Основы защиты информации
Защита информации необходима для уменьшения вероятности утечки (разглашения), модификации (умышленного искажения) или утраты (уничтожения) информации, представляющей определенную ценность для ее владельца.
Методы защиты информации.Методом защиты информации называют порядок и правила применения определенных принципов и средств защиты информации. При обеспечении информационной безопасности на автономных ЭВМ и в сетях ключевую роль играют программно-аппаратные методы защиты информации: метод эталонных характеристик (получил применение в последние десятилетия), криптографические методы и стеганографические методы.
1. Метод эталонных характеристик применяется для решения задач защиты от несанкционированного доступа и поддержания целостности информации. Он заключается в анализе аппаратно-программной среды и формировании уникального идентификатора (пароль, секретные и открытые ключи и т.д.) аппаратно-программной среды. Только субъект, обладающий этим уникальным идентификатором, имеет право доступа к информации.
2. Суть криптографического метода защиты информации заключается в преобразовании при помощи ключа открытых данных в зашифрованные данные. Ключ – информация, необходимая для беспрепятственного шифрования и расшифровывания текстов.
Способы шифрования можно разделить на 4 группы: перестановки, замены, аддитивные и комбинированные. При перестановке все буквы исходного текста остаются без изменения, но перемещаются на другие позиции. Перестановки получаются в результате записи исходного текста по разным путям некоторой геометрической фигуры. При замене позиции букв не меняются, но буквы заменяются символами другого алфавита, в частности числами. В аддитивном методе к числам, заменяющим буквы, добавляются числа секретной псевдослучайной числовой последовательности. Комбинированные методы предполагают использование нескольких методов в определенной последовательности.
Современная криптография включает в себя симметричные криптосистемы, криптосистемы с открытым ключом и системы электронной подписи.
В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ. Поэтому ключ должен быть секретным и доступен только тем, кому предназначено сообщение.
В системах с открытым ключом используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого (секретного) ключа, известного только получателю сообщения.
Электронной (цифровой) подписью (ЭЦП) называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. ЭЦП обеспечивает целостность сообщений, передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, с гарантированной идентификацией ее автора.
3. Суть стеганографического метода защиты информации заключается в том, что скрываемое сообщение встраивается в некоторый обычный, не привлекающий внимания объект, который открыто транспортируется адресату. При этом скрывается сам факт существования тайного сообщения.
Цифровая стеганография – наука о незаметном и надежном скрытии одних битовых последовательностей в других, имеющих аналоговую природу. Цифровая стеганография использует встраивание информации с целью ее скрытой передачи, встраивание цифровых водяных знаков, встраивание идентификационных номеров, встраивание заголовков.
При скрытой передаче данные маскируются в сигнале (контейнере), в качестве которого могут выступать ауди-, видеосигнал или графическое изображение.
Цифровой водяной знак (ЦВЗ) – специальная метка, незаметно внедряемая в изображение или другой сигнал с целью контроля его использования. Они могут применяться для защиты от копирования и несанкционированного использования, защиты авторских прав и интеллектуальной собственности, представленной в цифровом виде.
Метод встраивания идентификационных номеров производителей имеет много общего с технологией ЦВЗ. Отличие заключается в том, что каждая защищенная копия имеет свой уникальный встраиваемый номер. Этот идентификационный номер позволяет производителю отследить, не занялся ли кто-нибудь из покупателей незаконным тиражированием. Если да, то наличие номера быстро укажет виновного.
Метод встраивания заголовков может применяться для подписи медицинских снимков, нанесения легенды на карту и в других случаях. Целью является хранение разнородно представленной информации в едином целом.
Средства защиты информации. Под средством защиты информации понимают техническое, программное средство, вещество и/или материал, предназначенное или используемое для защиты информации.
К основным программно-аппаратным средствам защиты информации можно отнести системы разграничения доступа, межсетевые экраны, системы обнаружения атак, средства анализа защищенности и системы построения VPN.
1. При разграничении доступа к ресурсам компьютерной системы пользователь должен пройти процесс первичного взаимодействия с ней – идентификацию и аутентификацию.
Идентификация – процедура распознавания пользователя по его идентификатору (имени).
Аутентификация – процедура проверки подлинности, позволяющая убедиться, что пользователь является именно тем, кем он себя объявляет. При этом субъект может предъявлять системе пароли, персональные идентификационные номера (PIN) и т.п.
После идентификации и аутентификации пользователя система защиты должна определить его полномочия для последующего контроля санкционированности доступа к компьютерным ресурсам.
2. Межсетевой экран (Fire Wall – огненная стена) – это программное или программно-аппаратное средство, реализующее контроль информации, поступающей в компьютерную систему и/или выходящей из нее.
Различают три основных типа межсетевого экрана (МЭ): сегментные, персональные и встраиваемые.
Под сегментными понимают МЭ, установленные на границе двух или более сетей. Таки образом, сегментные МЭ выполняют защиту сетей. Сегментный МЭ можно представить как сетевой маршрутизатор, который помимо основной задачи выполняет и анализ информационных потоков на соответствие требованиям политики безопасности. Информационные потоки, не удовлетворяющие этим требованиям, блокируются.
Персональные МЭ защищают рабочие станции от внешних сетевых угроз и сетевых троянских программ. Среди таких МЭ выделяют пакетные фильтры, прокси-серверы и гибридные МЭ. Пакетные фильтры отслеживают только сетевые пакеты на сетевом и транспортном уровне и не могут отслеживать соответствие пакетов и сетевых приложений. Прокси-серверы отслеживают активность сетевых приложений. Гибридные МЭ поддерживают функциональность и пакетных фильтров, и мониторов приложений, что позволяет реализовывать политику безопасности на уровне сетевых приложений и на пакетном уровне.
Встраиваемые МЭ устанавливаются на прикладных серверах и предназначены для их защиты. Встраиваемые МЭ обеспечивают защиту по принципу персональных фильтрующих МЭ, однако не обеспечивают интерактивности взаимодействия с администратором прикладного сервера.
3. Средства защиты информации на основе методов построения систем обнаружения атак (СОА) условно разделяют на 2 класса:
- СОА на уровне сети анализируют сетевой трафик, вследствие чего они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Анализ заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании, как правило, механизма поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность;
- СОА на уровне компьютера пользователя анализирует регистрационные журналы (log, audit trail), создаваемые операционной системой, прикладным программным обеспечением, маршрутизаторами и т.д.
4. Для проведения активного аудита безопасности используются специальные программные средства, выполняющие обследование компьютерной системы с целью выявления уязвимых мест (наличия «дыр») для электронного вторжения, а также, обеспечивающие комплексную оценку степени защищенности от атак нарушителей.
Существуют два метода автоматизации процессов анализа защищенности: использование технологии интеллектуальных программных агентов и активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в компьютерную систему.
В первом случае система защиты строится на архитектуре консоль/ менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который выполняет настройки программного обеспечения и проверяет их правильность, контролирует целостность файлов и своевременность установки пакетов программных коррекций. Менеджеры посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов, в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью производятся по защищенному клиент-серверному протоколу. Примерами развитых продуктов этого класса является система ESM компании Symantec и System Scanner компании ISS.
Во втором случае применяются сетевые сканеры. Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит. При этом используются известные уязвимости сетевых служб, сетевых протоколов и операционных систем для осуществления удаленных атак на системные ресурсы и производится документирование удачных попыток. Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер Net Recon компании Symantec, база данных которого содержит около 800 уязвимостей Unix, Windows и NetWare систем и постоянно обновляется через Web.
5. Технология VPN (Virtual Private Network) – виртуальная частная сеть, позволяет использовать сети общего пользования для построения защищенных сетевых соединений. Термин «виртуальная» указывает на то, что соединение между двумя узлами сети не является постоянным и существует только во время прохождения трафика по сети. В основе построения лежит следующая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации необходимо построить виртуальный туннель, доступ к которому должен быть затруднен всем возможным внешним наблюдателям.
Технология VPN выполняет две основные функции: шифрование данных для обеспечения безопасности сетевых соединений и туннелирование протоколов. Под туннелированием понимают безопасную передачу данных через открытые сети при помощи безопасного логического соединения, позволяющего упаковывать данные одного протокола в пакеты другого.
Защищенные каналы виртуальной частной сети могут быть созданы между VPN-шлюзами сети, VPN-шлюзами и VPN-клиентами, а также между VPN-клиентами. VPN-шлюз – сетевое устройство, установленное на границе сети и выполняющее функции образования защищенных VPN-каналов, аутентификации и авторизации клиентов VPN-сети. VPN-шлюз располагается аналогично МЭ. В большинстве случаев VPN-сеть для пользователей внутренней сети остается прозрачной и не требует установки специального программного обеспечения. VPN-клиент – программное обеспечение, устанавливаемое на компьютеры пользователей, осуществляющих подключение к сети VPN. VPN-клиент выполняет функции передачи параметров аутентификации и шифрования/дешифрования трафика.
Дата добавления: 2020-10-25; просмотров: 402;