Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Методы защиты информации - файл 1.doc


Методы защиты информации
скачать (81.5 kb.)

Доступные файлы (1):

1.doc82kb.17.11.2011 22:26скачать

содержание
Загрузка...

1.doc

Реклама MarketGid:
Загрузка...
МОСКОВСКАЯ ГОСУДАРСТВЕННАЯ ЮРИДИЧЕСКАЯ АКАДЕМИЯ

КАФЕДРА ПРАВОВОЙ ИНФОРМАТИКИ

Контрольная работа
Тема: «Методы защиты информации»

Выполнила:

студентка 2-го курса (4 гр.)

Новичкова М.С.



Вологда 2010

Содержание


Тема контрольной работы № 16 3

Задание согласно методическим указанием. 3

При написании контрольной работы по данной теме студенту предстоит осветить следующие вопросы: 3

1.место защиты информации в информационной безопасности 3

2.системный подход защите информации 3

3.методы защиты информации 3

4.электронную цифровую подпись как один из способов защиты информации 3

1. Место защиты информации в информационной безопасности 4

2. Системный подход к защите информации 8

3. Современные методы защиты информации 10

4. Электронная цифровая подпись 14

Литература 18



^

Тема контрольной работы № 16

Задание согласно методическим указанием.

При написании контрольной работы по данной теме студенту предстоит осветить следующие вопросы:

  1. ^

    место защиты информации в информационной безопасности

  2. системный подход защите информации

  3. методы защиты информации

  4. электронную цифровую подпись как один из способов защиты информации

1. Место защиты информации в информационной безопасности



Безопасность проявляется как невозможность нанесения вреда функционированию и свойствам объекта, либо его структурных составляющих. Это положение служит методологическим основанием для выделения видов безопасности. Одной из важных структурных составляющих многих объектов безопасности является информация или деятельность, предметом которой является информация. Наличие угроз этим объектам позволяет говорить об их информационной безопасности - безопасности их "информационного измерения".

Нанесение вреда информации, способности человека ее воспринимать и осмысливать имеет следствием ущерб человеку как социальному и биологическому существу, существенно снижает возможность его выживания в реальном мире. Исходя из этого, информационная безопасность человека заключается в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами и часто имеет информацию в качестве предмета деятельности.

"Информационное измерение" государства определяется информационным наполнением его деятельности. Эта деятельность с содержательной точки зрения заключается в выполнении функций государства, например, таких как обеспечение безопасности, ликвидация последствий стихийных бедствий и экологических катастроф, реализация социальных программ поддержки здравоохранения, социального обеспечения нетрудоспособных, защита прав и свобод граждан. "Информационное" наполнение деятельности государства определяется деятельностью его органов, с одной стороны, по управлению делами общества, стимулированию развития информационной инфраструктуры и информационной деятельности граждан, защите их прав и свобод в этой области, а с другой - по обеспечению законных ограничений на доступ к информации, несанкционированное раскрытие которой может нанести ущерб интересам личности, общества и государства.

Нанесение вреда этой деятельности органов государства способно существенно снизить его возможности по выполнению государственных функций. Так, безнаказанное нарушение тайны переговоров, личной и семейной тайны подрывает доверие граждан к государству, уменьшает социальную поддержку его деятельности; блокирование команд на боевое использование сил и средств ведения вооруженной борьбы лишает государство возможности отражения внешней агрессии; подделка таможенных деклараций - лишает его возможности противостоять угрозам экономике общества. Таким образом, информационная безопасность государства заключается в невозможности нанесения вреда деятельности государства по выполнению функций управления делами общества, предметом которой выступает информация и информационная инфраструктура общества.

Человек, общество и государство не являются единственно возможными объектами безопасности, обладающими своим "информационным измерением". Объектом информационной безопасности может выступать сама информация. В этом случае содержание "информационной безопасности" будет заключаться в защищенности информации от угроз. Такая постановка вопроса характерна как для социальных систем, так и для технических систем.

В жизни человека существует немало случаев, распространение информации о которых, может негативным образом сказаться на социальном статусе человека и других условиях его жизни. Аналогичным образом, при осуществлении коммерческой деятельности возникает информация, известность которой другим участникам рынка может существенно снизить доходность этой деятельности. В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается и устанавливаемый режим ее использования призван предупредить возможность несанкционированного ознакомления с ней. В этом случае объектом безопасности выступает режим доступа к информации, а информационная безопасность заключается в невозможности нарушения этого режима. Примером могут служить информационно-телекоммуникационные системы и средства связи, предназначенные для обработки и передачи сведений, составляющих государственную тайну. Основным объектом безопасности в них является режим доступа к секретной информации. Информационная безопасность таких систем заключается в защищенности этой информации от несанкционированного доступа, уничтожения, изменения и других действий, которые должны происходить только в соответствии с порядком, установленным владельцем этих сведений.

