Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Ответы для экзамена - Информационная безопасность - файл 1.doc


Ответы для экзамена - Информационная безопасность
скачать (974 kb.)

Доступные файлы (1):

1.doc974kb.16.11.2011 00:46скачать

содержание

1.doc

1   2   3   4   5   6   7   8   9   ...   12
^

8. ISO 18028 - Международные стандарты сетевой безопасности серии


ISO/IEC 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ИТ безопасность. Управление сетевой безопасностью.

Этот стандарт содержит руководство по созданию сетей и организации взаимодействия с учетом аспектов безопасности при соединении сетей между собой и при получении удаленного доступа к сети. Руководство включает идентификацию и анализ факторов связанных с сетевыми взаимодействиями, которые следует принимать во внимание при определении требований к сетевой безопасности, идентификация необходимых областей контроля при подключении к сетям и обзор возможных областей контроля, включая проектирование и внедрение, которые подробно рассматриваются в частях 2 - 5 BS ISO/IEC 18028.

Готовится к опубликованию...

^ ISO/IEC 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей

Этот стандарт содержит подробные указания по использованию VPN при межсетевых взаимодействиях, а также для подключения удаленных пользователей. Он основан на принципах сетевого управления, описанных в первой части BS ISO/IEC 18028. Этот стандарт предназначен для специалистов, отвечающих за выбор и внедрение технических средств обеспечения сетевой безопасности при помощи технологий VPN и последующий мониторинг VPN сети.

Готовится к опубликованию...

^ 9. Российские стандарты ГОСТ


Система государственных и отраслевых стандартов (ГОСТ и ОСТ) существует со времён Советского Союза. После распада СССР в России развивается своя система стандартов, направленная, в том числе, на соответствие вновь разрабатываемых стандартов международным рекомендациям.

В настоящее время все вопросы, связанные со стандартизацией в Российской Федерации, регулируются Федеральным законом "О техническом регулировании".

Статья 11 Закона определяет цели стандартизации:

  • повышение уровня безопасности жизни или здоровья граждан, имущества, экологической безопасности, безопасности жизни или здоровья животных и растений;

  • повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера;

  • обеспечение научно-технического прогресса;

  • повышение конкурентоспособности продукции, работ, услуг;

  • рациональное использование ресурсов;

  • техническая и информационная совместимость;

  • сопоставимость результатов исследований (испытаний) и измерений, технических и экономико-статистических данных;

  • взаимозаменяемость продукции.


Статья 13 Закона определяет виды документов в области стандартизации, к ним отнесены:

  • национальные стандарты;

  • правила стандартизации, нормы и рекомендации в области стандартизации;

  • применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации;

  • стандарты организаций.


Статья 14 Закона определяет статус национального органа Российской Федерации по стандартизации и технических комитетов по стандартизации. В соответствии с данной статьей на указанный орган возложено выполнение следующих задач:

  • утверждение национальных стандартов;

  • принятие программы разработки национальных стандартов;

  • организация экспертизы проектов национальных стандартов;

  • обеспечение соответствия национальной системы стандартизации интересам национальной экономики, состоянию материально-технической базы и научно-техническому прогрессу;

  • осуществление учета национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам;

  • создание технических комитетов по стандартизации и координация их деятельности;

  • организация опубликования национальных стандартов и их распространения;

  • участие в соответствии с уставами международных организаций в разработке международных стандартов и обеспечение учета интересов Российской Федерации при их принятии;

  • утверждение изображения знака соответствия национальным стандартам;

  • представительство Российской Федерации в международных организациях, осуществляющих деятельность в области стандартизации.

Орган, уполномоченный на исполнение функций национального органа по стандартизации, определяет Правительство Российской Федерации.

Ранее Постановлением Правительства РФ от 2 июня 2003 г. № 316 органом, уполномоченным исполнять функции национального органа по стандартизации, был определен Государственный комитет РФ по стандартизации и метрологии (Госстандарт РФ).

В настоящее время в соответствии с Указом Президента РФ от 9 марта 2004 г. № 314 Государственный комитет Российской Федерации по стандартизации и метрологии преобразован в Федеральную службу по техническому регулированию и метрологии, а его функции по принятию нормативных правовых актов в установленной сфере деятельности переданы Министерству промышленности и энергетики Российской Федерации. Затем Указом Президента РФ от 20 мая 2004 г. № 649 Федеральная служба по техническому регулированию и метрологии была преобразована в Федеральное агентство по техническому регулированию и метрологии (ФАТРиМ), подведомственное Министерству промышленности и энергетики Российской Федерации.

В соответствии с постановлениями Правительства РФ от 16 июня 2004 г. № 284 и от 17 июня 2004 г. № 294 функции федерального органа по техническому регулированию и национального органа по стандартизации осуществляет Федеральное агентство по техническому регулированию и метрологии. Этим же Постановлением (№ 284) утверждено Положение о Федеральном агентстве.

В соответствии с Положением ФАТРиМ, в частности:

  1. Организует экспертизу проектов национальных стандартов.

  2. Осуществляет:

  • опубликование в установленном порядке уведомлений о разработке и завершении публичного обсуждения проектов технических регламентов, а также заключений экспертных комиссий по техническому регулированию на проекты технических регламентов;

  • опубликование уведомлений о разработке, завершении публичного обсуждения и утверждении национального стандарта, перечня национальных стандартов, которые могут на добровольной основе применяться для соблюдения требований технических регламентов, официальное опубликование национальных стандартов и общероссийских классификаторов технико-экономической и социальной информации и их распространение;

  • создание технических комитетов по стандартизации и координацию их деятельности;

  • утверждение национальных стандартов;

  • учет национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам;

  • введение в действие общероссийских классификаторов технико-экономической и социальной информации;

  1. Ведение:

  • федерального информационного фонда технических регламентов и стандартов;

  • единой информационной системы по техническому регулированию;

  • перечня продукции, подлежащей обязательному подтверждению соответствия;

  • единого реестра выданных сертификатов;

  • государственного реестра аккредитованных организаций, осуществляющих деятельность по оценке соответствия продукции, производственных процессов и услуг установленным требованиям качества и безопасности, а также деятельность по обеспечению единства измерений;

  • единого реестра зарегистрированных систем добровольной сертификации;

  • федерального каталога продукции для государственных нужд;

  • государственного кадастра гражданского и военного оружия и патронов к нему;

  • общероссийских классификаторов технико-экономической и социальной информации.

Официальным изданием ФАТРиМ является "Вестник технического регулирования", зарегистрированный под номером ПИ № 77-16464 от 22 сентября 2003 г. Издание и распространение (посредством розничной продажи, по подписке через подписные агентства, а также по редакционной подписке) этого журнала и приложений к нему осуществляет КВФ "Интерстандарт".

Переход на новую систему стандартизации в связи с принятием Закона "О техническом регулировании" осуществляется поэтапно с использованием ранее созданной нормативной базы в этой области.

Так, постановлением Госстандарта РФ от 30 января 2004 г. № 4 определено, что национальными стандартами Российской Федерации признаются государственные и межгосударственные стандарты, принятые Госстандартом России до 1 июля 2003 года.

Однако до вступления в силу соответствующих технических регламентов требования к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, установленные указанными национальными стандартами, подлежат обязательному исполнению только в части, соответствующей целям:

  • защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества;

  • охраны окружающей среды, жизни или здоровья животных и растений;

  • предупреждения действий, вводящих в заблуждение приобретателей.

В целях упорядочивания информации о стандартизации в России принят ряд классификаторов. Среди них к защите информации имеют отношение:

1. ОК 026-2002. Общероссийский классификатор информации об общероссийских классификаторах (принят постановлением Госстандарта РФ от 25 декабря 2002 г. № 502-ст, с изменениями № 1/2003).

2. ОК 001-2000 (МК (ИСО/ИНФКО МКС) 001-96). Общероссийский классификатор стандартов (ОКС, принят постановлением Госстандарта РФ от 17 мая 2000 г. № 138-ст, с изменениями № 1/2003).

Объектами классификации ОКС являются стандарты и другие нормативные и технические документы. ОКС устанавливает коды и наименования классификационных группировок, используемых для классификации и индексирования объектов классификации. Классификатор представляет собой иерархическую трехступенчатую классификацию с цифровым алфавитом кода классификационных группировок всех ступеней иерархического деления и имеет следующую структуру: раздел, группа, подгруппа.

Информационным технологиям в ОКС посвящен раздел 35 "Информационные технологии. Машины конторские".

^ Основополагающим государственным стандартом Российской Федерации в области защиты информации является ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения" (принят постановлением Госстандарта РФ от 5 июня 2003 г. № 181-ст).

Он устанавливает цель и задачи системы стандартов по защите информации, объекты стандартизации, структуру, состав и классификацию входящих в нее стандартов и правила их обозначения. Положения данного стандарта являются рекомендуемыми при разработке нормативных документов по стандартизации в области защиты информации, независимо от организационно-правовой формы и формы собственности предприятия, учреждения, организации – разработчика стандарта, а также при организации работ по стандартизации в области защиты информации органами управления Российской Федерации.

В соответствии с данным стандартом система стандартов по защите информации (ССЗИ) может включать в себя следующие нормативные документы:

  • регламенты;

  • стандарты;

  • правила, нормы и рекомендации по стандартизации;

  • общероссийские классификаторы технико-экономической информации;

  • нормативно-технические документы (НТД) системы общих технических требований к вооружению и военной технике (ОТТ).

