- •Угрозы безопасности информации и их классификации.
- •Заголовок: Концептуальная основа для проектирования системы защиты информации от нсд в вчСистеме.
- •Организационные меры защиты информации в вчСети. Идентификация и аутентификация.
- •Тема: Идентификация и Аутентификация
- •Модели управления доступом.
- •Типы моделей управления доступом.
- •Характеристики и описания модели безопасности.
- •22 Октября 2011 г.
- •Криптография.
- •Алгоритмы и ключи
- •Метод перестановки.
- •Тема: Своевременные подходы к построению криптографических методов.
Заголовок: Концептуальная основа для проектирования системы защиты информации от нсд в вчСистеме.
Для тех систем, которые связаны сетью, необходимо защищать не только элементы системы (сети), но и каналы связи. т.к. на каналах связи для нарушителей меньше риск и легче. Особенно легко на путях - если это пассивных перехват информации (получает информацию и ничего с ней не делает - не изменяет)
Коммуникации - особо высокая степень защиты необходима. Достаточно высокие шансы уйти у нарушителя и замести следы. Поэтому необходимо учитывать тот факт, что нарушитель мб пользователем сети или высоко квалифицированным.
Защитить все каналы связи физически не всегда возможно, целесообразно строить защиту информации и сопровождающих ее служебных признаков.
(Легче защитить поезд, чем железнодорожную систему).
Защищается всё на основе специальных криптографических оснований, т.е. на основе самой информации.
Основой для криптографических преобразований чаще всего служит кодограмма (пользователям системы известна) сообщений, которой обмениваются элементы системы.
Целостность этой кодограммы и содержащаяся в ней информации должна быть защищена от НСД. Данная кодограмма как правило содержит адрес получателя, заголовок, информацию отправителя, концевик, адрес отправителя, исходящий номер, время отправления.
Если пакетный режим - добавляется еще номер пакета.
Для того, чтобы была синхронизация приема и обработки кодограммы в нее включаются кадры. Кадр содержит информационное поле, заголовок и концевик, присваиваемый протоколом (TCP/IP или др)
Заголовок содержит служебную информацию, используемую протоколом канального уровня принимающей станции и слушающую для идентификации сообщения о правильном приеме кадров, а так же для восстановления и повторной передачи в случае ошибок.
Концевик содержит проверочное поле, служащее для коррекции и исправления ошибок.
Для обеспечения передачи блоков данных от передающей станции к принимающей кодограмма содержит признаки маршрута. Все составляющие кодограммы формируются на основе семиуровневой модели протокола взаимодействия открытых систем (OSI)
Анализ исследований в области безопасности в ВЧСетях позволяет взять за основу комплекс требований, которые должны быть конечной целью при создании средств защиты информации.
После того, как соединение между абонентами ВЧСети установлено, необходимо обеспечить 4 условия:
Получатель сообщения должен быть уверен в истинности источника данных
Получатель сообщения должен быть уверен в истинности полученных данных
Отправитель должен быть уверен в доставке данных получателю
Отправитель должен быть уверен в истинности доставленных получателю данных
При этом предполагается, что выполнение этих 4 условий включается защита от активных вторжений нарушителя:
Воздействие на поток сообщений (задержки, посылки ложных сообщений…)
Воспрепятствие передачи сообщениям
Осуществление ложных соединений
Анализ трафика, чтение сообщение и что-то еще не определяется с помощью этих 4 условий.
Чтобы обеспечить полную защиту (полнота постановки задачи защиты) необходимо обеспечить еще 4 условия:
Отправитель и получатель должны быть уверены, что никому кроме них и специальному посреднику, факт передачи сообщений между ними не известен.
Отправитель и получатель должны быть уверены, что с доставленной информацией никто кроме них не ознакомился.
Получатель должен быть уверен, что отправитель - это то лицо, за которое он себя выдает.
Отправитель должен быть уверен, что получатель - то лицо, которому необходимо передать информацию.
Если эти 8 требований выполнены, предполагается, что защита на максимальном уровне; но защитить от квалифицированного сотрудника не могут.
Всю кодограмму преобразовывать нецелесообразно (долго, дорого). Преобразуют определенные признаки, которые позволяют защитить.
Один из методов: использование методов ЕЦП, несимметричное шифрование.
Чтобы обеспечить возможность контроля и разграничения доступа необходимо всем участникам обмена информации присваивать переменные идентификаторы, значения которых формируются прямо в процессе передачи, и проверка подлинности которых обеспечивается механизмом ЦП.
Абонентам присваиваются идентификаторы- секретные ключи
Стойкость защитного механизма определяется стойкостью к подбору переменного секретного ключа в количестве времени, затрачиваемого нарушителем на эту работу. Если это время превышает время жизни информации - то прочность преграды равно единице (прочность =1)
Разность во времени между сообщением и служебными части информации (без них не получишь всей информации).
Происходит огромный набор процедур - шифрование, перешифрованние, новые шифры новые части.
Стремятся к созданию быстро перешифровывающимся частям служебной информации….