Зуйкова О.Л. Основы криптографической защиты информации. Учебное пособие - файл n1.doc

Зуйкова О.Л. Основы криптографической защиты информации. Учебное пособие
скачать (689.6 kb.)
Доступные файлы (13):
n1.doc133kb.29.08.2005 01:16скачать
n2.doc88kb.19.08.2005 18:44скачать
n3.doc264kb.29.08.2005 01:16скачать
n4.doc1263kb.29.08.2005 17:19скачать
n5.doc196kb.29.08.2005 20:01скачать
n6.doc152kb.28.08.2005 22:47скачать
n7.doc192kb.29.08.2005 17:49скачать
n8.doc157kb.29.08.2005 01:15скачать
n9.doc110kb.29.08.2005 16:33скачать
n10.doc23kb.29.08.2005 01:35скачать
n11.doc130kb.29.08.2005 20:00скачать
Titl+annot.doc27kb.29.08.2005 01:25скачать
n13.doc202kb.29.08.2005 20:14скачать

n1.doc



– –




ВВЕДЕНИЕ
Данный курс лекций посвящен проблемам криптографической защиты информа­ционных систем (ИС) от преднамеренных действий по искажению и несанкционированному использованию хранящейся в них информации. Поскольку информация может представлять собой опре­деленную цен­ность, воз­можны разнообразные злонамеренные действия по отношению к системам, хранящим, обрабатывающим или передающим такую информа­цию.

Проблема защиты информации имеет давнюю историю. Она воз­никла из потреб­ностей тайной передачи, сначала военных и ди­плома­тических сообщений. В настоящее время она актуальна во многих облас­тях деятельности, в том числе и для коммерческих организаций и частных лиц. Особую актуальность проблема защиты информации приоб­рела в информационных системах. Широкое применение компьютеров и компью­терных комму­никаций радикально изменило характер и диапазон проблем защиты информации.

Криптография является в настоящее время неотъемлемой частью сетевых технологий.При использовании компьютерных сетей, по которым передаются большие объемы информации государственного, ком­мерчес­кого, военного и частного характера, необходимо не допустить возмож­ность доступа к этой информации посторонних лиц.

Кроме того, необхо­димо обеспечить контроль подлиннос­ти инфор­мации, хранящейся в электронном виде. Широкое внедрение безбумаж­ного документооборота также требует дополнительных средств защиты в силу отсутствия на электронных документах подписей и печатей. Встает также вопрос о защите права на частную жизнь, если в этой жизни исполь­зуются электронная почта, электронное хранение личных архивов. Многие пользуются такими криптографическими средст­вами, как шифрова­ние электронной почты, банковские карточки и други­ми. Все большее распро­странение получают безналичные расчеты с использованием телекоммуни­кационных сетей, электронные деньги. В то же время появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию серьезных систем защиты.

Таким образом, как при разработке ИС, так и при работе с ними весьма важно уметь создавать и приме­нять эффективные средства для реализации всех необходимых функций, связанных с обеспечением конфиденциальности и целостности информации.

1.ОСНОВЫ БЕЗОПАСНОСТИ информациОННЫХ СИСТЕМ

    1. Основные понятия и определения информационной безопасности


Информация, которая нуждается в защите, объявляется защищаемой, приватной, конфиденциальной, секретной. Для наиболее типичных, часто встречающихся ситуаций такого типа введены даже специальные по­нятия: государственная тайна; военная тайна; коммерческая тайна; юридическая тайна; врачебная тайна и т. д.

Далее мы будем говорить о защищаемой информации, имея в виду следующие признаки такой информации:

Конфиденциальность данных – это статус, предоставленный данным и определяющий степень их защиты.

Рассмотрим основные определения информационной безопасности компьютерных систем.

Под безопасностью информационных систем понимают ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, изме­нения или разрушения ее компонентов. Природа воздействий на ИС может быть самой разно­образной. Это и стихийные бедствия (землетрясение, ураган, пожар), и выход из строя составных элементов ИС, и ошибки пер­сонала, и попытка проникновения злоумышленника.

Безопасность ИС достигается принятием мер по обес­печению конфиденциальности и целостности обрабатываемой ею информации, а также доступности и целостности компонентов и ресурсов системы.

Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модифика­ция или уничтожение информации.

Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступ к информацииэто доступ к инфор­ма­ции, не нарушающий установленные правила разграни­чения доступа.

Правила разграничения доступа служат для регламента­ции права доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризу­ется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее рас­пространенным видом компьютерных нарушений.

Конфиденциальность данных - это статус, предоставлен­ный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Субъектэто активный компонент системы (пользователь, программа), который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.

Объектпассивный компонент системы (диск, канал связи), хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения.

Целостность компонента или ресурса системы – это свойство компонента или ресурса быть неизменными в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса системы – это свойство компонента или ресурса быть доступным для авторизованных законных субъектов системы.

Под угрозой безопасности ИС понимаются возможные воздействия на ИС, которые прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безопасности подразумевает нарушение состояния защищенности информации, содержащейся и обрабатывающейся в ИС. С понятием угрозы безопасности тесно связано понятие уязвимости ИС.

Уязвимость ИСэто некоторое неудачное свойство системы, которое делает возможным возникновение и реализацию угрозы.

Атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и пользовании той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью защиты систем обработки информации.

Безопасная или защищенная системаэто система со средствами защиты, которые успешно и эффективно противостоят угрозам безопас­ности.

Надежная система определяется как «система, использующая достаточные аппаратные и программные средства для обеспе­чения одновременной обработки информации разной степени секретности группой пользо­вателей без нарушения прав доступа». Надежность системы оценивается по двум основным критериям: политика безопасности и гарантированность.

Комплекс средств защиты представляет собой совокупность прог­раммных и технических средств, создаваемых и поддерживаемых для обес­печения информационной безопасности ИС. Он создается и поддерживает­ся в соответствии с определенной политикой безопасности.
    1. Политика безопасности


Политика безопасности – набор законов, правил и норм, определя­ющих дисциплину об­работки, защиты и распространения информации. Определяет выбор конкретных механизмов, обеспечивающих безопасность системы, и является ак­тивным компонентом защиты, включающим в себя анализ возможных угроз и выбор мер противодействия. Она должна вклю­чать в себя, по крайней мере, следующие элементы:

Произвольное управление доступом. Заключается в ограничении доступа к объектам на основе учета персональных характеристик субъекта или группы, в которую субъект входит. Произвольность состоит в том, что владелец объекта по своему усмотрению может разрешать, запрещать или ограничивать доступ других субъектов к данному объекту.

Текущее состояние прав доступа при произвольном управлении описывается матрицей, в строках которой перечислены субъекты, а в столбцах — объекты. На пересечении строк и столбцов находятся иденти­фикаторы способов доступа, допустимые для субъ­екта по отношению к объекту, например чтение, запись, исполнение, возможность передачи прав другим субъектам и т.п. Помимо матрицы доступа используется бо­лее компактное представление, основанное на структурировании совокуп­ности субъектов. Применяются также списки управления доступом — представление матрицы по столбцам, когда для каждого объекта перечис­ляются субъекты вместе с их правами доступа.

Безопасность повторного использования. Данная мера позволяет защититься от слу­чайного или преднамеренного извлечения секретной информации из «мусора». Без­опасность повторного использования должна гарантироваться для областей оператив­ной памяти (в частности, для буферов с образами экрана, паролями, ключами и т.п.) и для различных носителей информации.

Современные периферийные устройства усложняют обеспечение безопасности повтор­ного использования. Например, принтер может буферизовать несколько страниц доку­мента, которые останутся в памяти даже после окончания печати. Необходимо пред­принять специальные меры, чтобы «очистить» память устройства.

Метки безопасности. Принудительное управление доступом реализуется при помощи ме­ток безопасности, ассоциированных с субъектами и объектами. Метка субъекта описы­вает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации.

Метки состоят из двух частей — уровня секретности и списка категорий. Наиболее часто используемый набор уровней секретности состоит из следующих элементов: «совершенно секретно», «секретно», «конфиденциально», «несекретно». Для систем различного назначения набор уровней секретности может быть различным. Назначение категорий — описание предметной области, к которой относятся данные. Механизм категорий позволяет разделить информацию, что способствует повышению безопасности системы. Так, субъект не сможет получить доступ к «чужим» категориям, даже если он абсолютно благонадежен.

Принудительное управление доступом. Принудительное управление доступом основа­но на сопоставлении меток безопасности субъекта и объекта.

Субъект может читать информацию объекта, если его уровень секретности не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, указаны в метке субъекта.

Субъект может записывать информацию в объект, если уровень безопасности объекта не ниже, чем у субъекта, а все категории, перечисленные в метке безопасности субъекта, указаны в метке объекта. Так, в частности, субъект, относящийся к уровню «конфи­денциально», может писать в секретные файлы, но не может — в несекретные (при соблюдении ограничений на набор категорий). Уровень секретности информации не должен понижаться, хотя обратный процесс возможен.

Описанный способ управления называется принудительным, так как не зависит от во­леизъявления субъектов. После того как метки безопасности субъектов и объектов за­фиксированы, оказываются зафиксированными и права доступа.
    1. Гарантированность


Гарантированность — уровень доверия, которое может быть оказано конкретной реализа­ции системы. Гарантированность отражает степень корректности механизмов безопас­ности. Гарантированность можно считать пассивным компонентом защиты, надзираю­щим за механизмами обеспечения безопасности.

Гарантированность — это мера уверенности в том, что выбранный набор средств позволяет реализовать сформулированную политику безопасности. Различают два вида гарантированности — операционная и техно­логическая.

Операционная гарантированность. Данный вид гарантирован­нос­ти включает анализ:

Архитектура системы должна разрабатываться с учетом сформулированных мер без­опасности или допускать принципиальную возможность их встраивания. Необходимо предусмотреть средства для контроля целостности программного и аппаратного обес­печения.

Анализ скрытых каналов утечки информации особенно важен в тех случаях, когда необходимо обеспечить конфиденциальность информации. Скрытым называется канал, не предназначенный для передачи информации при традиционном использовании. Например, для передачи информации по скрытому каналу злоумышленник может изменить имя или размер открытого (доступного для чтения) файла. Другой способ заключается в изменении временных характеристик различных процессов.

Надежное восстановление включает в себя подготовку к сбою (отказу) и собственно восстановление. Подготовка к сбою — это, прежде всего регулярное выполнение резерв­ного копирования, а также выработка планов действий в экстренных случаях. Восста­новление, как правило, свя­зано с перезагрузкой системы и выполнением различных технологических и административных процедур.

В период восстановления система не должна оставаться незащи­щенной; нельзя допус­кать состояний, когда защитные механизмы полнос­тью или частично отключены.

Технологическая гарантированность. Этот вид гарантированнос­ти распространяется на весь жизненный цикл системы — проектирование, реализацию, тестирование, переда­чу заказчику и сопровождение. Методы контроля направлены на недопущение утечки информации и внедрения нелегальных «закладок».

Основной метод заключается в тестировании реализованных меха­низмов безопасности и их интерфейса с целью доказательства адекватнос­ти защитных механизмов, невозможности их обхода или разрушения, демонстрации действенности средств управления доступом, защищен­ности регистрационной и аутентификационной информации.

Другой метод – верификация описания архитектуры. Цель верифи­кации — доказа­тельство того, что архитектура системы соответст­вует сформулированной политике безопасности.

Осуществляется также комплекс мер по защите и проверке постав­ляемой версии систе­мы, начиная от проверок серийных номеров аппарат­ных компонентов и кончая вери­фикацией контрольных сумм программ и данных.

Кроме того: Концепция надежной вычислительной базы является центральной при оценке степени гарантированности надежной системы. Надежная вычислительная база представляет собой совокупность защитных механизмов (включая программное и аппаратное обеспечение), гаран­тирующих безопасность системы. Компоненты вне вычислительной базы могут быть ненадежными (например, каналы связи), однако это не должно влиять на безопасность системы в целом.

Механизм протоколирования также является важным средством обеспечения безопасно­сти. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации.
    1. Угрозы Безопасности ИС


В качестве угрозы можно рассматривать конкретное физическое лицо или событие, пред­ставляющее опасность для ресурсов и приводящее к нарушению их конфиденциальности, целостности, доступности и законного использования. Атака представляет собой реализацию той или иной угрозы или их комбинации. Контрмеры сводятся к набору превентивных дей­ствий по защите ресурсов от возможных угроз.

По цели воздействия различают три основных типа угроз безопасности ИС:

  1. угрозы нарушения конфиденциальности информации, направленные на разглаше­ние конфиденциальной или секретной информации. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен несанкционированный доступ к некото­рой закрытой информации, хранящейся в компьютерной системе или передаваемой от одной системы к другой.

  2. угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, на­правлены на ее изменение или искажение, приводящее к наруше­нию ее качества или полному уничтожению. Эта угроза особенно актуальна для систем передачи информации – компьютерных сетей и систем телекоммуникаций.

  3. угрозы нарушения работоспособности системы (отказы в об­служивании) направле­ны на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность ИС, либо блокируют доступ к некоторым ее ресурсам.

Угрозы подразделяются на преднамеренные (например, атака со стороны хакера) и слу­чайные (например, посылка по неправильному адресу в результате сбоев во время передачи сообщения). Преднамеренные угрозы подразделяются на пассивные и активные.

Пассивные угрозы вытекают из прослушивания (несанкционированного считывания информации) и не связаны с каким-либо изменением информации.

Активные угрозы являются следствием по­пыток перехвата и изменения информации. Как правило, реализация пассивных угроз тре­бует меньших затрат, чем реализация угроз активных.

Рассмотрим типичные угрозы, характерные для современных рас­пределенных систем. При классификации угроз выделяют [7] фундамен­тальные угрозы, первичные инициирующие угро­зы и базовые угрозы.

К фундаментальным угрозам относятся следующие.

Реализация фундаментальных угроз во многом зависит от реализации пер­вичных угроз. Первичные угрозы инициируют фундаментальные угро­зы. Первичные угрозы подразделя­ются на угрозы проникновения и угрозы внедрения.

К угрозам проникновения относятся следующие:

К угрозам внедрения относятся следующие:

Подобные угрозы, как правило, реализуются при помощи специальных агентов внедрения, активизирующихся после некоторого периода латентности.

Рассматривая фундаментальные угрозы, следует учитывать также угрозы базовые. На­пример, утечка информации связана с такими базовыми угрозами, как:

Рисунок 1.1. Взаимосвязь различных видов угроз

Взаимосвязь различных угроз представлена на рис. 1.1. Отметим, что эта взаимосвязь может быть достаточно сложной. Так, маскарад явля­ется угрозой, инициирующей фунда­ментальные угрозы, в том числе утечку информации.

Однако маскарад сам по себе также может зависеть от утечки информации. Например, раскрытие пароля может инициировать угрозу маскарада.

Анализ более трех тысяч компьютерных преступлений показал, что чаще всего возникают следующие угрозы (в порядке убывания) [7]:

  1. нарушение полномочий;

  2. маскарад;

  3. обход защиты;

  4. троянские программы или потайные ходы;

  5. «копание в мусоре».

Существуют и другие угрозы для защищаемой информации со стороны незаконных пользо­вателей: подмена, имитация, отказ от со­общения, изменение статуса доступа, раз­рушение системы и др.
    1. Услуги безопасности


Рассмотрим услуги безопасности, характерные для распределенных систем [7]. Вопросы ре­ализации этих услуг рассматриваются в следующем параграфе.

Аутентификация. Различают аутентификацию партнеров по взаимодействию и аутенти­фикацию источника данных (сообщений).

Управление доступом. Управление доступом обеспечивает защиту от несанкционированного использования ресурсов сети.

Конфиденциальность данных. Конфиденциальность обеспечивает защиту от несанкци­онированного получения информации. Различают следующие виды конфиденциальности:

Целостность данных. Данная услуга подразделяется на подвиды в зависимости от того, какой тип взаимодействия используется — с установлением соединения или без, защи­щается ли сообщение целиком или только отдельные поля, обеспечивается ли восста­новление в случае нарушения целостности.

Принадлежность. Данная услуга (доказательство принадлежности в случае отказа от ра­нее переданного/принятого сообщения) обеспечивает:
    1. Механизмы реализации услуг безопасности


Для реализации услуг безопасности могут использоваться следующие механизмы и их ком­бинации.

Шифрование. Шифрование подразделяется на симметричное (один и тот же секретный ключ для шифрования и дешифрования) и асимметричное (различные ключи для шиф­рования и дешифрования).

Электронная цифровая подпись. Механизм электронной подписи включает в себя две процедуры:

Процедура выработки подписи использует информацию, известную только подписыва­ющему. Процедура проверки подписи является общедоступной, при этом, однако, она не позволяет раскрывать секретную информацию подписывающего.

Механизмы управления доступом. В ходе принятия решения о предоставлении запра­шиваемого доступа могут использоваться следующие виды и источники информации:

Механизмы управления доступом могут находиться у любой из вза­имодействующих сторон или в промежуточной точке. В промежуточных точках целесообразно проверять права доступа к коммуникационным ресурсам. Требования механизма, расположенного на приемном конце, должны быть известны заранее, до начала взаимодействия.

Механизмы контроля целостности. Различают два аспекта цело­стности: целостность сообщения или отдельных его полей и целостность потока сообщений.

Процедура контроля целостности отдельного сообщения (или по­ля) включает в себя два процесса — один на передающей стороне, другой — на приемной. На передающей сто­роне к сообщению добавляется избы­точность (та или иная разновидность контрольной суммы), которая являет­ся функцией сообщения. Полученное приемной стороной сооб­щение также используется для вычисления контрольной суммы. Решение принимается по результатам сравнения принятой и вычисленной контрольных сумм. Отметим, что данный механизм не защищает от несанкционированного воспроизведения (например, дублирования) сообщений.

Для проверки целостности потока сообщений (то есть для защиты от изъятия, переупо­рядочивания и вставки сообщений) используются порядковые 30номера, временные метки, криптографичес­кие методы (в виде различных режимов шифрова­ния) или иные анало­гичные приемы.

При взаимодействии без установления соединения использование временных меток мо­жет обеспечить частичную защиту от несанкцио­нирован­ного воспроизведения сообще­ний.

Механизмы аутентификации. Аутентификация может достигаться за счет использова­ния паролей, персональных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрической инфор­мации.

Аутентификация бывает односторонней (например, клиент доказывает свою подлин­ность серверу) и двусторонней (взаимной). Пример односторонней аутентификации — вход пользователя в систему.

Для защиты от несанкционированного воспроизведения аутентифи­ка­ционной инфор­мации могут использоваться временные метки и система единого времени, а также различные методы на основе хэш-функций.

Механизмы дополнения («набивки») трафика. Механизмы «на­бив­ки» трафика эф­фективны только в сочетании с мерами по обеспе­чению конфиденциальности; в против­ном случае злоумышленник сможет выде­лить полезные сообщения из общего потока, содержащего шумовую «набивку».

Механизмы нотаризации. Механизм нотаризации служит для заверения подлинности. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, для того чтобы ее заверениям можно было доверять. Как правило, но­таризация опирается на механизм электронной цифровой подписи.
    1. Администрирование


Администрирование включает в себя управление информацией, необходимой для реализации услуг безопасности и их механизмов, а также сбор и анализ информации об их функциониро­вании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

Как правило, все объекты администрирования сводятся в единую ин­формационную базу управления безопасностью. База может не сущест­вовать как единое распределенное храни­лище, однако каждая из конечных систем должна располагать информацией, необходимой для реализации функций администрирования.

Основные задачи администратора средств безопасности сводятся к администрированию:

Администрирование системы в целом заключается в проведении адекватной политики безопасности, во взаимодействии с другими службами, в реагировании на происходящие со­бытия, аудит и безопасном и надежном восстановлении.

Администрирование услуг безопасности включает в себя определе­ние защищаемых объ­ектов, выбор и комбинирование механизмов реализа­ции услуг безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.

Администрирование механизмов реализации услуг безопасности заключается в выборе и своевременной смене параметров в случае возник­новения угрозы.

Обязанности администратора определяются перечнем задейство­ванных механизмов реализации услуг безопасности. Как правило, адми­нистрирование включает следующие направления:

  1. управление ключами (генерация и распределение). К данному виду управления можно отнести и администрирование механизмов электронной цифровой подписи, а также управление целостностью, если целостность обеспечивается криптографическими сред­ствами;

  2. администрирование управления доступом (распределение инфор­мации, необходимой для управления, — паролей, списков доступа);

  3. администрирование аутентификации (распределение информации, необходимой для ау­тентификации, — паролей, ключей и т.п.);

  4. управление «набивкой» трафика — выработка правил, задающих характеристики «шумовых» сообщений. Характеристики могут варьи­роваться в зависимости от даты и времени суток;

  5. управление нотаризацией (распространение информации о нотариальных службах и их администрирование).
    1. Протоколирование и аудит


Протоколирование и аудит обеспечивают регистрацию последствий различных нарушений и выявление злоумышленников путем анализа накопленной регистрационной информации.

Разумный подход заключается в совместном анализе регистрацион­ных журналов отдель­ных составляющих системы с целью проверки полно­ты и непротиворечивости произошедших в ней событий.

Протоколирование помогает отслеживать действия пользователей и реконструировать прошедшие события. Реконструкция событий позволяет проанализировать случаи наруше­ний, оценить размеры ущерба и принять соответствующие меры. При протоколировании событий должна регистрироваться, по крайней мере, следующая информация:

Аудит имеет дело с событиями, затрагивающими безопасность системы, и представляет собой анализ накопленной информации с целью выявления попыток нарушения информаци­онной безопасности. К числу таких событий относятся:

Полный перечень событий, подлежащих анализу, зависит от избранной политики безопас­ности.

Активный аудит — отслеживание подозрительных действий в реальном масштабе време­ни. Активный аудит включает:

Для выявления нетипичной активности и начала злоумышленных дей­ствий используется метод сопоставления с предварительно полученны­ми образцами тех или иных системных событий, а также сигнатурами известных атак.




Учебный материал
© bib.convdocs.org
При копировании укажите ссылку.
обратиться к администрации