Файл: Методы кодирования данных (АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ).pdf

ВВЕДЕНИЕ

Мир переживает настоящий бум разработки и внедрения все новых и новых методов и технологий передачи, обработки и хранения информации. В результате чего за последние 10-15 лет наблюдается глобализация телекоммуникационных сетей, стирание границ и создание единого мирового информационного пространства[2, с. 12]. Лавинообразное и революционное внедрение различных технологий и методов передачи, обработки и хранения информации в телекоммуникационных сетях заставляют принципиально по-новому рассматривать роль и значение технической защиты информации.

Рост угроз информации вызван либерализацией общественных и межгосударственных отношений, применением технических средств обработки информации и средств связи, распространением средств несанкционированного доступа к информации и воздействия на нее.

Обеспечение безопасной деятельности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая мелкими частными предприятиями. Защите, также, подлежит и личная информация. Разница будет заключаться лишь в том, какие средства и методы и в каком объеме потребуются для обеспечения информационной безопасности. В каждом конкретном случае.

Сначала необходимо определить, что подлежит защите, и какими основными принципами следует руководствоваться при организации защиты. Исходя из исторической и международной практики, объектами защиты, с учетом их приоритетов, являются:

1) человек (личность);

2) информация;

3) материальные ценности.

Исследование курсовой работы направлено на рассмотрение вопросов связанных с защитой информации, и анализ алгоритмов шифрования.

Информацию можно продать, купить, импортировать, фальсифицировать, украсть и т. д., из этого следует, что она должна каким-то образом защищаться. Следует отметить, что защите подлежит не вся информация, а только та, которая имеет цену, то есть ценная информация. Ценной же становится информация, обладание которой позволит ее действительному или потенциальному владельцу получить какой-либо выигрыш: моральный, материальный, политический и т. д.

Поскольку в обществе всегда существуют люди, желающие иметь какие-либо преимущества над другими, то неизбежно возникает желание незаконным путем получить ценную информацию, а следовательно ‑ возникает необходимость ее защищать. Проблема защиты информации возникла в мете с понятием информация и знания, цели злоумышленников и мотивация владельцев не изменяется, изменяются только методы и средства.

---

Проблема защиты информации путем ее преобразования, исключающего или затрудняющего ее прочтение посторонним лицом волновала человеческий ум с давних времен. История криптографии ‑ ровесница истории человеческого языка. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии тому примеры.

С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал уже более менее систематический шифр, получивший его имя.

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления ‑ криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием математических методов преобразования информации, а криптоанализ – поиском алгоритмов обратного преобразования и атак на алгоритмы защиты.

Проблема защиты информации неоднократно рассмотрены в различных, как зарубежных, так и отечественных источниках. Так, например, Жельников В.[3] рассматривает историю криптографических методов, Мельников В. П. и Клеймов С.А.[4] описывают защищенность с точки зрения систем, анализируют возможные атаки и меры противостояния таковым, ряд авторов: Гашков С. Б.[5], Аграновский А.В., Балакин А.В.[6], Городецкий В.И., Самойлов В.В. – посвятили свои исследования отдельному направлению защиты информации и рассматривают непосредственно особенности реализации и применения стеганографии. Следовательно –угрозы и методы защиты информации, которые будут рассмотрены в работе, не являются чем-то новым. Тем не менее, комплексное применение средств защиты и правильная ее организация используется крайне редко, что дает дополнительный стимул для изучения возможностей их применения.

Актуальность исследования подтверждена большим интересом к этому вопросу, как в различных предметных областях, так и в области специалистов по защите информации. Информационная безопасность становится главным направлением развития ИТ в прикладных областях.

Тема является актуальной и в связи с бурным развитием компьютерных технологий и внедрение их в повседневную жизнь. Одна из основных проблем такого развития общества является проблема защиты информации.

---

Целью курсовой работы является анализ понятия информационной безопасности (ИБ) и применение программных средств для ее обеспечения.

Объект исследования – алгоритмы шифрования.

Предметом исследования курсовой работы является роль и место алгоритмов шифрования в системе обеспечения ИБ, классификация подходов и особенности реализации.

Задачами работы являются:

• анализ основных понятий в сфере ИБ;
• исследование алгоритмов шифрования;
• классификация и определение особенностей алгоритмов различных классов;
• практическая реализация простых алгоритмов шифрования средствами электронного табличного процессора Excel.

1 АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Под термином информационная безопасность понимают защищенность информации и поддерживающей ее инфраструктуры от различных непреднамеренных или злонамеренных воздействий, результатом которых может являться нанесенный ущерб, как самой информации, так и ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. [14]

Основные составляющие информационной безопасности

Направления информационных систем, которые нуждаются в защите, следует разделить на категории: обеспечение целостности, доступности и конфиденциальности информационных ресурсов.

• Доступность следует рассматривать как возможность получения, за конечный, желательно как можно более короткий промежуток времени, требуемой информации или информационной услуги.
• Целостность информации определяет ее актуальность и непротиворечивость, степень защищенности от разрушения и несанкционированного изменения.
• Конфиденциальность определяет защиту от несанкционированных доступов к информации, ее утечку или передачу третьим заинтересованным лицам.

Информационные системы создаются для получения определенных информационных услуг. Если получение информации по каким-либо причинам становится невозможным, это приносит ущерб всем субъектам информационных отношений, и как следствие общий ущерб организации. Из этого можно определить, что доступность информации стоит на первом месте.

---

Целостность является основным аспектом информационной безопасности, так как нарушение точности и правдивости информации фактически можно рассматривать как ее потерю, а в большинстве случаев неправдивая искаженная информация носит еще более пагубный характер, чем ее отсутствие. Например, рецепты медицинских лекарств, поставленные диагнозы, назначения препаратов и методов лечения.

Наиболее проработанной составляющей информационной безопасности в нашей стране является конфиденциальность. Но практическая реализация мер по обеспечению конфиденциальности современных информационных систем сталкивается в России с большими трудностями.

Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках.

Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препятствия и технические проблемы. [15]

Первичной задачей в процессе повышения уровня информационной безопасности является выявление проблем и их локализация. Для выявления проблем и слабых мест в информационной структуре в целом и исследования информационной безопасности проводится IT аудит.

Как показывает практика, современные компьютерные системы подлежат следующим наиболее распространенным угрозам [1-2,6]:

1. непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц (35%)
2. кражи и фальсификации. В большинстве случаев, которые расследовались, виновными оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и мерами защиты (15%);
3. «обиженные сотрудники» - нынешние и бывшие, например, путем внедрения «логической бомбы», введение неверных данных, удаление или модификации данных (36%);
4. угрозы окружающей среды (отключение связи, пожар и т.д.)(10%);
5. действия хакеров и преступников, которые могут осуществлять обман путем создания ложных или модифицированных подлинных документов (информации)(4%).

Рисунок 1 – Распределение угроз по типу нарушителя

В процессе реализации угроз нарушители и преступники могут реализовывать следующие стратегии:

1. выдачи себя за другого пользователя, чтобы снять с себя ответственность;
2. выдачи себя за другого пользователя, чтобы использовать его полномочия с целью:
3. формирование ложной информации;
4. изменения истинной информации;
5. применение ложного удостоверения для получения несанкционированного доступа (НСД);
6. санкционирование ложных обменов информацией или их не подтверждения;
7. отказ источника от факта формирования и передачи информации;
8. утверждение источника о том, что получателю была отправлена информация, в том числе в определенное время, что на самом деле не была отправлена или отправлена в другое время;
9. отказ получателя от факта получения информации, хотя на самом деле она была получена, или ложное утверждение о время ее получения;
10. утверждение о том, что информация получена от определенного пользователя, хотя на самом деле она сформирована самим же нарушителем;
11. нарушение конфиденциальности;
12. несанкционированное расширение (изменение) своих полномочий;
13. несанкционированное изменение полномочий других лиц (ограничение или расширение);
14. введение в систему или активизация вирусов или других "вредных" программ с целью перехвата ключей и паролей, а также модификации (незаметно) документов;
15. попытка помешать передаче сообщений другим пользователям, в частности, внесение сообщению скрытых помех для того, чтобы это сообщение при аутентификации было опровергнуто;
16. модификация программного обеспечения, например, путем добавления новых функций;
17. подрыв доверия к протоколу путем вызова нарушений или принуждения других возбудить протокол путем введения ложной информации и т.д.

---

Несанкционированный доступ к информации бывает:

• косвенным ‑ без физического доступа к информации;
• прямым ‑ с прямым физическим доступом к информации.

В свою очередь методы и подходы по защите информации и обеспечении ИБ делятся на:

1. формальные - выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека.
2. неформальные - такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность.

Типы и методы защиты информации представлены на схеме (рис. 2)

Рисунок 2 ‑ Способы и средства защиты информации

Далее будут рассмотрены только программные средства защиты и алгоритмы, на основе которых эти программные средства строятся.

Как видно на схеме, алгоритмы шифрования относятся к Формальным, программным средствам защиты, реализующимся на основе кодирования информации по определенному алгоритму.

Естественно очень мало смысла в том, чтобы кодировать список продуктов составленный «хозяйкой» для завтрашней закупки. Средства защиты и мощность этих средств определяются, в первую очередь, ценностью информации и интересом к информации, который проявляют третьи лица.

Проанализировав приведенный ранее список угроз и нарушителей, можно сказать – программная защита данных на основе шифрования может помочь в случае:

1. кража данных (копирование с сервера или рабочего ПК);
2. несанкционированный перехват информации (перехват данных в сети, взлом аккаунта, эл. почты и т.д.);

2 ОСНОВНЫЕ ПОНЯТИЯ КРИПТОГРАФИИ, АЛГОРИТМЫ ШИФРОВАНИЯ

2.1 Общие понятия криптографии, основные термины

Криптография (от древнегреч. Κρυπτος - скрытый и γραφω - пишу) ‑ наука о методах обеспечения конфиденциальности и аутентичности информации.

Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для злоумышленника. Такие преобразования позволяют решить две главные вопросы, касающиеся безопасности информации:

• защиту конфиденциальности;
• защиту целостности.

Проблемы защиты конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.

---