thuis-Browsers-Informatiebeveiliging. Lezing cursus

Informatiebeveiliging. Lezing cursus


IS (informatiebeveiliging)

Lezing nr. 1

Informatiebeveiliging – het vermogen van het verwerkingssysteem om een ​​bepaalde periode te bieden voor het voldoen aan bepaalde verwerkingsvereisten op basis van de waarschijnlijkheid dat gebeurtenissen plaatsvinden, uitgedrukt in het lekken van verloren gegane of illegale wijziging van gegevens die van enige waarde zijn voor de eigenaren ervan. Er wordt aangenomen dat de bron van deze acties zowel willekeurige invloeden als de invloed van een menselijke vernietiger kan zijn.

Geautomatiseerd informatieverwerkingssysteem (AS) – organisatorisch en technisch systeem, dat bestaat uit een reeks onderling verbonden componenten:


  1. Computers en communicatie.

  2. Methoden en algoritmen voor gegevensverwerking (software).

  3. Arrays en databases gepresenteerd op elk medium.

  4. Computerpersoneel en gebruikers.
Al deze componenten worden gecombineerd met het oog op een gezamenlijke informatieverwerking.

  1. Onderwerpen informatierelaties:

  2. Staats- en overheidsinstanties.

  3. Commerciële overheidsorganisaties (rechtspersonen).

  4. Burgers (individuen).
Ze werken allemaal samen om gezamenlijk informatie te verwerken. Met betrekking tot de informatie die in de AS wordt verwerkt, kan elk van deze onderwerpen een of meer van de volgende rollen vervullen:

  1. Informatie bronnen.

  2. Gebruikers (consumenten) van informatie.

  3. Eigenaars (eigenaren) van informatie.

  4. Individuen of rechtspersonen van wie informatie wordt verzameld.

  5. Eigenaars van AS en deelnemers aan het informatieverwerkingsproces.
Drie basiseigenschappen van beschermde informatie:

  1. Vertrouwelijkheid. Een eigenschap die aangeeft dat alleen geautoriseerde gebruikers en degenen die door het informatieverwerkingssysteem worden verstrekt, toegang kunnen krijgen tot informatie.

  2. Integriteit. De eigenschap van informatie, die ten eerste bestaat uit het feit dat de informatie alleen kan worden gewijzigd door gebruikers die daartoe het recht hebben, en ten tweede dat de informatie niet tegenstrijdig is en de werkelijke stand van zaken weerspiegelt.

  3. Beschikbaarheid. De eigenschap van een systeem waarin informatie circuleert, gekenmerkt door het vermogen om tijdige, ongehinderde toegang tot informatie te bieden aan gebruikers die over de juiste bevoegdheid beschikken om er toegang toe te krijgen.
Kwetsbaarheid van informatie – blootstelling van informatie aan verschillende destabiliserende factoren die kunnen leiden tot een schending van de vertrouwelijkheid, integriteit en beschikbaarheid ervan.

Toegang tot de informatie:


  1. Kennismaken met informatie, inclusief kopiëren.

  2. Wijziging van informatie.

  3. Vernietiging van informatie.
Regels voor toegangscontrole – regels die de toegang van subjecten tot objecten in een bepaald systeem beperken.

Systeem onderwerp – een actief onderdeel van het systeem (gebruiker of proces), waarvan de acties met betrekking tot objecten worden geregeld door toegangscontroleregels.

Systeemobject – een passief onderdeel van het systeem (apparaat, schijf, map, bestand), waarvan de toegang wordt geregeld door toegangscontroleregels.

Ongeautoriseerde toegang (USD) – toegang van een onderwerp tot een object waarbij de in het systeem vastgelegde regels voor toegangscontrole worden omzeild.

Indringer – een persoon die per ongeluk, uit onwetendheid of met kwade bedoelingen ongeautoriseerde toegang tot systeemobjecten heeft geprobeerd of geprobeerd heeft.

Authenticatie – verificatie van de authenticiteit van een onderwerp of object.

Identificatie – het toekennen van een naam aan een onderwerp of object van het systeem.

Verificatie – het controleren van de integriteit van bepaalde informatie.

Sterkte van bescherming – de kans dat een aanvaller de verdediging niet binnen een bepaalde tijd zal overwinnen.

Lezing nr. 2

Basismethoden voor het bieden van informatiebeveiliging

De “netwerkbeveiligingsdienst” is een mechanisme voor het beschermen van informatie die wordt verwerkt in gedistribueerde computersystemen en netwerken.

“Technische en technische” methoden zijn bedoeld om de bescherming van informatie via technische kanalen te waarborgen, bijvoorbeeld bescherming tegen het onderscheppen van elektromagnetische straling of spraakinformatie.

“Juridische” en “organisatorische” methoden voor informatiebescherming creëren een regelgevend kader voor het organiseren van verschillende soorten activiteiten die verband houden met het waarborgen van informatiebeveiliging.

“Theoretische methoden” voor het bieden van informatiebeveiliging hebben zichzelf twee taken gesteld:


  1. Het formaliseren van verschillende soorten processen die verband houden met informatiebeveiliging, bijvoorbeeld een formeel model van toegangscontrole in een geautomatiseerd systeem, maakt het mogelijk om alle informatiestromen die van subjecten naar objecten en vice versa gaan te beschrijven en daardoor deze informatie effectief te beschermen.

  2. Strikte rechtvaardiging van de juistheid en toereikendheid van informatiebeveiligingssystemen. Deze taak ontstaat bijvoorbeeld bij het certificeren van een systeem op het niveau van informatiebeveiliging.
Bedreigingen voor de informatiebeveiliging

Onder bedreiging Het is gebruikelijk om potentieel mogelijke gebeurtenissen of acties te begrijpen die eventuele belangen kunnen schaden.

Bedreiging van de informatiebeveiliging – potentiële acties die de vertrouwelijkheid, integriteit of beschikbaarheid van informatie zouden kunnen schenden, evenals de mogelijkheid om de componenten van het luidsprekersysteem te beïnvloeden, wat kan leiden tot defecten, verlies of falen van functies.

Classificatie van bedreigingen voor de informatiebeveiliging kan worden gemaakt op basis van de volgende criteria:


  1. Door de mate van opzettelijkheid :

    1. Willekeurig. Nalatigheid of onbedoelde handelingen van het personeel.

    2. Opzettelijk. Acties van de aanvaller.

  2. Afhankelijk van de bron van de dreiging:

    1. Bedreigingen voor de natuurlijke omgeving.

    2. Bedreigingen die uitgaan van mensen.

    3. Bedreigingen die afkomstig zijn van geautoriseerde software of hardware. Verkeerde afhandeling.

    4. Bedreigingen die afkomstig zijn van ongeautoriseerde software of hardware. Virussen, afluisterapparatuur, verborgen camera's, etc.

  3. Afhankelijk van de positie van de bedreigingsbron :

    1. Bedreigingen waarvan de bron zich buiten het gecontroleerde gebied bevindt. Audio- of video-opname op afstand.

    2. Bedreigingen waarvan de bron zich binnen het gecontroleerde gebied bevindt.

  4. Afhankelijk van de mate van impact op de luidsprekers :

    1. Passief.

    2. Actief.
Passieve bedreigingen veranderen, in tegenstelling tot actieve bedreigingen, de structuur en samenstelling van de AS niet tijdens de implementatie ervan, waardoor ze moeilijker te detecteren zijn.

  1. Wegens schending van drie basiseigenschappen van beschermde informatie :

    1. Vertrouwelijkheid.

    2. Integriteit.

    3. Beschikbaarheid.
Beveiligingssystemen bouwen tegen bedreigingen van schending van de vertrouwelijkheid van informatie

Model beveiligingssysteem:


  1. Organisatorische en fysieke beveiligingsmaatregelen.

  2. .

  3. Toegangscontrole.

  4. 4.1. Cryptografische methoden.

    1. Methoden voor perimeterbeveiliging.

    2. Opnemen en auditeren.
Primaire bescherming wordt bereikt via organisatorische methoden, en daaropvolgende niveaus via netwerkbeveiligingsmethoden. Tegelijkertijd moet een reeks technische en technische middelen worden ingezet om informatie te beschermen tegen lekken via technische kanalen.

Over het algemeen omvatten deze methoden die in een onderneming worden gebruikt het volgende:


  1. Inzet van een controlesysteem en afbakening van fysieke toegang tot AS-elementen.

  2. Oprichting van een beveiligings- en fysieke beveiligingsdienst.

  3. Het creëren van mechanismen om de bewegingen van medewerkers en bezoekers te controleren, bijvoorbeeld met behulp van videobewaking of toegangskaarten.

  4. Ontwikkeling en implementatie van regelgeving, functiebeschrijvingen en andere regelgevende documenten.

  5. Regulering van het werken met media die vertrouwelijke informatie bevatten.
Identificatie en authenticatie

Classificatie van authenticatiemethoden:


  1. Methoden gebaseerd op de kennis van de proefpersoon over bepaalde geheime informatie. Klassiek voorbeeld: Wachtwoordverificatie. Deze methoden zijn de meest voorkomende.

  2. Methoden gebaseerd op het bezit van een uniek object door de proefpersoon. Bijvoorbeeld: elektronische sleutel, toegangskaart, enz.

  3. Methoden gebaseerd op het scannen van menselijke biometrische kenmerken. Bijvoorbeeld: het scannen van een vingerafdruk, iris, menselijk gezicht, eenvoudig en toetsenbordhandschrift.
Er zijn ook gecombineerde (multi-factor) authenticatiemethoden. Ze combineren 2 of meer soorten eenvoudige authenticatie (bijvoorbeeld: bevestiging na sms of e-mail).

Wachtwoordverificatie

Algemeen wachtwoordverificatieschema:


  1. Een gebruikers-ID invoeren.

  2. Controleren of een dergelijke identificatie in het systeem bestaat.

    1. Indien aanwezig, wordt de authenticatieprocedure uitgevoerd.

    2. Als de procedure succesvol is afgerond, vindt er autorisatie plaats.

    3. Als de authenticatieprocedure mislukt, worden er verschillende pogingen gedaan om opnieuw binnen te komen.
Vaak worden identificatie- en authenticatieprocedures gecombineerd, zodat een potentiële aanvaller niet weet waar hij een fout heeft gemaakt.

Voor- en nadelen van een wachtwoordsysteem


  1. Relatief implementatiegemak. Wachtwoordsystemen vereisen in de regel geen extra hardware.

  2. Traditionaliteit. Mechanismen voor wachtwoordbeveiliging zijn bij de meeste gebruikers bekend.

  3. Wachtwoorden die bestand zijn tegen kraken hebben doorgaans weinig nut.
Wachtwoordsysteembeveiligingsbedreigingen

Er zijn 3 soorten bedreigingen:

Aanbevelingen voor de praktische implementatie van wachtwoordsystemen


  1. De minimale wachtwoordlengte instellen. Deze aanbeveling maakt het moeilijker om een ​​wachtwoord volledig bruut te forceren.

  2. De kracht van het wachtwoordalfabet vergroten. Deze aanbeveling bemoeilijkt een volledige zoekopdracht.

  3. Wachtwoorden controleren en filteren op basis van verschillende voorwaarden. Deze aanbeveling maakt het moeilijk om een ​​wachtwoord te raden met behulp van een woordenboek.

  4. Instellen van de maximale geldigheidsduur van het wachtwoord (wijzig het wachtwoord bijvoorbeeld elke 2 weken). Het verlopen van het wachtwoord beperkt de hoeveelheid tijd die een aanvaller kan besteden aan het raden van het wachtwoord.

  5. Screening op basis van wachtwoordgeschiedenislogboek. Dit mechanisme voorkomt het hergebruik van wachtwoorden die mogelijk eerder zijn gecompromitteerd.

  6. Beperk het aantal pogingen om het wachtwoord in te voeren. Deze aanbeveling maakt het interactief raden van wachtwoorden moeilijk.

  7. Time-out bij het invoeren van een onjuist wachtwoord. Dit mechanisme maakt interactieve selectie ook moeilijk.

  8. De gebruiker verbieden een wachtwoord te kiezen en automatisch een wachtwoord te genereren. Deze aanbeveling garandeert de sterkte van de gegenereerde wachtwoorden, maar gebruikers kunnen problemen ondervinden bij het onthouden ervan.
Lezing nr. 3

Beoordeling van de sterkte van wachtwoordsystemen

A – kracht van het alfabet van parameters. Het aantal letters waaruit een wachtwoord kan worden samengesteld.

L – wachtwoordlengte.

S=A^L – het aantal wachtwoorden met lengte L dat kan worden samengesteld met behulp van het alfabet A.

V – gemiddelde wachtwoordselectiesnelheid.

T – maximale geldigheidsduur van het wachtwoord.

P – waarschijnlijkheid dat wachtwoorden worden geraden gedurende een bepaalde periode.

P = (V*T)/S = (V*T)/(A^L)

Typisch worden de gemiddelde snelheid van het raden van wachtwoorden V en de tijd dat deze geldig zijn in het systeem T als bekende waarden beschouwd. In dit geval kunt u, door de maximale kans op het raden van V tijdens de werking ervan in te stellen, de vereiste kracht van de wachtwoordruimte berekenen.

S = A^L = (V*T)/P

Het verlagen van de snelheid voor het raden van wachtwoorden V vermindert de kans op het raden van wachtwoorden. Hieruit volgt in het bijzonder dat als wachtwoorden worden geselecteerd door het berekenen van Hash-functies, een grotere sterkte van het wachtwoordsysteem zal worden verzekerd door een langzame Hash-functie te gebruiken voor het berekenen van de Hash-functie.

Methoden voor het opslaan en verzenden van wachtwoorden


  1. Openbaar. Dit type opslag en verzending wordt niet aanbevolen, zelfs als er rekening wordt gehouden met de aanwezigheid van andere beschermingsmechanismen.

  2. In de vorm van overeenkomstige HASH-waarden. Dit mechanisme is handig voor het controleren van wachtwoorden, aangezien hash-waarden vrijwel uniek aan het wachtwoord zijn gekoppeld, maar voor een aanvaller van weinig belang zijn.

  3. In gecodeerde vorm. Wachtwoorden kunnen worden gecodeerd met behulp van een cryptografisch algoritme, en de coderingssleutel kan worden opgeslagen op een van de permanente elementen van het systeem of op verwijderbare media.
Het handigste en meest gebruikte is het opslaan van wachtwoorden in de vorm van hashwaarden. Het algoritme voor het controleren van wachtwoorden is als volgt:

  1. Wanneer u een nieuwe gebruiker in het systeem registreert of het wachtwoord van een bestaande gebruiker wijzigt, wordt op basis van dit wachtwoord de waarde van een eenrichtings-hashfunctie berekend, die vervolgens in de database wordt ingevoerd (H = h(M) -> in de databank).

  2. Wanneer een gebruiker probeert in te loggen op het systeem, wordt de hashwaarde van het wachtwoord dat hij heeft ingevoerd berekend (H’ = h(M’)), waarna de resulterende waarde wordt vergeleken met die in de database. Als deze twee waarden gelijk zijn, dan is het wachtwoord correct ingevoerd en is de gebruiker geautoriseerd in het systeem (H = H’ – het wachtwoord is correct).
Toegangscontrole

Toegangscontrole wordt over het algemeen opgevat als het vaststellen van de bevoegdheden van subjecten voor daaropvolgende controle over het geautoriseerde gebruik van bronnen (objecten) die beschikbaar zijn in het systeem. Er zijn twee hoofdtypen toegangscontrole:


  1. Discretionair. D – toegangscontrole tussen benoemde objecten en benoemde onderwerpen in het systeem. In de praktijk wordt een dergelijk onderscheid meestal geïmplementeerd met behulp van een toegangsrechtenmatrix.

  2. Mandaat. M - meestal geïmplementeerd als toegangscontrole door beveiligingsniveaus. De bevoegdheden van elke gebruiker worden ingesteld in overeenstemming met het maximale privacyniveau waartoe hij wordt toegelaten, en alle AS-middelen moeten worden geclassificeerd in overeenstemming met dezelfde privacyniveaus.
In dit model worden de volgende regels gevolgd:

  1. Eenvoudige beveiligingsregel. Een entiteit met beveiligingsniveau X(s) kan alleen informatie lezen van een object met beveiligingsniveau X(0) als X(0) X(s) niet overschrijdt. Het heet: Geen Lees Up.

  2. Extra eigenschap (*-eigenschap). Een entiteit met beveiligingsniveau X(s) kan alleen gegevens naar een object met beveiligingsniveau X(0) schrijven als X(s) X(0) niet overschrijdt.
Het fundamentele verschil tussen discretionaire en verplichte toegangscontrole is als volgt:

Als bij discretionaire toegangscontrole de rechten op toegang tot een bron voor gebruikers worden bepaald door de eigenaar van deze bron, dan wordt bij verplichte toegangscontrole het niveau van geheimhouding van buiten het systeem ingesteld. Verplichte differentiatie wordt als verplicht opgevat; het is strenger.

Lezing nr. 4

Transformatie van cryptografische informatie

Basisdefinities:

Cryptologie– een wetenschap die wiskundige methoden bestudeert om informatie te beschermen door deze te transformeren. Cryptologie is verdeeld in 2 gebieden:


  1. Cryptografie. Onderzoekt methoden om informatie te transformeren om de vertrouwelijkheid en authenticiteit ervan te garanderen. Authenticiteit informatie ligt in de authenticiteit van het auteurschap en de integriteit ervan.

  2. Cryptoanalyse. Combineert wiskundige methoden voor het schenden van vertrouwelijkheid en authenticiteit zonder kennis van geheime sleutels.
De belangrijkste toepassingsgebieden van cryptografische methoden:

  1. Overdracht van vertrouwelijke informatie via onbeveiligde communicatiekanalen.

  2. Het vaststellen van de authenticiteit van verzonden berichten.

  3. Het opslaan van informatie op media in gecodeerde vorm.
Teksten (berichten) die op een bepaald alfabet zijn gebouwd, worden beschouwd als informatie die moet worden gecodeerd en gedecodeerd, evenals als elektronische handtekeningen.

Alfabet– een eindige reeks symbolen die worden gebruikt om informatie te coderen.

Tekst– een geordende set tekens uit de alfabetische set.

Cryptografisch systeem (cijfer) vertegenwoordigt een gezin T omkeerbare transformaties van leesbare tekst in cijfertekst. Een element van deze familie kan één-op-één aan een bepaald nummer worden gekoppeld k, de coderingssleutel genoemd. Transformaties Tk wordt volledig bepaald door het overeenkomstige algoritme( T) en sleutel k.

Sleutel– een specifieke geheime status van de parameters van het algoritme voor cryptografische gegevenstransformatie, die de keuze van één optie uit een reeks mogelijke statussen voor dit algoritme garandeert. De geheimhouding van de sleutel moet ervoor zorgen dat de cijfertekst niet kan worden omgezet in leesbare tekst, terwijl het algoritme zelf gepubliceerd kan worden en algemeen bekend kan zijn.

SleutelruimteK– een set mogelijke sleutelwaarden (K = A^L).

Sleutel En wachtwoord– sommige geheime informatie, het verschil ligt in het gebruik van deze termen. Het wachtwoord wordt gebruikt voor authenticatie en de sleutel wordt gebruikt om informatie te coderen.

Verschil van concepten codering En encryptie:

Termijn codering meer in het algemeen gaat het om het omzetten van informatie van de ene vorm naar de andere, bijvoorbeeld van analoog naar digitaal. Encryptie– een speciaal geval van codering, voornamelijk gebruikt om de vertrouwelijkheid van informatie te garanderen.

Data encryptie is het proces waarbij open data worden omgezet in gesloten (gecodeerde) data, en decodering– omgekeerd proces.

Decryptie– het omzetten van privégegevens in openbare gegevens zonder de geheime sleutel te kennen.

Cryptografische kracht– een kenmerk van een cijfer dat de weerstand tegen decodering bepaalt. Normaal gesproken wordt dit kenmerk bepaald door de tijd die nodig is voor de codering.

Het proces van het sluiten van cryptografische gegevens kan zowel in hardware als in software worden uitgevoerd. Hardware-implementatie heeft een hogere rekensnelheid, maar brengt in de regel hogere kosten met zich mee. Het voordeel van software-implementatie ligt in de flexibiliteit van algoritme-instellingen. Ongeacht de implementatiemethode gelden voor moderne cryptografische informatiebeveiligingssystemen de volgende vereisten:

Lezing nr. 6

Drie kritische eigenschappen van het Vernam-cijfer (kladblokcijfer):


  1. De sleutel moet echt willekeurig zijn.

  2. Zorg ervoor dat de grootte van de gegeven leesbare tekst overeenkomt.

  3. Slechts één keer gebruikt en na gebruik vernietigd.
In 1949 toonde Claude Chenon aan dat als alle drie de voorwaarden die op de gamma (coderingssleutel) worden toegepast strikt worden nageleefd, dit cijfer het enige cijfer is met absolute cryptografische kracht, omdat de cijfertekst geeft absoluut geen informatie over de leesbare tekst.

In de praktijk kun je een opslagmedium met een lange, echt willekeurige sleutel één keer fysiek overdragen en vervolgens berichten verzenden als dat nodig is; dit is het idee achter het kladblokcijfer. Tijdens een persoonlijke ontmoeting wordt de encryptor voorzien van een notitieboekje, waarvan elke pagina een sleutel bevat, en beschikt de ontvangende partij ook over hetzelfde notitieboekje. Gebruikte pagina's worden vernietigd als er twee onafhankelijke kanalen zijn waarin de kans op het onderscheppen van informatie laag maar niet nul is. Een dergelijk cijfer is ook nuttig. Een gecodeerde zin kan via één kanaal worden verzonden, en op een andere manier de sleutel, om het bericht te decoderen, moet u tegelijkertijd naar beide kanalen luisteren.

Het Vernam-cijfer is het veiligst mogelijke cryptosysteem, maar de beperkingen waaraan de sleutel moet voldoen zijn zo sterk dat praktisch gebruik van het cijfer moeilijk te implementeren wordt, zodat het alleen wordt gebruikt voor de overdracht van berichten met de hoogste veiligheid.

DES ( Gegevens Encryptie Standaard )

In 1972 startte het Amerikaanse National Bureau of Standards een programma om communicatie- en computergegevens te beschermen. Een van de doelstellingen van het programma was het ontwikkelen van een uniforme cryptografische standaard. In 1973 publiceerde het Bureau vereisten voor een cryptografisch algoritme:


  1. Het algoritme moet een hoog beveiligingsniveau bieden.

  2. Het algoritme moet volledig gedefinieerd en gemakkelijk te begrijpen zijn.

  3. De veiligheid van een algoritme mag alleen gebaseerd zijn op de geheimhouding van de sleutel en mag niet afhankelijk zijn van het geheimhouden van de details van het algoritme zelf.

  4. Het algoritme moet voor alle gebruikers beschikbaar zijn.

  5. Het algoritme moet aanpassing aan verschillende toepassingen mogelijk maken.

  6. Het algoritme moet een economische implementatie in de vorm van elektronische apparaten mogelijk maken.

  7. Het algoritme moet verificatiemogelijkheden bieden.

  8. Het algoritme moet toestemming hebben voor export.
Deze standaard is in 2001 vervangen: Advanced Encryption Standard (AES).

DES is een gecombineerd blokcijfer en codeert gegevens in blokken van 64 bits (elk 8 bytes). Aan de ene kant van het algoritme worden 64 bits leesbare tekst ingevoerd, aan de andere kant worden 64 bits cijfertekst uitgevoerd DES is een symmetrisch algoritme. De sleutellengte is 56 bits. Op het eenvoudigste niveau is het algoritme slechts een combinatie van twee belangrijke versleutelingsmethoden:


  1. Herschikkingen.

  2. Vervangingen.
Het fundamentele blok van DES is de toepassing op de tekst van een enkele combinatie van deze methoden, afhankelijk van de geheime sleutel. Zo'n blok wordt Round (Stage) genoemd, DES bestaat uit 16 fasen, d.w.z. deze combinatie wordt 16 keer op de tekst toegepast.

Herhaald gebruik van één fase wordt bepaald door het bereiken van een bepaald niveau van lawine-effect (ongeveer 50%).

Voorbeelden: Triple DES, DES met onafhankelijke sleutels, DES X, GDES (gegeneraliseerde DES).

Lezing nr. 7

Algoritmen voor openbare sleutels

Het concept van cryptografie met openbare sleutels werd in 1976 naar voren gebracht door Diffe en Halman en onafhankelijk door Merkle. Hun bijdrage aan de cryptografie was de overtuiging dat sleutels in paren gebruikt konden worden (een encryptiesleutel en een decryptiesleutel), en dat het misschien niet mogelijk zou zijn om de ene sleutel uit de andere af te leiden.

Sinds 1976 zijn er veel crypto-algoritmen met openbare sleutels voorgesteld, waarvan vele niet veilig zijn en vele niet praktisch. Ze gebruiken ofwel een sleutel die te lang is, ofwel de lengte van de cijfertekst is veel langer dan de lengte van de leesbare tekst.

Beoordeling: / 3

Een inleidende lezing die de basisconcepten op het gebied van informatiebeveiliging beschrijft, de problemen die daar opgelost worden, en tevens antwoord geeft op een hele belangrijke vraag: Waarom is het überhaupt de moeite waard om aan informatiebeveiliging te doen? Welke echte praktische voordelen het gebruik van echte voorbeelden uit ons leven.

Daarnaast beschrijft de lezing de basiseigenschappen van informatiebeveiligingssystemen, de levenscyclus van informatiebeveiligingsprocessen (IS), evenals methoden voor het bestuderen van de bedrijfsstructuur van een beschermd object. Je leert over beschikbaarheid, integriteit, vertrouwelijkheid, authenticiteit en vele andere concepten. U begrijpt welke soorten en bronnen van bedreigingen er zijn.

Stel in de opmerkingen uw ideeën/gedachten voor om de cursus te verbeteren, beoordeel deze (om de lezing te downloaden en/of een commentaar te schrijven, klikt u op de titel van het lesmateriaal of op de link “Meer details”). Ik zal blij zijn.

Een dreigingsmodel en een indringermodel bouwen (lezing 5)

Beoordeling: / 0

Deze lezing is bedoeld om het begrip van het proces van het bouwen van een informatiebeveiligingssysteem bij een onderneming te systematiseren en beschrijft in detail het proces van het bouwen van een dreigingsmodel voor commerciële en overheidsbedrijven, evenals het bouwen van een model van een indringer. Deze modellen hebben directe impact op de keuze van beveiligingsmaatregelen en de daadwerkelijke effectiviteit van uw informatiebeveiligingssysteem.

Informatiebescherming moet gebaseerd zijn op een systematische aanpak. De systematische aanpak is dat alle middelen die worden gebruikt om de informatiebeveiliging te garanderen, moeten worden beschouwd als één geheel van onderling samenhangende maatregelen. Eén van de principes van informatiebescherming is het principe van “redelijke toereikendheid”, dat luidt als volgt: honderd procent bescherming bestaat onder geen enkele omstandigheid, daarom moet men niet streven naar het theoretisch maximaal haalbare niveau van informatiebescherming, maar naar het minimaal noodzakelijk onder gegeven specifieke omstandigheden en op een bepaald niveau mogelijke dreiging.

Informatiebescherming kan worden onderverdeeld in bescherming:

    tegen verlies en vernietiging;

    tegen ongeoorloofde toegang.

2. Informatie beschermen tegen verlies en vernietiging

Verlies van informatie kan om de volgende redenen optreden:

    computerstoring;

    stroomuitval of storingen;

    schade aan opslagmedia;

    foutieve gebruikersacties;

    de gevolgen van computervirussen;

    ongeoorloofde opzettelijke handelingen van andere personen.

Deze oorzaken kunnen worden voorkomen reservekopie van gegevens, d.w.z. het maken van hun back-upkopieën. Reserveringsmiddelen zijn onder meer:

    back-upsoftware die bij de meeste besturingssystemen wordt meegeleverd. Bijvoorbeeld MS Backup, Norton Backup;

    creatie van archieven op externe opslagmedia.

Bij verlies kan informatie worden hersteld. Maar dit is alleen mogelijk als:

    na het verwijderen van een bestand werd er geen nieuwe informatie naar de vrije ruimte geschreven;

    als het bestand niet gefragmenteerd was, d.w.z. (daarom moet u regelmatig defragmentatie uitvoeren met bijvoorbeeld het hulpprogramma Schijfdefragmentatie dat bij het Windows-besturingssysteem wordt geleverd).

Herstel geproduceerd door de volgende software:

    Verwijderen uit het DOS-hulpprogrammapakket ongedaan maken;

    Verwijder de gegevens uit Norton Utilites.

Als de gegevens van bijzondere waarde zijn voor de gebruiker, kunt u deze gebruiken bescherming tegen vernietiging:

    wijs de bestanden de eigenschap Alleen-lezen toe;

    gebruik speciale software om bestanden na verwijdering op te slaan, waardoor verwijdering wordt gesimuleerd. Bijvoorbeeld Norton Protected Prullenbak. .

Schendingen van de gegevensbeveiliging vormen een grote bedreiging voor de gegevensbeveiliging. voedingssysteem- stroomuitval, spanningspieken en -dalingen, enz. Informatieverlies kan in dergelijke gevallen vrijwel volledig worden vermeden door gebruik te maken van ononderbroken stroomvoorzieningen. Ze zorgen ervoor dat de computer normaal functioneert, zelfs als de stroom is uitgeschakeld door over te schakelen op batterijvoeding.

    Bescherming van informatie tegen ongeoorloofde toegang

Onbevoegde toegang- het lezen, wijzigen of vernietigen van informatie zonder de juiste bevoegdheid om dit te doen.

Basis typische paden ongeoorloofde ontvangst van informatie:

    diefstal van opslagmedia;

    het kopiëren van opslagmedia door beveiligingsmaatregelen te omzeilen;

    vermomd als geregistreerde gebruiker;

    hoax (vermomd als systeemverzoeken);

    het exploiteren van de tekortkomingen van besturingssystemen en programmeertalen;

    onderschepping van elektronische straling;

    onderschepping van akoestische straling;

    fotografie op afstand;

    gebruik van afluisterapparatuur;

    het kwaadwillig uitschakelen van beschermingsmechanismen.

Voor informatiebescherming tegen ongeoorloofde toegang gelden:

    Organisatorische evenementen.

    Technische middelen.

    Software.

    Cryptografie.

1. Organisatorische evenementen erbij betrekken:

    toegangsmodus;

    opslag van media en apparaten in een kluis (floppy disks, monitor, toetsenbord);

    het beperken van de toegang van personen tot computerruimten.

2. Technische middelen omvatten verschillende hardwaremethoden voor het beschermen van informatie:

    filters, schermen voor apparatuur;

    sleutel om het toetsenbord te vergrendelen;

    authenticatieapparaten - voor het lezen van vingerafdrukken, handvorm, iris, typsnelheid en -technieken, enz.

3. Software Informatiebeveiliging omvat het ontwikkelen van speciale software waarmee een onbevoegde persoon geen informatie uit het systeem kan verkrijgen. Softwaretools omvatten:

    wachtwoord toegang;

    vergrendel het scherm en het toetsenbord met een toetsencombinatie;

    gebruik van BIOS-wachtwoordbeveiliging (basisinvoer-uitvoersysteem - basisinvoer-uitvoersysteem).

4. Onder cryptografische manier Het beschermen van informatie betekent dat deze wordt gecodeerd wanneer deze in een computersysteem wordt ingevoerd. De essentie van deze bescherming is dat er een bepaalde encryptiemethode (sleutel) op het document wordt toegepast, waarna het document op gewone wijze onleesbaar wordt. Het lezen van een document is mogelijk als u over een sleutel beschikt of een adequate leesmethode gebruikt. Als bij de uitwisseling van informatie dezelfde sleutel wordt gebruikt voor het versleutelen en lezen, is het cryptografische proces symmetrisch. Het nadeel is dat de sleutel samen met het document wordt overgedragen. Daarom maakt het INTERNET gebruik van asymmetrische cryptografische systemen, waarbij niet één, maar twee sleutels worden gebruikt. Voor werk worden 2 sleutels gebruikt: de ene is open (openbaar) en de andere is gesloten (privé). De sleutels zijn zo opgebouwd dat een bericht dat door de ene helft is versleuteld alleen door de andere helft kan worden ontsleuteld. Door een sleutelpaar te creëren, verspreidt het bedrijf de publieke sleutel op grote schaal en slaat het de private sleutel veilig op.

Beide sleutels vertegenwoordigen een bepaalde codereeks. De publieke sleutel wordt gepubliceerd op de bedrijfsserver. Iedereen kan elk bericht versleutelen met behulp van de publieke sleutel, en na codering kan alleen de eigenaar van de privésleutel het lezen.

Het beginsel van voldoende bescherming. Veel gebruikers willen, nadat ze de openbare sleutel van iemand anders hebben ontvangen, deze verkrijgen en gebruiken, waarbij ze het algoritme van het versleutelingsmechanisme bestuderen en proberen een methode vast te stellen voor het ontsleutelen van het bericht om de privésleutel te reconstrueren. Het toereikendheidsprincipe is om het aantal combinaties van een privésleutel te controleren.

Het concept van elektronische handtekening. Met behulp van een elektronische handtekening kan de klant met de bank communiceren en opdracht geven zijn geld over te maken naar de rekeningen van andere personen of organisaties. Als u een elektronische handtekening moet aanmaken, moet u een speciaal programma (ontvangen van de bank) gebruiken om dezelfde 2 sleutels aan te maken: privé (blijft bij de klant) en openbaar (overgedragen aan de bank).

Leesbeveiliging voerde uit:

    op DOS-niveau door verborgen attributen voor het bestand te introduceren;

    encryptie.

De opname beveiligen voerde uit:

    het instellen van de eigenschap Alleen-lezen voor bestanden;

    het verbieden van schrijven naar een diskette door de hendel te verplaatsen of af te breken;

    verbiedt schrijven via de BIOS-installatie - "schijfstation niet geïnstalleerd"

Bij het beschermen van informatie doet zich vaak het probleem van betrouwbare gegevensvernietiging voor, wat de volgende redenen heeft:

    Bij het verwijderen wordt informatie niet volledig gewist;

    Zelfs na het formatteren van een diskette of schijf kunnen gegevens worden hersteld met behulp van speciale middelen op basis van het resterende magnetische veld.

Voor het veilig verwijderen worden speciale hulpprogramma's gebruikt die gegevens wissen door herhaaldelijk een willekeurige reeks nullen en enen te schrijven in plaats van de verwijderde gegevens.

    Informatie op het netwerk beschermenINTERNET

Wanneer u op internet werkt, moet u er rekening mee houden dat, net zoals de bronnen van het World Wide Web openstaan ​​voor elke klant, de bronnen van zijn computersysteem onder bepaalde voorwaarden open kunnen staan ​​voor iedereen die over de nodige middelen beschikt. Voor een particuliere gebruiker speelt dit feit geen speciale rol, maar het is noodzakelijk om hiervan op de hoogte te zijn om acties te voorkomen die in strijd zijn met de wetten van de landen waar internetservers zich bevinden. Dergelijke acties omvatten vrijwillige of onvrijwillige pogingen om de functionaliteit van computersystemen te verstoren, pogingen om beschermde systemen te hacken, het gebruik en de distributie van programma's die de functionaliteit van computersystemen verstoren (in het bijzonder computervirussen). Wanneer u op het World Wide Web werkt, moet u er rekening mee houden dat absoluut alle acties worden geregistreerd en geregistreerd door speciale software en dat informatie over zowel legale als illegale acties noodzakelijkerwijs ergens wordt verzameld. Daarom moet onlinecommunicatie worden behandeld alsof het gewone briefkaartcorrespondentie betreft. Informatie circuleert vrijelijk in beide richtingen, maar is over het algemeen beschikbaar voor alle deelnemers aan het informatieproces. Dit geldt voor alle internetdiensten die voor het publiek toegankelijk zijn.

Maar zelfs bij de reguliere postdiensten bestaan ​​er naast ansichtkaarten ook postenveloppen. Het gebruik van postenveloppen bij correspondentie betekent niet dat partners iets te verbergen hebben. Het gebruik ervan komt overeen met een al lang bestaande historische traditie en gevestigde morele en ethische normen voor communicatie. De behoefte aan soortgelijke ‘enveloppen’ om informatie te beschermen bestaat ook op internet. Tegenwoordig is het internet niet alleen een communicatiemiddel en een universeel referentiesysteem; het circuleert contractuele en financiële verplichtingen; de noodzaak om deze te beschermen tegen zowel inzage als vervalsing ligt voor de hand. Sinds 1999 is INTERNET een krachtig middel geworden om de omzet van de detailhandel veilig te stellen, en dit vereist de bescherming van creditcardgegevens en andere elektronische betaalmiddelen.

De principes voor het beschermen van informatie op internet zijn gebaseerd op de definitie van informatie die we in het eerste hoofdstuk van deze handleiding hebben geformuleerd. Informatie is een product van de interactie van gegevens en methoden die daarvoor geschikt zijn.. Als tijdens het communicatieproces gegevens worden verzonden via open systemen (en internet is daar een van), dan is het zelfs theoretisch onmogelijk om de toegang daartoe voor onbevoegden uit te sluiten. Dienovereenkomstig richten beveiligingssystemen zich op de tweede component van informatie: methoden. Hun werkingsprincipe is gebaseerd op het elimineren of op zijn minst compliceren van de mogelijkheid om te selecteren adequate methode om gegevens om te zetten in informatie.

INFORMATIEBEVEILIGING VAN PROFESSIONELE ACTIVITEITEN

Pozhitkova Tatjana Aleksandrovna

5e jaars student, afdeling “Commodity Science and Organization of Management of Trade Enterprises” TSU, Tolyatti

E-mail: Kykyha 1@ Yandex . Ru

Charlamova Valentina Vladimirovna

Kunst. Docent bij de afdeling Commodity Research en Organization of Trade Enterprise ManagementTSU, Toljatti

Informatie (van het Latijnse informatio - uitleg, presentatie) - sinds het midden van de twintigste eeuw, een algemeen wetenschappelijk concept dat de uitwisseling van informatie omvat tussen mensen, een persoon en een automaat, een automaat en een automaat, de uitwisseling van signalen in de dieren- en plantenwereld, de overdracht van eigenschappen van cel naar cel, van organisme naar het lichaam; een van de basisconcepten van cybernetica.

Informatiebescherming is een geheel van maatregelen gericht op het waarborgen van informatiebeveiliging.

Volgens informatiebeveiligingsnormen is het belangrijkste in elk bedrijf:

·Het doel identificeren van het waarborgen van de bescherming van informatie over computersystemen;

·Het verkrijgen van het meest effectieve managementsysteem voor informatiebeveiliging;

·Bereken een set van zowel kwantitatieve als kwalitatieve indicatoren, voor zover deze passen bij de gestelde doelen;

·Toepassing van alle maatregelen om de informatiebeveiliging te garanderen, constante monitoring van de huidige status van het systeem;

·Pas richtlijnen voor beveiligingsbeheer toe die een waarheidsgetrouwe beoordeling van de aanwezige informatiebeveiliging bieden.

Voor proefpersonen die informatiesystemen gebruiken, zijn de volgende kenmerken van informatiebronnen van belang: vertrouwelijkheid, beschikbaarheid en integriteit.

Vertrouwelijkheid is de bescherming van informatie tegen ongeoorloofde toegang. Met andere woorden, er is toegangsbevoegdheid – er is informatie. Een voorbeeld hiervan is het niet openbaar maken van informatie door een organisatie over de salarissen van werknemers.

Beschikbaarheid is een criterium dat zich kenmerkt door het snel vinden van de benodigde informatie.

Integriteit is de waarheidsgetrouwheid en relevantie van informatie, de bescherming ervan tegen ongeoorloofde toegang en vernietiging (verandering). Integriteit is het belangrijkste aspect van informatiebeveiliging als het gaat om bijvoorbeeld medicijnformuleringen, voorgeschreven medische procedures, de stroom van een technologisch proces. Als de integriteit van de informatie uit al deze voorbeelden wordt geschonden, kan dit leiden tot onherstelbare problemen. gevolgen.

Na de belangrijkste kenmerken van informatiebronnen te hebben geanalyseerd, is toegankelijkheid het allerbelangrijkste voor IS-gebruikers.

Een halve stap achter in belangrijkheid is integriteit – want informatie heeft geen zin als het niet waar of verdraaid is.

Naast de drie belangrijkste kenmerken van beveiligingsmodellen zijn er nog andere die niet altijd verplicht zijn:

· aantrekkelijkheid - onmogelijkheid om auteurschap te weigeren;

· verantwoording - erkenning van het onderwerp van toegang en registratie van zijn acties;

· authenticiteit of authenticiteit - een eigenschap die garandeert dat het onderwerp of de bron identiek is aan het aangegeven onderwerp. Een teken dat garandeert dat de informatie identiek is aan de aangegeven informatie.

Informatiebeveiliging kan in verschillende mate worden geschaad door acties die bedreigingen worden genoemd. Ze zijn onderverdeeld in de volgende categorieën:

2. Acties uitgevoerd door hackers. Het gaat hierbij om mensen die beroepshalve betrokken zijn bij computercriminaliteit. Hackers gebruiken de DOS-aanvalsmethode. Deze dreiging van ongeoorloofde toegang kan een hulpmiddel zijn voor het vernietigen van gegevens, het gebruiken van vertrouwelijke informatie voor illegale doeleinden, het stelen van geld van accounts, enz. Een DOS-aanval (afgekort van Denial of Service) is een aanval van buitenaf op netwerkknooppunten van een organisatie die verantwoordelijk is voor de effectieve werking ervan (mailservers). Hackers sturen massaal datapakketten naar deze knooppunten, waardoor ze overbelast raken, waardoor ze enige tijd buiten werking zijn. Wat als gevolg daarvan leidt tot verstoringen in bedrijfsprocessen, verlies van klanten, reputatie, etc.

3. Computervirussen, malware. Ze worden op grote schaal gebruikt om e-mail, bedrijfsnetwerkknooppunten, de media zelf en de opslag van informatie binnen te dringen, wat kan leiden tot gegevensverlies en diefstal van informatie. Door virussen wordt het werkproces opgeschort en gaat er werktijd verloren. Het is belangrijk erop te wijzen dat een virus aanvallers gedeeltelijke of volledige controle kan geven over de activiteiten van een organisatie.

4. Spam. Tot voor kort kon spam worden geclassificeerd als een kleine irritatie, maar nu is het uitgegroeid tot een van de grootste bedreigingen voor informatie: spam bezorgt werknemers een gevoel van psychologisch ongemak, het kost veel tijd om het uit e-mailboxen te verwijderen, wat kan leiden tot tot het verwijderen van belangrijke correspondentie. En dit is op zijn beurt een verlies aan informatie, een verlies aan klanten.

5. “Natuurlijke bedreigingen.” Naast interne factoren kan informatieveiligheid ook worden beïnvloed door externe factoren: onjuiste opslag van informatie, diefstal van media, overmacht, enz.

We kunnen een unieke conclusie trekken: in de moderne wereld is de aanwezigheid van een goed ontwikkeld informatiebeveiligingssysteem een ​​van de belangrijkste voorwaarden voor het concurrentievermogen en zelfs de levensvatbaarheid van elk bedrijf.

Om de meest complete informatiebeveiliging te garanderen, moeten verschillende beveiligingsmaatregelen binnen het systeem werken, dat wil zeggen gelijktijdig en onder gecentraliseerde controle worden toegepast.

Momenteel zijn er veel methoden om informatiebeveiliging te garanderen:

· middelen voor het coderen van informatie die op computers is opgeslagen en via netwerken wordt verzonden;

· middelen voor het coderen van belangrijke informatie die op een pc is opgeslagen;

· firewalls;

· tools voor het filteren van inhoud;

·n;

· systemen voor detectie van netwerkkwetsbaarheden en analysers van netwerkaanvallen.

Elk van de genoemde remedies kan afzonderlijk of in combinatie met andere worden gebruikt. Dit maakt het scala aan informatiebescherming uitgebreider, wat ongetwijfeld een positieve factor is.

"Complex 3A". Identificatie en autorisatie zijn de leidende elementen van informatiebeveiliging. Wanneer u probeert toegang te krijgen tot beschermde informatie, bepaalt identificatie of u een geautoriseerde gebruiker van het netwerk bent. Het doel van autorisatie is om te identificeren tot welke informatiebronnen een bepaalde gebruiker toegang heeft. De beheerfunctie is om de gebruiker bepaalde geavanceerde mogelijkheden te bieden en de reikwijdte van de voor hem mogelijke acties binnen een bepaald netwerk te bepalen.

Informatie-encryptiesystemen maken het mogelijk om verliezen te minimaliseren in het geval van een poging tot ongeoorloofde toegang tot gegevens, evenals het onderscheppen van informatie tijdens overdracht of transmissie via netwerkprotocollen. Het belangrijkste doel van deze beveiligingsmethode is het waarborgen van de vertrouwelijkheid. Encryptiesystemen zijn onderworpen aan eisen zoals een hoog niveau van slotgeheim (dat wil zeggen cryptografische sterkte) en wettigheid van gebruik.

Een firewall fungeert als een beschermende barrière tussen netwerken, controleert en beschermt tegen ongeoorloofde toegang tot het netwerk of, omgekeerd, tegen het verlaten van datapakketten. Firewalls controleren elk datapakket om te zien of de inkomende en uitgaande IP-adressen overeenkomen met een aantal toegestane adressen.

Het is belangrijk om inkomende en uitgaande e-mail te controleren en te filteren om vertrouwelijke informatie te bewaren en te beschermen. Door bijlagen en e-mailberichten zelf te controleren op basis van de regels die in de organisatie zijn vastgelegd, kunt u werknemers beschermen tegen spam en de organisatie tegen aansprakelijkheid voor rechtszaken.

De beheerder heeft mogelijk, net als een andere geautoriseerde gebruiker, het recht om alle wijzigingen in de informatie op de server te controleren dankzij de technologie van het controleren van de integriteit van de inhoud van de harde schijf (integriteitscontrole). Dit maakt het mogelijk om ongeoorloofde toegang te detecteren, eventuele acties op informatie te controleren (wijziging, verwijdering, enz.) en ook de activiteit van virussen te identificeren. De controle wordt uitgevoerd op basis van de analyse van bestandscontrolesommen (CRC_sums).

Momenteel maken antivirustechnologieën het mogelijk om vrijwel alle virus- en malwareprogramma's te identificeren door de voorbeeldcode in de antivirusdatabase te vergelijken met de code van een verdacht bestand. Verdachte bestanden kunnen in quarantaine worden geplaatst, gedesinfecteerd of verwijderd. Antivirusprogramma's kunnen worden geïnstalleerd op bestands- en mailservers, firewalls en op werkstations die werken onder gangbare besturingssystemen (Windows-, Unix- en Linux-systemen, Novell) op verschillende soorten processors.

Spamfilters verminderen de onproductieve arbeidskosten die gepaard gaan met het opschonen van bestanden tegen spam aanzienlijk, verminderen de belasting van servers en helpen de psychologische achtergrond in het team te verbeteren. Bovendien verminderen spamfilters het risico op infectie door nieuwe virussen, omdat ze qua kenmerken vaak op spam lijken en worden verwijderd.

Om zich te beschermen tegen natuurlijke bedreigingen moet de organisatie een plan opstellen en implementeren voor het voorkomen en elimineren van noodsituaties (brand, overstroming). De belangrijkste methode voor gegevensbescherming is back-up.

Er zijn veel manieren om informatie technisch te beschermen tegen ongeoorloofde toegang (NSD): sloten voor eenmalig gebruik, plastic identiteitskaarten, zegels, optische en infraroodsystemen, lasersystemen, sloten (mechanisch, elektromechanisch, elektronisch), videobeveiligings- en controlesystemen.

Informatiebeveiligingsbeleid is een geheel van regels, wetten, aanbevelingen en praktijkervaring die bepalend zijn voor management- en ontwerpbeslissingen op het gebied van informatiebeveiliging. PIB is een hulpmiddel waarmee het beheer, de bescherming en de distributie van informatie in het systeem plaatsvindt. Het beleid moet het gedrag van het systeem in verschillende situaties bepalen.

Het beveiligingsbeleidsprogramma omvat de volgende fasen voor het creëren vanen:

1. Het vinden van informatie en technische bronnen die moeten worden beschermd;

2. Openbaarmaking van het volledige scala aan potentiële bedreigingen en kanalen voor informatielekken;

3. Het beoordelen van de kwetsbaarheid en risico's van informatie, gezien de veelheid aan bedreigingen en lekkagekanalen;

4. Diagnose van vereisten voor het beveiligingssysteem;

5. Selectie van inen hun kenmerken;

6. Introductie en organisatie van het gebruik van geselecteerde maatregelen, methoden en beschermingsmiddelen;

7. Implementatie van integriteitsbewaking en beheer van het beveiligingssysteem.

De beoordeling van de huidige situatie is verdeeld in twee systemen: “bottom-up onderzoek” en “top-down onderzoek”. De eerste is gebaseerd op het feit dat de informatiebeveiligingsdienst, op basis van alle bekende typen aanvallen, deze in de praktijk toepast om na te gaan of een bepaalde aanval mogelijk is van een echte dader.

De top-downmethode is een gedetailleerde studie van alle bestaande schema's voor het opslaan en verwerken van informatie. De eerste stap van de methode is het bepalen welke informatiestromen beschermd moeten worden. Vervolgens wordt de huidige staat van het informatiebeveiligingssysteem geanalyseerd om te bepalen welke beveiligingstechnieken zijn geïmplementeerd, in welke mate en op welk niveau deze zijn geïmplementeerd. In de derde fase worden alle informatieobjecten in groepen geclassificeerd in overeenstemming met de vertrouwelijkheid ervan.

Hierna moet worden nagegaan hoe ernstig de schade kan worden veroorzaakt als het informatieobject wordt aangevallen. Deze fase wordt ‘risicoberekening’ genoemd. De mogelijke schade door een aanval, de waarschijnlijkheid van een dergelijke aanval en het product ervan worden berekend. Het ontvangen antwoord is een mogelijk risico.

In de belangrijkste en meest kritische fase vindt de ontwikkeling plaats van een bedrijfsveiligheidsbeleid, dat de meest volledige bescherming tegen mogelijke risico's zal bieden. Maar het is noodzakelijk om rekening te houden met de problemen die zich kunnen voordoen bij het initiëren van een veiligheidsbeleid. Soortgelijke problemen omvatten wetten van het land en de internationale gemeenschap, ethische normen en interne vereisten van de organisatie.

Nadat een informatiebeveiligingsbeleid als zodanig is opgesteld, wordt de economische waarde ervan berekend.

Aan het einde van de ontwikkeling wordt het programma goedgekeurd door de bedrijfsleiding en gedetailleerd gedocumenteerd. Dit moet worden gevolgd door een actieve implementatie van alle componenten die in het plan zijn geïdentificeerd. Herberekening van risico's en vervolgens wijziging van het beveiligingsbeleid van het bedrijf wordt meestal elke twee jaar uitgevoerd.

De PIB zelf is geformaliseerd in de vorm van gedocumenteerde eisen aan het informatiesysteem. Er zijn drie niveaus van dergelijke documenten (ook wel detaillering genoemd):

Documenten op het hoogste niveau van het informatiebeveiligingsbeleid tonen het standpunt van de organisatie over activiteiten op het gebied van informatiebeveiliging, haar bereidheid om te voldoen aan nationale en internationale vereisten op dit gebied. Ze kunnen bijvoorbeeld worden genoemd: "IS-concept", "IS-beleid", "IS-technische standaard", enz. Documenten op het hoogste niveau kunnen in twee vormen worden uitgegeven: voor extern en intern gebruik.

Documenten op middelhoog niveau behandelen individuele aspecten van informatiebeveiliging. Hierin worden de vereisten beschreven voor het creëren en gebruiken van invoor een specifiek aspect van informatiebeveiliging.

Documenten op een lager niveau bevatten regels en voorschriften, beheerhandleidingen en bedieningsinstructies voor particuliere informatiebeveiligingsdiensten.

De fasen van de levenscyclus van een informatiesysteem zijn onderverdeeld in: strategische planning, analyse, ontwerp, implementatie, implementatie (initiatie) en exploitatie. Laten we elke fase in detail bekijken:

1. Beginfase (strategische planning).

In de eerste fase wordt het toepassingsgebied van het systeem bepaald en worden de randvoorwaarden gesteld. Om dit te doen, is het noodzakelijk om alle externe objecten te identificeren waarmee het ontwikkelde systeem zal interageren en de aard van deze interactie te bepalen. In de strategische planningsfase worden alle functionaliteiten gedefinieerd en worden beschrijvingen van de belangrijkste gegeven.

2. Verduidelijkingsfase.

In de verduidelijkingsfase wordt het toepassingsgebied geanalyseerd en wordt de architectonische basis van het informatiesysteem ontwikkeld. Het is noodzakelijk om de meeste functionaliteit van het systeem te beschrijven en rekening te houden met de relatie tussen afzonderlijke componenten. Aan het einde van de verduidelijkingsfase worden architectonische oplossingen en manieren om leidende risico's in het programma te elimineren geanalyseerd.

3. Ontwerpfase.

In deze fase wordt een eindproduct gemaakt, klaar voor overdracht aan de gebruiker. Na voltooiing van het ontwerp worden de prestaties van de resulterende software bepaald.

4. Fase van overdracht naar exploitatie (initiatie).

De fase vertegenwoordigt de directe overdracht van de software naar de gebruiker. Bij het gebruik van het ontwikkelde systeem worden vaak verschillende problemen geïdentificeerd die extra werk en aanpassingen aan het product vereisen. Aan het einde van deze fase komen ze erachter of de gestelde doelen voor de ontwikkelaars zijn bereikt of niet.

5. Buitenbedrijfstelling en verwijdering. Als resultaat van deze fase worden de gegevens overgebracht naar de nieuwe IS.

Elk informatiesysteem kan 3 tot 7 jaar het meest bruikbaar blijven. Vervolgens is de modernisering ervan vereist. Bijgevolg kunnen we tot de conclusie komen dat bijna elke maker te maken krijgt met het probleem van het moderniseren van verouderde informatiesystemen.

Om het probleem van het garanderen van informatiebeveiliging op te lossen, is het belangrijk om wetgevende, organisatorische, softwarematige en technische maatregelen te nemen. Onoplettendheid voor ten minste één aspect van dit probleem kan leiden tot het verlies of het lekken van informatie, waarvan de kosten en de rol in het leven van de moderne samenleving steeds belangrijker worden.

Bibliografie:

1.V.A. Ignatiev, Informatiebeveiliging van een moderne commerciële onderneming / V.A. Ignatiev - M: Stary Oskol: TNT, 2005. - 448 p.

2. Domarev V.V., Beveiliging van informatietechnologieën. Methodologie voor het creëren van beveiligingssystemen (hoofdstuk 8) / TID Dia Soft / - 2002. [Elektronische hulpbron]. - Toegangsmodus. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (toegangsdatum 15/11/2012)

3. Zhuk E.I., Conceptuele grondslagen van informatiebeveiliging [Elektronische hulpbron] // Elektronische wetenschappelijke en technische publicatie “Science and Education”, 2010. - Nr. 4. - Toegangsmodus. - URL: http://techno-new.developer.stack.net/doc/143237.html (geraadpleegd op 20 november 2012)

4.Medvedev N.V., Normen en beleid voor informatiebeveiliging van geautomatiseerde systemen // Bulletin van MSTU im. N.E. Bauman. Ser. Instrumentatie. - 2010. - Nr. 1. - P. 103-111.

5. Grondbeginselen van informatiebeveiliging: Leerboek / O.A. Akulov, D.N. Badanin, E.I. Zhuk en anderen - M.: Uitgeverij van MSTU im. N.E. Bauman, 2008. - 161 p.

6. Filin S.A., Informatiebeveiliging / S.A. Uil. - Alfa Press, 2006. - 412 p.

7. Yarochkin V.I. Informatiebeveiliging: een leerboek voor universiteitsstudenten. - 3e druk. - M.: Academisch project: Trixta, 2005 - 544 p.


Concept van informatiebeveiliging Informatiebeveiliging verwijst naar de beveiliging van informatie en ondersteunende infrastructuur tegen toevallige of opzettelijke effecten van natuurlijke of kunstmatige aard die onaanvaardbare schade kunnen veroorzaken aan subjecten van informatierelaties, inclusief eigenaren en gebruikers van informatie en ondersteunende infrastructuur. Informatiebescherming is een geheel van maatregelen gericht op het waarborgen van informatiebeveiliging.


Problemen op het gebied van informatiebeveiliging Informatiebeveiliging is een van de belangrijkste aspecten van integrale beveiliging. De volgende feiten zijn illustratief: In de Informatiebeveiligingsdoctrine van de Russische Federatie worden bescherming tegen ongeoorloofde toegang tot informatiebronnen en het waarborgen van de veiligheid van informatie- en telecommunicatiesystemen benadrukt als belangrijke componenten van nationale belangen; Tijdens de periode Er werden bijna 500 pogingen ondernomen om het computernetwerk van de Centrale Bank van de Russische Federatie binnen te dringen. In 1995 werd 250 miljard roebel gestolen. Volgens de FBI bedroeg de schade als gevolg van computercriminaliteit in de Verenigde Staten in 1997 $136 miljoen.


Problemen met informatiebeveiliging Volgens het rapport 'Computer Crime and Security - 1999: Problems and Trends' nam 32% van de respondenten contact op met wetshandhavingsinstanties over computercriminaliteit; 30% van de respondenten meldde dat hun IP-adres was gehackt door aanvallers; 57% - werd aangevallen via internet; 55% constateerde gevallen van schendingen van de informatiebeveiliging door hun eigen werknemers; 33% kon de vraag “Zijn uw webservers en e-commercesystemen gehackt?” niet beantwoorden.


Problemen met informatiebeveiliging De Global Information Security Study uit 2004, uitgevoerd door het adviesbureau Ernst & Young, identificeerde de volgende belangrijke aspecten: Slechts 20% van de respondenten is ervan overtuigd dat hun organisaties informatiebeveiligingsproblemen op senior managementniveau aanpakken; Volgens de respondenten is “een gebrek aan bewustzijn van informatiebeveiligingskwesties” het belangrijkste obstakel voor het creëren van een effectief informatiebeveiligingssysteem. Slechts 28% noemde het “verhogen van het opleidingsniveau van werknemers op het gebied van informatiebeveiliging” als een prioritaire taak; “Illegale handelingen van werknemers bij het werken met informatiesystemen” stonden op de tweede plaats wat betreft de prevalentie van bedreigingen voor de informatiebeveiliging, na virussen, Trojaanse paarden en internetwormen. Minder dan 50% van de respondenten geeft trainingen aan medewerkers op het gebied van informatiebeveiliging; Slechts 24% van de respondenten is van mening dat hun de hoogste cijfers verdienen als het gaat om het voldoen aan de zakelijke behoeften van hun organisaties; Slechts 11% van de respondenten is van mening dat de regelgeving die door overheidsinstanties op het gebied van beveiliging is aangenomen, de staat van hun informatiebeveiliging aanzienlijk heeft verbeterd.


Bedreigingen voor de informatiebeveiliging Een bedreiging voor de informatiebeveiliging (IS) is een potentiële gebeurtenis, actie, proces of fenomeen dat kan leiden tot schade aan iemands belangen. Een poging om een ​​bedreiging te implementeren wordt een aanval genoemd. Classificatie van inkan worden uitgevoerd op basis van verschillende criteria: op basis van het informatiebeveiligingsaspect (beschikbaarheid, integriteit, vertrouwelijkheid); door IS-componenten die het doelwit zijn van bedreigingen (data, programma, hardware, ondersteunende infrastructuur); per uitvoeringsmethode (toevallige of opzettelijke acties van natuurlijke of door de mens veroorzaakte aard); naar locatie van de dreigingsbron (binnen of buiten het IS in kwestie).


Eigenschappen van informatie Ongeacht de specifieke soorten bedreigingen moet het informatiesysteem de basiseigenschappen van informatie en systemen voor de verwerking ervan waarborgen: toegankelijkheid - het vermogen om informatie of informatiediensten binnen een acceptabele tijd te verkrijgen; integriteit – de eigenschap van relevantie en consistentie van informatie, de bescherming ervan tegen vernietiging en ongeoorloofde wijzigingen; vertrouwelijkheid – bescherming tegen ongeoorloofde toegang tot informatie.


Voorbeelden van de implementatie van de dreiging van schending van de vertrouwelijkheid Een deel van de informatie die in het informatiesysteem is opgeslagen en verwerkt, moet voor buitenstaanders verborgen worden gehouden. De overdracht van deze informatie kan schade veroorzaken aan zowel de organisatie als het informatiesysteem zelf. Vertrouwelijke informatie kan worden onderverdeeld in onderwerp- en dienstinformatie. Bedrijfseigen informatie (bijvoorbeeld gebruikerswachtwoorden) heeft geen betrekking op een specifiek onderwerpgebied, maar de openbaarmaking ervan kan leiden tot ongeoorloofde toegang tot alle informatie. Onderwerpinformatie omvat informatie waarvan de openbaarmaking zou kunnen leiden tot schade (economisch, moreel) aan een organisatie of persoon. De aanvalsmiddelen kunnen verschillende technische middelen zijn (afluisteren van gesprekken, netwerken), andere methoden (ongeoorloofde overdracht van toegangswachtwoorden, enz.). Een belangrijk aspect is de continuïteit van gegevensbescherming gedurende de gehele levenscyclus van de opslag en verwerking ervan. Een voorbeeld van een overtreding is het toegankelijk opslaan van back-upgegevens.


Voorbeelden van de dreiging van schending van de data-integriteit Een van de meest voorkomende bedreigingen voor de informatiebeveiliging zijn diefstal en vervalsing. In informatiesystemen kunnen ongeoorloofde wijzigingen in informatie tot verliezen leiden. Informatie-integriteit kan worden onderverdeeld in statisch en dynamisch. Voorbeelden van statische integriteitsschendingen zijn: het invoeren van onjuiste gegevens; ongeoorloofde wijziging van gegevens; wijziging van een softwaremodule door een virus; Voorbeelden van dynamische integriteitsschendingen: schending van de atomiciteit van transacties; duplicatie van gegevens; het introduceren van extra pakketten in het netwerkverkeer.


Schadelijke software Eén manier om een ​​aanval uit te voeren is het injecteren van malware in systemen. Dit soort software wordt door aanvallers gebruikt om: andere kwaadaardige software te introduceren; controle verkrijgen over het aangevallen systeem; agressieve consumptie van hulpbronnen; wijziging of vernietiging van programma's en/of gegevens. Volgens het distributiemechanisme worden ze onderscheiden: virussen - code die zich kan verspreiden door in andere programma's te worden geïntroduceerd; wormen zijn code die er onafhankelijk van elkaar voor kunnen zorgen dat de kopieën ervan zich over het IP-adres verspreiden en worden uitgevoerd.


Schadelijke software In GOST R “Informatiebescherming. Informatie-object. Factoren die informatie beïnvloeden. Algemene bepalingen" introduceert het volgende concept van een virus: Een softwarevirus is een uitvoerbare of geïnterpreteerde programmacode die de eigenschap heeft van ongeoorloofde distributie en zelfreproductie in geautomatiseerde systemen of telecommunicatienetwerken om software en/of opgeslagen gegevens te wijzigen of te vernietigen. in geautomatiseerde systemen.


Voorbeelden van de implementatie van de dreiging van toegangsweigering Het falen van diensten (ontzegging van toegang tot informatiesystemen) is een van de meest voorkomende bedreigingen voor de informatiebeveiliging. Wat de IS-componenten betreft, kan deze klasse van bedreigingen worden onderverdeeld in de volgende typen: gebruikersweigering (onwil, onvermogen om met IS te werken); intern falen van het informatiesysteem (fouten tijdens herconfiguratie van het systeem, software- en hardwarefouten, gegevensvernietiging); falen van de ondersteunende infrastructuur (verstoring van communicatiesystemen, stroomvoorziening, vernieling en schade aan gebouwen).


Het concept van een aanval op een informatiesysteem Een aanval is elke actie of reeks acties die misbruik maakt van de kwetsbaarheden van een informatiesysteem en leidt tot een schending van het beveiligingsbeleid. Een beveiligingsmechanisme is een software- en/of hardwareapparaat dat een aanval detecteert en/of voorkomt. Beveiligingsdienst is een dienst die door beleid gedefinieerde beveiliging van systemen en/of verzonden gegevens verzorgt, of de uitvoering van een aanval bepaalt. De Dienst maakt gebruik van één of meerdere beveiligingsmechanismen.


Classificatie van aanvallen Classificatie van aanvallen op een informatiesysteem kan worden uitgevoerd aan de hand van verschillende criteria: Naar plaats van herkomst: Lokale aanvallen (de bron van dit type aanval zijn gebruikers en/of programma's van het lokale systeem); Aanvallen op afstand (de bron van de aanval zijn externe gebruikers, diensten of applicaties); Door impact op het informatiesysteem Actieve aanvallen (met als resultaat een verstoring van het informatiesysteem); Passieve aanvallen (gericht op het verkrijgen van informatie uit het systeem zonder de werking van het informatiesysteem te verstoren);


Netwerkaanvallen I. Passieve aanval Een passieve aanval is een aanval waarbij de vijand niet de mogelijkheid heeft om verzonden berichten te wijzigen en zijn eigen berichten in het informatiekanaal tussen de zender en de ontvanger in te voegen. Het doel van een passieve aanval kan alleen zijn om naar verzonden berichten te luisteren en het verkeer te analyseren.


Netwerkaanvallen Een actieve aanval is een aanval waarbij de vijand de mogelijkheid heeft verzonden berichten te wijzigen en zijn eigen berichten in te voegen. Er worden de volgende typen actieve aanvallen onderscheiden: Denial of Service - DoS-aanval (Denial of Service) Denial of service verstoort de normale werking van netwerkdiensten. Een tegenstander kan alle berichten onderscheppen die naar een specifieke ontvanger worden verzonden. Een ander voorbeeld van een dergelijke aanval is het genereren van veel verkeer, waardoor een netwerkdienst geen verzoeken van legitieme clients kan verwerken. Een klassiek voorbeeld van een dergelijke aanval in TCP/IP-netwerken is een SYN-aanval, waarbij de aanvaller pakketten verzendt die het tot stand brengen van een TCP-verbinding initiëren, maar geen pakketten verzendt die het tot stand brengen van deze verbinding voltooien. Als gevolg hiervan kan de server overweldigd raken en kan de server mogelijk geen verbinding maken met legitieme gebruikers.


Netwerkaanvallen Wijziging van de gegevensstroom - "man in the middle"-aanval Wijziging van de gegevensstroom betekent het wijzigen van de inhoud van het doorgestuurde bericht of het wijzigen van de volgorde van de berichten.




Netwerkaanvallen Hergebruik Hergebruik betekent het passief vastleggen van gegevens en deze vervolgens doorsturen om ongeautoriseerde toegang te verkrijgen - dit is de zogenaamde replay-aanval. In feite zijn replay-aanvallen een vorm van manipulatie, maar vanwege het feit dat ze een van de meest voorkomende aanvalsopties zijn om ongeautoriseerde toegang te verkrijgen, worden ze vaak behandeld als een afzonderlijk type aanval.


Benaderingen om informatiebeveiliging te garanderen Om AIS te beschermen kunnen de volgende voorzieningen worden geformuleerd: Informatiebeveiliging is gebaseerd op de voorzieningen en vereisten van bestaande wetten, standaarden en regelgevende en methodologische documenten; De informatiebeveiliging van AIS wordt verzekerd door een complex van software- en hardwaretools en organisatorische maatregelen die deze ondersteunen; De informatiebeveiliging van AIS moet worden gewaarborgd in alle stadia van de technologische gegevensverwerking en in alle bedrijfsmodi, ook tijdens reparatie- en onderhoudswerkzaamheden;


Benaderingen om informatiebeveiliging te garanderen Om AIS te beschermen kunnen de volgende bepalingen worden geformuleerd: Software- en mogen de fundamentele functionele kenmerken van AIS niet significant aantasten; Een integraal onderdeel van het werk op het gebied van informatiebeveiliging is de beoordeling van de effectiviteit van beveiligingsmaatregelen, uitgevoerd met behulp van een methodologie die rekening houdt met de volledige reeks technische kenmerken van het beoordeelde object, inclusief technische oplossingen en praktische implementatie; AIS-bescherming moet het monitoren van de effectiviteit van beschermende uitrusting omvatten. Deze monitoring kan periodiek zijn of worden geïnitieerd indien nodig door de AIS-gebruiker.




Systematiteit van informatiebeveiliging betekent Systematiteit bij de ontwikkeling en implementatie van informatiebeveiligingssystemen houdt in dat mogelijke bedreigingen voor de informatiebeveiliging worden geïdentificeerd en dat methoden en middelen worden gekozen die gericht zijn op het tegengaan van deze reeks bedreigingen. Oplossingen moeten systemisch van aard zijn, dat wil zeggen een reeks maatregelen omvatten om het hele scala aan bedreigingen tegen te gaan.




Continuïteit van bescherming Continuïteit van bescherming veronderstelt dat het geheel van maatregelen om informatiebeveiliging te garanderen continu moet zijn in tijd en ruimte. De bescherming van informatieobjecten moet worden gewaarborgd tijdens routinematige onderhouds- en reparatiewerkzaamheden, tijdens het opzetten en configureren van informatiesystemen en -diensten.


Redelijke toereikendheid De constructie en het onderhoud van informatiebeveiligingssystemen vereisen bepaalde, soms aanzienlijke, financiële middelen. Tegelijkertijd is het onmogelijk om een ​​alomvattend beschermingssysteem te creëren. Bij het kiezen van een beveiligingssysteem is het noodzakelijk een compromis te vinden tussen de kosten van het beschermen van informatieobjecten en mogelijke verliezen wanneer informatiebedreigingen worden gerealiseerd.


Flexibiliteit van beheer en toepassing Bedreigingen voor informatiebeveiliging zijn veelzijdig en niet vooraf bepaald. Voor succesvolle tegenmaatregelen is het noodzakelijk om de gebruikte middelen te kunnen veranderen, de gebruikte gegevensbeschermingsmiddelen snel in of uit te kunnen schakelen en nieuwe beschermingsmechanismen toe te voegen.


Openheid van algoritmen en beveiligingsmechanismen Inzelf kunnen een bedreiging vormen voor een informatiesysteem of object. Om deze klasse van bedreigingen te voorkomen, is het vereist dat algoritmen en beschermingsmechanismen onafhankelijke verificatie van de veiligheid en naleving van standaarden mogelijk maken, evenals de mogelijkheid van het gebruik ervan in combinatie met andere gegevensbeschermingsmaatregelen.


Gemakkelijke toepassing van beschermende maatregelen en middelen Bij het ontwerpen van informatiebeveiligingssystemen moet er rekening mee worden gehouden dat de implementatie van de voorgestelde maatregelen en middelen zal worden uitgevoerd door gebruikers (vaak geen specialisten op het gebied van informatiebeveiliging). Om de effectiviteit van beveiligingsmaatregelen te vergroten, is het daarom noodzakelijk dat het algoritme om ermee te werken begrijpelijk is voor de gebruiker. Bovendien mogen de gebruikte inen -mechanismen het normale werk van de gebruiker met het geautomatiseerde systeem niet verstoren (de productiviteit sterk verminderen, de complexiteit van het werk vergroten, enz.).


Methoden om informatiebeveiliging te garanderen Laten we eens kijken naar een voorbeeld van de classificatie van methoden die worden gebruikt om informatiebeveiliging te garanderen: obstakel - een methode om het pad van een aanvaller naar informatie fysiek te blokkeren; toegangscontrole – een beschermingsmethode door het gebruik van systeeminformatiebronnen te reguleren; maskeren is een methode om informatie te beschermen door middel van cryptografische transformatie; regelgeving is een methode om informatie te beschermen die voorwaarden schept voor geautomatiseerde verwerking waarbij de mogelijkheid van ongeoorloofde toegang tot een minimum wordt beperkt; dwang is een beschermingsmethode waarbij personeel wordt gedwongen zich te houden aan de regels voor de verwerking, overdracht en gebruik van informatie; Aansporing is een beschermingsmethode waarbij de gebruiker wordt aangemoedigd om de wijze van verwerking, overdracht en gebruik van informatie niet te schenden door naleving van ethische en morele normen.


Middelen voor de bescherming van informatiesystemen Dergelijke middelen kunnen worden geclassificeerd op basis van de volgende criteria: technische middelen - diverse elektrische, elektronische en computerapparatuur; fysieke middelen – geïmplementeerd in de vorm van autonome apparaten en systemen; software – software ontworpen om informatiebeveiligingsfuncties uit te voeren; cryptografische hulpmiddelen – wiskundige algoritmen die gegevenstransformaties bieden om informatiebeveiligingsproblemen op te lossen; organisatorische middelen – een reeks organisatorische, technische, organisatorische en juridische maatregelen; morele en ethische middelen - worden geïmplementeerd in de vorm van normen die zich hebben ontwikkeld met de verspreiding van computers en informatietechnologieën; wetgevende middelen - een reeks wetgevingshandelingen die de regels regelen voor het gebruik van IP, de verwerking en de overdracht van informatie.

Gerelateerde publicaties: