Несанкционированный доступ как совокупность приемов и порядок действий с целью получения определённых сведений незаконным противоправным путем. Общая характеристика проблем защиты информации. Знакомство с основными преимуществами и недостатками Wi-Fi.
Аннотация к работе
Информация представляет определенную цену и поэтому сам факт получения информации может принести определенный доход. Обеспечение безопасности информации предполагается создание препятствий для любых несанкционированных попыток хищения и модификации данных, передаваемых в сети. Системы и устройства, поддерживающие этот стандарт, позволят передавать данные на скорости до 22 Мб/с в радиусе 100 км от ближайшего передатчика. Мандатное управление доступа - это разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдачи официальных разрешений субъектам на обращении к информации. Стандарты Ethernet описывают реализацию двух первых уровней модели OSI - проводные соединения и электрические сигналы (физический уровень), а так же форматы блоков данных и протоколы управления доступом к сети (канальный уровень).Шифры появились на свет задолго до компьютера. Например, в шифре простой колонной перестановки исходный текст записывается построчно, а шифр текст получается считыванием букв по колоннам. Данная программа проверяет, имеется ли в файлах спецификационная для данного вируса последовательность байт. Подход со сканированием предполагает поиск поведенческих штампов или процедура сканирования обычного исполняемого файла, просматривает все места, где программа открывает другой файл и определяет, какого рода файлы она открывает и что в них записывает. Вредоносные программы - это программы, специально разработанные для нарушения нормального функционирования КС (вирусы, логические бомбы). данная статья состоит из двух частей, отличающихся друг от друга признаком отношения преступника к совершающим действия.
Введение
Информация становится сегодня главным ресурсом научно-технологического и социально-экономического развития мирового сообщества. В настоящее время хорошо налаженная распределительная сеть информационно-вычислительного комплекса способна сыграть такую же роль в жизни мирового сообщества, как в свое время сыграли электрификация, телефонизация, радио и телевидение. Ярким примером этого стало развитие глобальной сети интернет.
Любая предпринимательская деятельность тесно связана с получением, накоплением, обработкой и использованием разнообразной информации.
Информация представляет определенную цену и поэтому сам факт получения информации может принести определенный доход. Одним из самых распространенных источников получения информации является компьютерная система. Множество компаний имеют собственные страницы. В интернете стало храниться и передаваться действительно важная информация. Кроме того, в последние годы всемирная компьютерная паутина становится эффективным средством совершения финансовых сделок. Постоянные изменения и растущий спрос на компьютерную технику означает, что преступность данного рода будет расти до тех пор, пока предприятия не пересмотрят подход к проблемам безопасности и не усовершенствуют меры защиты.
Компьютерная преступность - противоправная и осознанная деятельность определенной группой лиц.
Безопасность информации - состояние защищенности информации обрабатываемой ВТ и АС от внешних и внутренних угроз.
1.Несанкционированный доступ
Несанкционированный доступ - это совокупность приемов и порядок действий с целью получения определенных сведений незаконным противоправным путем и обеспечение возможности воздействовать на эту информацию.
Способы несанкционированного доступа: - с применением специальных технических средств
- использование недостатков вычислительной сети
- получение секретных сведений о защищенных данных.
Обычно, при совершении несанкционированного доступа злоумышленники преследуют 3 цели: - получить необходимую информацию в требуемом объеме
- иметь возможность вносить изменения в информацию
- нанести ущерб путем уничтожения информационных ценностей.
2.Проблемы защиты информации
Концентрация информации в ПК заставляет одних искать пути доступа к ней, а других усиливать контроль над информацией в целях защиты. Специалист в области информационной безопасности отвечает за разработку, реализацию и эксплуатацию системы обеспечения ИБ. В его функции входит: обеспечение физической и логической защиты информационных ресурсов. Сложность создания системы защиты информации определяется тем, что данные могут быть похищены, но при этом оставаться на месте, т.е. скопированы. Ценность некоторых данных заключается в обладании ими, а не в их уничтожении. Обеспечение безопасности информации предполагается создание препятствий для любых несанкционированных попыток хищения и модификации данных, передаваемых в сети. Но при этом возможно сохранять такие свойства информации, как доступность, целостность и конфиденциальность. Доступность информации - это свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующей их информации. Целостность информации заключается в ее существовании в неискаженном виде. Конфиденциальность - это свойство, указывающее на необходимость введение ограничения доступа к данной информации для определенной группы лиц. Для России проблемы, возникающие в сфере ИБ можно разделить на следующие группы: 1) ИБ на неполитическом уровне;
2) отсутствие государственной политики в интернете.
