Криптографічні методи захисту інформації
лекції
1. ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА ЗАХИСТУ ІНФОРМАЦІЇ
1.1. Інформація та інформаційна безпека.
1.2. Основні складові інформаційної безпеки.
1.3. Об'єкти захисту.
1.4. Категорії і носії інформації.
1.5. Засоби захисту інформації.
1.6. Способи передачі конфіденційної інформації на відстані.
Питання для самоперевірки.
1.1. Інформація та інформаційна безпека
Інформація (лат. Informatio - роз'яснення, виклад), спочатку - відомості, що передаються людьми усним, письмовим або іншим способом за допомогою умовних сигналів, технічних засобів і т.д. З середини 20-го століття інформація є загальнонаукових поняттям, що включає в себе:
- відомості, що передаються між людьми, людиною і автоматом, автоматом і автоматом;
- сигнали в тваринний і рослинний світ;
- ознаки, що передаються від клітини до клітини, від організму до організму;
- і т.д.
Іншими словами, інформація носить фундаментальний і універсальний характер, будучи багатозначним поняттям. Цю думку можна підкріпити словами Н. Вінера (батька кібернетики): «Інформація є інформація, а не матерія і не енергія».
Згідно традиційної філософської точки зору, інформація існує незалежно від людини і є властивістю матерії. В рамках даної дисципліни, під інформацією (у вузькому сенсі) ми будемо розуміти відомості, що є об'єктом збору, зберігання, обробки, безпосереднього використання і передачі в інформаційних сістемах1.
Спираючись на це визначення інформації, розглянемо поняття інформаційної безпеки та захисту інформації.
У Доктрині інформаційної безпеки Російської Федерації під терміном інформаційна безпека розуміється стан захищеності національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особистості, суспільства і держави.
У більш вузькому сенсі, під інформаційною безпекою ми будемо розуміти стан захищеності інформації та підтримує інфраструктури від випадкових або навмисних впливів природного або штучного характеру (інформаційних загроз, загроз інформаційній безпеці), які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин [ 18 ].
Захист інформації - комплекс правових, організаційних і технічних заходів і дій щодо запобігання загроз інформаційної безпеки та усунення їх наслідків в процесі збору, зберігання, обробки і передачі інформації в інформаційних системах.
Важливо відзначити, що інформаційна безпека - це одна з характеристик інформаційної системи, тобто інформаційна система на певний момент часу має певний станом (рівнем) захищеності, а захист інформації - це процес, який повинен виконуватися безперервно на всьому протязі життєвого циклу інформаційної системи2.
Розглянемо більш докладно складові цих визначень.
Під суб'єктами інформаційних відносин розуміються як власники, так і користувачі інформації і підтримуючої інфраструктури [ 18 ].
До підтримуючої інфраструктурі відносяться не тільки комп'ютери, але і приміщення, системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал.
Збиток може бути прийнятним або неприйнятним. Очевидно, застрахуватися від всіх видів збитку неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитку до допустимих значень [ 18 ].
Інформаційна загроза - потенційна можливість неправомірного або випадкового впливу на об'єкт захисту, що призводить до втрати або розголошення інформації.
Таким чином, концепція інформаційної безпеки, в загальному випадку, повинна відповідати на три питання:
- Що захищати?
- Від чого (кого) захищати?
- Як захищати?
1 Інформаційна система (автоматизована інформаційна система) - це сукупність технічних (апаратних) і програмних засобів, а також працюють з ними користувачів (персоналу), що забезпечує інформаційну технологію виконання встановлених функцій.
2 Життєвий цикл інформаційної системи - безперервний процес, що починається з моменту прийняття рішення про створення інформаційної системи і закінчується в момент повного вилучення її з експлуатації.
1.2. Основні складові інформаційної безпеки
Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна розділити на наступні складові: забезпечення доступності, цілісності і конфіденційності інформаційних ресурсів і підтримуючої інфраструктури.
Іноді в число основних складових інформаційної безпеки включають захист від несанкціонованого доступу (НСД) до інформації, під яким розуміють доступ до інформації, що порушує правила розмежування доступу з використання штатних средств3. У той же час забезпечення конфіденційності якраз і має на увазі захист від несанкціонованого доступу.
Дамо визначення основних складових інформаційної безпеки [ 18 ].
Доступність інформації - властивість системи забезпечувати своєчасний безперешкодний доступ правомочних (авторизованих) суб'єктів до цікавить їх або здійснювати своєчасний інформаційний обмін між ними. Інформаційні системи створюються (купуються) для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає шкоди всім суб'єктам інформаційних відносин. Особливо яскраво провідна роль доступності виявляється в різного роду системах управління - виробництвом, транспортом і т.п. Зовні менш драматичні, але також вельми неприємні наслідки - і матеріальні, і моральні - може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги і т.п.).
Цілісність інформації - властивість інформації, що характеризує її стійкість до випадкового або навмисного руйнування чи несанкціонованого зміни. Цілісність можна поділити на статичну (що розуміється як незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій4)). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень з метою виявлення крадіжки, переупорядковування або дублювання окремих повідомлень. Цілісність виявляється найважливішим аспектом інформаційної безпеки в тих випадках, коли така інформація слугує «керівництвом до дії». Рецептура ліків, наказані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може виявитися в буквальному сенсі смертельним.
Конфіденційність інформації - властивість інформації бути відомою і доступною тільки правомочним суб'єктам системи (користувачам, програмам, процесам). Конфіденційність - самий пророблений у нас в країні аспект інформаційної безпеки. На жаль, практична реалізація заходів щодо забезпечення конфіденційності сучасних інформаційних систем натрапляє в Росії на серйозні труднощі. По-перше, відомості про технічні каналах витоку інформації є закритими, так що більшість користувачів позбавлене можливості скласти уявлення про потенційні ризики. По-друге, на шляху призначеної для користувача криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони і технічні проблеми.
Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить перекручені дані? Нарешті, конфіденційна інформація є як у організацій, так і окремих користувачів.
З усього вище наведеного випливає два слідства.
1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації та навчальні заклади. У першому випадку «нехай краще все зламається, ніж ворог дізнається хоч би один секрет», у другому - «так ні у нас ніяких секретів, аби все працювало».
2. Інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків і / або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що викликала перерву в роботі.
3 Штатні засоби - сукупність програмного та апаратного забезпечення нашої інформаційної системи.
4 Транзакція - одну дію або їх послідовність, виконуваних одним або декількома користувачами (прикладними програмами) з метою здійснення доступу або зміни інформації, що сприймаються як єдине ціле і переводять її з одного несуперечливого (узгодженого) стану в інше несуперечливе стан.
1.3. об'єкти захисту
Основними об'єктами захисту при забезпеченні інформаційної безпеки є:
- всі види інформаційних ресурсів. Інформаційні ресурси (документована інформація) - інформація, зафіксована на матеріальному носії з реквізитами, що дозволяють її ідентифікувати;
- права громадян, юридичних осіб і держави на отримання, поширення та використання інформації;
- система формування, поширення і використання інформації (інформаційні системи і технології, бібліотеки, архіви, персонал, нормативні документи і т.д.);
- система формування суспільної свідомості (ЗМІ, соціальні інститути і т.д.).
1.4. Категорії і носії інформації
Невід'ємною частиною будь-якої інформаційної системи є інформація. За характером обмежень (реалізації) конституційних прав і свобод в інформаційній сфері виділяють чотири основних види правової (регламентованої законами) інформації:
- інформація з обмеженим доступом;
- інформація без права обмеження;
- інша загальнодоступна інформація (наприклад, за гроші);
- «шкідлива» інформація (інформація з обмеженим поширенню як недостовірна, неправдива і т.п.).
Інформація з обмеженим доступом поділяється на державну таємницю і конфіденційну.
До державної таємниці належать захищені державою відомості в області його військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної і оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці РФ. Власником державної таємниці є сама держава. Вимоги щодо захисту цієї інформації і контроль за їх дотриманням регламентуються Законом РФ «Про державну таємницю» [ 4 ]. У ньому законодавчо встановлений Перелік відомостей, що зіставляють державну таємницю, і коло відомостей, що не підлягають до віднесення до неї. Передбачена судовий захист прав громадян у зв'язку з необгрунтованим засекречуванням. Визначено органи захисту державної таємниці:
- міжвідомча комісія із захисту державної таємниці;
- федеральні органи виконавчої влади, уповноважені в області:
- забезпечення безпеки - Федеральна служба з технічного та експортного контролю (ФСТЕК);
- оборони - Міністерство оборони;
- зовнішньої розвідки - Федеральна служба безпеки (ФСБ забезпечує, в т.ч. криптографічний захист);
- протидії технічним розвідкам та технічного захисту інформації - ФСТЕК;
- інші органи.
Конфіденційна інформація - документована інформація, правовий режим якої встановлено спеціальними нормами чинного законодавства в галузі державної, комерційної, промислової та іншої громадської діяльності. Цією інформацією володіють різні установи, організації та окремі індивідууми. В Указі Президента РФ «Перелік відомостей конфіденційного характеру» [ 5 ] Конфіденційна інформація розбита на шість видів:
- таємниця слідства і судочинства;
- службова таємниця;
- професійна таємниця;
- комерційна таємниця;
- відомості про сутність винаходу, корисної моделі чи промислового зразка за офіційної публікації інформації про них;
- персональні дані.
Під персональними даними розуміється будь-яка інформація, що відноситься прямо або побічно до певного або визначається фізичній особі (суб'єкту персональних даних). Незважаючи на те, що це інформація обмеженого доступу, вона є повністю відкритою для суб'єкта персональних даних. Тільки сам суб'єкт вирішує питання про передачу, обробці і використанні своїх персональних даних, а також визначає коло суб'єктів, яким ці дані можуть бути повідомлені. Деяка частина персональних даних може не мати режиму захисту, будучи загальновідомими (наприклад, прізвище, ім'я та по батькові). У Законі РФ «Про персональні дані» [ 6 ] Виділені наступні права суб'єктів персональних даних (крім деяких категорій громадян: володіють державною таємницею, засуджених і т.д.):
- інформаційне самовизначення;
- доступ до своїх персональних даних;
- внесення змін до своїх персональних даних;
- блокування персональних даних;
- оскарження неправомірних дій щодо персональних даних;
- відшкодування збитку.
Державні органи та організації, органи місцевого самоврядування мають право на роботу з персональними даними в межах своєї компетенції, встановленої чинним законодавством, або на підставі ліцензії. В останньому випадку з ними можуть працювати також недержавні юридичні і фізичні особи.
Основними носіями інформації є:
- відкрита друк (газети, журнали, звіти, реклама і т.д.);
- люди;
- засоби зв'язку (радіо, телебачення, телефон, пейджер і т.д.);
- документи (офіційні, ділові, особисті і т.д.);
- електронні, магнітні та інші носії, придатні для автоматичної обробки даних.
1.5. Засоби захисту інформації
Прийнято розрізняти такі засоби захисту:
Рис.1.1. Класифікація засобів захисту
I. Формальні засоби захисту - виконують захисні функції строго по заздалегідь передбаченою процедурою без участі людини.
Фізичні засоби - механічні, електричні, електромеханічні, електронні, електронно-механічні та інші устрою і системи, які функціонують автономно від інформаційних систем, створюючи різного роду перешкоди на шляху дестабілізуючих факторів (замок на двері, жалюзі, паркан, екрани).
Апаратні засоби - механічні, електричні, електромеханічні, електронні, електронно-механічні, оптичні, лазерні, радіолокаційні і тому подібні пристрої, що вбудовуються в інформаційних системах або сполучаються з нею спеціально для вирішення завдань захисту інформації.
Програмні засоби - пакети програм, окремі програми або їх частини, які використовуються для вирішення завдань захисту інформації. Програмні засоби не вимагають спеціальної апаратури, проте вони ведуть до зниження продуктивності інформаційних систем, вимагають виділення під їхні потреби певного обсягу ресурсів і т.п.
До специфічних засобів захисту інформації відносяться криптографічні методи. В інформаційних системах криптографічні засоби захисту інформації можуть використовуватися як для захисту оброблюваної інформації в компонентах системи, так і для захисту інформації, що передається по каналах зв'язку. Саме перетворення інформації може здійснюватися апаратними або програмними засобами, за допомогою механічних пристроїв, вручну і т.д.
II. Неформальні засоби захисту - регламентують діяльність людини.
Законодавчі засоби - закони та інші нормативно-правові акти, за допомогою яких регламентуються правила використання, обробки та передачі інформації обмеженого доступу і встановлюються міри відповідальності за порушення цих правил. Поширюються на всіх суб'єктів інформаційних відносин. В даний час відносини в сфері інформаційної безпеки регулюються більш ніж 80 законами та нормативними документами, іноді досить суперечливими.
Організаційні засоби - організаційно-технічні та організаційно-правові заходи, здійснювані протягом всього життєвого циклу захищається інформаційної системи (будівництво приміщень, проектування інформаційних систем, монтаж і налагодження обладнання, випробування та експлуатація інформаційних систем). Іншими словами - це кошти рівня організації, які регламентують перелік осіб, обладнання, матеріалів і т.д., що мають відношення до інформаційних систем, а також режимів їх роботи і використання. До організаційних заходів також відносять сертифікацію інформаційних систем або їх елементів, атестацію об'єктів і суб'єктів на виконання вимог забезпечення безпеки і т.д.
Морально-етичні засоби - сформовані в суспільстві або в даному колективі моральні норми або етичні правила, дотримання яких сприяє захисту інформації, а порушення прирівнюється до недотримання правил поведінки в суспільстві або колективі, веде до втрати престижу і авторитету. Найбільш показові приклад - кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.
1.6. Способи передачі конфіденційної інформації на відстані
Способів передачі конфіденційної інформації на відстані існує безліч, серед яких можна виділити три основні напрями [ 9 ].
1. Створити абсолютно надійний, недоступний для інших канал зв'язку між абонентами.
2. Використовувати загальнодоступний канал зв'язку, але приховати сам факт передачі інформації.
3. Використовувати загальнодоступний канал зв'язку, але передавати по ньому потрібну інформацію в такому перетвореному вигляді, щоб відновити її міг тільки адресат.
Проаналізуємо ці можливості.
1. З давніх часів практикувалася охорона документа (носія інформації) фізичними особами, передача його спеціальним кур'єром (людиною (дипломатом) або тваринам (голубина пошта)) і т.д. Але, документ можна викрасти, кур'єра можна перехопити, підкупити, врешті-решт, вбити. На даний момент для реалізації даного механізму захисту використовуються сучасні телекомунікаційні канали зв'язку. Однак слід зауважити, що даний підхід вимагає значних капітальних вкладень. При сучасному рівні розвитку науки і техніки зробити такий канал зв'язку між віддаленими абонентами для багаторазової передачі великих обсягів інформації практично нереально.
2. Розробкою засобів і методів приховування факту передачі повідомлення займається стеганографія . Перші сліди стеганографічних методів губляться в глибокій старовині. Так, в працях давньогрецького історика Геродота зустрічається опис двох методів приховування інформації: на поголеною голову раба записувалося необхідне повідомлення, а коли його волосся відростало, він вирушав до адресата, який знову голив його голову і зчитував доставлене повідомлення. Другий спосіб полягав в наступному: повідомлення наносилося на дерев'яну дощечку, а потім вона покривалася воском, і, тим самим, не викликала ніяких підозр. Потім віск зскрібає, і повідомлення ставало видимим. На даний момент стеганографічні методи в сукупності з криптографічними знайшли широке застосування в цілях приховування і передачі конфіденційної інформації.
3. Розробкою методів перетворення інформації з метою її захисту від несанкціонованого прочитання займається криптографія .
Питання для самоперевірки
1. Дайте визначення поняттям: « інформація »,« інформаційна безпека »,« захист інформації »,« інформаційна загроза ».
2. Дайте характеристику основних складових інформаційної безпеки .
3. Перерахуйте основні об'єкти захисту .
4. Дайте характеристику поняттям « Державна таємниця »,« конфіденційна інформація »І« персональні дані ».
5. Дайте характеристику засобів захисту інформації .
6. Перерахуйте способи таємницею передачі інформації на відстані .
Від чого (кого) захищати?Як захищати?
Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить перекручені дані?