1. Цель и задачи дисциплины icon

1. Цель и задачи дисциплины



Название1. Цель и задачи дисциплины
страница1/33
Дата конвертации21.06.2013
Размер3.42 Mb.
ТипДокументы
скачать >>>
  1   2   3   4   5   6   7   8   9   ...   33


1. Цель и задачи дисциплины

Цель дисциплины.

Целью преподавания дисциплины является ознакомление с организационными, техническими, алгоритмическими и другими методами и средствами защиты компьютерной информации, с законодательством и стандартами в этой области, с современными криптосистемами.

Задачи дисциплины.

1. Сформировать взгляд на криптографию и защиту информации, как на систематическую научно-практическую деятельность, носящую прикладной характер.

2. Сформировать базовые теоретические понятия (возможно, на элементарном уровне), лежащие в основе процесса защиты информации.

3. Дать представление о роли компьютера, как о центральном месте в области криптографии, взявшем на себя большинство функций традиционной компьютерной деятельности, включающей реализацию криптографических алгоритмов, проверку их качества, генерацию и распределение ключей, автоматизацию работы по анализу перехвата и раскрытию шифров.

4. Научить использованию криптографических алгоритмов в широко распространенных программных продуктах.


^ 2. Требования к уровню освоения содержания дисциплины

В результате изучения программ курса студенты должны:

- знать правовые основы защиты компьютерной информации, математические основы криптографии, организационные, технические и программные методы защиты информации в современных компьютерных системах и сетях, стандарты, модели и методы шифрования, методы идентификации пользователей, методы защиты программ от вирусов, основы инфраструктуры систем, построенных с использованием публичных и секретных ключей;

- уметь применять известные методы и средства поддержки информационной безопасности в компьютерных системах, проводить сравнительный анализ, выбирать методы и средства, оценивать уровень защиты информационных ресурсов в прикладных системах;

- иметь представление об основных направлениях и перспективах развития методов и средств защиты информации и управления правами использования информационных ресурсов при передаче конфиденциальной информации по каналам связи, установлении подлинности передаваемых сообщений, хранении информации (документов, баз данных), встраивании скрытой служебной информации.


^ 3. Рекомендованная литература

  1. Защита информации в персональных ЭВМ/ А.В. Спесивцев, В.А. Вернер, А.Ю. Крутяков и др..- М.:Радио и связь, 1993 г.

  2. Теоретические основы компьютерной безопасности. Уч. Пособие для вузов по спец. "Компьютерная безопасность", "Компьютерное обеспечение информационной безопасности автоматизированных систем"/ П.Н. Девытин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербатов. – М.:Радио и связь.2000 – 190 с.

  3. Основы информационной безопасности. Учебное пособие для вузов/Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов – М.:Горячая линия – Телеком, 2006-544 с.

  4. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. – 2-е издание. – М.:Горяцая линия – Телеком, 2004-147 с.



Оглавление:

Глава 1. Общая характеристика угроз, служб и механизмов безопасности 3

^ Глава 2. Архитектура систем защиты информации 10

Глава 3. Уровни защиты информации в эталонной модели ВОС и в реальных ИВС 13

Глава 4. Аппаратно-программные средства защиты информации 23

^ Глава 5. Традиционные симметричные криптосистемы 29

Глава 6. Современные симметричные криптосистемы 54

Глава 7. Ассиметричные криптосистемы 83

Глава 8. Управление криптографическими ключами 89

Глава 9. Управление доступом в ИВС 99

Глава 10. Электронно-цифровая подпись 105

Глава 11. Методы и средства защиты при работе в Интернете 117



^

Глава 1. Общая характеристика угроз, служб и механизмов безопасности


Комплексное рассмотрение вопросов обеспечения безопасности информационно-вычислительных систем и сетей (ИВС) нашло свое отражение в так называемой архитектуре безопасности, которая является расширением эталонной модели взаимосвязи открытых систем. В рамках этой архитектуры различают угрозы безопасности, а также услуги (службы) и механизмы ее обеспечения.

Под угрозой безопасности данных будем понимать потенциально существующую возможность случайного или преднамеренного действия (или бездействия), в результате которого может быть нарушена безопасность данных.

^ Несанкционированный доступ к данным - это злоумышленное или случайное действие, нарушающее технологическую схему обработки данных и ведущее к получению, модификации или уничтожению данных. Несанкционированный доступ (НСД) к данным может быть пассивным (чтение, фотографирование и т.п.) и активным (модификация, уничтожение).

Нарушитель - это субъект, осуществляющий НСД к данным. Противник (злоумышленник) - субъект, осуществляющий преднамеренный НСД к данным.

Нарушение безопасности:

  • случайные воздействия природной среды (ураган, землетрясение, пожар, наводнение и т.п.);

  • целенаправленные воздействия нарушителя (шпионаж, разрушение компонентов ИВС, использование прямых каналов утечки данных);

  • внутренние возмущающие факторы (отказы аппаратуры, ошибки в математическом и программном обеспечении, недостаточная профессиональная и морально - психологическая подготовка персонала и т.д.).

Под каналом утечки данных следует понимать потенциальную возможность НСД, которая обусловлена архитектурой, технологической схемой функционирования ИВС, а также существующей организацией работы с данными.

Косвенными называются такие каналы утечки, использование которых для НСД не требует непосредственного доступа к техническим устройствам ИВС. Косвенные каналы утечки возникают, например, вследствие недостаточной изоляции помещений, просчетов в организации работы с данными и предоставляют нарушителю возможность применения подслушивающих устройств, дистанционного фотографирования, перехвата электромагнитных излучений, хищения носителей данных и производственных отходов ( листингов машинных программ и т.п.).

Прямые каналы утечки данных, требуют непосредственного доступа к техническим средствам ИВС и данным. Наличие прямых каналов утечки обусловлено недостатками технических и программных средств защиты ОС, СУБД, математического и программного обеспечения, а также просчетами в организации технологического процесса работы с данными. Прямые каналы утечки данных позволяют нарушителю подключаться к аппаратуре ИВС, получать доступ к данным и выполнять действия по анализу, модификации и уничтожению данных.




Рис. 1.1. Основные угрозы безопасности данных ИВС.


При использовании прямых каналов утечки нарушитель может осуществлять следующие действия:

  1. Cчитывать данные из файлов (элементов БД) других пользователей.

  2. Cчитывать данные из запоминающих устройств после выполнения разрешенных запросов.

  3. Kопировать носители данных.

  4. Выдавать себя за зарегистрированного пользователя, чтобы использовать его полномочия или снять с себя ответственность за НСД.

  5. Представить собственные несанкционированные запросы, как запросы операционной системы.

  6. Получать защищенные данные с помощью специально организованной серии разрешенных запросов.

  7. Модифицировать программное обеспечение.

  8. Преднамеренно включать в программы специальные блоки для нарушения безопасности данных.

  9. Отказаться от факта формирования и выдачи данных.

  10. Утверждать о получении данных от некоторого пользователя, хотя на самом деле данные были сформированы самим нарушителем.

  11. Утверждать о передаче данных какому либо пользователю, хотя на самом деле данные не передавались.

  12. Отказаться от факта получения данных, которые на самом деле были получены.

  13. Изучить права доступа пользователей (даже если сами данные остаются закрытыми).

  14. Несанкционированно расширять свои полномочия; несанкционированно изменять полномочия других пользователей.


При подключении к магистральной линии связи нарушитель может осуществить следующие действия с передаваемыми данными:

  1. Раскрыть содержание передаваемых данных.

  2. Выполнить анализ потока данных.

  3. Изменить поток данных.

  4. Прервать передачу потока данных.

  5. Осуществить инициирование ложного соединения.

Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Источником могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администраторов ИВС и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям (абонентам) ИВС и в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы направлены на несанкционированное использование информационных ресурсов ИВС, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является например, попытка получения информации, циркулирующей в каналах передачи данных ИВС, путем их прослушивания.

Активные угрозы имеют своей целью нарушить нормальный процесс функционирования ИВС посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным угрозам относятся: разрушение или радиоэлектронное подавление линий связи ИВС, вывод из строя ЭВМ или ее операционной системы, искажение сведений в пользовательских базах данных или системной информации ИВС и т.п. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

К основным угрозам безопасности относят: раскрытие конфиденциальной информации, компрометация информации, несанкционированное использование ресурсов ИВС, ошибочное использование ресурсов ИВС, несанкционированный обмен информацией, отказ от информации, отказ в обслуживании.

^ Службы безопасности в рамках идеологии открытых систем службы и механизмы безопасности могут использоваться на любом из уровней эталонной модели: физическом (1), канальном (2), сетевом (3), транспортном (4), сеансовом (5), представительском (6) и прикладном (7).

Протоколы информационного обмена на сетевом и более высоких уровнях эталонной модели взаимодействия открытых систем (ЗМ ВОС) делятся на две группы: типа виртуального соединения и дейтаграммные.

Службы безопасности:

  • аутентификация (подтверждение подлинности);

  • обеспечение целостности;

  • засекречивание данных;

  • контроль доступа;

  • защита от отказов.

Последние две службы едины (инвариантны) по отношению к дейтаграммным и виртуальным сетям.

Служба аутентификации применительно к виртуальным сетям называется службой аутентификации одноуровневого объекта. На этапе установления соединения она обеспечивает подтверждение (опровержение) того, что объект, который предлагает себя в качестве отправителя информации по виртуальному каналу, является именно тем, за кого он себя выдает. На этапе передачи сообщении данная служба обеспечивает подтверждение (опровержение) того, что поступивший блок отправлен именно тем объектом, с которым установлено соединение.

Применительно к дейтаграммным сетям рассматриваемая служба называется службой аутентификации источника данных и обеспечивает подтверждение (опровержение) того, что поступившая дейтаграмма отправлена именно тем объектом, который указан в дейтаграмме в качестве ее отправителя.

Службы целостности можно классифицировать:

  1. По виду сетей, в которых они применяются (виртуальные, дейтаграммные).

  2. По действиям, выполняемым при обнаружении аномальных ситуаций.

  3. По степени охвата передаваемых данных ( блоки в целом либо их элементы, называемые выборочными полями).

^ Служба целостности соединения с восстановлением, используется в виртуальных сетях и обеспечивает выявление искажений, вставок, повторов и уничтожения данных, передаваемых по соединению, а также их последующее восстановление.

^ Служба целостности без соединения обеспечивает выявление искажений в дейтаграммах, а в ограниченном числе случаев - кроме того, вставок и повторов. Служба целостности выборочных полей без соединения обеспечивает выявление искажений в отдельных элементах дейтаграмм.

^ Службы засекречивания данных, как и службы целостности, можно классифицировать по виду сетей, где они используются, и степени охвата передаваемых данных.

^ Служба засекречивания соединения обеспечивает секретность всех данных, пересылаемых по виртуальному каналу образовавшими его объектами. Служба засекречивания без соединения обеспечивает секретность данных, содержащихся в каждой отдельной дейтаграмме. Служба засекречивания выборочных полей выполняет функции применительно к элементам дейтаграмм или блоков, пересылаемых по виртуальному соединению.

^ Служба засекречивания потока данных (трафика), нейтрализует возможность получения сведений об абонентах ИВС и характере использования сети посредством наблюдения за наличием (отсутствием) передачи данных по каналам ИС, длиной передаваемых сообщений, отправителями и получателями, а также интенсивностью информационного обмена.

^ Служба контроля доступа направлена на нейтрализацию попыток несанкционированного использования ресурсов ИВС. Контроль доступа в общем случае может быть избирательным, то есть распространяться только на некоторые виды доступа к ресурсу (например, на обновление информации в базе данных), либо полным, относиться к ресурсу в целом независимо от характера его использования.

^ Службы защиты от отказов направлены на нейтрализацию угрозы отказа от информации со стороны ее отправителя и /или получателя.


Таблица 1.1. Соответствия между службами безопасности и уровнями эталонной модели взаимодействия открытых систем




Наименование службы безопасности

1

2

3

4

5

6

7




^ Службы безопасности виртуальных сетей




1

Аутентификация одноуровнего объекта







^

^







^




2

Целостность соединения с восстановлением










^







^




3

Целостность соединения бес восстановления







^

^







^




4

Целостность выборочных полей соединения



















^




5

Засекречивание соединения

^

^

^

^







^




6

Засекречивание выборочных полей соединения



















^




^ Службы безопасности дейтаграммных сетей




7

Аутентификация источника данных







^

^







^




8

Целостность без сохранения







^

^







^




9

Целостность выборочных полей без соединения



















^




10

Засекречивание без соединения




^

^

^







^




11

Засекречивание выборочных полей без соединения



















^




^ Общие службы безопасности




12

Засекречивание потока данных

^




^










^




13

Контроль доступа







^

^







^




14

Защита от отказов с подтверждением источника



















^




15

Защита от отказов с подтверждением доставки



















^





^ Служба защиты от отказов с подтверждением источника обеспечивает получателя информации доказательствам и (в виде данных), которые исключает попытки отправителя отрицать факт передачи указанной информации или ее содержание. Аналогично, служба защиты от отказов с подтверждением доставки обеспечивает отправителя информации доказательствами, исключающими попытки получателя отрицать факт ее получения или ее содержание.

^ Механизмы безопасности. Шифрование обеспечивает реализацию и используется в ряде других служб. Шифрование может быть симметричным и асимметричным. Первое из них основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования - другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ. Для использования механизмов шифрования в ИВС необходима организация специальной службы генерации ключей и их распределения между абонентами ИВС.

Кроме шифрования предусматриваются следующие механизмы безопасности:

  1. Цифровая (электронная) подпись.

  2. Контроль доступа.

  3. Обеспечение целостности данных.

  4. Обеспечение аутентификации.

  5. Подстановка трафика.

  6. Управления маршрутизацией.

  7. Арбитраж, или освидетельствование.

Механизмы цифровой подписи используются для реализации служб аутентификации и защиты от отказов. Эти механизмы основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.

^ Механизмы контроля доступа осуществляют проверку полномочий объектов ИВС (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных и конечной точках. Многообразие конкретных механизмов контроля доступа делятся на две основные группы: механизмы первой группы основаны на аутентификации объектов, требующих ресурса, и последующей проверке допустимости доступа, для которой используется специальная информационная база контроля доступа; механизмы второй группы основываются на использовании меток (мандатов) безопасности, связываемых с объектами. "Предъявление" объектом соответствующего мандата дает право на доступ к ресурсу.

Механизмы обеспечения целостности данных направлены на реализацию службы, как применительно к отдельному блоку данных, так и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования, и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Такой механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока данных, который может быть реализован, например, посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков. Возможны и более простые методы контроля целостности потока данных типа нумерации блоков или их дополнением, так называемым клеймом (меткой) времени.

^ Механизмы обеспечения аутентификации. Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих одноуровневых объектов проверяет подлинность другого, тогда как во втором, проверка является взаимной. На практике механизмы аутентификации, как правило, совмещаются с шифрованием, цифровой подписью и арбитражем.

^ Механизмы подстановки трафика, называемые также механизмами заполнения текста, используются для реализации службы засекречивания потока данных. Они основываются на генерации объектами ИВС фиктивных блоков, их шифровании и организации их передачи по каналам сети. Тем самым нейтрализуется возможность получения информации об ИВС и абонентах, посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам сети.

^ Механизмы управления маршрутизацией. Обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам.

^ Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами ИВС, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит через арбитра.


Таблица 1.2. Взаимосвязи между службами и реализующими их механизмами.




Наименование механизма

^ Службы безопасности







Виртуальных сетей

Дейтаграммных сетей

Общие







1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

1

Шифрование

^

^

^

^

^

^

^

^

^

^

^

^










2

Цифровая подпись

^
















^

^

^













^

^

3

Контроль доступа





































^







4

Обеспечение целостности данных




^

^

^










^

^













^

^

5

Обеспечение аутентификации

^











































6

Подстановка трафика































^













7

Управление маршрутизацией













^













^




^










8

Арбитраж








































^







  1   2   3   4   5   6   7   8   9   ...   33




Нажми чтобы узнать.

Похожие:

1. Цель и задачи дисциплины icon1. Цель и задачи дисциплины
Цель и задачи дисциплины: подготовить специалиста, владеющего эффективными методами проведения стоматологического просвещения среди...
1. Цель и задачи дисциплины icon1. Цель и задачи дисциплины Цель дисциплины
Целью преподавания дисциплины является ознакомление с организационными, техническими, алгоритмическими и другими методами и средствами...
1. Цель и задачи дисциплины icon1. Цель и задачи дисциплины Цель дисциплины
Целью преподавания дисциплины является ознакомление с организационными, техническими, алгоритмическими и другими методами и средствами...
1. Цель и задачи дисциплины iconУчебно-методический комплекс дпп. 08 Методика преподавания психологии ( указывается наименование и шифр дисциплины в соответствии с гос и учебным планом) Цель и задачи дисциплины «Методика преподавания психологии»
Цель и задачи дисциплины «Методика преподавания психологии» − сформировать систему компетенций специалиста – преподавателя психологии,...
1. Цель и задачи дисциплины icon1. Цель и задачи дисциплины Цель дисциплины
Сформировать готовность студентов педагогического университета к активному развитию интеллектуальной сферы личности школьников на...
1. Цель и задачи дисциплины iconПрограмма дисциплины сдм. В. 02 Методика организации и проведения тренингов (указывается наименование и шифр дисциплины в соответствии с гос и учебным планом) Цель и задачи дисциплины Цель изучения дисциплины «Методика организации и проведения тренингов»

1. Цель и задачи дисциплины iconПрограмма дисциплины дпп. В. 00 Проблемы духовного развития личности (указывается наименование и шифр дисциплины в соответствии с гос и учебным планом) Цель и задачи дисциплины Цель изучения дисциплины «Проблемы духовного развития личности»

1. Цель и задачи дисциплины iconЦель и задачи дисциплины
Эта цель является комплексной, включающей в себя, помимо практической (коммуникативной), образовательную и воспи­тательную цели
1. Цель и задачи дисциплины iconЦели и задачи дисциплины Изучение дисциплины «Концепции современного естествознания» проводится в течение десятого семестра. Лекционный курс определен в количестве 32 часов, практические занятия 22 часа. Дисциплина заканчивается зачетом. Цель
Цель изучения дисциплины направлена на формирование представлений о естественнонаучной картине мира (енкм) как глобальной модели...
1. Цель и задачи дисциплины iconАннотация программы учебной дисциплины «Русский язык и культура речи» Цель и задачи дисциплины

1. Цель и задачи дисциплины icon1. Цель и задачи дисциплины
Задачами изучения дисциплины «Профессиональная этика юриста» является научить студента
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©rushkolnik.ru 2000-2015
При копировании материала обязательно указание активной ссылки открытой для индексации.
обратиться к администрации
Документы