Объектом информационной безопасности может быть коммерческое предприятие. Тогда содержание "информационной безопасности" будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. Интересы проявляются через объекты, способные служить для их удовлетворения, и действия, предпринимаемые для обладания этими объектами. Соответственно интересы как объект безопасности могут быть представлены совокупностью информации, способной удовлетворять интерес собственника, и его действий, направленных на овладение информацией или сокрытие информации. Эти составляющие объекта информационной безопасности и защищаются от внешних и внутренних угроз. В случае, когда собственник предприятия не видит необходимости в защите своих действий, например, в связи с тем, что это не окупается, содержание информационной безопасности предприятия может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию обычно относят к коммерческой тайне.

Объектом информационной безопасности в определенных случаях может быть информационная система. Тогда под информационной безопасностью будет пониматься "защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры". Вследствие этого правильный с методологической точки зрения подход к проблемам обеспечения информационной безопасности должен начинаться с выявления субъектов отношений, связанных с использованием информационных систем. Спектр их интересов может быть разделен "на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения), конфиденциальность (защита от несанкционированного ознакомления)".
^

2. Системный подход к защите информации



Применение методов системного анализа к построению системы противодействия угрозам безопасности позволяет заложить комплекс мероприятий по защите информации на стадии проектирования системы, обеспечив оптимальное сочетание организационных и технических мер защиты информации.

Важность реализации этого принципа обусловлена тем, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Современные средства защиты информации можно классифицировать следующим образом:

- активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям;

- программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях;

- программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;

- программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования;

- программные средства, обеспечивающие защиту от воздействия программ-вирусов.

Принцип самозащиты и конфиденциальности системы защиты информации основан на декомпозиции механизма воздействия угроз безопасности информации. При реализации такого подхода появляется возможность контролировать целостность системы защиты информации, управлять ее безопасностью, восстанавливать эту систему при ее "взломе" и/или отказах оборудования.

На этапе подготовки к обработке конфиденциальной информации также существует проблема выбора средств защиты, и в частности, систем защиты информации, обрабатываемой с использованием технических средств. Такие системы должны строиться по определенным принципам. Это связано с необходимостью противодействия целому ряду угроз безопасности информации.

К принципам противодействия угрозам относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации. При этом следует учитывать совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы
^

3. Современные методы защиты информации



Если мы уже заговорили про защиту, то сразу необходимо определиться кто, как, что и от кого защищает.

Итак, обычно считают, что есть следующие способы перехвата информации с компьютера:

1) ПЭМИH - собственно электромагнитное излучение от РС

2) Наведенные токи в случайных антеннах - перехват наводок в проводах (телефонных, проводного радио), кабелях (тв антеннах, например), которые проходят вблизи, но не связанных гальванически с РС, даже в отопительных батареях (отопление изолировано от земли)

3) Наводки и паразитные токи в цепях, гальванически связанных с РС (питание, кабель ЛВС, телефонная линия с модемом и т.п)

4)Неравномерное потребление тока в питании - в основном для электромеханических устройствах (для современных РС маловероятен - если только принтер ромашка)

5) Редкие способы (в виде наведенных лазеров )

Обычно самым незащищенным местом является видеотракт, с него можно перехватить картинку, находящуюся на экране. Как правило, это прямое излучение видеоадаптера и видеоусилителя монитора, а также эфирные и гальванические наводки от них на кабели клавиатуры, мыши, принтера, питания и кабель ЛВС, а они выступают как антенны-резонаторы для гармоник сигнала и как проводники для гальванических утечек по п 2).

Причем, чем лучше РС (белее), тем лучше монитор и адаптер и меньше "свист". Hо все, естественно, зависит и от модели, и от исполнения, и от комплектующих. "Энерджистар" и "лоу радиейшн" в общем случае намного лучше обычных мониторов.

Критерий - измеряется минимальное расстояние для некоторого спектра (критическая зона), на котором (без учета ЛВС и эл. сети) можно уверенно принять сигнал (отношение сигнал/шум в безэховой камере).

Какие применяются меры:

-экранирование корпусов (или внутренний металлический экран, или напыление изнутри на корпусе медной пленки - заземленные)

-установка на экран трубки монитора или сетки, или доп. стекла с заземленным напылением

-на все кабели ставят электромагнитные фильтры (это, как правило, специальные сердечники), доп. оплетку экрана

- локальные экраны на платы адаптеров

-дополнительные фильтры по питанию

-дополнительный фильтр в цепь ЛВС (лично сам видел для AUI)

Ну а проблемой защиты информации путем ее пpеобpазования занимается кpиптология (kryptos - тайный, logos - наука). Кpиптология разделяется на два наплавления - кpиптогpафию и кpиптоанализ. Цели этих направлений прямо противоположны.

Криптография и криптоанализ

Кpиптогpафия занимается поиском и исследованием математических методов пpеобpазования информации.

Сфеpа интеpесов кpиптоанализа - исследование возможности pасшифpовывания инфоpмации без знания ключей.

Совpеменная кpиптогpафия включает в себя четыpе кpупных pаздела:

Симметричные кpиптосистемы Кpиптосистемы с откpытым ключом

Системы электpонной подписи Системы упpавления ключами.

Основные напpавления использования кpиптогpафических методов - пеpедача конфиденциальной инфоpмации по каналам связи (напpимеp, электpонная почта), установление подлинности пеpедаваемых сообщений, хpанение инфоpмации (документов, баз данных) на носителях в зашифpованном виде.

Итак, кpиптогpафия дает возможность пpеобpазовать инфоpмацию таким обpазом, что ее пpочтение (восстановление) возможно только пpи знании ключа.

качестве инфоpмации, подлежащей шифpованию и дешифpованию, будут pассматpиваться тексты, постpоенные на некотоpом алфавите. Под этими теpминами понимается следующее:

Алфавит - конечное множество используемых для кодиpования инфоpмации знаков.

Текст - упоpядоченный набоp из элементов алфавита.

В качестве пpимеpов алфавитов, используемых в совpеменных ИС можно пpивести следующие:

* алфавит Z33 - 32 буквы pусского алфавита и пpобел;

* алфавит Z256 - символы, входящие в стандаpтные коды ASCII и КОИ-8;

* бинаpный алфавит - Z2 = {0,1};

* восьмеpичный алфавит или шестнадцатеpичный алфавит;

Шифpование - пpеобpазовательный пpоцесс: исходный текст, котоpый носит также название откpытого текста, заменяется шифpованным текстом.

Дешифpование - обpатный шифpованию пpоцесс. На основе ключа шифpованный текст пpеобpазуется в исходный.

Ключ - инфоpмация, необходимая для беспpепятственного шифpования и дешифpования текстов.

Кpиптогpафическая система пpедставляет собой семейство T пpеобpазований откpытого текста. члены этого семейства индексиpуются, или обозначаются символом k; паpаметp k является ключом. Пpостpанство ключей K - это набоp возможных значений ключа. Обычно ключ пpедставляет собой последовательный pяд букв алфавита.

Кpиптосистемы pазделяются на симметpичные и с откpытым ключом.

В симметpичных кpиптосистемах и для шифpования, и для дешифpования используется один и тот же ключ.

В системах с откpытым ключом используются два ключа - откpытый и закpытый, котоpые математически связаны дpуг с дpугом. Инфоpмация шифpуется с помощью откpытого ключа, котоpый доступен всем желающим, а pасшифpовывается с помощью закpытого ключа, известного только получателю сообщения.

Теpмины pаспpеделение ключей и упpавление ключами относятся к пpоцессам системы обpаботки инфоpмации, содеpжанием котоpых является составление и pаспpеделение ключей между пользователями.

Электpонной (цифpовой) подписью называется пpисоединяемое к тексту его кpиптогpафическое пpеобpазование, котоpое позволяет пpи получении текста дpугим пользователем пpовеpить автоpство и подлинность сообщения.

Кpиптостойкостью называется хаpактеpистика шифpа, опpеделяющая его стойкость к дешифpованию без знания ключа (т.е. кpиптоанализу). Имеется несколько показателей кpиптостойкости, сpеди котоpых:

* количество всех возможных ключей;

* сpеднее вpемя, необходимое для кpиптоанализа.

Пpеобpазование Tk опpеделяется соответствующим алгоpитмом и значением паpаметpа k. Эффективность шифpования с целью защиты инфоpмации зависит от сохpанения тайны ключа и кpиптостойкости шифpа.
^

4. Электронная цифровая подпись



Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

Цифровая подпись предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:

Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.

Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.

Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

Все эти свойства ЭЦП позволяют использовать её для следующих целей:

Декларирование товаров и услуг (таможенные декларации)

Регистрация сделок по объектам недвижимости

Использование в банковских системах

Электронная торговля и госзаказы

Контроль исполнения государственного бюджета

В системах обращения к органам власти

Для обязательной отчетности перед государственными учреждениями

Организация юридически значимого электронного документооборота

В расчетных и трейдинговых системах
История возникновения

В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.

В 1977 году, Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.

Вскоре после RSA были разработаны другие ЭЦП, такие как алгоритмы цифровой подписи Рабина, Меркле.

В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям.

В 1994 году Главным управлением безопасности связи Федерального агентства правительственной связи и информации при Президенте Российской Федерации был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94, основанный на вычислениях в группе точек эллиптической кривой и на хеш-функции, описанной в ГОСТ Р 34.11-94.

В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введен стандарт ГОСТ Р 34.10-2001. В соответствии с этим стандартом термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 3 и определяет ЭЦП так:

«Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе»

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 г. N БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» прописаны условия использования ЭЦП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭЦП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

Литература





  1. Емельянов Г.В., Стрельцов А.А. Информационная безопасность России. Учебное пособие / Под.ред. А.А Прохожево

  2. http://ru.wikipedia.org/

  3. Журнал «ВЕСТНИК РФФИ № 4 декабрь 1998г



Скачать файл (81.5 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru