Безпека та захист інформації Тема 7. План Проблеми

Безпека та захист інформації Тема 7.

План Проблеми захисту інформації у сучасному світі Види загроз для інформації та інформаційних систем Принципи побудови систем захисту інформації Криптографічні методи захисту інформації 2

Доступ до інформації Під доступом до інформації розуміють ознайомлення і користування інформацією Розрізняють доступ: санкціонований несанкціонований 3

Захист інформації Захист інформації – сукупність організаційно-технічних заходів і правових норм для запобігання шкоди інтересам власника інформації та осіб, які користуються інформацією Інформаційна безпека – це стан захищеності інформації 4

Сучасні підходи до захисту інформації Розробка і впровадження правових норм в галузі інформаційної безпеки Популяризація етичних норм користування інформацією Боротьба зі спробами технічного впливу на інформацію Програмний та криптографічний захист інформації Антивірусна боротьба Розвиток системи адміністрування заходами щодо захисту інформації Підвищення надійності систем опрацювання інформації 5

2. Види загроз для інформації та інформаційних систем Під загрозою інформаційній безпеці розуміють потенційно можливі події, дії, процеси чи явища, які можуть негативно вплинути на систему та інформацію, яка у ній зберігається і опрацьовується 6

Види загроз (1) Апаратні збої і відмови: збій – тимчасова зміна функціональних властивостей елемента системи, наслідком чого може бути невірне виконання ним своїх функцій відмова – незворотна втрата працездатності елемента системи, яка робить неможливою виконання ним відповідних функцій Диверсії – навмисні дії, спрямовані на пошкодження певного ресурсу: фізичні (підпал, пошкодження живлення, розкомплектація) логічні (зміна назв файлів, дисків, підміна програм, даних) Віруси – навмисно створена програма, яка після проникнення у систему може приєднуватися до інших програм чи даних (інфікувати їх), самостійно поширюватись шляхом створення власних копій, а у випадку виконання певних умов здійснює негативну дію 7

Види загроз (2) Випромінювання і наведення: випромінювання електромагнітних хвиль з каналів передавання інформації загрожує незаконним доступом до інформації електромагнітне наведення – вплив електромагнітного поля на обладнання і канали зв'язку Крадіжка – викрадення інформації, обладнання послуг Крекери – вузькоспрямовані програми, які дають змогу безперешкодно входити в систему чи використовувати захищені програми Логічні бомби – потенційні дії, які активізуються у випадку виникнення певної події Необережність – дії суб'єктивного характеру, пов'язані з помилками людини, випадковостями, некомпетентністю Хибна маршрутизація – навмисний чи випадковий неправильний вибір шляху передавання інформації Помилки програмування – дії програміста під час програмування, які можуть спричинити збій у системі захисту Перехоплення – несанкціоноване зняття інформації 8

Види загроз (3) Піггібекінг – несанкціонований доступ до тимчасово неконтрольованого ресурсу Навмисні підробка та пошкодження даних – дії, що спрямовані на знищення цілісності даних Стихійні лиха – об'єктивні природні явища спрямовані на знищення чи пошкодження ресурсів Суперзаппінг – несанкціоноване використання утиліт для модифікування, знищення, копіювання, розкриття, використання чи заборони на використання даних Таємний вхід – спеціально створений розробником чи випадково відкритий люк у системі захисту Троянський кінь – спеціальна програма, яка дає змогу діяти програмному забезпеченню у спосіб непередбачений його специфікацією Самозванство – використання чужого ідентифікатора для проникнення у систему 9

Управління ризиком Цілеспрямоване вживання заходів, які спрямовані на забезпечення безпеки інформації, називають управління ризиком У програму управління ризиком входять такі головні елементи: аналіз небезпек (спрямований на визначення потенційних небезпек та наслідків реалізації небезпек) вибір заходів безпеки (звернути особливу увагу на найбільш потенційні втрати від реалізації загроз) сертифікація (технічне підтвердження того, що заходи безпеки і контролю відповідають встановленим вимогам і вживаються нормально) і акредитація заходів безпеки (це офіційний дозвіл державних органів на вживання, зміну чи відмову від відповідних заходів безпеки ) планування випадковостей (заходи, які спрямовані на забезпечення нормальної роботи найбільш важливих частин систем, у випадку виникнення непередбачуваних подій) 10

3. Принципи побудови і функціонування системи захисту інформації Система захисту інформації – це система, яка забезпечує використання комплексу процедурних, логічних та фізичних заходів, спрямованих на зменшення чи усунення загроз для інформації 11

Принципи побудови системи захисту інформації (1) Простота механізмів захисту – система захисту не повинна вимагати від персоналу спеціальних знань, а також виконання ним складних і трудомістких операцій Постійність захисту – механізми захисту повинні бути захищені від несанкціонованого доступу Тотальний контроль – перевірка повноважень будь-якого суб'єкта (програми чи користувача) щодо прав доступу до будь-якого елемента ІС 12

Принципи побудови системи захисту інформації (2) Відкритість проектування – система захисту повинна надійно функціонувати навіть у випадку, коли загально відома її структура Ідентифікація – кожний об'єкт і кожний суб'єкт повинні бути однозначно ідентифіковані у системі захисту Розподіл повноважень – повноваження щодо використання ресурсів повинні розподілені за кількома рівнями, для кожного з яких повинен застосовуватися свій ключ доступу 13

Принципи побудови системи захисту інформації (3) Мінімальність повноважень – для кожного суб'єкта надають мінімальний обсяг повноважень, необхідний для нормальної роботи Надійність – система захисту повинна мати механізм оцінки рівня захисту Відокремлення механізмів захисту – механізми захисту повинні бути відокремлені від функцій управління даними 14

Принципи побудови системи захисту інформації (4) Захист пам'яті – програми, які забезпечують захист повинні розміщуватись у захищеній ділянці пам'яті Зручність – система захисту повинна бути зручною для користувачів Контроль доступу – необхідне існування механізму блокування доступу для неаудентифікованих суб'єктів 15

Принципи побудови системи захисту інформації (5) Звітність – система захисту повинна володіти механізмами документування подій Вибірковість виконання – дозвіл на виконання лише тих команд, які не шкодять операційному середовищу Системний підхід – система захисту повинна враховувати усю сукупність чинників, які впливають на рівень захищеності 16

Принципи побудови системи захисту інформації (6) Комплексний підхід – у системі захисту повинні узгоджуватись між собою усі заходи захисту інформації Нарощення – система захисту повинна передбачати, що кількісні та якісні показники загроз будуть зростати Адекватність – заходи безпеки повинні бути адекватними до визначеного рівня захисту 17

Принципи побудови системи захисту інформації (7) Покарання зловживань – система захисту повинна передбачати процедури покарання зловмисників Гнучкість – система захисту повинна давати можливість коригувати рівень захисту Неперервність захисту – захист інформації є постійно триваючим процесом 18

Закони України щодо захисту інформації Закон України “Про інформацію” Закон України “Про державну таємницю” Закон України “Про захист інформації в автоматизованих системах” Закон України “Про науково-технічну інформацію” 19

Засоби захисту інформації Апаратні засоби Програмні засоби Програмно-апаратні засоби Криптографічні засоби – засоби для криптографічного перетворення інформації (шифрування, дешифрування) Стеганографічні засоби – засоби, які забезпечують приховування факту існування інформації 20

Політика безпеки ІС Політика безпеки – це сукупність норм, правил і практичних рекомендацій, які покладені в основу управління, захисту і розподілу інформації в ІС Розрізняють два основні види політики безпеки: вибіркова політика безпеки (передбачає використання матриці доступу) повноважна політика безпеки (мітки конфіденційності та рівні допуску) 21

4.Основи криптографії Криптологія – наука про криптографію та криптоаналіз Криптографія - наука про математичні методи забезпечення конфіденційності і автентичності інформації Криптоаналіз – наука про математичні методи порушення конфіденційності і цілісності інформації без знання ключа Шифрування – перетворення відкритого (явного) тексту у шифрограму (криптограму) Дешифрування – зворотне перетворення шифрограми у відкритий текст Ключ – таємний параметр, який використовують для шифрування і (чи) дешифрування інформації 22

Типи алгоритмів шифрування Симетричний (з закритим ключем) – для шифрування і дешифрування використовують той самий ключ Асиметричний (з публічним ключем) – для шифрування і дешифрування використовують окремі ключі 23

Шифр Цезаря C=P+n(mod Z) де C – номер літери в шифрограмі, P – номер літери в явному тексті, n – крок, Z – кількість літер алфавіту 24

Шифр Цезаря – приклад 1 C=P+3(mod 26) 00(a) → 03(d), 01(b) → 04(e), ... 25(z) → 02(c) imperium → lpshulxp C=P+5(mod 26) imperium → nrujwnzr C=P-2(mod 26) imperium → gkncpgsk 25

Шифр Цезаря – приклад 2 C=P+3(mod 33) імперія → кптзукв C=P-5(mod 33) шифр → удпл 26

Шифр частоколу h – висота частоколу h=2 р п o р ф я криптографія → к и т г a i → рпорфякитгаі h=3 и o a я р т р і криптографія → к п г ф → иоаяртрікпгф Для розглянутих прикладів довжина перестановки й висота частоколу є ключем шифрування й дешифрування 27

Шифр в'язниці (квадрат Полібія) Вітаю → 13 26 45 11 62 хто тут → 52 45 41 45 46 45 У випадку в’язниці вистукують кожну цифру криптограми, роблячи паузи між окремими цифрами: ••••• •• •••• ••••• •••• • •••• ••••• •••• •••••• •••• ••••• 28

Парний шифр Ключ: Реве та стогне Дніпр широкий к → ю, p → б, л → с, х → д, т → ж Зустріч відмінено → аглжбцп єцхоцфґфм 29

Таблиця Віжнера 30

Шифр Віжнера б+в → г Явний текст: Симетричний алгоритм Ключ: шифр 31