МГТУГА

Категории раздела

История воздухоплавания [31]
Системное программное обеспечение [55]
Сети 3-4 курс [41]
Методы и средства защиты информации [17]
Вычислительный системы [42]
про САПР [41]
Безопасность жизнедеятельности. БЖД. [46]
Интернет-технологии ГА [49]

Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Каталог статей

Главная » Статьи » Методы и средства защиты информации

№ 2
№ 2
1.1
В законодательстве всех развитых индустриальных стран предусмотрены нормы, определяющие информацию как объект гражданско-правовых отношений и реальный материальный ресурс, подлежащий использованию, учету и защите. В России такие нормы содержатся в ряде основополагающих законодательных актов. В частности, в Гражданском кодексе Российской Федерации (ст. 139. Служебная и коммерческая тайна, ст. 857. Банковская тайна) и в Федеральном законе "Об информации, информатизации и защите информации" от 20 февраля 1995 г. № 24-ФЗ, в котором определено, что информационные ресурсы, т.е. отдельные документы или их массивы, в том числе в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника (ст. 4.1, ст. 6.1). В соответствии с этим законом информация разделяется на общедоступную и документированную информацию с ограниченным доступом (ст. 10.2), которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию (персональные данные, коммерческая, служебная, банковская и иные тайны, определенные Указом Президента Российской Федерации от 6 марта 1997 г. № 188 "О перечне сведений конфиденциального характера"). При этом защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.    
Режим защиты информации устанавливается (ст. 21.1):
1. в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона  Российской Федерации "О государственной тайне";
2. в отношении конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона;
3. в отношении персональных данных - специальным законом.
Уголовная ответственность за неправомерные действия по отношению к охраняемой законом информации определена в Уголовном кодексе Российской Федерации (ст, 183. Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну, ст. 272. Неправомерный доступ к компьютерной информации, ст. 273. Создание, использование и распространение вредоносных программ для ЭВМ, ст. 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).
Кроме указанных документов действуют и другие нормативные правовые акты, входящие в юридический базис информационной безопасности [14]. Таким образом, информация является объектом правовой охраны. При этом основная цель обеспечения безопасности информации заключается в защите прав собственности на нее. Это подразумевает решение комплекса задач, заключающихся в защите информации от утраты, разрушения, незаконного получения (утечки) и использования.

Источником информации является некая упорядоченная структура, несущая в различии своих элементов информацию.
Носителем информации является некоторый материальный объект (устройство, изделие), содержащий или отражающий в каком-либо виде источник информации и обеспечивающий его передачу в пространстве и во времени.
объект защиты информации, или просто -защищаемый объект, под которым следует понимать любой материальный объект, на который направлены усилия по его защите.

1.     Электронная цифровая подпись по алгоритму RSA.

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр на основании государственной лицензии.

Электронная цифровая подпись (ЭЦП)— реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки.

Общая суть электронной подписи заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца — результатом является подпись документа. Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.

Цифровая подпись обеспечивает:

    * Удостоверение источника документа. В зависимости от деталей определения «документа» могут быть подписаны такие поля как автор, внесённые изменения, метка времени и т. д.
    * Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно подпись станет недействительной.
    * Невозможность отказа от авторства. Так как создать корректную подпись можно лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Возможны следующие угрозы цифровой подписи:

    * Злоумышленник может попытаться подделать подпись для выбранного им документа.
    * Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила.
    * Злоумышленник может попытаться подделать подпись для хоть какого-нибудь документа.

При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако, эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.

Тем не менее, возможны ещё такие угрозы системам цифровой подписи:

    * Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
    * Злоумышленник может обманом заставить владельца подписать какой-либо документ, например используя протокол слепой подписи.
    * Злоумышленник может подменить открытый ключ владельца (см. управление ключами) на свой собственный, выдавая себя за него.

Хеширование — преобразование входного массива данных в короткое число фиксированной длины (которое называется хешем или хеш-кодом) таким образом, чтобы с одной стороны, это число было значительно короче исходных данных, а с другой стороны, с большой вероятностью однозначно им соответствовало. Преобразование выполняется при помощи хеш-функции. Ясно, что в общем случае однозначного соответствия между исходными данными и хеш-кодом быть не может. Обязательно будут возможны массивы данных, дающих одинаковые хеш-коды, но вероятность таких совпадений в каждой конкретной задаче должна быть сведена к минимуму выбором хеш-функции.
Среди множества существующих хеш-функции принято выделять криптографически стойкие, применяемые в криптографии.

Криптографическая хеш-функция должна обеспечивать:

    * стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
    * необратимость (невозможность вычислить исходные данные по результату преобразования)

Хеш-функции также используются в некоторых структурах данных - хеш-таблицаx и декартовых деревьях. Требования к хеш-функции в этом случае другие:

    * хорошая перемешиваемость данных
    * быстрый алгоритм вычисления
Категория: Методы и средства защиты информации | Добавил: mgtuga (06.01.2010)
Просмотров: 731 | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:

Поиск

Дисциплины