РМАЦИИ ИТА ИНФО ЗАЩ ЗАКЛЮЧИТЕЛЬНАЯ ЛЕКЦИЯ СЕДЬМАЯ

РМАЦИИ ИТА ИНФО ЗАЩ , ЗАКЛЮЧИТЕЛЬНАЯ ЛЕКЦИЯ СЕДЬМАЯ

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ • процесс обеспечения конфиденциальности, целостности и доступности информации; • все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки; • состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. 2

МОДЕЛИ БЕЗОПАСНОСТИ • Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право. • Целостность — избежание несанкционированной модификации информации. • Доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа. 3

КОНФИДЕНЦИАЛЬНОСТЬ • Конфиденциальность — необходимость предотвращения утечки (разглашения) какой-либо информации. • Нарушением конфиденциальности в сфере компьютерной безопасности, подлежащим уголовному преследованию, считаются: • Противозаконный доступ • Неправомерный перехват • Воздействие на данные • Воздействие на функционирование системы • Противозаконное использование устройств 4

ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ • Целостность информации означает, что данные не были изменены при выполнении какой-либо операции над ними, будь то передача, хранение или отображение. • Примеры нарушений целостности данных: • попытка злоумышленника изменить номер аккаунта в банковской транзакции, или попытка подделки документа; • случайное изменение информации при передаче или при неисправной работе жёсткого диска; • искажение фактов средствами массовой информации с целью манипуляции общественным мнением. 5

ДОСТУПНОСТЬ ИНФОРМАЦИИ • Доступность информации — состояние информации, при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно. • К правам доступа относятся: • право на чтение; • изменение, копирование, уничтожение информации; • права на изменение, использование, уничтожение ресурсов. • Методы обеспечения доступности информации: • системы бесперебойного питания; • резервирование и дублирование мощностей; • планы непрерывности бизнес-процессов. 6

ДОПОЛНИТЕЛЬНЫЕ МОДЕЛИ • Неотказуемость или апеллируемость— способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты. • Подотчётность — свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. • Достоверность — свойство соответствия предусмотренному поведению или результату. • Аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным. 7

ЗАЩИТА НА ГОСУДАРСТВЕННОМ УРОВНЕ • Комитет Государственной думы по безопасности; • Совет безопасности России; • Федеральная служба по техническому и экспортному контролю; • Федеральная служба безопасности Российской Федерации; • Федеральная служба охраны Российской Федерации; • Служба внешней разведки Российской Федерации; • Министерство обороны Российской Федерации; • Министерство внутренних дел Российской Федерации; • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор); • Центральный банк Российской Федерации. 8

ЗАЩИТА НА ПРЕДПРИЯТИИ • Служба экономической безопасности; • Служба безопасности персонала (Режимный отдел); • Кадровая служба; • Служба информационной безопасности. 9

НАПРАВЛЕНИЯ ЗАЩИТЫ • Защита объектов информационной системы. • Защита процессов, процедур и программ обработки информации. • Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др. ). • Подавление побочных электромагнитных излучений. • Управление системой защиты. 10

ЭТАПЫ СОЗДАНИЯ СРЕДСТВ ЗАЩИТЫ • • Определение информационных и технических ресурсов, подлежащих защите. Выявление полного множества потенциально возможных угроз и каналов утечки информации. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки. Определение требований к системе защиты. Осуществление выбора средств защиты информации и их характеристик. Внедрение и организация использования выбранных мер, способов и средств защиты. Осуществление контроля целостности и управление системой защиты. 11

ПРОГРАММНО-ТЕХНИЧЕСКАЯ ЗАЩИТА • Средства защиты от несанкционированного доступа. • Системы анализа и моделирования информационных потоков. Криптографические средства. • Системы мониторинга сетей. Анализаторы протоколов. Антивирусные средства. • Межсетевые экраны. Инструментальные средства анализа систем защиты. • Системы резервного копирования. Системы аутентификации. • Средства предотвращения взлома корпусов и краж оборудования. • Средства контроля доступа в помещения. 12

ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД) • Средства авторизации. • Мандатное управление доступом. • Избирательное управление доступом. • Управление доступом на основе ролей. • Журналирование (так же называется Аудит). 13

ПРИЧИНЫ НСД • Ошибки конфигурации (прав доступа, ограничений на массовость запросов к базам данных). • Слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников). • Ошибки в программном обеспечении. • Злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители праве доступа к информации). • Прослушивание каналов связи при использовании незащищённых соединений внутри локальной сети. • Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации. 14

ПОСЛЕДСТВИЯ НСД • Утечка персональных данных (сотрудников компании и организацийпартнеров). • Утечка коммерческой тайны и ноу-хау. • Утечка служебной переписки. • Утечка государственной тайны. • Полное либо частичное лишение работоспособности системы безопасности компании. 15

