ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 23.09.2024

Просмотров: 4029

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Информационная безопасность

Отправитель и получатель

Сообщения и шифрование

Проверка подлинности, целостность и неотрицание авторства

Алгоритмы и ключи

Симметричные алгоритмы

Алгоритмы с открытым ключом

Криптоанализ

Безопасность алгоритмов

Стеганография

Подстановочные и перестановочные шифры

Подстановочные шифры

Перестановочные шифры

Простое xor

Одноразовые блокноты

Ipklpsfhgq

Элементы протоколов

Смысл протоколов

Персонажи

Протоколы с посредником

Арбитражные протоколы

Самодостаточные протоколы

Попытки вскрытия протоколов

Передача информации с использованием симметричной криптографии

Однонаправленные функции

Однонаправленные хэш-функции

Коды проверки подлинности сообщения

Передача информации с использованием криптографии с открытыми клю­чами

Смешанные криптосистемы

Головоломки Меркла

Цифровые подписи

Подпись документа с помощью симметричных криптосистем и посредника

Деревья цифровых подписей

Подпись документа с помощью криптографии с открытыми ключами

Подпись документа и метки времени

Подпись документа с помощью криптографии с открытыми ключами и однонаправленных хэш-функций

Алгоритмы и терминология

Несколько подписей

Невозможность отказаться от цифровой подписи

Использование цифровых подписей

Цифровые подписи и шифрование

Возвращение сообщения при приеме

Обнаружение вскрытия, основанного на возвращении сообщения

Вскрытия криптографии с открытыми ключами

Генерация случайных и псевдослучайных последовательностей

Псевдослучайные последовательности

Криптографически безопасные псевдослучайные последовательности

Настоящие случайные последовательности

Типы алгоритмов и криптографические режимы

Режим электронной шифровальной книги

Набивка

Повтор блока

Режим сцепления блоков шифра.

Потоковые шифры

Устройство генератора потока ключей.

Идентификация и авторизация

Аутентификация

Парольная аутентификация

Электронные смарт-карты

Использование других уникальных предметов

Методы биометрической аутентификации

Идентификация по отпечаткам пальцев

Идентификация по Сетчатке и радужной оболочке глаза

Голосовая идентификация

Распознавание по форме лица, руки или ладони

Распознавание по рукописному почерку.

Клавиатурный почерк

Задачи аудита

Применяемые методики

Результаты аудита

Классификация угроз Digital Security (Digital Security Classification of Threats)

Технологические угрозы информационной безопасности

Организационные угрозы информационной безопасности

Социальная инженерия

Компьютерные вирусы

Файловые вирусы

«Троянские кони» («трояны»)

Сетевые черви

Загрузочные вирусы

Мобильные («встроенные») вирусы

Полиморфизм вирусов

Противодействие вирусам

Места наиболее вероятного внедрения вирусов

К слову отметим, что наряду с системами для оценки геометрии лица, существует оборудование для распознавания очертаний ладоней рук. При этом оценивается более 90 различных характеристик, включая размеры самой ладони в трех измерениях, длину и ширину пальцев, очертания суставов и т. п.

В настоящее время, метод идентификации пользователей по геометрии руки используется в более чем 8000 местах, включая Колумбийский законодательный орган, Международный Аэропорт Сан-Франциско, больницы и иммиграционные службы. Преимущества идентификации по геометрии ладони сравнимы с плюсами идентификации по отпечатку пальца в вопросе надежности, хотя устройство для считывания отпечатков ладоней занимает больше места. Наиболее удачное устройство, Handkey, сканирует как внутреннюю, так и боковую сторону руки, используя для этого встроенную видео камеру и алгоритмы сжатия. Устройства, которые могут сканировать и другие параметры руки находятся в процессе разработки несколькими компаниями, такими как BioMet Partners, Palmetrics и BTG.

Стоимость подобного оборудования не превышает пары тысяч долларов.


Распознавание по рукописному почерку.

Одна из технологий аутентификации основана на уникальности биометрических характеристик движения человеческой руки во время письма. С помощью стандартного дигитайзера и ручки пользователь имитирует, как он обычно ставит подпись, а система считывает параметры движения и сверяет их с теми, что были заранее введены в базу данных. При совпадении образа подписи с эталоном система прикрепляет к подписываемому документу информацию об имени пользователя, адрес его электронной почты, должность, текущее время и дату, параметры подписи, включающие более 42 характеристик динамики движения (направление, скорость, ускорение и др.). Эти данные шифруются, затем для них вычисляется контрольная сумма, и все это шифруется еще раз, образуя так называемую биометрическую метку. Для настройки системы вновь зарегистрированный пользователь от пяти до десяти раз выполняет процедуру подписания документа, что позволяет получить усредненные показатели и доверительный интервал. Впервые данную технологию использовала компания PenOp (http://www.penop.com/).

Стоимость оборудования в этом случае не превышает 70 - 80 долл., а затраты на программное обеспечение зависят от количества пользователей.

Клавиатурный почерк

Метод в целом аналогичен вышеописанному, но вместо подписи используется некое кодовое слово и из оборудования нужна только стандартная клавиатура. Клавиатурный почерк, также называемый ритмом печатания, анализирует способ печатания пользователем той или иной фразы. Это аналогично ранним дням телеграфа, когда люди идентифицировали друг друга "по удару отправителя". Несмотря на привлекательность этого метода, коммерческие усилия в развитии данной технологии претерпели неудачу.

Аудит

Одна из основных проблем компаний на сегодняшний день состоит в отсутствии понимания ценности информации, обрабатываемой в информационной системе. Не стоит забывать, что мы защищаем именно информацию, а не нечто абстрактное. Это приводит к тому, что даже если система обеспечения информационной безопасности в той или иной степени существует, она слабо связана с ценностью защищаемой информации. В связи с этим одни и те же меры защиты применяются для информации стоимостью 100 и 1000000 долларов. Комплексный аудит информационной безопасности, проводимый внешними специалистами, позволяет Вам получить наиболее полную и объективную оценку защищенности Вашей информационной системы.


Задачи аудита

Основные задачи, которые решаются в ходе аудита:

  • Проведение информационного аудита существующей КИС (как объекта защиты), анализ ее структуры, функций и особенностей, используемых технологий автоматизированной обработки и передачи информации, анализ выполняемых бизнес-процессов, анализ нормативной и технической документации;

  • Выявление значимых угроз, основных путей их реализации; выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного плана в информационной системе;

  • Составление неформальной модели нарушителя и практическая проверка возможности реализации нарушителем выявленных внутренних угроз на объекте на основе обнаруженных уязвимостей путем проведения внутреннего теста на проникновение;

  • Проведение тестов на проникновение по внешнему периметру IP-адресов; тестирование возможности проникновения в корпоративную сеть путем почтовой атаки рабочих станций пользователей специализированной реверсивной троянской программой;

  • Анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;

  • Оценка системы управления информационной безопасностью на соответствие требованиям международного стандарта ISO 17799 и разработка рекомендаций;

  • Анализ и оценка рисков, связанных с невыполнением требований стандарта ISO 17799;

  • Разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности

Одной из важнейших задач аудита является оценка существующих бизнес процессов и определение ущерба (стоимости) по всем видам ценной информации, обрабатываемой в системе. Другая проблема, которую помогает решить аудит, состоит в том, что специалисты крупных компаний не имеют возможностей, времени и, зачастую, достаточных навыков для самостоятельного проведения всего сложнейшего комплекса технологических и организационных проверок информационной системы. И не будем забывать, что именно сторонний аудит позволяет владельцу компании непредвзято взглянуть на существующее состояние дел в компании области ИБ и получить наглядное представление о существующих проблемах с безопасностью и возможных финансовых потерях. Следующей важнейшей задачей, для выполнения которой необходимо проводить аудит, является анализ информационных рисков и определение эффективности затрат на обеспечение ИБ. Без понимания стоимости информации, объема затрат на ИБ, существующего уровня информационных рисков – невозможно эффективно управлять безопасностью информационной системы. Также, не будем забывать, что большинством стандартов рекомендует проведение регулярного (ежегодного) стороннего аудита ИБ – это также необходимо для определения и проведения должной корректировки уровня оперативной готовности служб обеспечения ИБ



Применяемые методики

В процессе выполнения работ по аудиту информационной безопасности могут быть использованы следующие методики:

  • Методика проведения комплексного аудита информационной безопасности NSA Infosec (методика включает обязательные тесты на проникновение как из сети Интернет, так и внутри корпоративной сети);

  • КОНДОР – методика аудита соответствия требованиям ISO 17799 и анализа рисков невыполнения требований стандарта;

  • ГРИФ (модель угроз-уязвимостей) – методика анализа информационных рисков компании Digital Security.

Для оценки соответствия системы управления информационной безопасностью требованиям ISO 17799 на первом этапе проводится анализ нормативных документов по информационной безопасности. На втором этапе с помощью методики Кондор проводится опрос ответственных лиц, вовлеченных в процесс управления информационной безопасностью (специалисты подразделений ИБ и ИТ), а также – пользователей КИС, выбранных случайным образом. Полученные в процессе опроса ответы анализируются и сравниваются с данными, полученными в процессе технологических проверок защищенности КИС. Итоговый вывод о выполнении требований стандарта ISO 17799 делается в случае подтверждения выполнения требований на практике в КИС.

Результаты аудита

В результате получается детальный отчет, содержащий описание всех выявленных в ходе аудита технологических и организационных уязвимостей корпоративной информационной системы, комплексную оценку системы управления информационной безопасности в соответствии с ISO 17799 и разработанные на основе полученных результатов, комплексные рекомендации по повышению текущего уровня защищенности. По Вашему желанию осуществляется разработка политики безопасности в соответствии с полученными результатами аудита информационной системы.

Классификация угроз Digital Security (Digital Security Classification of Threats)

При разработке алгоритма оценки информационных рисков, основанного на анализе угроз и уязвимостей информационной системы, специалистами Digital Security были рассмотрены и проанализированы различные существующие классификации угроз информационной безопасности. Попытки использования данных классификаций для описания по возможности большего количества угроз показали, что во многих случаях реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким.