- •Информационная безопасность
- •Основные угроза информационной безопасности Опасное воздействие на ис делят на случайное и преднамеренное:
- •Меры по обеспечению информационной безопасности, принципы надежной системы защиты
- •Аппаратно-программные средства защиты информации
- •Понятие надежной системы и критерии оценки надежности
- •Основные элементы политики безопасности
- •Основные положения «Оранжевой книги», классы безопасности
- •Общие положения «Общих критериев» (изданных 1 декабря 1999)
- •Понятие криптографических методов защиты, основные требования к криптографическому закрытию информации
- •Классификация основных методов криптографического закрытия информации
- •Организационные проблемы криптозащиты
- •Стандарт des, основные достоинства и обобщенная схема
- •Структура алгоритма шифрования des.
- •Алгоритм вычисления ключей для des.
- •Режимы работы алгоритма des
- •Алгоритм шифрования idea, основные отличия от des
- •Основные режимы шифрования гост 28147-89 и его особенности
- •Основные режимы шифрования гост 28147-89
- •Отличия алгоритмов шифрования по гост 28147-89 и des.
- •Концепция криптосистемы с открытым ключом, однонаправленные функции
- •Система распределения ключей Диффи-Хелмана
- •Система криптографической защиты rsa
- •Электронная подпись в системах с открытым ключом
- •Проблема аутентификации данных и электронная цифровая подпись (эцп) общие сведения
- •Однонаправленные хеш-функции и основы их построения
- •Однонаправленные хеш-функции на основе симметричных блочных алгоритмов
- •Российский стандарт хеш-функций по гост р.34.11-94
- •Алгоритм цифровой подписи rsa и его недостатки.
- •Алгоритм цифровой подписи Эль Гамаля (egsa).
- •Алгоритм цифровой подписи dsа
- •Российский стандарт цп гост р.34.10-94
- •Защита от копирования, основные системы и способы защиты.
- •Защита от копирования – привязка к дискете. См. Также 33
- •Защита от копирования – привязка к компьютеру.
- •Защита от копирования – привязка к ключу, опрос справочников, ограничение использования по.
- •Защита от несанкционированного доступа, функции систем защиты
- •Идентификация и аутентификация пользователей, 2 типовые схемы
- •Идентификация и аутентификация на основе биометрических методов.
- •Взаимная проверка подлинности пользователей при защите от нсд
- •Программы с потенциально опасными последствиями, определения и классификация.
- •Вирусы и варианты их классификации.
- •«Люк», «троянский конь», «логическая бомба», программные закладки.
- •Общая классификация средств защиты от вирусов.
- •Понятие электронной коммерции и классификация возможных типов мошенничества в ней.
- •Протокол ssl
- •Протокол set
- •Сравнительные характеристики set и ssl
- •Пластиковые карты, виды мошенничества и способы зашиты.
Информационная безопасность
Не существует абсолютной защиты. Всякая защита измеряется временем и стоимостью взлома.
Информация – сведения об окружающем мире и протекающих в нем процессов, воспринимаемые непосредственно человеком или специальными устройствами.
Информационная безопасность – защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.
На практике важны 3 аспекта информационно безопасности:
Доступность – возможность за разумное время получить информационную услугу.
Целостность – актуальность и непротиворечивость информации при ее защищенности от разрушения и несанкционированного вмешательства (воздействия).
Конфиденциальность
Компоненты АИС можно разбить на следующие групы:
-Аппаратные средства (компьютеры и их составные части)
-Программное обеспечение
-Данные, хранимые временно или постоянно на различных носителях
-Персонал (обслуживающий и пользователи)
Основные угроза информационной безопасности Опасное воздействие на ис делят на случайное и преднамеренное:
Случайные - Причинами случайных воздействий являются аварии из-за стихийных бедствий или технических причин, отказы и сбои аппаратуры, ошибки в ПО, ошибки в работе персонала, помехи в линиях связи из-за воздействия внешней среды.
Преднамеренное воздействие – целенаправленное действие нарушителя. В качестве нарушителя может быть: служащие, посетитель, конкурент, наемник, действия которых могут быть обусловлены разными мотивами – недовольство карьерой, взяткой, любопытство, конкурентной борьбой, стремлением самоутвердиться любой ценой.
Гипотетический портрет потенциального нарушителя:
Квалификация нарушителя на уровне разработчика системы
Нарушитель – как постороннее лицо, так и законный пользователь
Нарушителям известна информация о принципах работы системы
Нарушитель выбирает наиболее слабое звено в защите
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). Он может осуществляться через:
-человека (хищение носителя информации, чтение информации с экрана или клавиатуры, чтение информации из распечатки)
-программы (перехват паролей, дешифровка зашифрованной информации, копирование информации с носителя)
-аппаратуру (подключение специальных аппаратных средств, обеспечивающих доступ, перехват электромагнитных излучений, особенно опасен компьютерный доступ в компьютерных сетях, из-за удаленных атак).
Меры по обеспечению информационной безопасности, принципы надежной системы защиты
Формирование режима безопасности – проблема комплексная. Меры по ее решению можно подразделить на 5 уровней:
Законодательный (законы, норм акты, стандарты и т. д.)
Морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа человека или целой организации)
Административный (действия общего характера, предпринимаемые руководством)
Физический (механические, электро-, электронно-механические и др.)
Аппаратно-программный (электронные устройства и специальные программы защиты)
Надежные системы защиты должна соответствовать следующим критериям:
Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба
Каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы
Защита тем более эффективна, чем проще пользователю с ней работать.
Возможность отключения в экстренных случаях
Специалисты, имеющие отношение к системе защиты должны полностью представлять принципы ее функционирования, чтобы иметь возможность адекватно реагировать в затруднительных (конфликтных между человеком и системой) ситуациях
Под защитой должна находиться вся система обработки информации
Разработчики системы защиты не должны быть в числе тех, кого она контролирует
Система защиты должна представлять доказательства корректности своей работы
Лица, обеспечивающие информационную безопасность должны нести личную ответственность
Объекты защиты целесообразно делить на группы, так чтобы нарушение защиты в одной не влияло на безопасность других
Надежная система защиты должна быть полностью протестирована и согласована
Система защиты должна разрабатываться исходя из предположения, что пользователи будут совершать серьезные ошибки, и вообще имеют наихудшие намерения. Наиболее важные и критические решения должны приниматься человеком
Существование механизмов защиты должно быть скрыто от пользователей, работа которых находится под контролем
Аппаратно-программные средства защиты