Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Классификация криптоалгоритмов



Алгоритмы симметричного шифрования

14. Криптоанализ

15. Критерии при разработке алгоритмов

Сеть Фейштеля

17. Алгоритм DES

18. Алгоритм IDEA

19. Алгоритм ГОСТ 28147

20. Режимы выполнения алгоритмов симметричного шифрования

21. Создание случайных чисел.

22. Требования к случайным числам. Случайность. Непредсказуемость. Источники случайных чисел. Генераторы. псевдослучайных чисел. Криптографически созданные случайные числа

23. Разработка Advanced Encryption Standard (AES). Обзор финалистов. Критерий оценки. Запасной алгоритм. Общая безопасность. Атаки на варианты с уменьшенным числом раундов

Алгоритмы асимметричного шифрования

25. Криптоанализ алгоритмов с открытым ключом

Основные способы использования алгоритмов с открытым ключом

Алгоритм обмена ключа Диффи-Хеллмана

Транспортное кодирование

29. Архиваци я

30. Хэш-функции

31. Цифровая подпись. Прямая и арбитражная цифровые подписи

32. Симметричное шифрование, арбитр видит сообщение:

33. Симметричное шифрование, арбитр не видит сообщение:

34. Шифрование открытым ключом, арбитр не видит сообщение:

35. Стандарт цифровой подписи DSS

36. Отечественный стандарт цифровой подписи ГОСТ 3410

37. Алгоритмы распределения ключей с использованием третьей доверенной стороны

38. Протоколы аутентификации

39. Элементы проектирования защиты сетевого периметра.

40. Брандмауэр и маршрутизатор.

41. Брандмауэр и виртуальная частная сеть.

42. Многоуровневые брандмауэры.

43. Прокси-брандмауэры.

44. Типы прокси.

45. Преимущества прокси-брандмауэров.

46. Недостатки прокси-брандмауэров.

47. Технологии защиты внутренних сетей и хостов.

48. Виртуальные локальные сети.

49. Границы виртуальных локальных сетей.

50. Частные виртуальные локальные сети.

51. Виртуальные частные сети.

52. Основы построения виртуальной частной сети.

53. Основы методологии виртуальных частных сетей.

54. Туннелирование. Достоинства VPN. Недостатки виртуальной частной сети.

55. Защита хоста. Уровни защиты.

56. Компьютерные вирусы. Классификация компьютерных вирусов. Механизмы вирусной атаки

57. Протоколы

58. Протокол РРР РАР

59. Протокол РРР CHAP

60. Протокол РРР ЕАР

61. TACACS+

62. RADIUS

63. SSL

64. SSH

65. S-HTTP

66. SOCKS

67. IPSec

68. Технологии удаленного доступа к виртуальным частным сетям L2F РРТР L2TP

69. Сервис Директории и Служб Имен LDAP DNSSEC

70. ПО и информационная безопасность

71. Комплексная система безопасности. Классификация информационных объектов

1. Термин " ИБ" в Доктрине ИБ РФ исп-ся в широком смысле.Им. в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ " Об участии в международном информационном обмене" ИБ опр-ся аналогичным образом – как состояние защищенности инф. среды общ-ва, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под ИБ мы будем понимать защищенность инфы и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного х-ра, кот.могут нанести неприемлемый ущерб субъектам инф.отношений, в том числе владельцам и пользователям инфы и поддерживающей инфраструктуры.

ЗИ – это комплекс мероприятий, направленных на обеспечение ИБ.

Т.о., правильный с методологической т.з. подход к проблемам ИБ начинается с выявления субъектов инф. отношений и интересов этих субъектов, связанных с использованием ИС. Угрозы ИБ – это оборотная сторона использования ИТ. Из этого положения можно вывести два важных следствия: Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае " пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – " да нет у нас никаких секретов, лишь бы все работало".

ИБ не сводится исключительно к защите от несанкционированного доступа к инфе, это принципиально более широкое понятие. Субъект инф. отношений может пострадать не только от несанкционированного доступа, но и от поломки с-мы, вызвавшей перерыв в работе. Термин " компьютерная безопасность": ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, человеком.ИБ зависит не только от компьютеров, но и от поддерживающей инфраструктуры(с-мы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, обслуживающий персонал). Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций. С чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя.

 

2. Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном. При анализе проблематики, связанной с ИБ, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что ИБ - составная часть ИТ– области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса. Современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (ИБ) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении и, как следствие, появляются новые виды атак. В таких условиях системы ИБ должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.

3, 4. Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять. В тех случаях, когда идет речь о безопасности, в отношении информации и информационно-вычислительных систем применяются общепринятые термины о свойствах этих объектов – категории.

Информация с точки зрения ИБ обладает следующими категориями:

  • конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации
  • целостность – гарантия того, что информация сейчас существует в ее исходном виде, т.е. при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
  • аутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения
  • апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается " откреститься" от своих слов, подписанных им однажды.

В отношении ИС применяются иные категории:

  • надежность – гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано
  • точность – гарантия точного и полного выполнения всех команд
  • контроль доступа – гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются
  • контролируемость – гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса
  • контроль идентификации – гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает
  • устойчивость к умышленным сбоям – гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее.

 

Требования к политике безопасности в рамках стандартов ISO

Сегодня стандарт ISO 17799 прочно вошел в нашу жизнь, став на практике стандартом де-факто построения систем управления информационной безопасностью ведущих компаний как в Европе и Азии, так и в России и странах СНГ. Цель: Обеспечить управление и поддержку в области информационной безопасности со стороны руководства в соответствии с требованиями бизнеса, а также действующей законодательной и нормативной базой. Руководство должно определить четкое стратегическое направление и продемонстрировать поддержку и приверженность информационной безопасности посредством опубликования и сопровождения политики информационной безопасности для всей организации. Политика информационной безопасности - самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности. Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

6. Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

ISO27000 Определения и основные принципы. Планируется унификация со стандартами COBIT и ITIL. Проект стандарта находится в разработке.
ISO27001 ISO/IEC 27001: 2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2: 2005). Выпущен в июле 2005 г.
ISO27002 ISO/IEC 27002: 2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799: 2005).
ISO27003 Руководство по внедрению системы управления информационной безопасностью. Выпуск запланирован на 2008 г.
ISO27004 Измерение эффективности системы управления информационной безопасностью. Выпуск запланирован на 2008 г.
ISO27005 ISO/IEC 27005: 2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности (на основе BS 7799-3: 2006). Выпущен в июне 2008 г.
ISO27006 ISO/IEC 27006: 2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью
ISO27007 Руководство для аудитора СУИБ (в разработке).
ISO27011 Руководство по управлению информационной безопасностью для телекоммуникаций (в разработке).

7. В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). В Common Criteria наиболее полно представлены критерии для оценки механизмов безопасности программно-технического уровня. Общие критерии определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements). При проведении работ по анализу защищенности АС (СВТ) “Общие критерии” используются в качестве основный критериев, позволяющих оценить уровень защищенности АС (СВТ) с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. В ходе формирования такой области знаний, как компьютерная безопасность, разрабатывались и совершенствовались критерии оценки безопасности. Точность, полнота и понятность этих критериев возрастала по мере того, как уточнялись концепции, формулировались основные принципы компьютерной безопасности, вводились новые понятия и уяснялся смысл старых. Отсутствие международного стандарта в области оценки безопасности не позволяет специалистам по сертификации компьютерных приложений одной страны использовать результаты оценок полученные специалистами другой страны. Поэтому следующим этапом развития этого научно-технического направления, после принятия соответствующих национальных стандартов, должна была закономерно стать разработка международного стандарта для критерия оценки безопасности автоматизированных систем. Целью проекта является устранение концептуальных и технических различий между существующими критериями и предоставление полученных результатов ISO в качестве вклада в разработку международного стандарта. В результате международного сотрудничества была разработана первая версия Единых критериев оценки безопасности ИТ. Единые критерии представляют собой набор из пяти отдельных взаимосвязанных частей. К ним относятся:

1. Введение и общая модель

2. Функциональные требования безопасности

3. Требования к надежности защитных механизмов

4. Предопределенные профили защиты

5. Процедуры регистрации профилей защиты

Изучение существующих критериев оценки безопасности АС позволяет сделать следующие выводы:

1. Для того, чтобы результаты сертификационных испытаний можно было сравнивать между собой, они должны проводиться в рамках надежной схемы, устанавливаемой соответствующими стандартами в этой области и позволяющей контролировать кач-во оценки безопасности.

2. В настоящее время в некоторых странах существуют такие схемы, но они базируются на различных критериях оценки. Но, эти критерии имеют между собой много общего, т. к. используют сходные концепции, что позволяет осуществлять их сравнения. " Единые критерии" поддерживают совместимость с уже существующими. Это позволяет использовать имеющиеся результаты и методики оценок.

3. Единые критерии определяют общий набор понятий, структур данных и язык для формулирования вопросов и утверждений относительно безопасности АС. Это позволяет экспертам, проводящим оценку, использовать уже накопленный в этой области опыт.

4. Требования, содержащиеся в " Единых критериях", могут также использоваться при выборе подходящих средств обеспечения безопасности АС. Потенциальные пользователи АС, опираясь на результаты сертификации, могут определить удовлетворяет ли данный программный продукт или система их требованиям безопасности.

5. Кроме этого, " Единые критерии" улучшают существующие критерии, вводя новые концепции и уточняя содержание имеющихся.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 653; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.028 с.)
Главная | Случайная страница | Обратная связь