Методы защиты информации

МОСКОВСКАЯ ГОСУДАРСТВЕННАЯ ЮРИДИЧЕСКАЯ  АКАДЕМИЯ

КАФЕДРА ПРАВОВОЙ ИНФОРМАТИКИ

 

 

 

 

 

 

 

 

 

 

 

 

Контрольная работа

 

Тема: «Методы защиты информации»

 

 

 

 

 

 

 

 

Выполнила: студентка 2-го курса (4 гр.) Новичкова М.С.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Вологда 2010

 

Содержание

 

 

Тема контрольной  работы № 16

Задание согласно методическим указанием.

При написании контрольной работы по данной теме студенту предстоит осветить следующие вопросы:

1. место защиты информации в информационной безопасности

2. системный подход защите информации

3. методы защиты информации

4. электронную цифровую подпись как один из способов защиты информации 
   1. Место защиты информации в информационной безопасности

 

Безопасность проявляется  как невозможность нанесения  вреда функционированию и свойствам объекта, либо его структурных составляющих. Это положение служит методологическим основанием для выделения видов безопасности. Одной из важных структурных составляющих многих объектов безопасности является информация или деятельность, предметом которой является информация. Наличие угроз этим объектам позволяет говорить об их информационной безопасности - безопасности их "информационного измерения".

Нанесение вреда информации, способности человека ее воспринимать и осмысливать имеет следствием ущерб человеку как социальному и биологическому существу, существенно снижает возможность его выживания в реальном мире. Исходя из этого, информационная безопасность человека заключается в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой информации, информационных взаимодействиях с другими индивидами и часто имеет информацию в качестве предмета деятельности.

"Информационное измерение"  государства определяется информационным  наполнением его деятельности. Эта деятельность с содержательной точки зрения заключается в выполнении функций государства, например, таких как обеспечение безопасности, ликвидация последствий стихийных бедствий и экологических катастроф, реализация социальных программ поддержки здравоохранения, социального обеспечения нетрудоспособных, защита прав и свобод граждан. "Информационное" наполнение деятельности государства определяется деятельностью его органов, с одной стороны, по управлению делами общества, стимулированию развития информационной инфраструктуры и информационной деятельности граждан, защите их прав и свобод в этой области, а с другой - по обеспечению законных ограничений на доступ к информации, несанкционированное раскрытие которой может нанести ущерб интересам личности, общества и государства.

Нанесение вреда этой деятельности органов государства  способно существенно снизить его  возможности по выполнению государственных  функций. Так, безнаказанное нарушение  тайны переговоров, личной и семейной тайны подрывает доверие граждан к государству, уменьшает социальную поддержку его деятельности; блокирование команд на боевое использование сил и средств ведения вооруженной борьбы лишает государство возможности отражения внешней агрессии; подделка таможенных деклараций - лишает его возможности противостоять угрозам экономике общества. Таким образом, информационная безопасность государства заключается в невозможности нанесения вреда деятельности государства по выполнению функций управления делами общества, предметом которой выступает информация и информационная инфраструктура общества.

Человек, общество и государство  не являются единственно возможными объектами безопасности, обладающими  своим "информационным измерением". Объектом информационной безопасности может выступать сама информация. В этом случае содержание "информационной безопасности" будет заключаться в защищенности информации от угроз. Такая постановка вопроса характерна как для социальных систем, так и для технических систем.

В жизни человека существует немало случаев, распространение информации о которых, может негативным образом сказаться на социальном статусе человека и других условиях его жизни. Аналогичным образом, при осуществлении коммерческой деятельности возникает информация, известность которой другим участникам рынка может существенно снизить доходность этой деятельности. В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается и устанавливаемый режим ее использования призван предупредить возможность несанкционированного ознакомления с ней. В этом случае объектом безопасности выступает режим доступа к информации, а информационная безопасность заключается в невозможности нарушения этого режима. Примером могут служить информационно-телекоммуникационные системы и средства связи, предназначенные для обработки и передачи сведений, составляющих государственную тайну. Основным объектом безопасности в них является режим доступа к секретной информации. Информационная безопасность таких систем заключается в защищенности этой информации от несанкционированного доступа, уничтожения, изменения и других действий, которые должны происходить только в соответствии с порядком, установленным владельцем этих сведений.

Объектом информационной безопасности может быть коммерческое предприятие. Тогда содержание "информационной безопасности" будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. Интересы проявляются через объекты, способные служить для их удовлетворения, и действия, предпринимаемые для обладания этими объектами. Соответственно интересы как объект безопасности могут быть представлены совокупностью информации, способной удовлетворять интерес собственника, и его действий, направленных на овладение информацией или сокрытие информации. Эти составляющие объекта информационной безопасности и защищаются от внешних и внутренних угроз. В случае, когда собственник предприятия не видит необходимости в защите своих действий, например, в связи с тем, что это не окупается, содержание информационной безопасности предприятия может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию обычно относят к коммерческой тайне.

Объектом информационной безопасности в определенных случаях  может быть информационная система. Тогда под информационной безопасностью будет пониматься "защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры". Вследствие этого правильный с методологической точки зрения подход к проблемам обеспечения информационной безопасности должен начинаться с выявления субъектов отношений, связанных с использованием информационных систем. Спектр их интересов может быть разделен "на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения), конфиденциальность (защита от несанкционированного ознакомления)".

 

2. Системный подход к защите информации

 

Применение методов  системного анализа к построению системы противодействия угрозам  безопасности позволяет заложить комплекс мероприятий по защите информации на стадии проектирования системы, обеспечив оптимальное сочетание организационных и технических мер защиты информации.

Важность реализации этого принципа обусловлена тем, что дополнение функционирующей  незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Современные средства защиты информации можно классифицировать следующим образом:

- активные и пассивные  технические средства, обеспечивающие защиту от утечки информации по различным физическим полям;

- программные и программно-технические  средства, обеспечивающие разграничение  доступа к информации на различных  уровнях; 

- программные и программно-технические  средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;

- программно-аппаратные  средства, обеспечивающие целостность  программного продукта и защиту  от несанкционированного его  копирования; 

- программные средства, обеспечивающие защиту от воздействия программ-вирусов.

Принцип самозащиты и  конфиденциальности системы защиты информации основан на декомпозиции механизма воздействия угроз  безопасности информации. При реализации такого подхода появляется возможность контролировать целостность системы защиты информации, управлять ее безопасностью, восстанавливать эту систему при ее "взломе" и/или отказах оборудования.

На этапе подготовки к обработке конфиденциальной информации также существует проблема выбора средств защиты, и в частности, систем защиты информации, обрабатываемой с использованием технических средств. Такие системы должны строиться по определенным принципам. Это связано с необходимостью противодействия целому ряду угроз безопасности информации.

К принципам противодействия угрозам относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации. При этом следует учитывать совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы

 

3. Современные методы защиты информации

 

Если мы уже заговорили про защиту, то сразу необходимо определиться кто, как, что и от кого защищает.

Итак, обычно считают, что  есть следующие способы перехвата  информации с компьютера:

1) ПЭМИH - собственно электромагнитное  излучение от РС

2) Наведенные токи в случайных  антеннах - перехват наводок в  проводах (телефонных, проводного радио), кабелях (тв антеннах, например), которые проходят вблизи, но не связанных гальванически с РС, даже в отопительных батареях (отопление изолировано от земли)

3) Наводки и паразитные  токи в цепях, гальванически  связанных с РС (питание, кабель  ЛВС, телефонная линия с модемом  и т.п)

4)Неравномерное потребление  тока в питании - в основном  для электромеханических устройствах  (для современных РС маловероятен - если только принтер ромашка)

5) Редкие способы (в  виде наведенных лазеров )

Обычно самым незащищенным местом является видеотракт, с него можно перехватить картинку, находящуюся  на экране. Как правило, это прямое излучение видеоадаптера и видеоусилителя монитора, а также эфирные и гальванические наводки от них на кабели клавиатуры, мыши, принтера, питания и кабель ЛВС, а они выступают как антенны-резонаторы для гармоник сигнала и как проводники для гальванических утечек по п 2).

Причем, чем лучше РС (белее), тем лучше монитор и адаптер и меньше "свист". Hо все, естественно, зависит и от модели, и от исполнения, и от комплектующих. "Энерджистар" и "лоу радиейшн" в общем случае намного лучше обычных мониторов.

Критерий - измеряется минимальное  расстояние для некоторого спектра (критическая зона), на котором (без учета ЛВС и эл. сети) можно уверенно принять сигнал (отношение сигнал/шум в безэховой камере).

Какие применяются меры:

-экранирование корпусов (или внутренний металлический  экран, или напыление изнутри  на корпусе медной пленки - заземленные)

-установка на экран  трубки монитора или сетки,  или доп. стекла с заземленным  напылением

-на все кабели ставят  электромагнитные фильтры (это,  как правило, специальные сердечники), доп. оплетку экрана

- локальные экраны  на платы адаптеров

-дополнительные фильтры  по питанию

-дополнительный фильтр  в цепь ЛВС (лично сам видел  для AUI)

Ну а проблемой защиты информации путем ее пpеобpазования занимается кpиптология (kryptos - тайный, logos - наука). Кpиптология разделяется на два наплавления - кpиптогpафию и кpиптоанализ. Цели этих направлений прямо противоположны.

Криптография и криптоанализ

Кpиптогpафия занимается поиском и исследованием математических методов пpеобpазования информации.

Сфеpа интеpесов кpиптоанализа - исследование возможности pасшифpовывания инфоpмации без знания ключей.

Совpеменная кpиптогpафия включает в себя четыpе кpупных pаздела:

Симметричные кpиптосистемы  Кpиптосистемы с откpытым ключом

Системы электpонной подписи  Системы упpавления ключами.

Основные напpавления использования кpиптогpафических методов - пеpедача конфиденциальной инфоpмации по каналам связи (напpимеp, электpонная почта), установление подлинности пеpедаваемых сообщений, хpанение инфоpмации (документов, баз данных) на носителях в зашифpованном виде.

Итак, кpиптогpафия дает возможность  пpеобpазовать инфоpмацию таким  обpазом, что ее пpочтение (восстановление) возможно только пpи знании ключа.

 качестве инфоpмации,  подлежащей шифpованию и дешифpованию, будут pассматpиваться тексты, постpоенные  на некотоpом алфавите. Под этими теpминами понимается следующее:

Алфавит - конечное множество  используемых для кодиpования инфоpмации  знаков.

Текст - упоpядоченный  набоp из элементов алфавита.

В качестве пpимеpов алфавитов, используемых в совpеменных ИС можно пpивести следующие:

* алфавит Z33 - 32 буквы  pусского алфавита и пpобел;

* алфавит Z256 - символы,  входящие в стандаpтные коды ASCII и КОИ-8;

* бинаpный алфавит  - Z2 = {0,1};

* восьмеpичный алфавит  или шестнадцатеpичный алфавит;

Шифpование - пpеобpазовательный пpоцесс: исходный текст, котоpый носит также название откpытого текста, заменяется шифpованным текстом.