Системный анализ существующих угроз информационной безопасности. Математическая модель оценки стойкости криптографической системы защиты информации. Разработка псевдослучайной функции повышенной эффективности с доказанной криптографической стойкостью.
Аннотация к работе
В современных условиях перед учреждениями и организациями всех форм собственности особо остро встает задача сохранения не только материальных ценностей, но и информации, в том числе и сведений, составляющих коммерческую или государственную тайну, а также персональных данных. Беззастенчивая кража предприятиями и организациями интеллектуальной собственности друг друга стала практически массовым процессом. Для того чтобы справиться со стремительным нарастанием потока информации, вызванным научно-техническим прогрессом, организации вынуждены постоянно совершенствовать используемые средства, способы и методы защиты конфиденциальной информации. Криптографические методы защиты информации позволяют исключить угрозу нарушения конфиденциальности данных путем их шифрования, обеспечить целостность информации при хранении и передаче по каналам связи, а так же предотвратить несанкционированный доступ механизмами аутентификации. Псевдослучайные функции (ПСФ) являются одним из фундаментальных блоков современной криптографии и имеют невероятное количество приложений в схемах шифрования, генерации ключей, обеспечении целостности передаваемых данных, механизмах электронно-цифровых подписей, аутентификации и даже для защиты от Dos-атак.Очевидно, что для анализа такого значительного набора источников, объектов и действий, которые имеют место в сфере обеспечения информационной безопасности, для наиболее полного и в то же время наглядного отображения всех связей целесообразным представляется использование методов моделирования. При этом модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности, являться упрощенным отображением оригинала. В качестве компонентов концептуальной модели безопасности информации на первом уровне декомпозиции возможно выделение следующих объектов [45]: - объекты угроз; Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификацию в корыстных целях и уничтожение для нанесения прямого материального ущерба.Среди действий, приводящих к неправомерному овладению информацией, выделяют следующие: - разглашение - умышленные или неосторожные действия с конфиденциальными сведениями, приводящие к ознакомлению с конфиденциальной информацией не допущенных к ней лиц; Уровень воздействия угрозы определяет целевую направленность негативного воздействия на информацию на синтаксическом, семантическом или прагматическом уровнях, а также общую ориентацию системы защиты. Согласно определению информационной безопасности, угрозы можно классифицировать следующим образом (рисунок 1.1) [28, 31]: - угрозы нарушения физической целостности, проявляющиеся в уничтожении либо разрушении элементов; угрозы нарушения содержания, проявляющиеся в несанкционированной модификации, искажении блоков информации, внешнем навязывании ложной информации; Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации и/или отказам в обслуживании конечных пользователей;С учетом сложившейся практики обеспечения безопасности выделяют следующие направления защиты информации (рисунок 1.5): - правовая защита - специальные законы, нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе; Правовые меры направлены на решение следующих вопросов: - категорирование открытого и ограниченного доступа информации; Организационные меры включают в себя: - мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов защиты; Инженерно-техническая защита информации основана на использовании различных электронных устройств и специальных программ, которые самостоятельно или в комплексе с другими средствами реализуют следующие способы защиты: - идентификацию и аутентификацию субъектов; внутренняя защита - защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на достаточных для исключения эффективной регистрации электромагнитных излучений расстояниях, организация ее систематического контроля);Проведение системного анализа угроз информационной безопасности и средств защиты позволило выявить соответствие областей применения средств защиты существующим угрозам. Подробное изучение основных направлений обеспечения безопасности и средств защиты информации позволяет говорить, что: - меры организационной защиты позволяют справиться со многими угрозами, однако имеют склонность к зависимости от субъективных факторов;Для оценки безопасности (стойкости) криптографических систем широко используются методы моделирования. Информационно-теоретическая модель безопасности предполагает невозмо
План
СОДЕРЖАНИЕ
РЕФЕРАТ
ВВЕДЕНИЕ
1 АНАЛИЗ СУЩЕСТВУЮЩИХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ СРЕДСТВА ЗАЩИТЫ ДАННЫХ
1.1 Концептуальная модель информационной безопасности
1.2 Системная классификация и общий анализ угроз безопасности информации
1.3 Средства обеспечения информационной безопасности.
1.4 Выводы
2 АНАЛИЗ ТЕОРЕТИКО-СЛОЖНОСТНОЙ МОДЕЛИ ОЦЕНКИ СТОКОСТИ КРИПТОГРАФИЧЕСКИХ СИСТЕМ И ПРОТОКОЛОВ
2.1 Системный анализ существующих моделей оценки стойкости криптографических систем
2.2 Математическая модель безопасности криптосистемы
2.3 Оценка практической эффективности и сложности взлома криптосистем и их примитивов
2.4 Модель случайного оракула
3 АНАЛИЗ И ПРОЕКТИРОВАНИЕ ПСЕВДОСЛУЧАЙНЫХ ФУНКЦИЙ С ПОВЫШЕННОЙ ЭФФЕКТИВНОСТЬЮ
3.1 Применение псевдослучайной функции в качестве криптографического примитива
3.2 Постановка проблемы и обоснование выбранного решения
3.3 Обоснование и использование теоретико-сложностных предположений
3.4 Построение конструкции классического каскада на основе классического решения
3.5 Применение конструкции расширенного каскада для построения псевдослучайных функций повышенной эффективности
3.5.1 Реализация псевдослучайной функции Наора-Рейнголда с помощью расширенного каскада
3.5.2 Построение псевдослучайной функции Бонеха, Монтгомери и Рагунатана на основе псевдослучайной функции Додиса-Ямпольского
3.6 Разработка псевдослучайной функции с экспоненциальной областью определения и доказательство ее стойкости
3.6 Выводы
4 БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ РАБОТЫ
4.1 Общая оценка условий труда оператора ПЭВМ
4.2 Анализ опасных и вредных производственных факторов труда оператора ПЭВМ
4.3 Анализ возможных чрезвычайных ситуаций и мер по их предотвращению и устранению
4.4 Выводы
5 РАСЧЕТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В СРЕДСТВА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
5.1 Сравнительный анализ методов оценки эффективности средств обеспечения информационной безопасности
5.2 Применение методики дисконтирования денежных потоков для оценки эффективности инвестиций в средства криптографической защиты информации
5.3 Расчет эффективности инвестиций в средства криптографической защиты информации
5.4 Выводы
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Вывод
Проведение системного анализа угроз информационной безопасности и средств защиты позволило выявить соответствие областей применения средств защиты существующим угрозам. Подробное изучение основных направлений обеспечения безопасности и средств защиты информации позволяет говорить, что: - меры организационной защиты позволяют справиться со многими угрозами, однако имеют склонность к зависимости от субъективных факторов;
- применение аппаратных средств требует значительного вложения средств и не обеспечивает необходимый уровень гибкости;
- программные средства настолько гибки, что легко поддаются модификации, в том числе несанкционированной;
- криптографическая защита объединяет достоинства программных и аппаратных средств, тем самым компенсируя недостатки этих классов, обеспечивая необходимый уровень надежности, достаточную гибкость и простоту использования.
Криптографические средства защиты обеспечивают конфиденциальность передаваемых данных по открытым каналам связи, контроль целостности, позволяют установить подлинность передаваемых сообщений и делают невозможным отказ от авторства, а также используются для хранения информации на носителях в зашифрованном виде, тем самым исключая и предотвращая обширный спектр угроз.