3.Bluetooth
Bluetooth - это современная технология беспроводной передачи данных, позволяющая соединять друг с другом практически любые устройства: мобильные телефоны, ноутбуки, принтеры, цифровые фотоаппараты и даже холодильники, микроволновые печи, кондиционеры. Соединить можно все.
Wi-Fi- торговая марка Wi-Fi Alliance для беспроводных сетей на базе стандарта IEEE 802.11. Под аббревиатурой Wi-Fi (от английского словосочетания Wireless Fidelity, которое можно дословно перевести как «беспроводное качество», или «беспроводная точность») в настоящее время развивается целое семейство стандартов передачи цифровых потоков данных по радиоканалам.
Любое оборудование, соответствующее стандарту IEEE 802.11, может быть протестировано в Wi-Fi Alliance и получить соответствующий сертификат и право нанесения логотипа Wi-Fi.
Wi-Fi был создан в 1991 году NCR Corporation/AT&T (впоследствии - Lucent Technologies и Agere Systems) в Ньивегейн, Нидерланды. Продукты, предназначавшиеся изначально для систем кассового обслуживания, были выведены на рынок под маркой WAVELAN и обеспечивали скорость передачи данных от 1 до 2 Мбит/с. Создатель Wi-Fi - Вик Хейз (Vic Hayes) находился в команде, участвовавшей в разработке таких стандартов, как IEEE 802.11b, IEEE 802.11a и IEEE 802.11g. В 2003 году Вик ушел из Agere Systems. Agere Systems не смогла конкурировать на равных в тяжелых рыночных условиях, несмотря на то что ее продукция занимала нишу дешевых Wi-Fi решений. 802.11abg all-in-one чипсет от Agere (кодовое имя: WARP) плохо продавался, и Agere Systems решила уйти с рынка Wi-Fi в конце 2004 года.
Стандарт IEEE 802.11n был утвержден 11 сентября 2009 года. Его применение позволяет повысить скорость передачи данных практически вчетверо по сравнению с устройствами стандартов 802.11g (максимальная скорость которых равна 54 Мбит/с), при условии использования в режиме 802.11n с другими устройствами 802.11n. Теоретически 802.11n способен обеспечить скорость передачи данных до 600 Мбит/с. С 2011 по 2013 разрабатывался стандарт IEEE 802.11ac, окончательное принятие стандарта запланировано на начало 2014 года. Скорость передачи данных при использовании 802.11ac может достигать нескольких Гбит/с. Большинство ведущих производителей оборудования уже анонсировали устройства поддерживающие данный стандарт.
27 июля 2011 года Институт инженеров электротехники и электроники (IEEE) выпустил официальную версию стандарта IEEE 802.22. Системы и устройства, поддерживающие этот стандарт, позволят передавать данные на скорости до 22 Мб/с в радиусе 100 км от ближайшего передатчика.
4.Происхождение названия
Термин «Wi-Fi» изначально был придуман как игра слов для привлечения внимания потребителя «намеком» на Hi-Fi (англ. High Fidelity - высокая точность). Несмотря на то, что поначалу в некоторых пресс-релизах WECA фигурировало словосочетание «Wireless Fidelity» («беспроводная точность»), на данный момент от такой формулировки отказались, и термин «Wi-Fi» никак не расшифровывается.
5.Преимущества Wi-Fi
Позволяет развернуть сеть без прокладки кабеля, что может уменьшить стоимость развертывания и/или расширения сети. Места, где нельзя проложить кабель, например, вне помещений и в зданиях, имеющих историческую ценность, могут обслуживаться беспроводными сетями. Позволяет иметь доступ к сети мобильным устройствам. Wi-Fi устройства широко распространены на рынке. Гарантируется совместимость оборудования благодаря обязательной сертификации оборудования с логотипом Wi-Fi. Мобильность. Вы больше не привязаны к одному месту и можете пользоваться Интернетом в комфортной для вас обстановке. В пределах Wi-Fi зоны в сеть Интернет могут выходить несколько пользователей с компьютеров, ноутбуков, телефонов и т. д. Излучение от Wi-Fi устройств в момент передачи данных на порядок (в 10 раз) меньше, чем у сотового телефона.
6.Недостатки Wi-Fi
В диапазоне 2,4 GHZ работает множество устройств, таких как устройства, поддерживающие Bluetooth, и др, и даже микроволновые печи, что ухудшает электромагнитную совместимость. Производителями оборудования указывается скорость на L1 (OSI), в результате чего создается иллюзия, что производитель оборудования завышает скорость, но на самом деле в Wi-Fi весьма высоки служебные «накладные расходы». Получается, что скорость передачи данных на L2 (OSI) в Wi-Fi сети всегда ниже заявленной скорости на L1 (OSI). Реальная скорость зависит от доли служебного трафика, которая зависит уже от наличия между устройствами физических преград (мебель, стены), наличия помех от других беспроводных устройств или электронной аппаратуры, расположения устройств относительно друг друга и т. п.
Частотный диапазон и эксплуатационные ограничения в различных странах не одинаковы. Во многих европейских странах разрешены два дополнительных канала, которые запрещены в США; В Японии есть еще один канал в верхней части диапазона, а другие страны, например Испания, запрещают использование низкочастотных каналов. Более того, некоторые страны, например Россия, Белоруссия и Италия, требуют регистрации всех сетей Wi-Fi, работающих вне помещений, или требуют регистрации Wi-Fi-оператора. Как было упомянуто выше - в России точки беспроводного доступа, а также адаптеры Wi-Fi с ЭИИМ, превышающей 100 МВТ (20 ДБМ), подлежат обязательной регистрации. Стандарт шифрования WEP может быть относительно легко взломан даже при правильной конфигурации (изза слабой стойкости алгоритма). Новые устройства поддерживают более совершенные протоколы шифрования данных WPA и WPA2. Принятие стандарта IEEE 802.11i (WPA2) в июне 2004 года сделало возможным применение более безопасной схемы связи, которая доступна в новом оборудовании. Обе схемы требуют более стойкий пароль, чем те, которые обычно назначаются пользователями. Многие организации используют дополнительное шифрование (например VPN) для защиты от вторжения. На данный момент основным методом взлома WPA2 является подбор пароля, поэтому рекомендуется использовать сложные цифро-буквенные пароли для того, чтобы максимально усложнить задачу подбора пароля. В режиме точка-точка (Ad-hoc) стандарт предписывает лишь реализовать скорость 11 Мбит/сек (802.11b). Шифрование WPA(2) недоступно, только легко взламываемый WEP.
7.Контроль мобильных средств связи несанкционированный информация доступ
Классификация средств защиты информации: - средства защиты от нсд: средства авторизации, мандатное управление доступа, избирательное управление доступом, управление доступом на основе ролей, журналирование;
- системы мониторинга сетей: системы обнаружения и предотвращения вторжений, система предотвращения утечек конфиденциальной информации;
- система аутоинтефикации: пароль, сертификат, биометрия;
Идентификация - это называние лицом себя системе.
Аутоинтефикация - установление соответствия лица названному им идентификатору.
Авторизация - предоставление этому лицу возможности в соответствие с положенными ему правами или проверка наличия прав при попытке выполнить какое-либо действие.
Мандатное управление доступа - это разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдачи официальных разрешений субъектам на обращении к информации.
Избирательное управление доступом - управление доступом субъектов к объектам на основе списков управления доступом.
Управление доступом на основе ролей - развитие политики избирательного управления доступом, при этом права доступа субъектов группируются с учетом их применения, образую роли.
Система обнаружения вторжения - программное или аппаратное средство, предназначенное для выявление фактов неавторизованного доступа и несанкционированного управления ими в основном через интернет.
Предотвращение утечек - технология предотвращения конфиденциальной информации, а также технические устройства для предотвращения этих утечек.
Анализатор трафика - предназначен для перехвата и последующего анализа информации.
Межсетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него пакеты информации.
8.Технология Ethernet
Ethernet - это наиболее распространенная технология организации локальных сетей. Стандарты Ethernet описывают реализацию двух первых уровней модели OSI - проводные соединения и электрические сигналы (физический уровень), а так же форматы блоков данных и протоколы управления доступом к сети (канальный уровень). Начнем с идеи, лежащей в основе Ethernet. Название Ethernet произошло от двух английских слов - ether (эфир) и net (сеть). Ethernet использует концепцию общего эфира. Каждый ПК посылает данные в этот эфир и указывает, кому они адресованы. Данные могут дойти до всех ПК сети, но обрабатывает их только тот ПК, которому они предназначены. Остальные ПК чужие данные игнорируют. Такая работа аналогична эфиру радиостанций. Все радиостанции транслируют свои передачи в общее электромагнитное поле - радиоэфир. Ваш радиоприемник получает электромагнитные сигналы всех станций. Но слушаете вы не все сразу, а ту станцию, которая вам нужна.
9.История
Технология Ethernet была разработана вместе со многими первыми проектами корпорации Xerox PARC. Общепринято считать, что Ethernet был изобретен 22 мая 1973 года, когда Роберт Меткалф (Robert Metcalfe) составил докладную записку для главы PARC о потенциале технологии Ethernet. Но законное право на технологию Меткалф получил через несколько лет.
10.Технология
В стандарте первых версий (Ethernet v1.0 и Ethernet v2.0) указано, что в качестве передающей среды используется коаксиальный кабель, в дальнейшем появилась возможность использовать витую пару и оптический кабель.
Преимущества использования витой пары по сравнению с коаксиальным кабелем: 1.возможность работы в дуплексном режиме;
2.низкая стоимость кабеля «витой пары»;
3. более высокая надежность сетей при неисправности в кабеле (соединение точка-точка: обрыв кабеля лишает связи два узла. В коаксиале используется топология «шина», обрыв кабеля лишает связи весь сегмент);
4.минимально допустимый радиус изгиба меньше;
5.большая помехоустойчивость изза использования дифференциального сигнала;
6.возможность питания по кабелю маломощных узлов, например IP-телефонов;
Причиной перехода на оптический кабель была необходимость увеличить длину сегмента без повторителей.
Метод управления доступом (для сети на коаксиальном кабеле) - множественный доступ с контролем несущей и обнаружением коллизий (CSMA/CD, Carrier Sense Multiple Access with Collision Detection), скорость передачи данных 10 Мбит/с, размер пакета от 64 до 1518 байт, описаны методы кодирования данных. Режим работы полудуплексный, то есть узел не может одновременно передавать и принимать информацию. Количество узлов в одном разделяемом сегменте сети ограничено предельным значением в 1024 рабочих станции (спецификации физического уровня могут устанавливать более жесткие ограничения, например, к сегменту тонкого коаксиала может подключаться не более 30 рабочих станций, а к сегменту толстого коаксиала - не более 100). Однако сеть, построенная на одном разделяемом сегменте, становится неэффективной задолго до достижения предельного значения количества узлов, в основном по причине полудуплексного режима работы.
В 1995 году принят стандарт IEEE 802.3u Fast Ethernet со скоростью 100 Мбит/с и появилась возможность работы в режиме полный дуплекс. В 1997 году был принят стандарт IEEE 802.3z Gigabit Ethernet со скоростью 1000 Мбит/с для передачи по оптическому волокну и еще через два года для передачи по витой паре.
11.MAC-адреса
Рассмотрим подробнее, как на канальном уровне Ethernet данные из общего эфира распределяются по адресатам. Начнем, собственно, с адресации. На канальном уровне обмен данными идет между сетевыми интерфейсами (network interface), то есть теми компонентами оборудования, которые физически соединены с сетью. Как правило, одно устройство имеет один сетевой интерфейс, то есть одно физическое соединение. Однако бывают и устройства с несколькими интерфейсам, например, в ПК можно поставить несколько сетевых контроллеров (network interface controller, NIC) и каждый подсоединить к сети. Поэтому в общем случае не следует путать устройства и их сетевые интерфейсы.
Все интерфейсы в пределах сети имеют собственные уникальные идентификаторы - MAC-адреса (Media Access Control address, адрес управления доступом к носителю данных). В сетях Ethernet используются 48-битные MAC-адреса. Их принято записывать в 16-ричной форме. Например, 00-18-F3-05-19-4F.
Как правило, производитель раз и навсегда записывает MAC-адрес в оборудование при его изготовлении, и поменять MAC-адрес нельзя. Как не трудно догадаться, MAC-адреса нужны не сами по себе. MAC-адреса позволяют указать, кому именно предназначены данные, отправленные в общий эфир. Реализовано это следующим образом.
12.Ethernet-кадры
Данные в эфир передаются не однородным потоком, а блоками. Блоки эти на канальном уровне принято называть кадрами (frame). Каждый кадр состоит из служебных и полезных данных. Служебные данные - это заголовок, в котором указаны MAC-адрес отправителя, MAC-адрес назначения, тип вышестоящего протокола и тому подобное, а так же контрольная сумма в конце кадра. В середине кадра идут полезные данные - собственно то, что передается по Ethernet.
Контрольная сумма позволяет проверить целостность кадра. Сумму считает отправитель и записывает в конец кадра. Получатель вновь считает сумму и сравнивает ее с той, что записана в кадре. Если суммы совпали, то, скорее всего, данные в кадре при передаче не повредились. Если же сумма не совпала, то данные точно повредились.
Если кадр пришел с ошибкой, его необходимо передать заново. Чем больше размер кадра, тем больше данных придется передавать повторно при каждой ошибке. Плюс, пока интерфейс передает один большой кадр, остальные кадры вынуждены ждать в очереди. Поэтому передавать очень большие кадры не выгодно, и длинные потоки данных делятся на части между кадрами. С другой стороны, делать кадры короткими тоже не выгодно. В коротких кадрах почти весь объем будут занимать служебные данные, а полезных данных будет передано мало. Это характерно не только для Ethernet, но для многих других протоколов передачи данных. Поэтому для каждого стандарта существует свой оптимальный размер кадра, зависящий от скорости и надежности сети. Максимальный размер полезной информации, передаваемой в одном блоке, называется MTU (maximum transmission unit). Для Ethernet он равен 1500 байт. То есть каждый Ethernet-кадр может нести не более 1500 байт полезных данных.
MAC-адреса и кадры позволяют разделить данные в общем Ethernet-эфире. Интерфейс обрабатывает только те кадры, MAC-адрес назначения которых совпадает с его собственным MAC-адресом. Кадры, адресованные другим получателям, интерфейс должен игнорировать. Достоинство такого подхода - простота реализации. Но есть и масса недостатков. Во-первых, проблемы безопасности. Любой может прослушать все данные, транслируемые в общий эфир. Во-вторых, эфир можно заполнить помехами. На практике, одна сбойная сетевая карта, постоянно отсылающая какие-то кадры, может повесить всю сеть предприятия. В-третьих, плохая масштабируемость. Чем больше компьютеров в сети, тем меньший кусочек эфира им достается, тем меньше эффективная пропускная способность сети.
Концепция эфира, MAC-адреса и Ethernet-кадры реализуют второй (канальный) уровень модели OSI. Этот уровень не претерпел изменений со времен первых стандартов Ethernet. Однако физический уровень сети Ethernet изменился радикально.
13.Современные стандарты Ethernet
Разное оборудование Ethernet использует разные типы кабелей (патч-кордов) и обеспечивает разные скорости передачи. Современные стандарты Ethernet рассчитаны на использование кабеля «витая пара» (twisted pair) или оптоволокна (optical fiber). Оптоволокно позволяет передавать данные на большие расстояния, но стоит дорого. Поэтому в подавляющем большинстве малых и средних сетей используется витая пара. Витая пара - это, в прямом смысле слова, два свитых вместе провода. Витая пара обеспечивает высокую помехозащищенность без применения дополнительных средств (например, экранирования). Сигнал в витой паре - это уровень напряжения, то есть разность потенциалов между двумя проводами пары. Так как провода свиты вместе, то внешние электромагнитные помехи изменяют потенциал в обоих проводах практически одинаково. В результате, разность потенциалов почти не меняется при действии помех. Этот эффект был обнаружен довольно давно. Еще проводные телеграфы защищали от электромагнитных помех путем перекрещивания проводов на столбах. А витую пару как единый кабель изобрел Белл в 1881 году.
Разные типы кабелей и разные типы устройств обеспечивают разную скорость. Ранние реализации Ethernet работали на скорости 10 Мбит/сек. Сейчас большинство пользовательских устройств работает на скорости 100 Мбит/сек (такие сети называют Fast Ethernet) или 1000 Мбит/сек (такие сети называют Gigabit Ethernet). Существуют так же высокоскоростные стандарты 10, 40 и 100 Гбит/сек, но в локальных сетях домов и офисов они, обычно, не используются - дорого и избыточно.
Итак, у Ethernet-устройства две основные характеристики - тип кабеля и скорость передачи, на которую рассчитано устройство. Для них введено обозначение вида XBASE-y, где x - обозначение скорости, а y - используемого кабеля. Скорость обозначается числом в мегабитах в секунду (100, 1000) или гигабитах в секунду (при этом после числа дописывается буква G - 10G, 40G, 100G). Тип кабеля обозначается буквами. Витая пара обозначается буквой T (twisted). Например, семейство устройств для Fast Ethernet на витой паре обозначается 100BASE-T. К оптоволокну относятся все обозначения кабеля, начинающиеся не с T, а с другой буквы (например, стандарты 100BASE?FX, 100BASE?SX, 1000BASE?LX и т.д. и т.п.)
По мере разработки новых типов устройств, расширялся и дополнялся исходный стандарт IEEE 802.3. Дополнения обозначаются буквами после номера - 802.3a, 802.3b, 802.3c и т.д. Такие обозначения тоже иногда встречаются на оборудовании. Fast Ethernet по витой паре (100BASE-TX) описан в стандарте 802.3u, Gigabit Ethernet по витой паре (1000BASE-T) описан в стандарте 802.3ab.
14.Основные пути обеспечения безопасности информации. Концепция защиты информации
Защита - это сложный часто противоречивый процесс, реализация и управление которым осуществляется с помощью множества, подчас слабо связанных между собой устрйств и программ.
В условиях конкурентной борьбы сохранение ведущих позиций, привлечение новых клиентов возможно только при предоставлении большого количества услуг и сокращения времени обслуживания. Это достижимо при обеспечении необходимого уровня автоматизации всех операций. В этих условиях существует необходимость принятия мер защиты. Но существует ряд трудностей: - На сегодняшний день нет единой теории защищенных систем
- Производительность средств защиты в основном предлагают отдельные компоненты для решения частных задач. Остается вопрос формирования системы защиты и совместимости этих средств на усмотрение потребителей.
- Для обеспечения надежной защиты необходимо разрешить комплекс технических и организационных проблем и разработать соответствующую документацию.
Обеспечение ИБ - достаточно серьезная задача, поэтому необходимо прежде всего разработать концепцию безопасности информации.
Концепция - официально принятая система взглядов на проблемы ИБ и пути ее решения с учетом современных тенденций.
15.Стратегии и архитектуры защиты информации
В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определены цели принципы и процедуры, необходимые для построения надежной системы защиты. Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности, в которой можно выделить два основных направления: анализ средств защиты и определения факта защиты. Разработку стратегии защиты рекомендуется проводить в три этапа: - должна быть четко определена целевая установка защиты;
- должен быть проведен анализ приступных действий, которые потенциально могут быть совершены в отношении защищаемого объекта;
Стратегия защиты должна содержать перечень организационных, технических и других мер, которые обеспечивают максимальную безопасность и минимизируют затраты на их реализацию.
Политика защиты - это общий документ, где перечисляются правила доступа, определяются пути реализации политики и описывается базовая архитектура среды защиты. Политика защиты должна содержать: - контроль доступа, т.е. запрет на доступ к определенным информационным ресурсам и процессам;
- идентификация и аутоинтефикация, т.е. использование паролей и других механизмов для проверки статусов пользователей;
- учет;
- контроль над журналом, позволяет определить, когда и где произошло нарушение в системе;
- предотвращение использования ресурсов сети одним пользователем;
- защита всех коммуникаций.
Определение степени защищенности сети.
Компьютерная система любой современной организации - это разнородная малокомпетентная система. Защита одного или нескольких компонентов не может обеспечить необходимый уровень защиты информационных ресурсов предприятия. Компьютерной системе угрожают не только вирусы, здесь можно отличить сбои, остановки в работе, ошибки в программах и т.д. В настоящее время существуют несколько методов оценки защищенности компьютерной сети. Среди них можно выделить: - аналитический
- имитационный
- экспериментальный (экспертный)
Не один из этих методов не имеет преимущества над другими. При выборе и использовании методов и моделей той или иной группы следует опираться только на их соответствие решаемой задачи и применять те методы, которые в данной ситуации наиболее оправданы. На сегодняшний день существование модели и методики оценки во многом ориентировано на узкого специалиста, который хорошо разбирается в конкретной проблеме. Поэтому при решении задач и анализе защищенности КС целесообразно сформировать группу специалистов различного профиля, который будет взаимодействовать с заказчиком. Сама же оценка защищенности будет выполнять сразу несколько функций: - аналитическая, включает тщательное всестороннее изучение сетевой структуры, ее элементов и внешней среды, в которой она функционирует
- контрольная, связана с выработкой требований к разработке, внедрению и эксплуатации средств защиты.
- консультативно-диагностическая, ориентирована на анализ состояния системы защиты сети, формирование рекомендаций к испытанию механизмов, обеспечивающих защищенность.
В защите информации от Несанкционированного доступа можно выделить три направления: - ориентация на недопущение нарушения вычислительной сети (основывается на средствах опознавания пользователя)
- защита вычислительной системы (основывается на специальных средствах разработки программное обеспечение)
- использование различных средств защиты, предотвращающих потерю и искажение данных.
Для решения каждой из задач применяются как различные технологии, так и различные программные средства. Такие средства можно разделить на встроенные и внешние. К встроенным средствам защиты компьютера и программное обеспечение относятся средства парольной защиты, BIOS, ОС и т.д. Внешние средства призваны подменить встроенные с целью усиления защиты, либо дополнить их недостающими функциями. К ним можно отнести аппаратные средства доверенной загрузке. Их функции заключаются в надежной идентификации пользователя, а так же в проверке целостности программное обеспечение. Решение данной задачи основано на запрете пользователем запуска отдельных приложений и процессов, а также определение для пользователей определенных действий с данными.
Одна из основных задач защиты информации от Несанкционированного доступа - обеспечение надежной идентификации пользователя и возможность проверки подлинности любого пользователя сети. Конкретный механизм идентификации, и аутоинтефикации сети могут быть реализованы на основе следующих средств и процедур защиты информации: - паролем
- технические средства
- средства биометрии
- криптография с уникальными ключами для каждого пользователя
Вопрос о применяемости того или иного средства решается в зависимости от выявленных угроз и технических характеристик защищаемого объекта.
16.Защита сети с помощью биометрии
Биометрия - наука, изучающая способы измерения различных параметров человека с целью установления сходства или различия между людьми и выделение одного конкретного человека из множества других людей.
Биометрическая идентификация - процесс доказательства и проверки подлинности заявленного пользователем имени через предъявление биометрического образца и сравнение его с образцом, хранящегося в базе данных. Биометрические характеристики уникальны. Большинство из них нельзя скопировать и унести. Их можно разделить на: -физические, имеют дело со статистическими характеристиками человека (ДНК, сетчатка глаза, отпечаток пальца)
- поведенческие, могут меняться с течением времени или эмоционального состояния человека.
Биометрические системы основаны на распознавание личности по поведенческим характеристикам: должны периодически повторятся. Поскольку биометрические характеристики каждой отдельной личности уникальны, то они могут использоваться для предотвращения Несанкционированный доступ.
Биометрическая система - это система распознавания шаблона, которая устанавливает аутентичность конкретных физических или поведенческих характеристик пользователя.
Биометрическую систему идентифицируемой личности различной по различной характеристикой: - пропускная способность
- надежность и отказоустойчивость
- простота и удобство использования
- степень комфорта
- точность
- затраты на обслуживания
- конфиденциальность
17.Подпись
-это традиционный способ подтверждения документа. Подпись является таким же уникальным атрибутом человека, как и другие его характеристики.
Формальные признаки почерка: - сила нажима
- динамичность и напряженность движения
- вытянутость, наклонность и степень связанности букв
- направление строки
- расположение текста
- способ держания орудия письма
- равномерность и соразмерность букв и слов
- ритм и выразительность письма
Существует два способа обработки данных подписей: - метод простого сравнивания с образцом
- метод динамической верификации
Первый способ не очень надежен, т.к. основан на обычном сравнении введенной подписи с хранящимися в базе данных графическими образцами. По причине того, что подпись может быть не всегда одинаковой. Процент ошибок этого метода достаточно высок. Второй способ намного сложнее. Он позволяет фиксировать параметры процесса подписей в реальном времени. Например, скорость движения руки на разных участках, порядок нанесения штрихов, сила давления и длительность различных этапов пользователей. Это гарантирует то, что подпись не подделает даже опытный графолог, поскольку никто в точности не может скопировать поведение руки владельца подписи.
18.Криптографические методы защиты информации
Основные положения и определения криптографии: Криптология - это наука, занимающаяся преобразованием информации с целью обеспечения ее секретности.
Криптография - научная дисциплина, занимающаяся изучением принципов, средств и методов, преобразования информации с целью сохранения ее секретности. Криптографические методы используются для шифрования конфиденциальной информации, представленной в виде: - письменных текстов
- данных, хранящихся на гибких дисках
- сообщений, передаваемых в телекоммуникационных сетях
- программного обеспечения, графики или речи, закодированных цифровыми последовательностями
Крипто графики - люди занимающиеся криптографией
Криптоанализ - наука о вскрытии шифров, которая отвечает на вопросы о том, как прочесть открытый текст, скрывающийся од шифром
Крипто аналитики - специалисты в области криптоанализа
19.Кодирование и шифрование. Основные методы криптографический защиты
Наряду с методами криптографический защиты к криптографическим методам относят: - метод рассечения информации. Заключается в том, что массив защищенных данных делится на части, каждая из которых в отдельности не позволяет раскрыть содержание защищаемой информации.
- сжатие информации. Представляет собой замену часто встречающихся одинаковых последовательностей символов некоторыми заранее выбранными символами.
Современная криптография изучает и развивает четыре основных направления: - симметрические криптосистемы (с секретным ключом)
- несимметрические криптосистемы (с открытым ключом)
- система электронной подписи
- система управления ключами
Криптографический ключ - параметр, используемый в алгоритме для проверки достоверности, аутоинтефикации, шифрование и дешифрование сообщений.
Электронно-цифровая подпись - специально созданный файл, который представляет собой текстовую подпись. Она представляет собой совокупность данных в электронной форме, которая, безошибочно ассоциируется с каким-либо электронным документом, позволяющего идентифицировать его автора.
20.Клавиатурный почерк
Клавиатурный почерк - это поведенческая биометрическая характеристика, которая описывает следующие параметры: - скорость ввода, количество введенных символов разделенных на время печатанья
- динамика ввода, характеризуется временем между нажатием клавиш и временем их удержания
- частота возникновения ошибок при вводе
- использования клавиш, например, какие функциональные клавиши нажимаются при вводе заглавных букв.
Преимущества использования клавиатурного почерка для аутоинтефикации: - простота реализации и внедрения. Реализация исключительно программная, ввод осуществляется со стандартного устройства ввода (клавиатуры), а значит, использование не требует приобретения никакого дополнительного оборудования. Это самый дешевый способ аутоинтефикации по биометрическим характеристикам субъекта доступа.
- не требует от пользователя никаких дополнительных действий, кроме привычных.
- возможность скрытой аутоинтефикации - пользователь может быть не в курсе, что включена дополнительная проверка, а значит, не может сообщить об этом злоумышленнику
Недостатки: - требуется обучения приложению
- сильная зависимость от эргономичности клавиатуры
- сильная зависимость от психофизического состояния оператора.
21.Алгоритм шифрования
Существует два вида алгоритма шифрования с использованием ключей: - симметричный алгоритм, в нем ключ используется для шифрования сообщений и может быть получен из ключа рас шифрования и наоборот. В большинстве симметричных алгоритмов применяют всего один ключ. Такие алгоритмы называют одно ключевыми или алгоритм с секретным ключом. Они требуют, чтобы отправитель и получатель сообщений заранее условились таким ключом, которым они будут пользоваться. Поэтому выбранный ключ следует хранить в тайне.
Симметричный алгоритм бывает двух видов: поточный и блочный.
- Алгоритм шифрования с открытым ключом (ассиметричный). Ключ для шифрования отличается от ключа дешифрования.
22.Классификация алгоритмов шифрования
- симметричный (криптография с секретным ключом). Основано на том, что отправитель и получатель информации использует один и тот же ключ. Этот ключ должен храниться в тайне, и передаваться способом, исключающим его перехват. Обмен информации осуществляется в 3 этапа.
- отправитель передает получателю ключ
- отправитель, используя ключ, зашифровывает сообщение
- получатель получает сообщение и расшифровывает его.
Потоковые шифры. В них при шифровании потока данных каждый бит исходной информации шифруется независимо от других при помощи гаммирования. Гаммирование - это процесс наложения на открытые данные гаммы шифра (случайные или псевдослучайные последовательности 0 и 1) по определенному правилу. Обычно используется операция сложения по модулю 2.
Блочные шифры. При блочном шифровании информация разбивается на блоки фиксированной длины и шифруется поблочно. Бывают двух видов: - шифр перестановки Р-блоки
- блоки замены S-блоки
Шифр перестановок переставляет элементы открытых данных (биты, буквы, символы) в некотором новом порядке. Различают шифры: горизонтальные, вертикальные, двойной перестановки, решетки, лабиринты и т.д.
Шифры замены заменяют элементы открытых данных на другие элементы по определенному правилу.
Ассиметричные алгоритмы шифрования (криптография с открытым ключом). В них для зашифровывания используют открытый ключ, а для расшифровывания - закрытый. Эти ключи различны, но могут быть получены один из другого. Схема обм