ВВЕДЕНИЕ 3
Глава 1. Современные проблемы информационной безопасности и возможные пути их решения 7
1.1 Угрозы информационной безопасности 7
1.2 Методы и средства защиты информации в компьютерных системах 12
Глава 2. Криптографическая защита информации 28
2.1 Основные понятия и определения криптографии 28
2.2 Основные современные методы шифрования 39
2.3 Средства криптографической защиты информации 46
Заключение 57
Список использованной литературы 60
То, что информация имеет ценность, люди осознали очень давно – недаром переписка сильных мира сего издавна была объектом пристального внимания их недругов и друзей. Тогда-то и возникла задача защиты этой переписки от чрезмерно любопытных глаз. Древние пытались использовать для решения этой задачи самые разнообразные методы, и одним из них была тайнопись – умение составлять сообщения таким образом, чтобы его смысл был недоступен никому, кроме посвященных в тайну. Есть свидетельства тому, что искусство тайнописи зародилось еще в доантичные времена. На протяжении всей своей многовековой истории, вплоть до совсем недавнего времени, это искусство служило немногим, в основном верхушке общества, не выходя за пределы резиденций глав государств, посольств и – конечно же – разведывательных миссий. И лишь несколько десятилетий назад все изменилось коренным образом – информация приобрела самостоятельную коммерческую ценность и стала широко распространенным, почти обычным товаром. Ее производят, хранят, транспортируют, продают и покупают, а значит – воруют и подделывают – и, следовательно, ее необходимо защищать. Современное общество все в большей степени становится информационно-обусловленным, успех любого вида деятельности все сильней зависит от обладания определенными сведениями и от отсутствия их у конкурентов. И чем сильней проявляется указанный эффект, тем больше потенциальные убытки от злоупотреблений в информационной сфере, и тем больше потребность в защите информации. Одним словом, возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.
Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа. Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних нарушителей, так и со стороны внутренних нарушителей.
В области защиты информации и компьютерной безопасности в целом наиболее актуальными являются три группы проблем:
нарушение конфиденциальности информации;
нарушение целостности информации;
нарушение работоспособности информационно-вычислительных систем.
Защита информации превращается в важнейшую проблему государственной безопасности, когда речь идет о государственной, дипломатической, военной, промышленной, медицинской, финансовой и другой доверительной, секретной информации. Огромные массивы такой информации хранятся в электронных архивах, обрабатываются в информационных системах и передаются по телекоммуникационным сетям. Основные свойства этой информации – конфиденциальность и целостность, должны поддерживаться законодательно, юридически, а также организационными, техническими и программными методами.
Безопасность информации в информационной системе обеспечивается способностью этой системы сохранять конфиденциальность информации при ее вводе, выводе, передаче, обработке и хранении, а также противостоять ее разрушению, хищению или искажению. Безопасность информации обеспечивается путем организации допуска к ней, защиты ее от перехвата, искажения и введения ложной информации. С этой целью применяются физические, технические, аппаратные, программно-аппаратные и программные средства защиты. Последние занимают центральное место в системе обеспечения безопасности информации в информационных системах и телекоммуникационных сетях.
Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен и остается актуальной по сегодняшний день. История криптографии – ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.
Криптографические методы защиты информации – это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ, аппаратных или аппаратно-программных комплексов.
Объект исследования: информационная безопасность.
Предмет исследования: криптографические методы и средства обеспечения безопасности информации в компьютерных системах.
Основной целью работы является изучение и анализ существующих аспектов криптографической защиты компьютерной информации.
Поставленная цель предполагает решение следующих задач:
изучить и проанализировать библиографические источники по теме исследования;
описать и дать классификацию основных угроз информационной безопасности;
изучить и описать основные методы и средства обеспечения безопасности компьютерной информации и вычислительных систем;
рассмотреть основные понятия и определения криптографии;
изучить и описать основные типы криптосистем и методы шифрования;
изучить и представить основные средства криптографической защиты информации.
Методы исследования, использованные при написании работы: обобщение, анализ, систематизация.
Применение криптографических методов и средств позволяет обеспечить решение следующих задач по защите информации:
предотвращение возможности несанкционированного ознакомления с информацией при ее хранении в компьютере или на отчуждаемых носителях, а также при передаче по каналам связи;
подтверждение подлинности электронного документа, доказательство авторства документа и факта его получения от соответствующего источника информации;
обеспечение имитостойкости (гарантий целостности) - исключение возможности не обнаружения несанкционированного изменения информации;
усиленная аутентификация пользователей системы - владельцев секретных ключей.
Основным достоинством криптографических методов защиты информации является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей).
К числу основных недостатков криптографических методов можно отнести следующие:
большие затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации;
трудности с совместным использованием зашифрованной информации;
высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены;
трудности с применением в отсутствии надежных средств защиты открытой информации и ключей от НСД.
Шифрование информации позволяет обеспечить конфиденциальность защищаемой информации при ее хранении или передаче по открытым каналам. На прикладном уровне шифрование применяется для закрытия секретной и конфиденциальной информации пользователей. На системном уровне - для защиты критичной информации операционной системы и системы защиты, предотвращения возможности несанкционированной подмены важной управляющей информации системы разграничения доступа (паролей пользователей, таблиц разграничения доступа, ключей шифрования данных и ЭЦП и т.п.).
Криптография позволяет успешно решать задачу обеспечения безопасности информационного обмена между территориально удаленным источником и потребителем конфиденциальной информации с использованием каналов связи, проходящих по неконтролируемой территории. В качестве основной угрозы здесь рассматривается несанкционированное прослушивание (перехват) информации, а также модификация (подмена, фальсификация -навязывание ложных) передаваемых по каналам информационных пакетов.
Для защиты пакетов, передаваемых по указанным каналам связи, криптопреобразование может осуществляться как на прикладном уровне, так и на транспортном. В первом варианте закрытие информации, предназначенной для транспортировки, должно осуществляться на узле-отправителе (рабочей станции или сервере), а расшифровка на узле-получателе. Причем преобразования могут производиться как на уровне приложений («абонентское шифрование»), так и на системном (канальном, транспортном) уровне (прозрачно для приложений - «туннелирование»).
Первый вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей рабочей станции (подключение СКЗИ к прикладным программам или коммуникационной части операционной системы). Это требует больших затрат, однако, позволяет решить проблему защиты информационных потоков в широком смысле.
Второй вариант предполагает использование специальных средств, осуществляющих криптопреобразования в точках подключения локальных сетей к каналам связи (сетям общего пользования), проходящим по неконтролируемой территории («канальное шифрование», «виртуальные частные сети»).
Криптографические средства могут быть реализованы как аппаратно, так и программно. Использование в системе защиты для различных целей нескольких однотипных алгоритмов шифрования нерационально. Оптимальным вариантом можно считать такую систему, в которой средства криптозащиты являются общесистемными, то есть выступают в качестве расширения функций операционной системы и включают алгоритмы шифрования всех типов (с секретными и открытыми ключами и т.д.).
В этом случае средства криптографической защиты информации в АС образуют базисное криптографическое ядро (криптопровайдер).
Ключевая система (система генерации и распределения ключей) применяемых в АС шифровальных средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации части ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована (должна пройти всесторонние исследования специализированными организациями). На использование криптографических средств организация должна иметь лицензию уполномоченных государственных органов.
1. Андрианов В.В., Калинский Л.Н., Сапегин Л.Н. Защита авторства, безотказности и целостности электронных документов // Конфидент. 2007. № 1. С. 80-84.
2. Анин Б. Р. О шифровании и дешифровании // Конфидент. 2003. № 1. С. 71-79.
3. Баричев С.Г., Серов Р.Е. Основы современной криптографии: Учебное пособие. М.: Горячая линия - Телеком, 2002. 153 с.
4. Батурин Ю.М., Жодзинский А.М. Компьютерная преступность и компьютерная безопасность. М.: Юридическая литература, 2001. 160 с.
5. Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации. М.: Editoririal URSS, 2014. 376 с.
6. Введение в криптографию / Под ред. В. В. Ященко. СПб.: Питер, 2001. 288 с.
7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: развитие, итоги, перспективы // Зарубежная радиоэлектроника. 2004. № 3. С. 3-21.
8. Герасименко В.А., Малюк А.А. Основы защиты информации М.: Энергоатомиздат, 2004. 540с.
9. Жуков И. Ю. Методы и средства защиты информации в компьютерных системах и сетях. М.: КУДИЦ-ПРЕСС, 2009. 512 с.
10. Информационной безопасности Российской Федерации: доктрина: [утв. Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895]. URL: http://pravo.gov.ru
11. Криптографическая защита информации: учебное пособие / А.В. Яковлев, А.А. Безбогов, В.В. Родин, В.Н. Шамкин. Тамбов : ТГТУ, 2006.140 с.
12. Кузнецова Л. В., Леонов Д. Г. Методы и средства защиты информации. М. : МАКС Пресс, 2010. 175 с.
13. Ленков С. В., Перегудов Д. А., Хорошко В. А. Методы и средства защиты информации. Несанкционированное получение информации. Киев: Арий, 2008. 464 с.
14. Малюк А. Введение в защиту информации в автоматизированных системах. М.: Горячая линия – Телеком, 2011. 146 с.
15. Мафтик С. Механизмы защиты в сетях ЭВМ. М.: Мир, 2003. 216 с.
16. Мельников В.В. Защита информации в компьютерных системах. М.: Электронинформ, 2007. 368с.
17. Мордвинов В.А., Фомина А.Б. Защита информации и информационная безопасность. М.: МИРЭА, 2004. 69 с.
18. Основы криптографии / А.П. Алферов, А.Ю. Зубов, А.С.Кузьмин, А.В. Черемушкин. М.: АРБ "Гелиос", 2002. 480 с.
19. Основы информационной безопасности: учебное пособие / В. А. Галатенко; под ред. В.Б. Бетелина. М.: БИНОМ, 2008. 205с.
20. Оценка безопасности информационных технологий / А. П. Трубачев, И. А. Семичев, В. Н. Шакунов и др. М.: СИП РИА, 2001. 388 с.
21. Об информации, информационных технологиях и о защите информации: Федер. закон: [принят Гос. думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 г]. URL: http://pravo.gov.ru
22. О государственной тайне (ред. от 21.12.2013): Федер. закон: [принят Гос. думой 11 декабря 2013г.: одобр. Советом Федерации 18 декабря 2013г]. URL:http://pravo.gov.ru
23. Об электронной подписи: Федер. закон: [принят Гос. думой 25 марта 2011 г.: одобр. Советом Федерации 30 марта 2011 г]. URL: http://pravo.gov.ru
24. Савельев И.А. Программно-аппаратная защита информации: Учебное пособие. М.: Финуниверситет, 2014. 156 с.
25. Современная криптология / под ред. А.Н. Лебедева М.: ПОЛИМЕД. 2009. 176 с.
26. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2010. 544 с.