Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Электронная цифровая подпись



Помимо защиты от несанкционированной модификации ЭЦП позволяет также установить авторство подписанного электронного документа.

Процесс использования ЭЦП:

  1. Подготовительный этап:
  • Абонент А генерирует пару ключей: секретный ключ Ksi и открытый ключ Kpi. Открытый ключ вычисляется из парного ему секретного ключа.
  • Открытый ключ Kpi рассылается остальным абонентам (или делается доступным, например, на разделяемом ресурсе).
  1. Использование:
  • Абонент А подписывает сообщениес помощью своего секретного ключа Ksi.
  • Остальные абоненты могут проверить подпись сообщения с помощью открытого ключа абонента А Kpi.

Секретный ключ ЭЦП является тем самым уникальным элементом, без знания которого невозможно подделать ЭЦП его владельца. Поэтому необходимо обеспечить отсутствие несанкционированного доступа к секретному ключу; секретный ключ ЭЦП, аналогично ключу симметричного шифрования, рекомендуется хранить на персональном ключевом носителе.

Электронная подпись представляет собой уникальное число, зависящее от подписанного документа и секретного ключа абонента. Однако, помещаемая в подписываемый файл (или в отдельный файл электронной подписи) структура ЭЦП обычно содержит дополнительную информацию, однозначно идентифицирующую автора подписанного документа. Эта информация добавляется к документу до вычисления ЭЦП, что обеспечивает и ее целостность. Обычно информация о конкретном абоненте записывается в файлы ключей ЭЦП при их генерации и для формирования ЭЦП считывается из файла секретного ключа

При использовании асимметричного шифрования и ЭЦП существует одна общая проблема – необходимость защиты открытых ключей абонентов от подмены. Данная проблема решается путем сертификации открытых ключей.

Сертификация ключей – это их подписывание на секретном ключе-сертификате. Сертификацию ключей производит обычно некая третья доверенная сторона – сертификационный центр. В случае, если генерация ключей производится централизованно (например, в рамках какой-либо организации, в которой используется защищенный электронный документооборот), то обычно и генерация, и сертификация ключей производится выделенным администратором по безопасности (АБ) на изолированном рабочем месте.

Порядок использования ключей-сертификатов:

  1. Подготовительный этап: генерация, сертификация и распределение ключей ЭЦП:
  • АБ генерирует пары ключей абонентов А и В: KsА и KpА, KsВ и KpВ.
  • АБ генерирует пару ключей-сертификатов Kssert и Kpsert.
  • АБ подписывает открытые ключи KpА и KpВ секретным ключом-сертификатом Kssert.
  1. Использование: обмен информацией между абонентами А и В:
  • Абонент А подписывает сообщение своим секретным ключом KsА.
  • Абонент В проверяет подпись сообщения с помощью открытого ключа абонента А KpА.
  • Абонент В проверяет подпись открытого ключа абонента А KpА с помощью открытого ключа-сертификата Kpsert.

При использовании ключей-сертификатов следует предполагать, что ЭЦП какого-либо документа верна только в том случае, когда:

  • верна ЭЦП самого документа;
  • верна сертифицирующая ЭЦП открытого ключа, с помощью которого проверялась ЭЦП документа.

В случае, если ЭЦП открытого ключа неверна, следует считать, что открытый ключ был подменен, а подпись документа – фальсифицирована.

Заключение

Следует учесть, что все описанные выше методы защиты информации должны быть грамотно реализованы. Сильнейший алгоритм шифрования не сможет обеспечить защиту информации, если злоумышленник может легко получить доступ к секретным ключам или подменить ключ-сертификат. Степень защиты, обеспечиваемой какой-либо системой, эквивалентна защищенности наиболее слабого участка системы. Цель грамотного разработчика системы защиты – обеспечить отсутствие обходных путей. Цель грамотного пользователя системы защиты – не понижать степень защищенности системы.

24 ) Классификация угроз информационной безопасности, методы защиты.

 

Классификация угроз информационной безопасности

Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

· хищение (копирование) информации;

· уничтожение информации;

· модификация (искажение) информации;

· нарушение доступности (блокирование) информации;

· отрицание подлинности информации;

· навязывание ложной информации.

Классификация источников угроз

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Все источники угроз безопасности информации можно разделить на три основные группы:

I. Обусловленные действиями субъекта (антропогенные источники угроз).

II. Обусловленные техническими средствами (техногенные источники угрозы).

III. Обусловленные стихийными источниками.

Антропогенные источники угроз

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

· криминальные структуры;

· потенциальные преступники и хакеры;

· недобросовестные партнеры;

· технический персонал поставщиков телематических услуг;

· представители надзорных организаций и аварийных служб;

· представители силовых структур.

Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

· основной персонал (пользователи, программисты, разработчики);

· представители службы защиты информации;

· вспомогательный персонал (уборщики, охрана);

· технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.


Техногенные источники угроз

Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними:

· средства связи;

· сети инженерных коммуникации (водоснабжения, канализации);

· некачественные технические средства обработки информации;

· некачественные программные средства обработки информации;

· вспомогательные средства (охраны, сигнализации, телефонии);

· другие технические средства, применяемые в учреждении;

Стихийные источники угроз

Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе17 в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы [III.A.]:

· пожары;

· землетрясения;

· наводнения;

· ураганы;

· различные непредвиденные обстоятельства;

· необъяснимые явления;

· другие форс-мажорные обстоятельства.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2016-05-03; Просмотров: 773; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.018 с.)
Главная | Случайная страница | Обратная связь