Курсовая работа: Информационная безопасность, стандарты информационной безопасности
·
Контроль
соответствия политике безопасности.
Процедура
аудита безопасности АС включает в себя проверку наличия перечисленных ключевых
средств контроля, оценку полноты и правильности их реализации, а также анализ
их адекватности рискам, существующим в данной среде функционирования. Составной
частью работ по аудиту безопасности АС также является анализ и управление
рисками.
Стандарты
безопасности США
"Оранжевая
книга "
"Department
of Defense Trusted Computer System Evaluation Criteria"
OK принята стандартом в
1985 г. Министерством обороны США (DOD). Полное
название документа "Department of Defense Trusted Computer System
Evaluation Criteria".
OK предназначается для
следующих целей:
·
Предоставить
производителям стандарт, устанавливающий, какими средствами безопасности
следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок
доступные системы, удовлетворяющие требованиям гарантированной защищенности
(имея в виду, прежде всего, защиту от раскрытия данных) для использования при
обработке ценной информации;
·
Предоставить DOD
метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для
обработки служебной и другой ценной информации;
·
Обеспечить базу
для исследования требований к выбору защищенных систем.
Рассматривают два типа
оценки:
·
без учета среды,
в которой работает техника;
·
в конкретной
среде (эта процедура называется аттестованием).
Во всех документах DOD,
связанных с ОК, принято одно понимание фразы обеспечение безопасности
информации. Это понимание принимается как аксиома и формулируется следующим
образом: безопасность = контроль за доступом.
Классы систем,
распознаваемые при помощи критериев оценки гарантированно защищенных
вычислительных систем, определяются следующим образом. Они представлены в
порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ.
1.
Класс (D):
Минимальная защита
2.
Класс (C1):
Защита, основанная на разграничении доступа (DAC)
3.
Класс (С2):
Защита, основанная на управляемом контроле доступом
4.
Класс(B1):
Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся
под контролем ТСВ
5.
Класс (B2):
Структурированная защита
6.
Класс (ВЗ):
Домены безопасности
7.
Класс (A1):
Верифицированный проект
FIPS
140-2
"Требования безопасности для криптографических модулей"
В федеральном стандарте
США FIPS 140-2 "Требования безопасности для криптографических
модулей" под криптографическим модулем понимается набор аппаратных и/или
программных (в том числе встроенных) компонентов, реализующих утвержденные
функции безопасности (включая криптографические алгоритмы, генерацию и
распределение криптографических ключей, аутентификацию) и заключенных в
пределах явно определенного, непрерывного периметра.
В стандарте FIPS 140-2
рассматриваются криптографические модули, предназначенные для защиты информации
ограниченного доступа, не являющейся секретной. То есть речь идет о
промышленных изделиях, представляющих интерес для основной массы организаций.
Наличие подобного модуля — необходимое условие обеспечения защищенности
сколько-нибудь развитой информационной системы; однако, чтобы выполнять
предназначенную ему роль, сам модуль также нуждается в защите, как собственными
средствами, так и средствами окружения (например, операционной системы).
Стандарт шифрования
DES
Также к стандартам
информационной безопасности США относится алгоритм шифрования DES, который был разработан в 1970-х
годах, и который базируется на алгоритме DEA.
Исходные идеи алгоритма
шифрования данных DEA (data encryption algorithm) были предложены компанией IBM
еще в 1960-х годах и базировались на идеях, описанных Клодом Шенноном в 1940-х
годах. Первоначально эта методика шифрования называлась lucifer (разработчик
Хорст Фейштель), название dea она получила лишь в 1976 году. Lucifer был первым
блочным алгоритмом шифрования, он использовал блоки размером 128 бит и 128-битовый
ключ. По существу этот алгоритм являлся прототипом DEA.
Задача
надежной защиты информации от несанкционированного доступа является одной из
древнейших и не решенных до настоящего времени проблем. Способы и методы
скрытия секретных сообщений известны с давних времен, причем, данная сфера
человеческой деятельности получила название стеганография. Это слово
происходит от греческих слов steganos (секрет, тайна) и graphy (запись) и,
таким образом, означает буквально “тайнопись”, хотя методы стеганографии
появились, вероятно, раньше, чем появилась сама письменность (первоначально
использовались условные знаки и обозначения).
Компьютерные
технологии придали новый импульс развитию и совершенствованию стеганографии,
появилось новое направление в области защиты информации — компьютерная
стеганография (КС).
К. Шеннон дал
нам общую теорию тайнописи, которая является базисом стеганографии как науки. В
современной компьютерной стеганографии существует два основных типа файлов:
сообщение - файл, который предназначен для скрытия, и контейнер - файл, который
может быть использован для скрытия в нем сообщения. При этом контейнеры бывают
двух типов. Контейнер-оригинал (или “Пустой” контейнер) -это контейнер, который
не содержит скрытой информации. Контейнер-результат (или “Заполненный”
контейнер) - это контейнер, который содержит скрытую информацию. Под ключом
понимается секретный элемент, который определяет порядок занесения сообщения в
контейнер.
Основными
положениями современной компьютерной стеганографии являются следующие:
1.
Методы скрытия
должны обеспечивать аутентичность и целостность файла.
2.
Предполагается,
что противнику полностью известны возможные стеганографии-ческие методы.
3.
Безопасность
методов основывается на сохранении стеганографическим
преобразованием основных свойств открыто передаваемого файла при
внесении в него секретного сообщения и некоторой неизвестной противнику
информации - ключа.
4.
Даже если факт
скрытия сообщения стал известен противнику через сообщника, извлечение самого
секретного сообщения представляет сложную вычислительную задачу.
В связи с
возрастанием роли глобальных компьютерных сетей становится все более важным
значение стеганографии. Анализ информационных источников компьютерной сети
Internet позволяет вделать вывод, что в настоящее время стеганографические
системы активно используются для решения следующих основных задач:
1.
Защита
конфиденциальной информации от несанкционированного доступа;
2.
Преодоление
систем мониторинга и управления сетевыми ресурсами;
3.
Камуфлирования
программного обеспечения;
4.
Защита авторского
права на некоторые виды интеллектуальной собственности.
В настоящее
время методы компьютерной стеганографии развиваются по двум основным
направлениям:
1.
Методы,
основанные на использовании специальных свойств компьютерных форматов;
2.
Методы,
основанные на избыточности аудио и визуальной информации.
Анализ
тенденций развития КС показывает, что в ближайшие годы интерес к развитию
методов КС будет усиливаться всё больше и больше. Предпосылки к этому уже
сформировались сегодня. В частности, общеизвестно, что актуальность проблемы
информационной безопасности постоянно растет и стимулирует поиск новых методов
защиты информации (ЗИ).
Компьютерная
стеганография - компьютерная защита информации.
Сама оценка безопасности основывается, как уже упоминалось,
на иерарархической классификации. В оригинальном тексте каждый класс каждого
уровня описывается с нуля, т.е. наследуемые требования с более низких классов
каждый раз повторяются. Для сокращения далее приведены лишь различия,
появляющиеся по возрастанию уровня «доверяемости». Всего введены четыре уровня
доверия - D, C, B и A, которые подразделяются на классы. Классов безопасности
всего шесть - C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения
требований).
Уровень D.
Данный уровень предназначен для систем, признанных
неудовлетворительными - «заваливших экзамен».
Уровень C.
Иначе - произвольное управление доступом.
Класс C1
Политика безопасности и уровень гарантированности для данного
класса должны удовлетворять следующим важнейшим требованиям:
1. доверенная вычислительная база должна управлять доступом
именованных пользователей к именованным объектам;
2. пользователи должны идентифицировать себя, причем
аутентификационная информация должна быть защищена от несанкционированного
доступа;
3. доверенная вычислительная база должна поддерживать область
для собственного выполнения, защищенную от внешних воздействий;
4. должны быть в наличии аппаратные или программные средства,
позволяющие периодически проверять корректность функционирования аппаратных и
микропрограммных компонентов доверенной вычислительной базы;
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 |