- •Криптографическая защита
- •Угрозы, уязвимости и атаки
- •Классификация угроз
- •Понятие политики безопасности и ее жизненный цикл.
- •Модели политики безопасности
- •Модели разграничения доступа
- •Основы криптографической защиты информации
- •Требования к шифру
- •Принцип Керкхоффа
- •Шифры аналитического преобразования
- •Комбинированные шифры
- •Алгоритмы шифра использующие арифметические операции с битами
- •Сложение по модулю 2
- •Функция исключающее или
- •Арифметические и циклические сдвиги влево и вправо
- •Алгоритмы шифров использующие подстановки из таблиц
- •Потоковые шифры
- •Разновидности поточных шифров
- •Блочные шифры
- •Моноалфавитные и полиалфавитные шифры
- •Шифры перестановок и замены
- •Шифры с асимметричными ключами
- •Хеширование и однонаправленные функции
- •Управление ключами
- •Протокол skip
- •Защита информации с помощью межсетевых экранов
- •«Врожденные слабости» служб Internet
- •Недостатки межсетевых экранов
- •Альтернативные способы аутентификации
- •Защита данных в электронных платежных системах
- •Оплата в дебетовой платежной системе.
- •Примеры программно-технических средств
- •Средства защиты информации окб сапр или вниипвти
- •Типичный сценарий атаки
Преподаватель: Ершов Борис Леонидович
Организационные мероприятия
Подбор персонала информационной системы
-
Компетентность (выявляется при личном собеседовании, после изучения резюме, портфолио и рекомендации людей/органов уполномоченных на такие рекомендации)
-
Лояльность организации
-
Уязвимости для внешних воздействий (и слабые стороны)
-
Алкоголь
-
Семейная жизнь
-
Стремление к халяве
-
Оплошности в семье/работе/перед законом
Отдача приказа на выделение оборудования/помещения
-
Организация охраны
-
Определение круга пользователей, их прав и обязанностей
Разработка документации
-
Правила внутреннего распорядка
-
Должностные инструкции
-
Приказ о допуске пользователей к системе
-
Приказ о полномочиях в системе
Обучение и консультирование пользователей
Организация эксплуатации локальной сети предприятия и выхода в интернет
Технические мероприятия
Защита периметра организации
К периметру относятся: наружные стены здания, двери, окна, крыша, коммуникационные (подземные) ходы, коммуникации (телефон, интернет), электропитание + заземление.
Защита внутренних помещений
Установка нормальных дверей; ограничение доступа к части здания; для комнат совещаний и переговоров – звукоизоляция;
Ограничение доступа к элементам инфраструктурам, документации и информационным массивам
Установка средств фильтрации и ограничения трафика
Это означает установку элементы инфраструктуры, для которых можно запрограммировать желаемые и не желаемые элементы.
Аудит оборудования и программных средств
Применение средств обнаружения атак и противодействие им
Применение средств защиты от копирования и исследования программных средств
Совершенствование структуры информационной сети
Разграничение доступа и идентификация
ИР СЕРВЕР Пi
(права I)
Права доступа – перечень разрешенных операций с информацией, размещенных в конкретных файлах и каталогах. Например, R – только чтение, WR – чтение и запись, WRD – уничтожение, WRDS – изменение структуры.
Пользователь запрашивает ресурс, сервер спрашивает «А вы ли это?», пользователь отправляет секрет, сервер отправляет ресурс.
Идентификация – однозначное опознание пользователя.
-
логин и пароль
-
технические средства (например, USB-ключ)
-
биометрические показатели (отпечатки пальцев, сканы сетчатки глаз, голос, результаты анализа крови)
Криптографическая защита
Это обработка информации по специальному алгоритму, который имеет своей целью:
-
сделать информацию непонятной для посторонних лиц (шифрограммы)
-
получение шифрограммы определенной длины, чувствительной к содержанию исходной информации (электронно-цифровая подпись)
-
сокрытие информации в обрабатываемой информации (стеганография)
Схема информационного обмена и возможные угрозы ему
Измененное сообщение => послал это
=> не посылал
Неотправленное сообщение => я посылал это
<= Не получал
Получил это <= Измененное сообщение
Злоумышленник может перехватить и разгласить информацию.
Злоумышленник может перехватить и удалить информацию.
Злоумышленник может навязывать сообщение и ответ на него.
Блокирование доступа к информации.
Угрозы, уязвимости и атаки
Уязвимость – некоторая особенность системы в целом или ее элементов, которая позволяет нарушить информационную защищенность.
Угроза – гипотетические событие, которое может нарушить информационную защищенность.
К числу угроз можно отнести:
-
Угрозу разглашения конфиденциальной информации
-
Природное событие
Атака – это успешная или отраженная реализация угрозы.
Классификация угроз
Признаки классификации: виды, происхождение, предпосылки появления, источники.
По видам:
-
Нарушение физической целостности данных
-
Нарушение логической структуры (меняются структуры каталогов, замена ссылок на продолжение)
-
Угроза изменения содержания
-
Нарушение конфиденциальности
-
Нарушение права собственности
По происхождению:
-
Случайные
-
Преднамеренные
По предпосылкам появления:
-
Объективные – не зависит от персонала, который обслуживает или пользуется системой
-
Субъективные – обусловлены особенностями персонала (например, стикер с логином/паролем на экране)
По источникам:
-
Люди (злоумышленники вне системы, и внутренние злоумышленники (insider))
-
Технические устройства модели защиты информации
-
Модели, алгоритмы и программы
-
Технологические схемы обработки данных
-
Внешняя среда
Понятие политики безопасности и ее жизненный цикл.
Политика безопасности – сложный документ, который в общих чертах описывает обеспечение информационной безопасности в пределах организации. Он должен быть написан простым языком, понятным рядовым пользователям.
Содержание:
-
Общее положение – описывается период действия, на что распространяется, ответственные, цели обеспечения безопасности
-
Идентификация пользователя (в здании/в информационных системах)
-
Политика управления паролями
-
Защита от компьютерных вирусов
-
Правила установки и контроля сетевых соединений
-
Правила работы с электронной почтой
-
Правила обеспечения безопасности информационных ресурсов (резервное копирование)
-
Определение прав и обязанностей пользователей с точки зрения обеспечения информационной безопасности
Жизненный цикл – описание различных операций с политикой безопасности в течение всего времени его существования.
-
Разработка документа политики безопасности
-
Принятие и утверждение
-
Введение в действие
-
Обучение персонала
-
Применение
-
Контроль исполнения
-
Обеспечение соблюдения
-
Периодический пересмотр
-
Доработка
(затем цикл повторяется)