USB-ТОКЕНЫ • Двухэтапная аутентификация при помощи SMS или звонка легко обходится перевыпуском новой SIM-карты. • Многие банки сохраняют вместе с телефонным номером IMSI — уникальный идентификатор SIM-карты. • При использовании токенов аутентификатором выступает аппаратный модуль: USB-токен, SIM-карта или NFC брелок, который хранит ключи и самостоятельно выполняет криптографические операции. • При этом ключи предустановлены при производстве и никогда не покидают токен. 16

ПРИНЦИП РАБОТЫ • Пользователь с помощью логина-пароля. • Сервер проверяет учетные данные и, если они верны, генерирует запрос для токена и отправляет его браузеру. • Браузер передает запрос токену, который может затребовать на свое усмотрение действия от пользователя. Например, прикосновение пальцем к контактной площадке. • Токен возвращает программе ответ, который передается на сервер. • Аутентификация выполнена. 17

ПРЕИМУЩЕСТВА ТОКЕНОВ • Ключ из токена невозможно извлечь в незашифрованном виде. При экспорте открытого ключа с токена необходимо ввести PIN-код, на что даётся 3 попытки. • Токен представляет собой некий «черный ящик» : данные поступают на вход, преобразуются с помощью ключа и передаются на выход. • Обычный пароль можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ключа в 16 раз. Ключ в токене может быть любого разумного уровня сложности. 18

КРИПТОГРАФИЯ • Криптография — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства. • В Российской Федерации коммерческая деятельность, связанная с использованием криптографических средств, подлежит обязательному лицензированию 19

СИММЕТРИЧНЫЕ КРИПТОСИСТЕМЫ • Симметричные криптосистемы — способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ. • Ключ алгоритма должен сохраняться в секрете обеими сторонами. • Алгоритм шифрования выбирается сторонами до начала обмена сообщениями. • Примеры: • Простая перестановка – (таблица по столбцам) • Одиночная перестановка по ключу – (перестановка столбцов) • Двойная перестановка – (двойное шифрование с разными параметрами) • Перестановка "Магический квадрат" – (квадрат больше 3 х3) 20

АССИМИТРИЧНОЕ ШИФРОВАНИЕ • Ключ шифрования передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу и используется для шифрования сообщения. • Для расшифровки сообщения используется закрытый ключ. • Ключ шифрования и ключ расшифровки – не совпадают. • Кроме зашифрованного текста и ключа как правило требуется инструкция, как их применять. Пример: шифровка по телефонному справочнику 21

КРИПТОАНАРХИЯ «Законы математики сильнее человеческих законов, поэтому криптоанархизм бессмертен» «Мне может и нечего скрывать, но чем я занимаюсь — это не ваше дело» • Криптоанархизм — философия, которая призывает к использованию сильной криптографии для защиты приватности и индивидуальной свободы. • Криптоанархисты создают виртуальные сообщества. Каждый участник сообщества остаётся анонимным до тех пор, пока сам не пожелает себя раскрыть. 22

АНОНИМНАЯ ТОРГОВЛЯ • Анонимная торговля — это процесс купли-продажи, при котором личности участников сделки и сама суть сделки не должны стать известны третьей стороне. • Средства анонимной торговли: • анонимные электронные деньги – криптовалюта; • анонимные интернет-переводы; • криптографические средства обмена сообщениями; • желательно - проведение сделки в анонимной сети. 23

АНОНИМНЫЕ СЕТИ • Анонимные сети — компьютерные сети, созданные для достижения анонимности в Интернете и работающие поверх глобальной сети. • Децентрализованные анонимные сети, например, Bit. Message: • Свободные соединение и запросы на ресурсы внутри сети. • Каждая машина обрабатывает запросы от других в качестве сервера. • Любой участник может разорвать соединение в любой момент времени. • Гибридные анонимные сети, например, Tor: • Координацию работы обеспечивают сервера. • Гибридные сети сочетают скорость централизованных сетей и надёжность децентрализованных. • При выходе из строя одного или нескольких серверов, сеть продолжает функционировать. 24

THE ONION ROUTER – TOR • Tor позволяет с высокой степенью сохранять анонимность для личного пользования(если соблюдать правила анонимности). • Открытый код позволяет убедиться, что система не имеет «скрытых лазеек» для спецслужб. • Невозможно отследить откуда и куда направлен запрос и какой трафик передается. • Для установки системы достаточно скачать и установить TOR-браузер. • Tor – не подходит для использования в корпоративных целях. 25

TOR. ВОЗМОЖНОСТИ • Анонимизация – просмотр веб-сайтов анонимно. • Обход блокировок – не самый оптимальный способ. • Просмотр. onion сайтов: • Amberoad – свободная торговая площадка широкого профиля с форумом для общения. • R 2 D 2 – закрытый ресурс с торговым уклоном. Запрещены для обсуждения ряд тем. • RAMP – узкоспециализированный торговый ресурс. • Runion – форум о безопасности, позиционируйший себя как зона свободного общения с торговой веткой. 26

СПАСИБО ЗА ВНИМАНИЕ! 27