Информационная безопасность

Сергеев Анатолий Васильевич

Доклад до ноября
Моя тема: Пиринговые сети и их типы. Принцип действия. Используемые программы. Методы подключения и создания. Варианты использования.

4 лабораторных:
1)
2)
3) 3 вариант.
4)

Введение

Уровни ИБ:

  1. Защита секретной инф. гос.учреждений
  2. Защита конф. инф-ии коммерческих организаций
  3. Защита личной инф-ии отдельных лиц

Уязвимостью ИТ может использоваться огранизацией или группой лиц:

Информация – сведения о лицах, предметах, событиях, явлениях, процессах в независимости от формы представления.
Информация (с точки зрения теории информации) – количественное определение новых знаний как меры совокупности достоверных ответов о событиях с неоднозначным исходом.
Чем меньше ожидается исход события, тем больше информации мы получаем при получении известия об этом исходе.
Материальная (документированная) информация – зафиксированная на носителе информация, позволяющая её идентифицировать.
Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ.
Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства.
Жизненно важный интерес – совокупность потребностей, удовлетворение которых надёжно обеспечивает существование и возможность прогрессивного развития личности, общества и государства.
Информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее её создание, развитие и использование в интересах граждан, организаций и государства.
Информационная система – огранизационная совокупность документов и информационных технологий, включающая вычислительную технику и системы связи и реализующая информационный процесс.

1. Классификация информации

По физическому проявлению

По уровню секретности

В зависимости от ущерба, который будет нанесён при нарушении информационной безопасности.

Лекция 2.

С точки зрения защиты информации выделяются следующие свойства информации:

  1. Конфиденциальность – свойство информации, которое устанавливается владельцем информации и отражающая ограничение доступа к информации в соответствии с законодательством
  2. Доступность – свойство информации, определяющая степень возможности получения информации
  3. Достоверность – свойство информации, определяющая степень доверия к ней
  4. Целостность – свойство информации, определяющая структурную пригодность информации к использованию

Источниками секретной информации могут быть люди, документы, публикации, технические носители информации, средства трудовой и производственной деятельности, готовые изделия и отходы производства

2. Угрозы информации

Угрозы информации – реальные или потенциально возможные действия по отношению к информационно сфере и приводящие к изменению свойств информации (конфиденциальности, доступности, достоверности и целостности)

Виды угроз информации:

  1. Ознакомление – изучение информациии лицами, не имеющими права доступа к ней. Угроза направлена только на конфиденциальную информацию. Направлено на свойство информации – конфиденциальность.
  2. Модификация – изменение состава и соержания сведений. Направлено на свойства информации – конфиденциальность, достоверность и целостность.
  3. Уничтожение – приводит к полной утере информации без возможности ее восстановления.
  4. Блокирование – приводит к потере доступа к информации, при этом информация не уничтожается и доступ к информации может быть восстановленю Воздействует на свойство доступности.

При отсутствии действий злоумышленника потеря доступа к информации может быть вызвана следующими причинами:

  1. Отсутствием или неисправностью некоторого оборудования в информационной системе.
  2. Отсутствие специалиста или недостаточная его квалификация.
  3. Отсутствие либо неработоспособность какого-либо программного средства.
  4. Недостаточность ресурсов для обработки запросов всех пользователей.

Классификация угроз информации:

  1. По причинам появления:

    • Преднамеренные
    • Стихийные
  2. По отношению к объекту – угроза информации определяется по территориальному признаку или по признаку принадлежности злоумышленника к объекту информационной защиты:

    • Внешние
      • Розвідка
      • Конкуренты
      • Политические противники
      • Преступники
      • Антисоциальные элементы
      • Случайные лица
      • Стихийные бедствия
    • Внутренние
      • Сотрудники с корыстными целями, передающие информацию конкурентам;
      • Специально внедрённые в компанию для добычи секретов;
      • Сотрудники, обиженные на начальника, руководство компании, руководство страны;
      • Безответственные сотрудники;

    Подсчитано, что 82% угроз – внутренние, 17% внешние преднамеренные, а 1% – внешние случайные.

3. Угрозы конфиденциальной информации.

Информация всегда имеет владельца. Она должна предоставляться адресно. Если информация секретна, то это должно быть указано в соответствующем сообщении и также должен быть указан гриф или уровень секретности.

Право собственности определяется существующим законодательством и может быть передано другой организации. В зависимости то вида собственности конфиденцальная информация может быть государственной, коммерческой и личной.

Перечень сведений, составляющих государственную тайну определяет государство в лице его учреждений и институтов.

Коммерческие предприятия формируют список сведений, составляющих коммерческую тайну, и заботятся об их сохранении.

Личную тайну определяет физическое лицо. Правовую поддержку оказывает государство.

Неправомерное овладение конфиденциальной информацией возможно следующими способами:

  1. Разглашение инорфмации -- умышленные/неосторожные действия с конфиденциальной информацией приведшие к ознакомлению с ней лицам, недопущенным к этой информации.
    Возможные формы: сообщение, передача, предоставление, утеря, пересылка и др.
    Реализуется разглашение по формальным/неформальным каналам
    Формальные: напр-р, совещание, переговоры, деловые встречи... А также обмен через телефон, почту и др.
    Неформальныве: выставки, семинары, личные встречи (допросы, вербовка), конференции, публикации СМИ,
    Интернет

  2. Утечка -- бесконтрольный выход конфиденциальной информации через технические каналы.

  3. Несанкционированный доступ

Формальные каналы:

  1. Совещания, переговоры, деловые встречи и т.п., а также обмен сообщениями, используя почту, электронную почту, телефон и т.п.

Канал -- физический путь от источника конфиденциальной информации к злоумышленнику. Для создания канала утечки необходимы определённые пространственные,

Для создания канала утечки необходимы определённые пространства., временные, энергетические условия а
также наличие у злоумышленника аппаратуры приёма, обработки и фиксации информации

Требования возникновения канала утечки:

  1. Временные (когда открывать канал)
  2. Пространственные (откуда/через что)
  3. Энергетические (достаточная энергия для обработки и фиксации)

Несанкционированный доступ -- противоправное преднамеренное овладение конфиденциальной информации, лицом
не имеющим доступа к секретам

4 Направления защиты информации

  1. Правовая защита -- специальные законы и другие нормативные акты, а также правила, процедуры,
    обеспечивающие защиту информации на правовой основе.

  2. Организационная защита -- регламентация деятельности и взаимоотношений сотрудников на
    нормативно-правовой основе, исключающее (затрудняющая) неправомерное
    овладение конфиденциальной информацией и проявление внутренних и
    внешних угроз

  3. Инженерно-техническая защита -- совокупность специальных органов, технических средств и
    мероприятий по их использованию в целях защиты конфиденциальной
    информации

Орган -- структурно и функционально обособленный элемент управления, организация

5. Правовое обеспечение конфиденциальной информации

Доктрина ИБ РФ (5.12.2016) -- перечислены разные виды угроз, приведены угрозы гос. безопасности:
Угрозы, которые влияют на государственную безопасность

  1. Недостаточный уровень развития информационных технологий и их использование в производстве и оказании услуг
  2. Высокий уровень зависимости отечественной промышленности от зарубежных информационных технологий
    (в части касающейся элементной базы (микросхемы и др. электронные элементы), программного обеспечения,
    вычислительной техники и средств связи)
  3. Недостаточное кадровое обеспечение разными специалистами в области информационной безопасности
  4. Низкая осведомлённость граждан в вопросах обеспечения личной информационной безопасности

Меры для преодоления угроз:

  1. Информационное развитие отрасли и информцационной промышленности
  2. Развитие отечественной компонентной базы
  3. Развитие отечественной области информационных технологий, внедрение их в промышленность и сферы услуг.
  4. Развитие кадрового потенциала в области информационной безопасности
  5. Формировать у граждан РФ культуру личной, информационной безопасности

Федеральный закон об информации, информационных технологиях и защите информации (2018)
Не может быть ограничен доступ к следующей информации
а) Нормативно-правовые акты, затрагивающие права, свободы, обязанности граждан
б) Информация о состоянии окружающей среды
в) Информация о деятельности государственных органов и органов местного самоуправления, а также инф-я
об использовании бюджетных средств, за исключением информации, составляющей государственную или
служебную тайну
г) Информации, накапливаемой в открытых фондах библиотек, музеев, архивов
д) Иной информации недопустимость ограничения к которой устанавливается федеральным законом
В законе прямо указано, что запрещается требовать информацию у гражданина о его частной жизни, в том числе
составляющей его личную или семейную тайну, помимо воли гражданина.
В законе есть норма направленная против SPAM'а. Т.е. если организация занимается массовой рассылкой информации,
то она должна обеспечить получателю возможность отказаться от получения такой информации.
Запрещается распространение информации, направленной на пропаганду войны, рассовой, национальной или религиозной
ненависти.

26.10

3.10

10.10

17.10

Модель невыводимости.

Система считается невыводимобезопасной, если пользователи с низким уровнем доступа не получат информацию с высоким уровнем секретности при любых действиях высокоуровневых пользователей.

Пример: высокоуровневый пользователь распечатал файл на общедоступном принтере, низкоуровневый подошёл и посмотрел.

Каждый пользователь может получать определенную информацию, интерпретируя видимое появление системы.

Пример: в Южной Осетии женщина позвонила знакомому, сказала, что ж/д сообщение оживилось, и возможно это передвигается военная техника. Потом её судили.

Для невыводимобезопасной системы должно выполняться условия, что действия высокоуровневого пользователя не должно приводить к изменению информации, получаемой низкоуровневым пользователем.

Информационная модель не указывает напрямую, как её можно реализовать технически.

Разработчик создаёт систему защиты. После чего специалисты по взлому начинают эту защиту взламывать. Для этого им предоставляется определённое время. Если систему удаётся взломать, разработчики её усовершенствуют, процесс повторяется заново.

Такая модель позволяет выявлять уязвимости, возникающие в процессе реализации, а также в результате ошибок при проектировании.

...

14.11 Kerberos

Kerberos -- это программный продукт, предназначенный для организации защищённой передачи данных.

Разработан в 80х годах в MIT. Имеет клиент-серверную архитектуру.
Клиент и сервер должны подтвердить друг другу свою подлинность при помощи секретных ключей, который знают только они, с помощью третьей стороны, которой они оба доверяют -- Key Distribution Center (KDC), расположенного на других серверах и хранят ключи всех клиентов и серверов. KDC обычно располагается на том же сервере, что и Домен-Контроллер. Ключ для домена и сервера создаётся при введении его в домен. Администратор обращается к домен-контроллеру, через этот новый узел, используя специальную идентификацию, затем он создаёт в БД запись об узле. Хранятся логин пользователя, хеш пароля, информация о правах и доп информация.

Алгоритм системы

  1. Аутентификация пользователя.
    1.1. Пользователь с клиентской машины вводит логин и пароль, который используется как ключ для шифрования данных, передаваемых на домен-контроллер. Передаётся ID клиента, текущее время, хеш не передаётся в открытом виде.
    1.2. Домен-контроллер принимает сообщение, зная хеш, он расшифровывает время. Если оно не сильно отличается от текущего, то пользователь считается подтверждённым.
    1.3. Домен-контроллер отправляет клиенту данные:
    a) идентификатор сервера KDC, сессионный ключ для связи с KDC, текущее время, время действия сессионного ключа;
    b) идентификатор клиента, IP адрес клиента, сессионный ключ для связи с клиентом, текущее время, время действия сессионного ключа. Это зашифровывается секретным ключом KDC.
    1.4. Получив сообщение, клиент расшифровывает первое сообщение и сохряняет второе.
  2. Авторизация клиента на KDC.
    2.1. Клиент формирует два запроса на KDC:
    a) данные, зашифрованные долговременным ключом KDC;
    b) идентификатор клиента, метка времени и требование о доступе к серверу, защищённые сессионным ключом KDC.
    2.2. Сервер KDC получает данные, расшифровывает их долговременным ключом KDC, получает идентификатор клиента, расшифровывает сообщение (b) и этим подтверждает подлинность клиента.
    2.3. Сервер KDC создаёт два пакета для клиента:
    a) ID клиента, сетевой адрес клиента, сессионный ключ клиент-сервер и время действия ключа.
    b) сессионный ключ клиент-сервер, ID сервера, время действия сессионного ключа и метка времени, зашифрованные сессионным ключом клиент-сервер
  3. .
    3.1 Клиент получает сессионный ключ клиент-сервер, расшифровав сообщение от KDC
    3.1 Клиент посылает серверу пакеты
    a) пакет, полученный от KDC и зашифрованный секретным ключом сервера
    b) ID клиента и метка времени, зашифрованные сессионным ключом клиент-сервера
    3.2. Сервер расшифровывает пакет (a), зашифрованный его долговременным ключом, получает информацию о клиенте и сессионный ключ, с помощью которого расшифровывает пакет (b).
    3.3. Сервер посылает метку времени, зашифрованную сессионным ключом клиент-сервер.
    3.4. Начинается обмен данных между клиентом и сервером.

Достоинства Kerberos:

Недостатки Kerberos: