какие свойства информации являются наиболее важными с точки зрения обеспечения ее безопасности
Характеристики информации с точки зрения ее защиты. Способы обеспечения защиты информации. Классификация алгоритмов шифрования. Современные алгоритмы шифрования. Режим сцепления блоков
Страницы работы
Содержание работы
1 Характеристики информации с точки зрения ее защиты
Защита информации должна обеспечить: Конфиденциальность – свойство информации, состоящее в отсутствии несанкционированного доступа к защищаемой информации для людей, программ или процессов, которые не имеют на это права. Целостность – свойство информации, состоящее в ее существовании в неискаженном виде. Т.е. целостность – это отсутствие несанкционированных изменений информации (добавления, удаления, модификации данных). Доступность – свойство компьютерной системы, состоящее в возможности обеспечить своевременный беспрепятственный доступ к защищаемой информации полномочными пользователями.
1. Пассивные угрозы. Пассивные угрозы – это всегда угрозы конфиденциальности информации. Такие угрозы носят характер перехвата (или мониторинга) передаваемых данных. Пассивные нарушения могут быть двух видов: Раскрытие содержимого сообщений, или угрозы конфиденциальности информации. Эта угроза реализуется, когда к какой-нибудь информации получает доступ лицо, не имеющее на это права. Этот вид угроз встречается наиболее часто. Анализ потока данных. Это, например, определение отправителя и получателя, частоты сообщений.
2. Активные угрозы. Активными угрозами могут быть: Угрозы целостности информации. Нарушение целостности происходит при внесении несанкционированных изменений в информацию, умышленных или неумышленных. Угрозы доступности информации, или угрозы отказа в обслуживании. Этот вид угрозы угрожает не самой информации, а автоматизированной системе, в которой эта информация обрабатывается.
Уязвимость – это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы.
1. Уязвимости проектирования информационной системы. Это уязвимости, созданные разработчиком программного или аппаратного обеспечения при проектировании. В этом случае уязвимость свойственна проекту или алгоритму, и даже совершенная реализация проекта от этой уязвимости не избавляет. Яркий пример – уязвимость стека протоколов TCP/IP.
2. Уязвимости реализации информационной системы. Это ошибки, привнесенные на этапе реализации проекта. Типичный пример – «переполнение буфера» во многих реализациях программ, например sendmailили InternetExplorer.
3. Уязвимости конфигурации. Это уязвимости, добавленные администратором в процессе управления системойили привнесенные пользователем в процессе эксплуатации системы. Например: использование модема для выхода в Интернет в обход межсетевых экранов, или отказ запускать антивирусные сканеры, или другие, более враждебные действия.
Атака на информационную систему – это действие, которое приводит к реализации угрозы путем использования уязвимостей этой информационной системы.
Традиционная атака – это атака, построенная на модели «один-к-одному» или «один-ко-многим». В этом случае атака исходит из одной точки (от одного хоста). Для сокрытия источника атаки часто используется метод промежуточных хостов. В этом случае атака реализуется не напрямую на выбранную цель, а через цепь узлов. Нередко эти узлы находятся в разных странах.
Рис. 1.1 Модели традиционных атак Рис.1.2 Модели распределенных атак
Этапы реализации атаки
1. Сбор информации (informationgathering). На этом этапе определяется сетевая топология, тип и версия операционной системы, доступность сетевых сервисов и т.д.
2. Реализация (exploitation). Реализация атаки заключается в проникновении в систему и установлении контроля над атакуемым узлом. Например, это внедрение программы типа «троянский конь».
3. Завершение атаки («заметание следов»). Обычно это удаление соответствующих записей из журналов регистрации данного узла и других действий, возвращающих атакованную систему в исходное состояние (например, скрытие внедренных файлов).
2. Способы обеспечения защиты информации
Законодательные методыопределяют, кто и в какой форме должен иметь доступ к защищаемой информации. Законодательные методы не способны гарантировать выполнение установленных законов, они только декларируют эти законы, вместе с мерой ответственности за их нарушение. Административные методы заключаются в определении процедур доступа к защищаемой информации и установлении контроля за их соблюдением. Например, при получении документов в архиве и возврате их обратно в специальный журнал заносятся соответствующие записи. Работа с документами разрешается только в специально оборудованном и сертифицированном помещении. Чтобы работать с секретными документами, сначала нужно получить необходимый допуск, и т.п. Технические методы защиты призваны максимально избавиться от человеческого фактора. Соблюдение законодательных и административных мер защиты определяется согласием людей их соблюдать, и теоретически всегда можно избежать соблюдения установленных правил. В случае применения технических средств перед противником для доступа к информации ставится техническая задача. Современный пример технических средств защиты информации: самоуничтожающиеся DVD-диски. (диски можно будет использовать только 48 часов после вскрытия упаковки. Затем поверхность диска должна почернеть)
Правовые основы защиты информации
Основой современной государственной политики Российской Федерации в области информационной безопасности является Доктрина информационной безопасности РФ. Она представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Она утверждена Президентом Российской Федерации В.Путиным 9 сентября 2000 г.
Наиболее важными, с точки зрения информационной безопасности, являются следующие законы.
Законы
· Конституция Российской Федерации (в редакции от 10.02.96 г.);
· «О безопасности» (в редакции от 05.03.92 г.);
· «Об информации, информатизации и защите информации» (от 20.01.95 г.);
· «О государственной тайне» (от 21.09.93 г.);
· «О федеральных органах правительственной связи и информации» (от 19.02.93 г.);
· «О правовой охране программ для электронных вычислительных машин и баз данных» (от 24.03.96 г.);
Закон «О безопасности» закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
Какие свойства информации являются наиболее важными с точки зрения обеспечения ее безопасности
1. ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Информация и информационная безопасность
Информация (лат. informatio — разъяснение, изложение), первоначально — сведения, передаваемые людьми устным, письменным или другим способом с помощью условных сигналов, технических средств и т.д. С середины 20-го века информация является общенаучным понятием, включающим в себя:
— сведения, передаваемые между людьми, человеком и автоматом, автоматом и автоматом;
— сигналы в животном и растительном мире;
— признаки, передаваемые от клетки к клетке, от организма к организму;
Другими словами, информация носит фундаментальный и универсальный характер, являясь многозначным понятием. Эту мысль можно подкрепить словами Н. Винера (отца кибернетики): «Информация есть информация, а не материя и не энергия».
Опираясь на это определение информации, рассмотрим понятия информационной безопасности и защиты информации.
В Доктрине информационной безопасности Российской Федерации под термином информационная безопасность понимается состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В более узком смысле, под информационной безопасностью мы будем понимать состояние защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера (информационных угроз, угроз информационной безопасности), которые могут нанести неприемлемый ущерб субъектам информационных отношений [18].
Защита информации – комплекс правовых, организационных и технических мероприятий и действий по предотвращению угроз информационной безопасности и устранению их последствий в процессе сбора, хранения, обработки и передачи информации в информационных системах.
Рассмотрим более подробно составляющие этих определений.
Под субъектами информационных отношений понимаются как владельцы, так и пользователи информации и поддерживающей инфраструктуры [18].
К поддерживающей инфраструктуре относятся не только компьютеры, но и помещения, системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.
Ущерб может быть приемлемым или неприемлемым. Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений [18].
Информационная угроза – потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере, искажению или разглашению информации.
Таким образом, концепция информационной безопасности, в общем случае, должна отвечать на три вопроса:
— От чего (кого) защищать?
1 Информационная система (автоматизированная информационная система) — это совокупность технических (аппаратных) и программных средств, а также работающих с ними пользователей (персонала), обеспечивающая информационную технологию выполнения установленных функций.
2 Жизненный цикл информационной системы – непрерывный процесс, начинающийся с момента принятия решения о создании информационной системы и заканчивающийся в момент полного изъятия ее из эксплуатации.
1.2. Основные составляющие информационной безопасности
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие составляющие: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Дадим определения основных составляющих информационной безопасности [18].
Доступность информации – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных (авторизованных) субъектов к интересующей их информации или осуществлять своевременный информационный обмен между ними. Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность информации – свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций 4 )). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.
Конфиденциальность информации – свойство информации быть известной и доступной только правомочным субъектам системы (пользователям, программам, процессам). Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальная информация есть как у организаций, так и отдельных пользователей.
Из всего выше приведенного следует два следствия.
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные заведения. В первом случае «пусть лучше все сломается, чем враг узнает хотя бы один секрет», во втором – «да нет у нас никаких секретов, лишь бы все работало».
2. Информационная безопасность не сводится исключительно к защите от НСД к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от НСД, но и от поломки системы, вызвавшей перерыв в работе.
Основными объектами защиты при обеспечении информационной безопасности являются:
— права граждан, юридических лиц и государства на получение, распространение и использование информации;
— система формирования, распространения и использования информации (информационные системы и технологии, библиотеки, архивы, персонал, нормативные документы и т.д.);
— система формирования общественного сознания (СМИ, социальные институты и т.д.).
1.4. Категории и носители информации
Неотъемлемой частью любой информационной системы является информация. По характеру ограничений (реализации) конституционных прав и свобод в информационной сфере выделяют четыре основных вида правовой (регламентированной законами) информации:
— информация с ограниченным доступом;
— информация без права ограничения;
— иная общедоступная информация (например, за деньги);
— информация, запрещенная к распространению.
Информация с ограниченным доступом делится на государственную тайну и конфиденциальную.
К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ. Владельцем государственной тайны является само государство. Требования по защите этой информации и контроль за их соблюдением регламентируются законом РФ «О государственной тайне» [4]. В нем законодательно установлен Перечень сведений, сопоставляющих государственную тайну, и круг сведений, не подлежащих к отнесению к ней. Предусмотрена судебная защита прав граждан в связи с необоснованным засекречиванием. Определены органы защиты государственной тайны:
— межведомственная комиссия по защите государственной тайны;
— федеральные органы исполнительной власти, уполномоченные в области:
— обороны – Министерство обороны;
— внешней разведки – Федеральная служба безопасности (ФСБ обеспечивает, в т.ч. криптографическую защиту);
— противодействия техническим разведкам и технической защиты информации – ФСТЭК;
Конфиденциальная информация – документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности. Этой информацией владеют различные учреждения, организации и отдельные индивидуумы. В Указе Президента РФ «Перечень сведений конфиденциального характера» [5] конфиденциальная информация разбита на семь видов:
— тайна следствия и судопроизводства;
— сведения о сущности изобретения, полезной модели или промышленного образца по официальной публикации информации о них;
— сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Несмотря на то, что это информация ограниченного доступа, она является полностью открытой для субъекта персональных данных. Только сам субъект решает вопрос о передаче, обработке и использовании своих персональных данных, а также определяет круг субъектов, которым эти данные могут быть сообщены. Некоторая часть персональных данных может не иметь режима защиты, являясь общеизвестными (например, фамилия, имя и отчество). В законе РФ «О персональных данных» [6] выделены следующие права субъектов персональных данных (кроме некоторых категорий граждан: владеющих государственной тайной, осужденных и т.д.):
— доступ к своим персональным данным;
— внесение изменений в свои персональные данные;
— блокирование персональных данных;
— обжалование неправомерных действий в отношении персональных данных;
Государственные органы и организации, органы местного самоуправления имеют право на работу с персональными данными в пределах своей компетенции, установленной действующим законодательством, или на основании лицензии. В последнем случае с ними могут работать также негосударственные юридические и физические лица.
В статье 7 закона РФ «О государственной тайне» [4] определен перечень сведений, не подлежащих отнесению к государственной тайне и засекречиванию (информация без права ограничения):
— о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
— о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
— о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
— о фактах нарушения прав и свобод человека и гражданина;
— о размерах золотого запаса и государственных валютных резервах Российской Федерации;
— о состоянии здоровья высших должностных лиц Российской Федерации;
— о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суде.
В ряде статей Конституции РФ [1] также прописан беспрепятственный доступ граждан и их объединений к общественно значимой информации:
Информация, запрещенная к распространению, определена в многочисленных нормативных документах. В частности:
— Кодекс РФ об административных правонарушениях:
— статья 5.61 «Оскорбление»;
— статья 5.62 «Дискриминация»;
— статья 6.17 «Нарушение законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию»;
— статья 6.21 «Пропаганда нетрадиционных сексуальных отношений среди несовершеннолетних»;
— статья 6.26 «Организация публичного исполнения произведения литературы, искусства или народного творчества, содержащего нецензурную брань, посредством проведения театрально-зрелищного, культурно-просветительного или зрелищно-развлекательного мероприятия»;
— статья 14.48 «Представление недостоверных результатов исследований (испытаний)»;
— статья 17.9 «Заведомо ложные показание свидетеля, пояснение специалиста, заключение эксперта или заведомо неправильный перевод»;
— статья 20.3 «Пропаганда либо публичное демонстрирование нацистской атрибутики или символики, либо атрибутики или символики экстремистских организаций, либо иных атрибутики или символики, пропаганда либо публичное демонстрирование которых запрещены федеральными законами»;
— статья 20.29 «Производство и распространение экстремистских материалов»;
— Уголовный кодекс РФ:
— статья 119 «Угроза убийством или причинением тяжкого вреда здоровью»;
— статья 128.1 «Клевета»;
— статья 142 «Фальсификация избирательных документов, документов референдума»;
— статья 155 «Разглашение тайны усыновления (удочерения)»;
— статья 172.1 «Фальсификация финансовых документов учета и отчетности финансовой организации»;
— статья 205.2 «Публичные призывы к осуществлению террористической деятельности, публичное оправдание терроризма или пропаганда терроризма»;
— статья 207 «Заведомо ложное сообщение об акте терроризма»;
— статья 217.2 «Заведомо ложное заключение экспертизы промышленной безопасности»;
— статья 242 «Незаконные изготовление и оборот порнографических материалов или предметов»;
— статья 280 «Публичные призывы к осуществлению экстремистской деятельности»;
— статья 303 «Фальсификация доказательств и результатов оперативно-розыскной деятельности»;
— статья 306 «Заведомо ложный донос»;
— статья 307 «Заведомо ложные показание, заключение эксперта, специалиста или неправильный перевод»;
— статья 319 «Оскорбление представителя власти»;
— статья 354 «Публичные призывы к развязыванию агрессивной войны»;
— статья 354.1 «Реабилитация нацизма»;
Основными носителями информации являются:
— открытая печать (газеты, журналы, отчеты, реклама и т.д.);
— средства связи (радио, телевидение, телефон, пейджер и т.д.);
— документы (официальные, деловые, личные и т.д.);
— электронные, магнитные и другие носители, пригодные для автоматической обработки данных.
1.5. Средства защиты информации
Принято различать следующие средства защиты:
Рис.1.1. Классификация средств защиты
I. Формальные средства защиты – выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека.
К специфическим средствам защиты информации относятся криптографические методы. В информационных системах криптографические средства защиты информации могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.
II. Неформальные средства защиты – регламентируют деятельность человека.
Законодательные средства – законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на всех субъектов информационных отношений. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами и нормативными документами, иногда достаточно противоречивыми.
1.6. Способы передачи конфиденциальной информации на расстоянии
Способов передачи конфиденциальной информации на расстоянии существует множество, среди которых можно выделить три основных направления [9].
1. Создать абсолютно надежный, недоступный для других канал связи между абонентами.
2. Использовать общедоступный канал связи, но скрыть сам факт передачи информации.
3. Использовать общедоступный канал связи, но передавать по нему нужную информацию в таком преобразованном виде, чтобы восстановить ее мог только адресат.
Проанализируем эти возможности.
2. Разработкой средств и методов скрытия факта передачи сообщения занимается стеганография. Первые следы стеганографических методов теряются в глубокой древности. Так, в трудах древнегреческого историка Геродота встречается описание двух методов сокрытия информации: на обритую голову раба записывалось необходимое сообщение, а когда его волосы отрастали, он отправлялся к адресату, который вновь брил его голову и считывал доставленное сообщение. Второй способ заключался в следующем: сообщение наносилось на деревянную дощечку, а потом она покрывалась воском, и, тем самым, не вызывала никаких подозрений. Потом воск соскабливался, и сообщение становилось видимым. В настоящий момент стеганографические методы в совокупности с криптографическими нашли широкое применение в целях сокрытия и передачи конфиденциальной информации.
3. Разработкой методов преобразования информации с целью ее защиты от несанкционированного прочтения занимается криптография.