Теоретические основы информационной безопасности

Рекомендовано Редакционно-издательским советом университета

Рецензенты:

В.В. Егоров, проректор по УиУМР КарГТУ, д.п.н., профессор,

И.В. Брейдо, зав.кафедрой АПП, д.т.н., профессор

Теория и организация систем защиты информации:Учебноепособие / А.Ж. Амиров, Т.Л. Тен, Г.Д. Когай, Кожанов М.Г. Карагандинский государственный технический университет.- Караганда: Изд-во КарГТУ, 2015. - 82 с.

ISBN

Системно излагаются теоретические основы информационной безопасности и описываются практические аспекты, связанные с их реализацией. Пособие состоит из трех разделов: «Теоретические основы защиты информации», «Основы криптографии», «Защита информации в IP-сетях».

Предназначено для магистратов, обучающихся по направлениям 6М070400 – вычислительная техника и программное обеспечение, 6М070300 – информационные системы, а также может быть полезно широкому кругу специалистов в области информационных технологий.

УДК 004.4

ББК 32.973

ISBN

© Карагандинский государственный технический университет,

Амиров А.Ж., Тен Т.Л., Когай Г.Д., Кожанов М.Г., 2015

СОДЕРЖАНИЕ

ВВЕДЕНИЕ. 6

1 ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7

1.1. Базовые понятия. 7

1.2 Общая схема процесса обеспечения безопасности. 10

1.3. Идентификация, аутентификация, управление доступом. защита от несанкционированного доступа. 11

1.3.1. Парольные системы аутентификации. 12

1.4. Модели безопасности. 14

1.4.1. Модель Харрисона-Рузо-Ульмана. 16

1.4.2. Модель Белла-ЛаПадула. 19

1.4.3. Ролевая модель безопасности. 21

1.5. Процесс построения и оценки системы обеспечения безопасности. Стандарт ISO/IEC 15408. 23

2. ОСНОВЫ КРИПТОГРАФИИ.. 25

2.1 Основные понятия. Классификация шифров. 25

2.1.1. Виды шифров. 29

2.2. Симметричные шифры.. 30

2.2.1. Схема Фейстеля. 30

2.2.2. Шифр DES. 33

2.2.3. Шифр ГОСТ 28147-89. 40

2.3. Управление криптографическими ключами для симметричных шифров 42

2.3.1. Протокол Kerberos. 44

2.4. Асимметричные шифры.. 47

2.4.1 Основные понятия. 47

2.4.2. Распределение ключей по схеме Диффи-Хеллмана. 50

2.4.3. Криптографическая система RSA.. 52

2.4.5. Совместное использование симметричных и асимметричных шифров. 56

2.5 Хэш-функции. 56

2.5.1 Хэш-функции без ключа. 57

2.5.2. Алгоритм SHA-1. 58

2.5.3. Хэш-функции с ключом. 59

2.6. Инфраструктура открытых ключей. Цифровые сертификаты.. 60

3. ЗАЩИТА ИНФОРМАЦИИ В IP-СЕТЯХ.. 65

3.1. Протокол защиты электронной почты S/MIME. 65

3.2. Протоколы SSL И TLS. 67

3.3. Протоколы IPSEC и распределение ключей. 70

3.3.1Протокол AH.. 71

3.3.2. Протокол ESP. 73

3.3.3. Протокол SKIP. 75

3.3.4. Протоколы ISAKMP и IKE. 76

3.3.5. Протоколы IPSec и трансляция сетевых адресов. 78

3.4. Межсетевые экраны.. 80

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ.. 81

СПИСОК ПРИНЯТЫХ СОКРАЩЕНИЙ

ACL – Access Control List – список управления доступом

CBC – Cipher Block Chaining – сцепление блоков шифра (режим работы шифра DES)

CFB – Cipher FeedBack – обратная связь по шифртексту (режим работы шифра DES)

CRL – Certificate Revocation List – список отозванных сертификатов

ECB – Electronic Code Book – электронная кодовая книга (режим работы шифра DES)

ESP – Encapsulating Security Payload – протокол инкапсулирующей защиты данных

ICV – Integrity Check Value – значение контроля целостности

MAC – Message Authentication Code – код аутентификации сообщений, имитовставка

OFB – Output FeedBack – обратная связь по выходу (режим работы шифра DES)

PKI – Public Key Infrastructure – инфраструктура открытых ключей SA – Security Association – контекст защиты или ассоциация безопасности

SPI – Security Parameter Index – индекс параметров защиты

АС – автоматизированная система (обработки информации)

ИТ – информационные технологии

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОО – объект оценки

ЦС – центр сертификации

ЭЦП – электронная цифровая подпись

ВВЕДЕНИЕ

Современный специалист в области информационных технологий должен обладать знаниями и навыками обеспечения информационной безопасности. Связано это с тем, что в информационных системах предприятий и организаций хранится и обрабатывается критически важная информация, нарушение конфиденциальности, целостности или доступности, которой может привести к нежелательным последствиям. Поэтому вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах разработки и эксплуатации информационных систем.

В данном пособии изложен материал учебной дисциплины «Теория и организация систем защиты информации», в ходе изучения которой, студенты получают базовые знания о теории защиты информации, методах и средствах обеспечения информационной безопасности, а также практические навыки организации защиты информационных систем. Пособие включает в себя три главы .

В главе 1 «Теоретические основы защиты информации» вводятся базовые понятия, связанные с обеспечением информационной безопасности, рассматриваются основные угрозы безопасности и меры противодействия им и делается обзор формальных моделей безопасности и современных стандартов в этой области.

Глава 2 «Основы криптографии» включает описание основных понятий криптографии и изучаются наиболее распространенные алгоритмы симметричного и асимметричного шифрования, формирования дайджестов сообщений с помощью хэш-функций, процесс создания инфраструктуры открытых ключей (PKI).

В главе 3 «Защита информации в IP-сетях» рассматриваются протоколы криптографической защиты данных, передаваемых по телекоммуникационным сетям, использующим стек протоколов TCP/IP, использование межсетевых экранов для защиты сетей.

Пособие рекомендуется для магистрантов, обучающихся по направлению 6М070400 – «Вычислительная техника и программное обеспечение», 6М070300 – «Информационные системы», а также может быть полезно широкому кругу специалистов в области информационных технологий.

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Базовые понятия

Начнем изучение дисциплины с определения ряда базовых понятий.

Информация –это сведения о лицах,предметах,фактах,событиях, явлениях и процессах независимо от формы их представления. Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т. д.) на носителях различных типов. Она может представлять ценность для отдельных лиц или организаций.

Защищаемая информация –информация,являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственниками информации. Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо [1].

В последнее время, все большие объемы информации, в том числе и критически важной для отдельных людей, организаций или государств, хранятся, обрабатываются и передаются с использованием автоматизированных систем (АС) обработки информации. Система обработки информации –совокупность технических средств ипрограммного обеспечения, а также методов обработки информации и действий персонала, необходимых для выполнения автоматизированной обработки информации [2].

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

В зависимости от конкретных условий, может решаться задача обеспечения комплексной безопасности объекта информатизации или защиты отдельных ресурсов – информационных, программных и т. д.

Информационные ресурсы (активы) –отдельные документы иотдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов).

Рассматривая вопросы безопасности АС, можно говорить о наличии некоторых «желательных» состояний системы, через которые и описывается ее «защищенность» или «безопасность». Безопасность является таким же свойством системы, как надежность или производительность, и в последнее время ей уделяется все большее внимание. Чтобы указать на причины выхода системы из безопасного состояния, вводятся понятия «угроза» и «уязвимость».

Угроза (безопасности информации) –совокупность условий ифакторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Источник угрозы безопасности информации –субъект (физиче-

ское лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации. По типу источника угрозы делят на связанные и несвязанные с деятельностью человека. Примерами могут служить удаление пользователем файла с важной информацией и пожар в здании, соответственно. Угрозы, связанные с деятельностью человека, разделяют на угрозы случайного и преднамеренного характера. В последнем случае источник угрозы называют нарушителем или злоумышленником.

Уязвимость (информационной системы) –свойство информационной системы, обуславливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Например, угроза потери информации из-за сбоя в сети электропитания реализуется, ес-ли в АС не применяются источники бесперебойного питания или средства резервного электроснабжения (это является уязвимостью).

Если говорить об информационных ресурсах, то реализация угрозы может привести к таким последствиям как получение информации людьми, которым она не предназначена, уничтожение или изменение информации, недоступность ресурсов для пользователей. Таким образом, мы подошли к определению трех основных угроз безопасности.

Угроза конфиденциальности (угроза раскрытия) –это угроза, в

результате реализации которой, конфиденциальная или секретная информация становится доступной лицу, группе лиц или какой-либо организации, которой она не предназначалась. Здесь надо пояснить разницу между секретной и конфиденциальной информацией. В отечественной литературе «секретной» обычно называют информацию, относящуюся к разряду государственной тайны, а «конфиденциальной» – персональные данные, коммерческую тайну и т. п.

Угроза целостности –угроза,в результате реализации которойинформация становится измененной или уничтоженной. Необходимо отметить, что и в нормальном режиме работы АС данные могут изменяться и удаляться. Являются ли эти действия легальными или нет, должно определяться политикой безопасности. Политика безопасности –совокупность документированных правил,процедур,практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Угроза отказа в обслуживании (угроза доступности) –угроза,

реализация которой приведет к отказу в обслуживании клиентов АС, несанкционированному использованию ресурсов злоумышленниками по своему усмотрению.

Ряд авторов [3] д ополняют приведенную классификацию, вводя

угрозу раскрытия параметров АС,включающей в себя подсистемузащиты. Угроза считается реализованной, если злоумышленником в ходе нелегального исследования системы определены все ее уязвимости. Данную угрозу относят к разряду опосредованных: последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность для реализации первичных (непосредственных) угроз.

Таким образом, безопасность информации – это состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность. А защита информации может быть определена как деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Выделяются следующие направления защиты информации:

- правовая защита информации –защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением

- техническая защита информации –защита информации,заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств;

- криптографическая защита информации –защита информации с помощью ее криптографического преобразования1;

- физическая защита информации –защита информации путемприменения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Защита информации осуществляется с использованием способов и средств защиты. Способ защиты информации – порядок и правила применения определенных принципов и средств защиты информации. Средство защиты информации –техническое,программное,программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Отдельно выделяют:

- средства контроля эффективности защиты информации;

- средства физической защиты информации;

- криптографические средства защиты информации.

Наши рекомендации