Пиши Дома Нужные Работы

Обратная связь

Лекція №3. ВСТУП. ПРЕДМЕТ ЗАХИСТУ. Проблеми захисту інформації

 

План

1. Причини кризи інформаційної безпеки.

2. Проблеми сучасної інформаційної безпеки.

3. Захист інформації та інформаційна безпека.

4. Суб'єкти та об'єкти захисту.

5. Основні етапи історії розвитку інформаційної безпеки.

 

Проблеми захисту інформації

Життя сучасного суспільства неможливе без постійного застосування інформаційних технологій. Комп'ютери обслуговують банківські системи, контролюють роботу атомних реакторів, розподіляють енергію, стежать за розкладом потягів і літаків, керують космічними кораблями. Комп'ютерні системи і телекомунікації визначають надійність і потужність систем оборони і безпеки країни. Комп'ютери забезпечують збереження інформації, її обробку і надання її споживачам, реалізуючи в такий спосіб інформаційні технології.

Однак саме найвищий ступінь автоматизації, до якого прагне сучасне суспільство, ставить його в залежність від ступеня безпеки використовуваних їм інформаційних технологій, від яких залежить благополуччя і навіть життя безлічі людей. Технічний прогрес володіє однією неприємною особливістю – у кожнім його досягненні завжди таїться щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не на користь, а на шкоду людству.

Стосовно до інформаційних технологій це означає, що широке впровадження популярних дешевих комп'ютерних систем масового попиту і застосування робить їх надзвичайно уразливими стосовно деструктивних впливів. Приклади, що підтверджують поширеність цього явища, можна знайти в безлічі на сторінках числених видань, і в ще більшій кількості на сторінках Internet. Фактів стільки, що одне тільки перерахування займе багато часу. Повідомляють, наприклад, що в США в 1998 році в середньому кожні 20 секунд (а зараз, можливо, і частіше) відбувається злочин з використанням програмних засобів. Більш 80% комп'ютерних злочинів відбувається за допомогою Internet. Оцінки втрат коливаються від десятків мільйонів до мільярдів. Причому точних оцінок неможливо одержати в принципі з багатьох причин. Існує безліч організацій, де навіть і не знають про вторгнення, що мали місце, тобто інформацію можна красти непомітно. Як бачимо, інформація стала настільки важливою, що вона перетворилася в коштовний товар, тому що пов'язана з можливістю втрачати матеріальні, фінансові, моральні збитки.



Як показує аналіз історичних фактів і досвід останніх років, постійно винаходяться нові і нові види і форми обробки інформації і паралельно винаходяться всі нові і нові види і форми її захисту. Однак цілком її ніяк не вдається захистити і, напевно, не удасться взагалі. Інакше кажучи, можна говорити про деяке кризове становище в забезпеченні безпеки в інформаційних технологіях.

Які ж передумови кризи мають місце на сьогоднішній день? Не зупиняючи на соціальних, правових і економічних аспектах проблеми, систематизуємо наукові і технічні передумови ситуації з забезпеченням інформаційних технологій.

1. Збільшення обсягів інформації, що накопичується, зберегається та оброблюється за допомогою ЕОМ і інших засобів обчислювальної техніки (ЗОТ). При цьому мова йде не тільки і не стільки про різке і буквальне збільшення самих обсягів, але і розширення арсеналу методів, способів і можливостей її зосередження і збереження, наприклад, коли в єдиних базах даних може зосереджуватися інформація всілякого призначення і приналежності. Фактично, проникнувши в досить могутню базу даних, можна одержати інформацію буквально про усе на світі. Особливо розширилися можливості подібного роду з виникненням глобальної мережі Internet.

2. Сучасні комп'ютери за останні роки отримали гігантську обчислювальну потужність, але (що може показатися парадоксальним) сталі набагато простіше в експлуатації. Це означає, що користуватися ними стало набагато простіше і що все більша кількість нових користувачів одержує доступ до комп'ютерів. Середня кваліфікація користувачів знижується, що значною мірою полегшує задачу ЗЛ, тому що в результаті такої «персоналізації» ЗОТ більшість користувачів мають особисті робочі станції і самі здійснюють їх адміністрування. Більшість з них не в змозі постійно підтримувати безпеку своїх систем на високому рівні, оскільки це вимагає відповідних знань, навичок, а також часу і засобів. Повсюдне поширення мережевих технологій об'єднало окремі машини в локальні мережі, що спільно використовують загальні ресурси, а застосування технології «клієнт-сервер» перетворило такі мережі в розподілені обчислювальні середовища. Тепер безпека мережі починає залежати від безпеки всіх її компонентів, і ЗЛ досить порушити роботу однієї з них, щоб скомпрометувати всю мережу.

Сучасні телекомунікаційні технології об'єднали локальні мережі в глобальні. Це привело до появи такого унікального явища як Internet. І саме розвиток Internet викликав сплеск інтересу до проблеми безпеки і змусив, принаймні частково, переглянути її основні положення. Справа в тому, що крім усіх плюсів користування Internet забезпечує широкі можливості для здійснення порушень безпеки систем обробки інформації усього світу. Якщо комп'ютер підключений до Internet, то для ЗЛ не має ніякого значення, де він знаходиться – у сусідній кімнаті чи на іншому кінці світу.

3. Прогрес в області апаратних засобів супроводжується ще більш бурхливим розвитком програмного забезпечення (ПЗ). Як показує практика, більшість розповсюджених сучасних програмних засобів (у першу чергу – операційних систем (ОС)), незважаючи на великі зусилля розроблювачів у цьому напрямку, не відповідають навіть мінімальним вимогам безпеки. Головним чином, це виражається в наявності вад в організації засобів, що відповідають за безпеку, і різних «не документованих» можливостей. Після виявлення багато вад ліквідуються за допомогою відновлення версій чи додаткових засобів, однак та постійність, з якою виявляються все нові і нові вади, не може не викликати побоювань. Це означає, що більшість систем надають ЗЛ широкі можливості для здійснення порушень.

4. На наших очах практично зникає розходження між даними і програмами, що виконуються, за рахунок появи і широкого поширення віртуальних машин і різних інтерпретаторів. Тепер будь-який розвинутий додаток від текстового процесора до браузера не просто обробляє дані, а інтерпретує інтегровані в них інструкції спеціальної мови програмування, тобто по суті це є окремою машиною. Це істотно збільшує можливості ЗЛ по створенню засобів проникнення в чужі системи й утрудняє захист, тому що вимагає здійснення контролю взаємодії ще на одному рівні – рівні віртуальної машини чи інтерпретатора.

5. Розвиток проблем із зловмисними програмами (вірусами, Internet хробаками, троянами) за останні сім років надбав незмінного характеру і приходиться констатувати, що проблема продовжує погіршуватись. Причому незалежно від того як рахувати обсяг проблеми: за кількістю вірусних інцидентів чи за нанесеними збитками. Проблема погіршується незважаючи на те, що кошти залучені до її вирішення крупними компаніями і організаціями теж постійно зростали упродовж останніх років.

За даними опитування системних адміністраторів та адміністраторів безпеки більш як 200 крупних компаній, яке проводиться щорічно незалежною організацією ICSA Labs, при збереженні тенденції у темпах зростання кількості заражені у 2002 році в середньому компанії по всьому світу будуть мати справу із 135 зараженнями на 1000 комп’ютерів у місяць. Одночасно, за даними іншої антивірусної компанії Message Labs через кілька років кожне п’яте поштове повідомлення буде містити у собі вірус.

З’явилася тенденція до розширення спектру потенційних жертв комп’ютерних вірусів. З моменту появи хробака Моріса у 1988 році і до 2000 року усі віруси були орієнтовані на зараження комп’ютерів користувачів. Але вже наприкінці 2000 року сімейство хробаків L10n заражує трохи менше 1000 Internet серверів по всьому світу. Впродовж першого кварталу 2001 року близько було зафіксовано 5500 заражень хробаками (переважно Poisonbox) Internet серверів, у другому кварталі зусиллями хробака CodeRed кількість заражених серверів сягає 330000, і понад 525000 заражень в основному пов’язаних з вірусом-хробаком Nimda у третьому кварталі. Спостерігається стрімкий зріст кількості вірусів, орієнтованих не на користувачів, а на сервери.

6. Має місце істотний розрив між теоретичними моделями безпеки, що оперують абстрактними поняттями типу об'єкт, суб'єкт і т.д. і сучасними інформаційними технологіями. Це призводить до невідповідності між моделями безпеки і їхнім впровадженням у засобах обробки інформації. Крім того, багато засобів захисту, наприклад, засоби боротьби з комп'ютерними вірусами чи системи firewall узагалі не мають системної наукової бази. Таке положення є наслідком відсутності загальної теорії захисту інформації, комплексних моделей безпеки обробки інформації, що описують механізми дій ЗЛ в реальних умовах в реальних системах, а також відсутністю систем, що дозволяють ефективно перевірити адекватність тих чи інших рішень в області безпеки. Наслідком цього є те, що практично всі системи захисту засновані на аналізі результатів успішних атак, що заздалегідь визначає їх відставання від реальної ситуації. Як приклад можна привести розповсюджену практику закриття пробілів, що «раптово» виявилися, у системі захисту. Крім усього що було сказано, у цій області (особливо в нашій країні) відсутня навіть загальноприйнята термінологія. Теорія і практика найчастіше діють у різних площинах.

7. У сучасних умовах надзвичайно важливим є обґрунтування вимог безпеки, створення нормативної бази, яка не ускладнює задачі розроблювачів, а, навпаки, встановлює обов'язковий рівень безпеки. Існує ряд міжнародних стандартів, що намагаються вирішити цю проблему, однак аж до останнього часу вони не могли претендувати на те, щоб стати керівництвом до дії чи хоча б закласти фундамент безпечних інформаційних технологій майбутнього. У різних країнах, у тому числі й в Україні, розроблені документи, що являють собою лише деяке наслідування закордонним стандартам десятилітньої давнини. В умовах повальної інформатизації і комп'ютеризації найважливіших сфер економіки і державного апарата нашій країні просто необхідні нові рішення в цій області.

8. Має місце винятково складне становище в Україні в області інформаційних технологій. З цього приводу варто помітити наступне [5]: «...Загальна ситуація в Україні в галузі інформатизації на сьогодні не може бути визнана задовільною і не тільки через кризові явища в економіці. Рівень інформатизації українського суспільства порівняно з розвинутими країнами Заходу становить лише 2-2,5%. Загальна криза та технологічне відставання поставили в скрутне становище галузі, які займаються створенням і використанням засобів інформатизації та відповідної елементної бази...

Україна із виробника сучасних машин перетворилася на споживача застарілих іноземних моделей засобів обчислювальної техніки (ЗОТ), що спричинило падіння вітчизняного науково-технічного потенціалу і неспроможність виробляти конкурентні зразки ЗОТ і елементної бази...

Має місце технічне відставання телекомунікаційних систем, мереж передачі даних, які відзначаються недостатньою пропускною здатністю, надійністю зв'язку, низькою якістю та незначним обсягом послуг...».

9. Нарешті, глобальна безпека. В останні роки у світі різко загострилися проблеми, що пов'язані з забезпеченням безпечної діяльності людей узагалі. В умовах політичної та економічної нестабільності у світі зараз постійно виникають різні негативні явища від локальних воєн до міжнародного тероризму. Тому різко ускладнилася проблема забезпечення економічної, матеріальної і навіть фізичної безпеки людини. Забезпечення ж перерахованих видів безпеки виявилося прямо пов’вязаним з інформаційною безпекою внаслідок широкого використання інформаційних технологій практично у всіх областях людської діяльності.

Унаслідок сукупної дії перерахованих факторів перед розроблювачами сучасних інформаційних систем, призначених для обробки важливої інформації, виникають наступні задачі, що вимагають негайного й ефективного рішення:

1. Забезпечення безпеки нових типів інформаційних ресурсів. Оскільки комп'ютерні системи тепер прямо інтегровані в інформаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми представлення інформації (гіпертекст, мультимедиа і т.д.). Це означає, що системи захисту повинні забезпечувати безпеку на рівні інформаційних ресурсів, а не окремих документів, файлів чи повідомлень.

2. Організація довіреної взаємодії сторін (взаємної ідентифікації/автентифікації) в інформаційному просторі. Розвиток локальних мереж і Internet диктує необхідність здійснення ефективного захисту при виділеному доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі. Причому потрібно вирішити цю задачу в глобальному масштабі, незважаючи на те, що сторони, які беруть участь, можуть знаходитися в різних частинах планети, функціонувати на різних апаратних платформах і в різних ОС.

3. Захист від автоматичних засобів нападу. Досвід експлуатації існуючих систем показав, що сьогодні від систем захисту вимагаються зовсім нові функції, а саме, можливість забезпечення безпеки в умовах будь-якої їх взаємодії з подібними засобами, в тому числі і при появі усередині їх програм, що здійснюють деструктивні дії – комп'ютерних вірусів, автоматизованих засобів злому, агресивних агентів. На перший погляд здається, що ця проблема вирішується засобами розмежування доступу, однак це не зовсім так, що підтверджується відомими випадками поширення комп'ютерних вірусів у «захищених» системах.

4. Інтеграція захисту інформації в процес автоматизації її обробки як обов'язковий елемент. Для того, щоб бути затребуваними сучасним ринком інформаційних систем, засоби безпеки не повинні вступати в конфлікт з існуючими додатками і сформованими технологіями обробки інформації, а, навпаки, повинні стати невід'ємною частиною цих засобів і технологій.

5. Розробка сучасних надійних, адекватних та ефективних математичних моделей безпеки.

Якщо ці задачі не будуть вирішені, то подальше поширення інформаційних технологій у сфері критичних систем, що обробляють важливу інформацію, незабаром виявиться під загрозою. Наша країна внаслідок того, що починає інформатизацію «з нуля», є полігоном для застосування останніх досягнень інформаційних технологій, тому для нас рішення задачі створення захищених інформаційних систем є актуальним як ніде у світі.

На сьогоднішній день проблему ЗІ можна охарактеризувати рядом наступних основних положень:

· чітка практична спрямованість, тобто теорія теорією, але більшість положень (принаймні, поки) спочатку реалізуються у вигляді конкретних схем і рекомендацій, які тільки потім узагальнюються і фіксуються у виді теоретичних положень чи методичних рекомендацій;

· багатоаспектність, тобто забезпечення безпеки ведеться по широкому колу напрямків;

· невизначеність, як наслідок наявності «людського фактору» – невідомо, хто, коли, де і яким чином може порушити безпеку об'єктів захисту;

· розуміння неможливості створення ідеального (абсолютного) захисту;

· застосування оптимізаційного підходу – мінімальність ризику і можливого збитку, що випливають з того, що щораз вибирається лише певний ступінь захищеності, який визначається конкретними умовами (можливі витрати на захист, можливі загрози і т.д.);

· наявність безпечного часу, тобто завжди враховується, що існує час життя інформації і час, необхідний для подолання ЗЛ захисту (звичайно, бажано, щоб останній був більше першого);

· захист від усього і від усіх.

Предмет захисту інформації

Під захистом інформації будемо розуміти комплекс заходів, що проводяться з метою запобігання (зниження до безпечного рівня) можливостей витоку, розкрадання, втрати, поширення, знищення, перекручування, підробки або блокування інформації.

До початку 90-х років до проблеми захисту інформації традиційно відносили методи і принципи безпечної передачі інформації і в більшості випадків розуміли лише криптологію. В даний час відбувається поступовий перехід від поняття захист інформації до поняття інформаційна безпека. Під інформаційною безпекою будемо розуміти дії, що пов'язані з реалізацією задач захисту інформації. До такого роду дій можуть відноситися: створення нормативно-технічних і законодавчих актів і документів, спрямованих на вирішення проблем захисту інформації (закон про авторські права, патентування, ліцензування), а також механізмів реалізації вимог такого роду актів. Таким чином, інформаційна безпека стає одним із пріоритетних напрямків державної політики. Серед задач цього напрямку виділяють наступні: виявлення, оцінка та прогнозування поведінки джерел загроз інформаційної безпеки; створення й експлуатацію систем забезпечення інформаційної безпеки; захист інформаційного ресурсу.

Для вирішення задач першого роду необхідно виявити і класифікувати можливі джерела загроз.

Для вирішення задач другого роду необхідно створювати і впроваджувати системи, що дозволяють розмежувати сфери дії кожної із можливих загроз.

Для вирішення задач третього роду потрібно кожному ресурсу поставити у відповідність можливі навмисні впливи на нього і визначити дії локалізації кожного впливу.

Виходячи з усього вищесказаного, не можна розглядати проблеми захисту ресурсів комп'ютера окремо від комплексу по забезпеченню інформаційної безпеки, що включає як питання організації обчислювального процесу (або процесу опрацювання інформації), використання сукупності конкретного устаткування, так і питання підбору і навчання персоналу.

Зробимо зауваження з приводу термінології. На сьогоднішній день термінологія по ІБ в основному розроблена, хоча цей процес продовжує інтенсивно розвиватися. Найбільш розповсюджені і необхідні терміни зафіксовані в стандарті з технічного захисту інформації.

Тепер підходимо до очевидних основних питань, пов’язаних з організацією захисту інформації.

Хто, від кого чи від чого, як і яку інформацію повинний захищати?

Хто– адміністративні, технічні, силові, юридичні і правоохоронні служби держави чи недержавних організацій в особі служб інформаційної безпеки різних рівнів відповідних відділів міліції, державних контролюючих органів і судів.

Від кого – від іноземних чи вітчизняних, приватних чи державних, юридичних чи фізичних осіб, що не мають права легального доступу до інформації, але прагнуть оволодіти такою інформацією з метою нанесення збитку її власнику або для отримання особистої вигоди для себе. Цікаво відзначити той факт, що досить часто держава виключає себе зі списку можливих зловмисників, ставлячи свою цікавість до чужих секретів вище бажання своїх громадян зберегти ці секрети.

Від чого – конкретна шкідлива дія порушника може бути спрямована проти одної з трьох основних властивостей інформації.

Як – шляхом створення надійних систем збереження самої інформації, грамотного адміністрування готових систем, прийняття охоронно-режимних, слідчо-оперативних і профілактичних заходів до порушників безпеки.

Яку – насамперед акцентуємо той факт, що всілякі законодавчі акти різних країн у сфері захисту інформації спрямовані на захист не будь-якої інформації, а тільки особої інформації, що позначається спеціальним грифом – грифом таємності чи знаком інтелектуальної власності. З юридичної точки зору, ознакою таємності конкретного документа може вважатися не тільки відповідний значок у верхньому правому куті документа, але також і сам значеннєвий зміст документа. Грифи можуть привласнювати державні чиновники компетентних відомств або патентні бюро.

З історії ЗІ

Проблеми захисту інформації хвилювали людство з незапам'ятних часів. Необхідність захисту інформації виникла з потреб таємної передачі як військових, так й дипломатичних повідомлень. Наприклад, античні спартанці шифрували свої військові повідомлення. У китайців простий запис повідомлення за допомогою ієрогліфів відразу робив його таємним для чужоземців.

Для позначення всієї області таємницею (секретного) зв'язку використовується термін «криптологія», що походить від грецьких коренів «cryptos» – таємний й «logos» – повідомлення. Криптологія досить чітко може бути розділена на два напрямки: криптографію й криптоаналіз. Задача криптографа – забезпечити конфіденційність (таємність) й автентичність (дійсність) переданих повідомлень. Задача криптоаналітика – «зламати» систему захисту, розроблену криптографами. Він намагається розкрити зашифрований текст чи видати підроблене повідомлення за справжнє.

Перші канали зв'язку були дуже простими. Їх організовували використовуючи надійних кур'єрів. Безпека таких систем зв'язку залежала як від надійності кур'єра, так і від його здатності не попадати в ситуації, при яких могло мати місце розкриття повідомлення. Створення сучасних комп'ютерних систем та поява глобальних комп'ютерних мереж радикально змінило характер і діапазон проблем захисту інформації. У широко комп'ютеризованому та інформатизованому сучасному суспільстві володіння реальними цінностями, керування ними, передача цінностей чи доступ до них часто засновані на неупредметненій інформації, тобто на інформації, існування якої не обов'язково зв'язується з яким-небудь записом на фізичному носії. Аналогічним чином іноді визначаються і повноваження фізичних та юридичних осіб на використання, модифікацію, копіювання, що має велике значення для конфіденційної інформації. Тому дуже важливо створювати і застосовувати ефективні засоби для реалізації всіх необхідних функцій, зв'язаних із забезпеченням конфіденційності і цілісності інформації. Оскільки інформація може бути дуже цінною чи особливо важливою, можливі різноманітні зловмисні дії стосовно комп'ютерних систем, що зберігають, обробляють чи передають таку інформацію. Наприклад, порушник може спробувати видати себе за іншого користувача системи, підслухати канал зв'язку чи перехопити і змінити інформацію, якою обмінюються користувачі системи. Порушником може бути і користувач системи, що відмовляється від повідомлення, у дійсності сформованого ним, або який намагається затверджувати, що їм отримане повідомлення, що у дійсності не передавалося. Він може спробувати розширити свої повноваження, щоб одержати доступ до інформації, до якої йому наданий тільки частковий доступ, чи спробувати зруйнувати систему, несанкціоновано змінюючи права інших користувачів.

Для вирішення зазначених та інших подібних проблем не існує якогось одного технічного прийому чи засобу. Але загальним у рішенні багатьох з них є використання криптографії і криптоподібних перетворень інформації. Протягом більш ніж тисячолітньої історії криптографії вона представляла собою набір технічних прийомів шифрування і розшифрування, що зберігалися в строгому секреті та постійно обновлялися й удосконалювалися.

Період розвитку криптології з древніх часів до 1949 р. прийнято називати ерою донаукової криптології, оскільки досягнення тих часів були засновані на інтуїції і не підкріплювалися доказами. Криптологією займалися тоді майже винятково як мистецтвом, а не як наукою. Звичайно, це не означає, що історія криптології тих часів не представляє для нас ніякого інтересу. Більш 2000 років тому Юлій Цезар писав Ціцерону і друзям у Римі, використовуючи шифр, тепер названий його ім'ям. Лише з початком другої світової війни криптологічні служби воюючих держав усвідомили, що математики можуть внести вагомий вклад у розвиток криптології. Зокрема, в Англії в цей час був покликаний на службу як фахівець з криптології Алан Тьюринг.

Публікація в 1949 р. статті К.Шеннона «Теорія зв'язку в секретних системах» стала початком нової ери наукової криптології із секретними ключами. У цій блискучій роботі Шеннон зв'язав криптографію з теорією інформації. Із середини сімдесятих років (у зв'язку з винаходом систем з відкритим ключем) криптографія не тільки перестала бути секретним набором прийомів шифровання-розшифрування, але і почала оформлятися в нову математичну теорію. За останні двадцять років відбулося значне підвищення активності в області розвитку криптографії і її застосувань для рішення проблем захисту інформації. Це викликано широким визнанням крайньої необхідності в засобах забезпечення захисту інформації у всіх областях діяльності широко інформатизованого людського співтовариства й обумовлено появою таких нових фундаментальних ідей, як асиметрична (з відкритим ключем) криптографія, доказово стійкі протоколи, надійність яких заснована на гарантованій складності рішення математичних задач і т.д.

У криптографічній системі перетворення шифрування може бути симетричним чи асиметричним щодо перетворення розшифрування. Відповідно розрізняють два класи криптосистем:

•симетричні одноключові криптосистеми (із секретним ключем);

•асиметричні двоключові криптосистеми (з відкритим ключем).

Сучасні симетричні одноключові криптоалгоритми базуються на принципах, викладених у згаданій роботі Шеннона (1949 р.). До них відносяться закордонні криптоалгоритми DES, IDEA і криптоалгоритм, описаний у стандарті Росії ГОСТ 28147-89. Схеми реалізації цих криптоалгоритмів відкрито опубліковані і ретельно проаналізовані багатьма дослідниками. У цих криптосистемах секретним є тільки ключ, за допомогою якого здійснюється шифрування і розшифрування інформації. Дані криптосистеми можуть використовуватися не тільки для шифрування, але і для перевірки дійсності (автентифікації) повідомлень.

Появі нового напрямку в криптології – асиметричної криптографії з відкритим ключем – сприяли дві проблеми, що не удавалося вирішити в рамках класичної симетричної одноключової криптографії. Перша з цих проблем зв'язана з поширенням секретних ключів. Наявність секретного ключа, відомого тільки одержувачу повідомлення і його відправнику, сторіччями вважалося неодмінною умовою безпечної передачі інформації. Але при використанні симетричних криптосистем із секретними ключами вимагають рішення наступні питання. Як передати учасникам обміну інформацією змінні секретні ключі, що необхідні йому для виконання цього обміну? Як учасники обміну зможуть переконатися в цілісності того, що вони одержали? Друга з цих проблем зв'язана з формуванням електронного цифрового підпису. Наприкінці листа чи іншого авторизованого документа відправник звичайно ставить свій підпис. Подібна дія переслідує дві цілі: по-перше, одержувач може переконатися в дійсності листа, звіривши підпис з наявним у нього зразком; по-друге, особистий підпис є юридичним гарантом авторства документа. Цей аспект особливо важливий при висновку різного роду торгових угод, складанні зобов'язань, доручень і т.д. Підробити підпис людини на папері зовсім не просто, а скопіювати ланцюжок цифр на ЕОМ – нескладна операція. Як у такому випадку гарантувати дійсність і авторство електронних повідомлень? У той же час існує багато додатків, що вимагають достовірного цифрового підпису для цифрової інформації, яка б виконувала всі ті задачі, що виконує підпис, поставлений на документі рукою. Обидві ці проблеми здавалося відносяться до тих, що важко розв'язуються. Але вони були успішно вирішені за допомогою криптографії з відкритими ключами. В опублікованій у 1976 р. статті «Нові напрямки в криптографії» У.Діффі і М.Хеллман уперше показали, що секретний зв'язок можливий без передачі секретного ключа між відправником і одержувачем.

В асиметричних криптосистемах з відкритим ключем використовуються два ключі, принаймні, один із яких неможливо обчислити з іншого. Один ключ використовується відправником для шифрування інформації; інший – одержувачем для розшифрування одержуваних шифртекстів. Звичайно в додатках один ключ повинен бути несекретним, а інший – секретним.

Якщо ключ розшифрування неможливо одержати з ключа зашифрування за допомогою обчислень, то таємність інформації, зашифрованої на несекретному (відкритому) ключі, буде забезпечена. Однак цей ключ повинен бути захищений від підміни чи модифікації, інакше відправник може бути обдуреним і буде виконувати зашифрування на підробленому ключі, відповідний ключ розшифрування якого відомий супротивнику. Для того щоб забезпечити закриття інформації, ключ розшифрування одержувача повинен бути секретним і фізично захищеним від підміни. Так працює канал забезпечення конфіденційності (таємності) інформації. Якщо ж, навпаки, обчислювально неможливо одержати ключ шифрування з ключа розшифрування, то ключ розшифрування може бути несекретним, а секретний ключ шифрування можна використовувати для формування електронного цифрового підпису під повідомленням. У цьому випадку, якщо результат розшифрування цифрового підпису містить автентифікаціійну інформацію (заздалегідь погоджену законним відправником інформації з потенційним одержувачем), цей підпис засвідчує цілісність повідомлення, отриманого від відправника. Так працює канал автентифікації повідомлення.

Крім задачі автентифікації повідомлення в проблемі автентифікації можна виділити ще дві:

•задачу автентифікації користувача – користувач, що звертається до ресурсів комп'ютерної системи, є саме тим, за кого він себе видає?

•задачу взаємної автентифікації абонентів мережі в процесі встановлення з'єднання між ними.

Обидві ці задачі також успішно вирішуються з залученням криптографічних методів і засобів.

Поява нових інформаційних технологій і інтенсивний розвиток комп'ютерних мереж привертає усе більшу увагу користувачів до глобальної мережі Internet. Багато компаній і організацій підключають сьогодні свої локальні мережі до мережі Internet, щоб скористатися її ресурсами і перевагами. Бізнесмени і державні організації використовують Internet у різних цілях, включаючи обмін електронною поштою, поширення інформації серед зацікавлених осіб і т.п. Підключення до Internet дає великі переваги, однак при цьому виникають серйозні проблеми з забезпеченням інформаційної безпеки при підключенні локальної чи корпоративної мереж. Через відкритість своєї ідеології Internet надає зловмисникам багато можливостей для вторгнення у внутрішні мережі підприємств і організацій з метою розкрадання, перекручування чи руйнування важливої і конфіденційної інформації. Рішення задач по захисту внутрішніх мереж від найбільш ймовірних атак через Internet може бути покладене на міжмережеві екрани, що іноді називаються брандмауерами або firewall.

Проте однієї криптографії для захисту інформації недостатньо. Отже, глянемо на історію з більш загальної позиції. Як виявилося, для вирішення проблем інформаційної безпеки необхідно створювати системи захисту інформації (СЗІ).

 

Контрольні запитання

1. Причини кризи інформаційної безпеки.

2. Проблеми сучасної інформаційної безпеки.

3. Що таке захист інформації?

4. Що таке інформаційна безпека?

5. Хто, від кого чи від чого, як і яку інформацію має захищати?

6. Зміст основних етапів історії розвитку інформаційної безпеки.

7. Чи можна ототожнювати захист інформації з криптозахистом? Обґрунтуйте.

 






ТОП 5 статей:
Экономическая сущность инвестиций - Экономическая сущность инвестиций – долгосрочные вложения экономических ресурсов сроком более 1 года для получения прибыли путем...
Тема: Федеральный закон от 26.07.2006 N 135-ФЗ - На основании изучения ФЗ № 135, дайте максимально короткое определение следующих понятий с указанием статей и пунктов закона...
Сущность, функции и виды управления в телекоммуникациях - Цели достигаются с помощью различных принципов, функций и методов социально-экономического менеджмента...
Схема построения базисных индексов - Индекс (лат. INDEX – указатель, показатель) - относительная величина, показывающая, во сколько раз уровень изучаемого явления...
Тема 11. Международное космическое право - Правовой режим космического пространства и небесных тел. Принципы деятельности государств по исследованию...



©2015- 2024 pdnr.ru Все права принадлежат авторам размещенных материалов.