В зависимости от объекта стандартизации в области ЗИ и требований, предъявляемых к нему, устанавливают стандарты следующих видов:

  • основополагающие;

  • на продукцию;

  • на процессы;

  • на технологию, включая в том числе информационные технологии;

  • на услуги;

  • на методы контроля;

  • на документацию;

  • на термины и определения.

Стандарты по ЗИ подразделяют на следующие категории:

  • международные (ГОСТ ИСО);

  • межгосударственные (ГОСТ);

  • государственные стандарты Российской Федерации, оформленные на основе аутентичного текста международного стандарта (ГОСТ Р ИСО/МЭК);

  • государственные стандарты Российской Федерации (ГОСТ Р);

  • государственные военные стандарты Российской Федерации (ГОСТ РВ);

  • стандарты отраслей, в том числе и на оборонную продукцию (ОСТ);

  • стандарты предприятий.
^

10. Модель сетевого взаимодействия


Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:




Рис. 1.8.  Модель сетевой безопасности

Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различных коммуникационных протоколов (например, ТСР/IP).

Средства безопасности необходимы, если требуется защитить передаваемую информацию от противника, который может представлять угрозу конфиденциальности, аутентификации, целостности и т.п. Все технологии повышения безопасности имеют два компонента:

  1. Относительно безопасная передача информации. Примером является шифрование, когда сообщение изменяется таким образом, что становится нечитаемым для противника, и, возможно, дополняется кодом, который основан на содержимом сообщения и может использоваться для аутентификации отправителя и обеспечения целостности сообщения.

  2. Некоторая секретная информация, разделяемая обоими участниками и неизвестная противнику. Примером является ключ шифрования.

Кроме того, в некоторых случаях для обеспечения безопасной передачи бывает необходима третья доверенная сторона (third trusted party - TTP). Например, третья сторона может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна противнику. Либо третья сторона может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения.

Из данной общей модели вытекают три основные задачи, которые необходимо решить при разработке конкретного сервиса безопасности:

  1. Разработать алгоритм шифрования/дешифрования для выполнения безопасной передачи информации. Алгоритм должен быть таким, чтобы противник не мог расшифровать перехваченное сообщение, не зная секретную информацию.

  2. Создать секретную информацию, используемую алгоритмом шифрования.

  3. Разработать протокол обмена сообщениями для распределения разделяемой секретной информации таким образом, чтобы она не стала известна противнику.
^

11. Модель безопасности информационной системы


Существуют и другие относящиеся к безопасности ситуации, которые не соответствуют описанной выше модели сетевой безопасности. Общую модель этих ситуаций можно проиллюстрировать следующим образом:




Рис. 1.9.  Модель безопасности информационной системы

Данная модель иллюстрирует концепцию безопасности информационной системы, с помощью которой предотвращается нежелательный доступ. Хакер, который пытается осуществить незаконное проникновение в системы, доступные по сети, может просто получать удовольствие от взлома, а может стараться повредить информационную систему и/или внедрить в нее что-нибудь для своих целей. Например, целью хакера может быть получение номеров кредитных карточек, хранящихся в системе.

Другим типом нежелательного доступа является размещение в вычислительной системе чего-либо, что воздействует на прикладные программы и программные утилиты, такие как редакторы, компиляторы и т.п. Таким образом, существует два типа атак:

  1. Доступ к информации с целью получения или модификации хранящихся в системе данных.

  2. ^ Атака на сервисы, чтобы помешать использовать их.

Вирусы и черви - примеры подобных атак. Такие атаки могут осуществляться как с помощью дискет, так и по сети.

^ Сервисы безопасности, которые предотвращают нежелательный доступ, можно разбить на две категории:

  1. Первая категория определяется в терминах сторожевой функции. Эти механизмы включают процедуры входа, основанные, например, на использовании пароля, что позволяет разрешить доступ только авторизованным пользователям. Эти механизмы также включают различные защитные экраны (firewalls), которые предотвращают атаки на различных уровнях стека протоколов TCP/IP, и, в частности, позволяют предупреждать проникновение червей, вирусов, а также предотвращать другие подобные атаки.

  2. Вторая линия обороны состоит из различных внутренних мониторов, контролирующих доступ и анализирующих деятельность пользователей.

Одним из основных понятий при обеспечении безопасности информационной системы является понятие авторизации - определение и предоставление прав доступа к конкретным ресурсам и/или объектам.

В основу безопасности информационной системы должны быть положены следующие основные принципы:

  1. Безопасность информационной системы должна соответствовать роли и целям организации, в которой данная система установлена.

  2. Обеспечение информационной безопасности требует комплексного и целостного подхода.

  3. Информационная безопасность должна быть неотъемлемой частью системы управления в данной организации.

  4. Информационная безопасность должна быть экономически оправданной.

  5. Ответственность за обеспечение безопасности должна быть четко определена.

  6. Безопасность информационной системы должна периодически переоцениваться.

  7. Большое значение для обеспечения безопасности информационной системы имеют социальные факторы, а также меры административной, организационной и физической безопасности.

^ 12. Классификация криптоалгоритмов

В зависимости от наличия либо отсутствия ключа кодирующие алгоритмы делятся на тайнопись и криптографию. В зависимости от соответствия ключей шифрования и дешифрования – на симметричные и асимметричные. В зависимости от типа используемых преобразований – на подстановочные и перестановочные. В зависимости от размера шифруемого блока – на потоковые и блочные шифры.

Сама криптография не является высшей ступенью классификации смежных с ней дисциплин. Наоборот, криптография совместно с криптоанализом (целью которого является противостояние методам криптографии) составляют комплексную науку – криптологию.

Необходимо отметить, что в русскоязычных текстах по данному предмету встречаются различные употребления основных терминов, таких как "криптография", "тайнопись" и некоторых других. Более того, и по классификации криптоалгоритмов можно встретить различные мнения. В связи с этим автор не претендует на то, что его вариант использования подобных терминов является единственно верным.

В отношении криптоалгоритмов существует несколько схем классификации, каждая из которых основана на группе характерных признаков. Таким образом, один и тот же алгоритм "проходит" сразу по нескольким схемам, оказываясь в каждой из них в какой-либо из подгрупп.

Основной схемой классификации всех криптоалгоритмов является следующая:

  1. Тайнопись.
    Отправитель и получатель производят над сообщением преобразования, известные только им двоим. Сторонним лицам неизвестен сам алгоритм шифрования. Некоторые специалисты считают, что тайнопись не является криптографией вообще, и автор находит это совершенно справедливым.

  2. Криптография с ключом.
    Алгоритм воздействия на передаваемые данные известен всем сторонним лицам, но он зависит от некоторого параметра – "ключа", которым обладают только отправитель и получатель.

    1. Симметричные криптоалгоритмы.
      Для зашифровки и расшифровки сообщения используется один и тот же блок информации (ключ).

    2. ^ Асимметричные криптоалгоритмы.
      Алгоритм таков, что для зашифровки сообщения используется один ("открытый") ключ, известный всем желающим, а для расшифровки – другой ("закрытый"), существующий только у получателя.

В зависимости от характера воздействий, производимых над данными, алгоритмы подразделяются на:

  1. Перестановочные
    Блоки информации (байты, биты, более крупные единицы) не изменяются сами по себе, но изменяется их порядок следования, что делает информацию недоступной стороннему наблюдателю.

  2. Подстановочные
    Сами блоки информации изменяются по законам криптоалгоритма. Подавляющее большинство современных алгоритмов принадлежит этой группе.

В зависимости от размера блока информации криптоалгоритмы делятся на:

  1. Потоковые шифры.
    Единицей кодирования является один бит. Результат кодирования не зависит от прошедшего ранее входного потока. Схема применяется в системах передачи потоков информации, то есть в тех случаях, когда передача информации начинается и заканчивается в произвольные моменты времени и может случайно прерываться. Наиболее распространенными предствателями поточных шифров являются скремблеры.

Блочные шифры
Единицей кодирования является блок из нескольких байтов (в настоящее время 4-32). Результат кодирования зависит от всех исходных байтов этого блока. Схема применяется при пакетной передаче информации и кодировании файлов


^ 13. Алгоритмы симметричного шифрования

Рассмотрим общую схему симметричной, или традиционной, криптографии.


Рис. 2.1.  Общая схема симметричного шифрования

В процессе шифрования используется определенный алгоритм шифрования, на вход которому подаются исходное незашифрованное сообщение, называемое также plaintext, и ключ. Выходом алгоритма является зашифрованное сообщение, называемое также ciphertext. Ключ является значением, не зависящим от шифруемого сообщения. Изменение ключа должно приводить к изменению зашифрованного сообщения.

Зашифрованное сообщение передается получателю. Получатель преобразует зашифрованное сообщение в исходное незашифрованное сообщение с помощью алгоритма дешифрования и того же самого ключа, который использовался при шифровании, или ключа, легко получаемого из ключа шифрования.

Незашифрованное сообщение будем обозначать P или M, от слов plaintext и message. Зашифрованное сообщение будем обозначать С, от слова ciphertext.
1   2   3   4   5   6   7   8   9   ...   12



Скачать файл (974 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации