалуда, которая будет рассмотрена позже. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реализующих мандатную защиту, от систем с дискреционной защитой: если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояниесистемы безопасно.
Кроме того, по сравнению с АС, построенными на основе дискреционной политики безопасности, для систем, реализующих мандатную политику, характерна более высокая степень надежности. Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа субъектов системы к объектам, но и состояния самой АС. Т.о. каналы утечки в системах данного типа не заложены в нее непосредственно, а могут появиться только при практической реализации системы.

 

15. Интегральной характеристикой защищаемой системы является политика безопасности – качественное (или количественно–качественное) выражение свойств защищенности в терминах, представляющих систему.
Наиболее часто рассматриваются политики безопасности, связанные с понятием «доступ». Доступ – категория субъективно–объективной политики, описывающая процесс выполнения операций субъектов над объектами.
Политика безопасности включает:

o множество операций субъектов над объектами;

o для каждой пары «субъект – объект» (Si,Oi) множество разрешенных операций, из множества возможных операций.

Существуют следующие типы политик безопасности: дискреционная, мандатная и ролевая.
Основой дискреционной (дискретной) noлumuкu бeзonacнocmuявляется дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

o все субъекты и объекты должны быть идентифицированы;

o права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

В качестве примера реализаций дискреционной политики безопасности в AC можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели (данная политика безопасности не учитывает динамику изменений состояния AC, не накладывает ограничений на состояния системы.Мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:

o все субъекты и объекты системы должны быть однозначно идентифицированы;

o задан линейно упорядоченный набор меток секретности;

o каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности в AC;

o каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в AC – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Ролевое управление доступом.
При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов. Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить.
Таким решением является ролевое управление доступом (РУД). Суть его в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.

 

Факторы аутентификации

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации[4]:

Что-то, что мы знаем — пароль. Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля (см. бандитский криптоанализ). Это делает парольный механизм слабозащищенным.

Что-то, что мы имеем — устройство аутентификации. Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако, стоимость такой системы более высокая.

Что-то, что является частью нас — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако, биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но несмотря на свои минусы, биометрика остается довольно перспективным фактором.

 

Протоколы аутентификации

 

Аутентификация относится к проверке подлинности пользователя или компьютера. Когда пользователь входит в сеть, будь то в локальной сети или через подключение удаленного доступа, она должна будет указать имя пользователя и пароль, смарт-карты, сертификаты или другие средства доказывания того, что она, кто она утверждает, что она есть. Несколько протоколов аутентификации разработана для безопасного обмена информацией аутентификации сетевых соединений и описаны в следующих пунктах.

 

CHAP

 

Аутентификации протокола CHAP (CHAP) представляет собой протокол аутентификации, который используется в основном для подключений удаленного доступа PPP. CHAP является преемником Plain Authentication Protocol (PAP), которая передает имя пользователя и пароль в незашифрованном виде по сети информации. CHAP использует более безопасный метод, когда клиент входит в систему, то сервер посылает вызов запроса клиента, клиент ответов с вызовом, ответ, который хэшированного (в одну сторону зашифрованный) значение, основанное на имя пользователя / пароль, комбинации и случайное число. Сервер выполняет ту же шифрование и если полученное значение соответствует ответа от клиента, клиент проходит аутентификацию. Фактически пароль не передается по сети.

Аутентификации протокола CHAP (CHAP), позволяет избежать отправки паролей в незашифрованном виде по любому каналу связи. Под CHAP, во время переговоров пароль NAD создает проблемы (случайная последовательность) и отправляет его пользователю. PPP клиент пользователя создается дайджест (пароль объединяется с задачей), шифрует дайджест помощью одностороннего шифрования, и посылает дайджест к NAD.

 

NAD посылает этот дайджест, как пароль в Access-Request.

 

Потому что шифрование является односторонним, Steel-Belted Radius перевозчик не может восстановить пароль из дайджеста. Вместо этого, он выполняет идентичные операции, используя задачу значение NAD (при условии в Access-Request пакет) и свою собственную копию пароля пользователя для создания своего собственного дайджеста. Если два матча дайджесты, пароль тот же.

 

Steel-Belted Carrier Радиус должен быть в состоянии выполнять операции дайджест для поддержки CHAP. Следовательно, он должен иметь доступ к своей собственной копией пароля пользователя. Родные пароли пользователей хранятся в Steel-Belted базе данных перевозчика Radius. SQL или LDAP аутентификации BindName получает пароль с помощью запроса к базе данных, получить пароль можно использовать для создания дайджеста если он находится в открытом тексте формы.

Информация и её свойства. Предмет защиты информации.

Информация - это сведения о лицах, фактах, предметах, явлениях, событиях и процессах.

Свойства информации

- Объективность информации. Понятие объективности информации относительно. Более объективной является та информация, в которую методы обработки вносят меньше субъективности. Например, в результате наблюдения фотоснимка природного объекта образуется более объективная информация, чем при наблюдении рисунка того же объекта. В ходе информационного процесса объективность информации всегда понижается.

- Полнота информации. Полнота информации характеризует достаточность данных для принятия решения. Чем полнее данные, тем шире диапазон используемых методов их обработки и тем проще подобрать метод, вносящий минимум погрешности в информационный процесс.

- Адекватность информации. Это степень её соответствия реальному состоянию дел. Неадекватная информация может образовываться при создании новой информации на основе неполных или недостоверных данных. Однако полные и достоверные данные могут приводить к созданию неадекватной информации в случае применения к ним неадекватных методов.

- Доступность информации. Это мера возможности получить информацию. Отсутствие доступа к данным или отсутствие адекватных методов их обработки приводят к тому, что информация оказывается недоступной.

- Актуальность информации. Это степень соответствия информации текущему моменту времени. Поскольку информационные процессы растянуты во времени, то достоверная и адекватная, но устаревшая информация может приводить к ошибочным решениям. Необходимость поиска или разработки адекватного метода обработки данных может приводить к такой задержке в получении информации, что она становится ненужной.

Предметом защиты является информация, хранящаяся, обрабатываемая и передаваемая в компьютерных (информационных) системах. Особенностями данного вида информации являются:

- двоичное представление информации внутри системы, независимо от физической сущности носителей исходной информации;

- высокая степень автоматизации обработки и передачи информации;

- концентрация большого количества информации в КС.

 

Объект защиты информации.

Объекты защиты информации – это информация, носитель информации или информационный процесс, которые нуждаются в защите от несанкционированного доступа, изменения и копирования третьими лицами.

Основные объекты защиты информации

- информационные ресурсы, содержащие конфиденциальную информацию;

- системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ);

- ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.

 









Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:


©2015- 2019 zdamsam.ru Размещенные материалы защищены законодательством РФ.