Основы информационной безопасности

учебное пособие – М.: Горячая линия – Телеком,

Стратегия развития информационного общества в Российской Федерации.
Основные направления научных исследований

(информационное общество)
Высокая информационная зависимость всех сфер деятельности общества
Необходимо обеспечить целостность,

Президентом Российской Федерации 9 мая 2017 года)

Отличительные черты информационного общества

значения слов и вы избавите мир от половины заблуждений»
Важнейшая проблема

ИО
(информационный
объект)
Угроза информации со стороны среды
Угроза среде со стороны информации
Безопасность

Глоссарий

–
комплексная проблема
Состояние защищенности
и среды,

Российской Федерации – состояние защищенности личности, общества и государства от

Доктрина информационной безопасности Российской Федерации

безопасности Российской Федерации

«угроза информационной безопасности Российской Федерации – совокупность действий

безопасности Российской Федерации

«национальные интересы Российской Федерации в информационной сфере –

безопасности Российской Федерации

«под информационной сферой понимается совокупность информации, объектов информатизации,

безопасности Российской Федерации

Национальные интересы в информационной сфере

«обеспечение и защита конституционных

безопасности Российской Федерации

Национальные интересы в информационной сфере

«обеспечение устойчивого и бесперебойного

безопасности Российской Федерации

Национальные интересы в информационной сфере

«развитие в Российской Федерации

безопасности Российской Федерации

Национальные интересы в информационной сфере

«доведение до российской и

безопасности Российской Федерации

Национальные интересы в информационной сфере

«содействие формированию системы международной

приложений
Функционирование информационно-телекоммуника-ционных систем
высших звеньев управления государством
Управление и обеспечение безопасности

Управление финансовыми потоками, кредитно-финансовой и банковской системами страны

автоматизированной системе, от негативного воздействия на нее с точки зрения

Формирование новой сферы деятельности и области знания «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Определения

системы такого ее состояния, при котором создаются условия для реализации

Формирование новой сферы деятельности и области знания «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Определения

в автоматизированной системе информации, которые характеризуют установленный статус ее хранения,

Формирование новой сферы деятельности и области знания «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Определения

специальных механизмов, поддерживающих установленный статус защищенности информации
Формирование новой сферы деятельности

Определения

средств и методов, а также осуществление мероприятий с целью поддержания

Формирование новой сферы деятельности и области знания «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Определения

для регулярной обработки информации в процессе решения определенного круга прикладных

Формирование новой сферы деятельности и области знания «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Определения

стороны, является унифицированной в широком спектре функциональных приложений, а с

Формирование новой сферы деятельности и области знания «ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Определения

потребности в соответствии с ее назначением
Формирование новой сферы деятельности и

Определения

важные интересы
Угрозы
Защита
Конституционный строй
Территориальная целостность
Суверенитет
Материальные ценности
Духовные ценности
Права
Свободы
Военная
Экономическая
Экологическая
Информационная
Генетическая
Социальная
Интеллектуальная
Технологическая
Устрашение
Принуждение
Противодействие
Соглашение
Контроль

куба,
соответствующее
информационным
угрозам
Интересы, реализации которых могут
препятствовать информационные угрозы
Методы

доступа
Криптографические методы защиты информации
Программы-вирусы
Защита информации от утечки по техническим каналам
Организационно-правовое

база, интерфейс, распределенная обработка)
СЕГОДНЯ
Комплексная защита информации
Этапы развития подходов к защите

Примитивный
(50-е – 60-е гг. XX в.)

Полусистемный
(70-е – 80-е гг. XX в.)

Системный
(настоящее время)

Постепенный переход к интенсивным способам защиты

на этапе ее
создания несложных механизмов защиты
Использование

Примитивный этап

(организационно-
правовых)
Выделение управляющего элемента (ядра

Полусистемный этап

всех этапах жизненного
цикла автоматизированной системы с

Системный этап

информации

помощью технологии, тот не понимает
ни проблем безопасности, ни

информации
конфиденциальности информации

из наших подданных, так и живущих здесь в нашей службе

История Указ Императрицы Елизаветы Петровны
(С. Петербургские ведомости, 1750 г., №46)

личности и
общества
защита индивидуального, группового и массового

такого ее состояния, при котором создаются условия для реализации угроз

несанкционированного размножения
(копирования)

функционирования автоматизированной системы, связанное с уничтожением или несанкционированным использованием обрабатываемой

или уничтожение данных
Вредительские программы
Неправомерное использование данных

вирус
представляет собой программу, которая способна заражать другие
программы, модифицируя

логической структуры
 Искажение структуры
Нарушение содержания
 Несанкционированная модификация
Нарушение конфиденциальности

 Отказы
 Сбои

 Количественная недостаточность элементов системы

 Посторонние лица
 Пользователи

(материал Совета Безопасности Российской Федерации)
Информационные угрозы:

(материал Совета Безопасности Российской Федерации)
Программно-математические угрозы:

(материал Совета Безопасности Российской Федерации)
Физические угрозы:
уничтожение,

(материал Совета Безопасности Российской Федерации)
Организационные угрозы:

невыполнение

АС
Зона баз данных
Злоумышленник
Пятирубежная модель

следующих событий:
нарушитель получил доступ в соответствующую зону;
в зоне должен проявиться

- вероятность несанкционированного получения информации

риска либо за счет уменьшения вероятности осуществления угрозы, либо за

Эффект защиты (уменьшение риска):

ΔR = R1 – R2

R1 – риск без защиты

R2 – риск с защитой (либо уменьшение вероятности угрозы,
либо снижение ущерба)

война»
Первая и Вторая
мировые войны
Конец XIX – начало XX вв.
IV
III
II
I

Киберпространство

Космос

Ядерное оружие

Воздух

Суша

Море

и государства
Оценка американских экспертов:

«Нарушение работы компьютерных сетей, используемых в системах

(или группой стран) подавляющего преимущества в информационной области, позволяющего с

Интернета), превышает 120 (при 30, разрабатывающих ОМУ), и они получат

Основными задачами в них будут:
дезорганизация функционирования критически важных военных, промышленных, административных объектов и систем противника;
информационно-психологическое воздействие на военно-политическое руководство, войска и население.

В США создана система ведения
информационных войн (Information operations)
технической и психологической
направленности.

Информационная война

the weapons of the new millennium.
of bits & bytes,

Ряд экспертов предрекает усиление противодействия западной экспансии евроазиатского идеологического контрнаступления. В этом плане показательна точка зрения ректора Лондонской Дипакадемии.

Информационная война

answer...
Microsoft, Intel & other US companies!!!
По мнению ректора Лондонской Дипакадемии:
Информационная

Transportation
Banking and Finance
Transportation
Water Supply Systems
Emergency Services
Government Services
По мнению ректора Лондонской

Информационная война

средств коммуникации
Блокирование деятельности отдельных предприятий и
банков, а также целых

Инициирование крупных техногенных катастроф на
территории противника в результате нарушения штатного
управления технологическими процессами и объектами,
имеющими дело с большими количествами опасных
веществ и высокими концентрациями энергии

Массовое распространение и внедрение в сознание людей
определенных представлений, привычек и поведенческих
стереотипов

Вызов недовольства или паники среди населения, а также
провоцирование деструктивных действий различных
социальных групп

государственными и правительственными организациями при выполнении своих управленческих функций
Военная информационная

Информационные и управленческие структуры банков, транспортных и промышленных предприятий

Средства массовой информации, и в первую очередь электронные (радио, телевидение, Интернет и т.д.)

– DISA)
Центр информационной войны ВВС
(AF Information Warfare Center – AF

Служба ВМС по информационному оружию
(Navy Information Warfare Activity – NIWA)

Служба
информационной войны
в сухопутных войсках

В видах вооруженных сил введены должности офицеров
по информационной войне (infowar officers)

оружия) технологий
Исследование возможности создания принципиально новых вирусов и

средств
ведения информационной войны, что представляло бы

Информационная война

информационно-психологической борьбе, которую можно охарактеризовать следующим образом:
1. Транснациональные корпорации в

Информационная война

несанкционированного
получения информации, обрабатываемой в АС?

зрения, состоит опасность разработки и применения

достаточную «форму допуска»
для доступа к информации

информации должны включать механизмы
контроля доступа ко всем видам информационных

разграничиваться в зависимости
от уровня ее конфиденциальности
(для реализации принципа все

предусмотрена очистка ресурсов, содержащих
конфиденциальную информацию, до перераспределения
этих ресурсов

и
инициируемых ими процессов
(идентификаторы должны содержать

должна точно выполнять свои
функции в соответствии с основными принципами

допуска
Уровни конфиденциальности
объектов
Файлы
Регистры
Задания
Процессы
Программы
Тома
Устройства
Память
Требования к монитору обращений:
Механизмы контроля
Защищены от постороннего вмешательства

Всегда присутствуют и работают надлежащим образом

Достаточно малы по своему размеру

защищенной ОС ADEPT-50
(разработана по заказу МО США)


Пользователю разрешен доступ

установленные полномочия;
пользователи;
операции;
ресурсы;
состояния



Уровень конфиденциальности объекта
Предметная область объекта
Разрешенные

Доступ разрешен

матрицы доступа)
Объекты доступа
Субъекты доступа
Элемент Tij определяет привилегии субъекта
доступа Si

Когда субъект Si инициирует доступ вида Tk к объекту Oj, монитор
обращений разрешает доступ, если Tk ≤ Tij

доступа характеризуются уровнями конфиденциальности
и категориями (предметной областью)
L1
L2
L3
Уровни конфиденциальности
Категории
L

запись


Чтение и запись


Ни чтение, ни запись
Уровень безопасности субъекта должен доминировать

Уровень безопасности объекта должен
доминировать над уровнем безопасности субъекта

Уровень безопасности объекта должен быть
равен уровню безопасности субъекта

Уровни безопасности субъекта и объекта
несравнимы

Определения

предмету,
который несет пользователь
По каким-либо
физиологическим признакам
«Пользователь знает»
«Пользователь имеет»
«Пользователь есть»

– многие пароли легко вскрываются или обходятся
Повышение надежности:

хранение

применяются карты идентификации (КИ)
Способы записи и считывания информации с карты

1

2

3

4

5

Информация записывается на магнитной полосе

В КИ встраивается микросхема, содержащая секретный код. Питание схемы и обмен информацией с опознающим устройством осуществляются, как правило, с применением индуктивной связи

На поверхность наносится покрытие, позволяющее видеть изображение или текст только в инфракрасном или ультрафиолетовом диапазоне

Над текстом или изображением располагают жидкокристаллическую матрицу, прозрачную только при определенной ориентации кристаллов

На КИ наносится микротекст или микроузор, который не может быть воспроизведен обыкновенным оборудованием

пальцев
Подпись
Характеристики голоса
Радужная оболочка и сетчатка глаза
Форма кисти руки
Проблема «социальной приемлемости»

отпечатков пальцев,
полученных с помощью оптических устройств, с отпечатками из

2

Сравнение характерных деталей отпечатка в цифровом виде, которые
получают в процессе сканирования изображения отпечатка

(ускорение, скорость, давление, длительность пауз)

речи
(длительностью до 20 мсек)
2
Контурный анализ речи
3
Статистическая оценка голоса
(длительность

глаза
Фиксация с помощью специальных видеокамер ряда
уникальных характеристик радужной оболочки

уникальных для кисти
руки каждого человека: длина пальцев, прозрачность
кожи,

ряда характеристик (координат уникальных
элементов) лица человека и сравнение с

Частота ошибочного признания постороннего
Среднее время наработки на отказ
Число

Примечание: 1. Частота ошибочного отрицания обычно несколько превышает
частоту ошибочного признания («бей своих, чтобы чужие боялись»)

2. Получение высокой точности аутентификации возможно
только при сочетании различных методов

должны осуществлять временную
задержку перед обслуживанием следующего
запроса на аутентификацию.

каждый объект и осуществляют контроль в соответствии со списками доступа

Защитный механизм объекта реагирует на некоторый мандат, и субъект должен иметь набор мандатов для доступа ко всем необходимым ему объектам

схемой контроля доступа

Полностью отсутствуют механизмы, препятствующие отдельному пользователю получить доступ

С каждым информационным элементом связан «список авторизованных пользователей». Различным пользователям могут быть предписаны различные режимы его использования

Системы по принципу виртуальной машины

Обеспечивается взаимная изоляция пользователей, за исключением только некоторого количества обшей информации

в следующем случае:
в

доступа?
В

защиты от несанкционированного
доступа к информации.

5.

преимуществах и недостатках
методов аутентификации пользователей

персональной
ответственности как основных

информации?
 
Ускорение решения задач защиты информации.
Использование наступательной стратегии защиты информации.
Организация защиты

2. Какой из приведенных ниже способов аутентификации является наиболее
надежным?
 
Аутентификация по предъявленному паролю.
Аутентификация по пластиковой карте.
Аутентификация по геометрии руки.
Аутентификация по подписи.
 

Ответ: 4

Ответ: 3

несанкционированного доступа
требует наличия у пользователя определенной формы

4. Реализация принципа чистоты повторно используемых ресурсов предполагает:
 
Очистку ресурсов, содержащих конфиденциальную информацию, в конце рабочего дня.
Очистку ресурсов, содержащих конфиденциальную информацию, после окончания сеанса
связи с пользователем.
Очистку ресурсов, содержащих конфиденциальную информацию, до их
перераспределения другим пользователя.;
4) Очистку ресурсов, содержащих конфиденциальную информацию, при их переполнении.

Ответ: 1

Ответ: 3

интересов личности, общества и государства в

Ответ: 3

классу
саморепродуцирующихся?
 
«Логические бомбы».
«Троянские кони».
«Лазейки».
«Вирусы».
«Бактерии».
«Черви».
«Шпионы».
Ответ: 4

пластиковой карте?
 
Персональный номер пользователя.
Пароль в системе аутентификации.
Ключ к расшифровке личного

8. Представьте следующую ситуацию: министры внутренних дел и экономики имеют
одинаковую (наивысшую) форму допуска и пытаются с помощью автоматизированной
системы получить строго конфиденциальную информацию по вопросу расследования
экономических преступлений. Какой из основных принципов защиты информации от
несанкционированного доступа должен быть положен в основу принятия решения в
данной ситуации?
 
Принцип обоснованности доступа.
Принцип достаточной глубины контроля доступа.
Принцип разграничения потоков информации.
Принцип чистоты повторно используемых ресурсов.
Принцип персональной ответственности.
Принцип целостности средств защиты.

Ответ: 2

Ответ: 1

реализацию принципа
целостности средств защиты?
 
Система защиты информации должна точно выполнять

Ответ: 1,3

интересов личности, общества и государства
в

Ответ: 4

способы
обеспечения конфиденциальности информации
при передаче ее по незащищенным каналам

Криптоанализ

Научная дисциплина, изучающая способы
восстановления исходной информации из
преобразованной с помощью криптографической
процедуры

Криптография

Криптоанализ

Криптология

Общие сведения

угадываются сразу. Нужно оживить работу Лены Столыпиной и устроить Ляшенко

п

е

р

ш

и

н

г

о

т

г

р

у

ж

а

е

т

с

я

ч

м

а

р

т

а

Если выписать вторую букву каждого слова, получится:
«Першинг отгружается 4 марта»

Общие сведения

стеганографии является использование симпатических (невидимых) чернил. Текст, записанный такими чернилами,

особенностях компьютерной платформы. Примеры — стеганографическая файловая система StegFS для

сокрытии или внедрении дополнительной информации в цифровые объекты, вызывая при

помощью специальных кодовых
таблиц, которые должны быть у

Общие сведения

системы шифрования
Несимметричные системы шифрования
Для шифрования и расшифрования
используются одинаковые ключи
Для

Шифрование + Расшифрование = Криптосистема

Общие сведения

Шифрование
Замена: 01001
Перестановка:

Получатель
Полученное сообщение: 11000
Расшифрование
Замена: 00111
Перестановка: 10110
Результат: 10110

Несимметричная система

Отправитель
Исходный код: 10110
Шифрование
Замена: 01001
Серия перестановок: 10001 – 10001 – 10001 – 10010

Получатель (незаконный)
Полученное сообщение: 10010
Расшифрование
Замена: 01101
Серия перестановок: 10101 – 11001 – 11001 – 11010
Результат: 11010

10110 = 10110

11010 ≠ 10110

Общие сведения

в форму, непонятную для постороннего
Новое направление – квантовая криптография

Защита информации

Общие сведения

Д Е Ж З И Й К Л М Н

Исходная фраза: будьте осторожны с представителем фирмы феникс

Зашифрованная фраза: зщквшл фчшфцфмуб ч хцлкчшжиошлслт ъоцтб ълуорч

Недостаток: легко дешифровать с помощью частотного анализа текста

Пример 1

Ключ: число символов, на которое сдвигается алфавит ( - 6 )

Оценки вероятности появления букв русского языка и пробела

собой
Пример 2
Исходная фраза: будьте осторожны с представителем фирмы феникс
Ключ:

Шифрование

5 – 8 – 1 – 3 – 7 – 4 – 6 – 2
Б У Д Ь Т Е _ О
С Т О Р О Ж Н Ы
_ С _ П Р Е Д С
Т А В И Т Е Л Е
М _ Ф И Р М Ы _
Ф Е Н И К С _ _

Зашифрованная фраза:
до_вфноысе__ьрпиииежеемсбс_тмф_ндлы_тортркутса_е

– 4 – 6 – 2
Б У

Зашифрованная фраза:
до_вфноысе__ьрпиииежеемсбс_тмф_ндлы_тортркутса_е

Расшифрование

Зашифрованная фраза разбивается на блоки.
Длина каждого блока равна числу символов в сообщении,
деленному на длину ключа

до_вфн – оысе__ – ьрпиии – ежеемс – бс_тмф – _ндлы_ – тортрк – утса_е

Расшифрованная фраза: будьте осторожны с представителем фирмы феникс

Процедура наложения гаммы:
tш = (tи + tг)mod(k), tш , tи , tг – символы соответственно зашифрованного, исходного текста и гаммы;
k – число символов в алфавите

Гамма – любая последовательность случайных символов,
например, последовательность цифр числа π, числа e и т.д.

Пример 3

Исходная фраза: будьте осторожны с … (01010010 10000010 11001011 …)

Шифрование

Б У Д Ь …
01010010 10000010 11001011 …
00000111 00000100 00100000 …

_________________________________________
01010101 10000110 11101011 …
Правила: 0+0=0; 0+1=1; 1+0=1; 1+1=0

Гамма

Зашифрованная фраза: 01010101 10000110 11101011 …

01010101 10000110 11101011

_________________________________________
01010010 10000010 11001011 …
Б У Д …
Правила: 0-0=0; 0-1=1; 1-0=1; 1-1=0

Гамма

Зашифрованная фраза: 01010101 10000110 11101011 …

Расшифрование – вычитание той же гаммы

вектор
Шифрование
| aij|bj = ∑aijbj = ci, i = 1,2,…; |aij|

14 8 3
|aij| = 8 5 2
3 2 1

А – 1, Б – 2, В – 3, Г – 4, Д – 5, Е – 6, Ж – 7, З – 8, И – 9, К – 10, Л – 11,
М – 12, Н – 13, О – 14, П – 15, Р – 16, С – 17, Т – 18, У – 19, Ф – 20, Х – 21,
Ц – 22, Ч – 23, Ш – 24, Щ – 25, Ъ – 26, Ы – 27, Ь – 28, Э – 29, Ю – 30, Я - 31

Исходная фраза: будьте … 2 19 5 28 18 6

Ключ:

8 3 2 28 + 152 + 15 195 14 8 3 28 392 + 144 + 18 554
8 5 2 × 19 = 16 + 95 + 10 = 121 8 5 2 × 18 = 224 + 90 + 12 = 326
3 2 1 5 6 + 38 + 5 49 3 2 1 6 84 + 36 + 6 126

Зашифрованная фраза: 195 121 49 554 326 126 …

1 -2 1
|aij| = -2 5 -4

Расшифрованная фраза: 2 19 5 28 18 6 будьте …

1 -2 1 195 195 – 242 + 49 2 1 -2 1 554 554 – 652 + 126 28
-2 5 -4 × 121 = -390 + 605 – 196 = 19 -2 5 -4 × 326 = -1108 + 1630 – 504 = 18
1 -4 6 49 195 – 484 + 294 5 1 -4 6 126 554 – 1304 + 756 6

Зашифрованная фраза: 195 121 49 554 326 126 …

Правило: обратная матрица образуется из присоединенной делением всех элементов на
определитель. Присоединенная матрица составляется из алгебраических дополнений А
к элементам данной матрицы.

Aij = (-1)i+jDij, Dij – определитель матрицы,
D = a11a22a33 + a12a23a31 + a13a21a32 – a11a23a32 – a12a21a33 – a13a22a31

Обратная матрица

криптосистема – стандарт США на шифрование
информации DES (Data Encription

Алгоритм DES

Шифруются 64-битовые блоки с применением ключа длиной 64 бита.
Из основного ключа образуются 16 вспомогательных 48-битовых ключей.

Все реальные алгоритмы используют только комбинированные методы!!!

Особенность алгоритма DES

циклов шифрования:

перестановка блоков в определенной последовательности

подстановка, результат

2

Перестановка битов, обратная начальной

3

Усовершенствованный алгоритм DES: длина ключа 128 бит

«односторонней функции с потайной дверью»
Определение. Функция называется односторонней, если легко

Пример – умножение простых чисел
367589023156 … × 64379021345 … = … … … … … … … …

100 знаков 100 знаков 200 знаков

Разложение на множители
200-значного числа потребует
десятков лет непрерывной
работы мощной ЭВМ

Для расшифрования односторонняя функция должна иметь как бы
«потайную дверь», т.е. способ эффективного вычисления функции в обоих
направлениях

Ключи шифрования пользователей известны всем, а ключи расшифрования
все пользователи хранят в тайне

криптоаналитика отсутствует
возможность получения необходимого количества
информации для восстановления зашифрованного

На основе теории вычислительной сложности

Криптосистема является стойкой, если даже при наличии всей
необходимой информации криптоаналитик не может восстановить
зашифрованное сообщение в заданный срок из-за большого объема
расчетов

Вскрытие современных криптоалгоритмов требует от 5 до 20 человеколет

криптоалгоритмы труднее
поддаются дешифрованию
Симметричность
Несимметричные криптоалгоритмы
труднее поддаются дешифрованию
Длина ключа
Длинные ключи

Метод реализации

Аппаратный метод реализации обеспечивает
большую стойкость по сравнению с программным

Основное требование к криптосистеме – наличие очень большого числа возможных
ключей, чтобы не допустить восстановления
исходного сообщения путем их прямого перебора

криптографическое оборудование
ГЕНЕРАЦИЯ КЛЮЧЕЙ
Требования
Вероятности генерации любых возможных значений ключа должны быть

Не должны вырабатываться «слабые» ключи, известные для конкретного алгоритма шифрования

традиционным способом
(спецпочтой или курьерской службой)
на бумажных или машинных

Большое число абонентов

Системы автоматизированного
распределения ключей по каналам
связи (децентрализованные
и централизованные)

(КД)
ключ шифрования ключей (КШК)
Период замены КШК >>

A

B

{(КД)A}КШК

Готов к обмену информацией

Зашифрованное сообщение

Для передачи КШК по каналам связи может использоваться криптосистема
с общедоступным ключом (ОК).
Получается трехключевая система (ОК, КШК,КД)

1

2

3

(КШК)откр.B

0

(ЦТК)
С центром распределения ключей (ЦРК)
Система ЦТК (каждый абонент имеет ключ

ЦТК

A

B

{КДA(адр.B)}КЦ(A)

{КДA}КЦ(B)

Зашифрованное сообщение

1

2

3

ключ для связи с центром – КЦ)
ЦРК
A
B
{адр.B}КЦ(A)
Зашифрованное сообщение
1
2
3
{КД}КЦ(B)
{КД}КЦ(A)
2
Для повышения

двойной контроль:

два замка, ключи от которых у двух

мы ставим на документах, либо подписи и печати.
Электронная подпись предназначена

Что такое электронная цифровая подпись?

Электронная цифровая подпись

защита от изменений (подделки) документа;
• обеспечение невозможности отказа от

Электронная цифровая подпись

выполнения определенных математических
соотношений между подписанным сообщением и открытым
ключом

Электронная цифровая подпись

было впервые предложено понятие «электронная цифровая подпись»;
В 1977 году, Рональд

Электронная цифровая подпись

паролей и других инструментов.
Усиленная неквалифицированная электронная подпись (НЭП)
Создается с использованием

Электронная цифровая подпись

сообщение

(Результаты проверки подписи)
Шифрование
(Формирование подписи)
Расшифрование
(Проверка подписи)
Канал
связи
?
Электронная цифровая подпись

криптографическая
функция – ХЭШ-функция)
Хэш-функция – итеративная функция,
которая позволяет вычислить

Вычисление дополнительных параметров,
зависящих от секретного ключа и эталонной
характеристики, и формирование
математического равенства (ЭЦП)

Электронная цифровая подпись

цифровая подпись и текущая
характеристика сообщения, а также открытый
ключ

Электронная цифровая подпись

устройства хранения данных не подключены
к общему серверу. Эта база

Технология «блокчейн»

части блоков, которыми они «владеют»
в том смысле, что у

Доступ к блокам может получить другой пользователь, который
получил ключ от пользователя-создателя блоков
(несимметричная система)

реализована в 2009 году как компонент
цифровой валюты – биткойна.
Другое

в долговременной памяти
(жесткий диск, CD и т.п.)
Алгоритм шифрования паролей

Шифрование данных в долговременной памяти – эффективный
способ предотвращения несанкционированного доступа к ним
с целью копирования или хищения

Дайте определения этим наукам.

2. Какие методы

стойкости криптосистемы
с использованием теории информации и

защиты информации
непосредственно в ЭВМ?

80-е годы XX века – начало широкого распространения программ-вирусов

Первая масштабная эпидемия – 1988 год, США:

Заражены 4 сети ЭВМ под общим названием «Интернет»:

«Арпанет» – ДАРПА МО (60 тыс. ЭВМ)
сеть ННФ (университеты, участвующие в оборонных исследованиях)
«Милнет» - несекретная информация подрядчиков МО США
локальные вычислительные сети учреждений

Изоляция и ликвидация вируса заняли четверо суток

программы, разрушающая данные,
носители информации и даже оборудование

в правильной
работе системы
В результате загрузки и выполнения зараженной
программы

Осуществляется после наступления некоторого
события

Разрушение программ, данных, аппаратуры
или другое деструктивное действие,
предусмотренное автором вируса

то МАНИПУЛЯЦИИ;
Передать управление программе;
}
ЗАРАЗИТЬ_ПРОГРАММУ
{
Выбрать программу, не содержащую строку “VIRUS”;
Присоединить вирус

вирусов
Копирование программ является методом
защиты, однако оно не гарантирует
отсутствия

Не могут препятствовать заражению,
однако дают пользователю ценную
информацию о зараженных или измененных
программах

Прерывают работу ЭВМ, если замечают
что-либо подозрительное, и выдают
пользователю рекомендацию о дальнейших
действиях

Проверяют наличие только известных
вирусов.
Обнаружив вирус, сообщают об этом
пользователю или удаляют вирус

Наиболее эффективны антивирусные программы смешанного типа,
сочетающие свойства программ всех классов

вирусов, которым противостоят
Базируются на системах логического вывода
Дополнительное усиление системы защиты
Наибольший

системы
Вывод системы из строя
Разрушение файлов данных и прикладных программ
Характерная черта

Расширение применения
распределенной цифровой
обработки информации

Использование
перепрограммируемых
встроенных ЭВМ и сетей связи

Стандартизация ЭВМ,
программного обеспечения,
форматов сообщений
и процедур передачи данных

Более доступны различные
компоненты АС

Большая доступность
перепрограммируемых
ЗУ и сетей обмена
(поражение – изменение
маршрутов обмена)

Создаются благоприятные
условия для использования
стандартных программ
вирусного подавления

(цифровая обработка, интеграция функций, применение модульной

Интегрированные системы командования и управления военного
назначения (объединение систем связи тактических и
стратегических подразделений – общие аппаратные и программные
средства, к тому же коммерчески доступные)

внедрения
По точкам внедрения
Через основную среду
Через другие среды
Прямые внедрения
Косвенные внедрения
Основная среда:

Другая (вспомогательная среда): - воздействие вируса на подсистемы электропитания,
стабилизации, термоконтроля и т.д. (эти подсистемы
связаны с системными процессорами)
- физическое внедрение в схему процессора

Прямое внедрение: непосредственное введение вируса в поражаемую систему (например,
путем непрерывной передачи его кода, когда система принимает
полезную информацию)

Косвенное внедрение: точка начального внедрения – самая незащищенная из доступных
точек (как правило, это средства обслуживания и диагностики)

П Р И М Е Р Ы

проникновению вирусных программ в систему)
Обнаружение (обнаружение присутствия в системе вирусных

Сдерживание (изоляция пораженной части системы от непораженной)

Ликвидация (уничтожение вирусов до того, как они произведут свое
разрушительное действие)

Восстановление (восстановление разрушенных файлов с использованием
резервных файлов)

Альтернативные меры (меры, не допускающие вывода системы из строя
даже в случае поражения особо сложными и
оригинальными вирусными программами)

программы. Приведите примеры известных вам случаев заражения

от
программ-вирусов.

7. Рассмотрите возможности вирусного подавления

элементов,
взаимодействующих с ними, и технических средств
злоумышленника для регистрации

Опасные сигналы

Акустические, виброакустические, электрические и
электромагнитные сигналы,
представляющие конфиденциальную информацию

на вспомогательные
технические средства и
системы
Цепи заземления
Взаимовлияние цепей
с конфиденциальной

Побочные
электромагнитные
излучения и наводки
(ПЭМИН)

сети ЭВМ
Телефонные аппараты городской АТС
Телефонные аппараты местной АТС

и пожарной сигнализации
Табельное электрооборудование помещений
Кондиционеры

электропитания
Передача сигнала с помощью ультразвука

телефонной линии
Негальваническое подключение к телефонной линии (индуктивное)
Использование микропередатчика

до нескольких сотен метров)
Источники ПЭМИН
Видеотерминалы
Принтеры
Накопители на магнитных дисках
Графопостроители
Каналы связи сетей
Линии

средств
Технические средства
обнаружения съема
Выявление средств негласного съема акустической
информации
Постоянный или периодический

Проведение специальных исследований систем обработки
конфиденциальной информации

Использование технических средств

Для обнаружения съема

Для предотвращения съема

(практически можно обнаружить
только работающие диктофоны)
Предотвращение съема
Генераторы аудиопомех
(от миниатюрных

Обнаружение съема
(электронный контроль речи)

Поиск и контроль по электромагнитному
излучению – работающие устройства

Аппаратура пассивного обнаружения –
независимо от режима
работы обнаруживаемых устройств
(нелинейные локаторы,
эндоскопы, дефектоскопы,
металлоискатели, тепловизоры и т.п.)

подключения к телефонным
каналам подслушивающих устройств
Спектральный анализ каналов связи
Обнаружение съема
Аналоговое

Изменение характеристик
речевого сигнала
без изменения полосы частот

Дискретизация с последующим шифрованием

Исходный сигнал

АЦП

шифрование

Модем
(ЦАП)

Модем
(АЦП)

Канал связи

расшифрование

Вокодер
(ЦАП)

Принятый сигнал

средствами
невозможно
Обнаружение съема
Пассивная защита
Активная защита

оборудования в экранирующей
радиоизлучения среде
(применимо только для малогабаритной аппаратуры)
2
Экранирование

Допустимые уровни излучений аппаратуры и меры защиты информации
регламентируются специальными стандартами. Стоимость оборудования,
отвечающего стандартам, в 3-5 раз выше стоимости соответствующего
незащищенного варианта.

сигналов за счет шумовой или
заградительной помехи с помощью специальных

Энергетическая
(экологически опасная)

Неэнергетическая
(статистическая)

Широкий спектр
Большая мощность

Изменение вероятностной структуры
сигнала, который может быть принят
злоумышленником

Назовите
основные виды технических каналов.

2.

средствами
вычислительной техники.

8. Охарактеризуйте основные

и иных органов управления
и взаимоувязанных правовых, организационных и
технических

информационной безопасности
Секция НС по информационной безопасности
МВК по защите государственной тайны
ФСБ
СВР
ФСО
ФСТЭК
МВД
Бюро

Службы, управления, отделы информационной безопасности министерств и ведомств

Минкомсвязь

кодекс
Кодекс об административных правонарушениях
Трудовой кодекс

в 60-е годы XX века в США в связи

Направления законодательного регулирования

Защита прав личности на частную жизнь (защита от бесконтрольного распространения и доступа к персональным данным)

Защита государственных интересов

Защита предпринимательской и финансовой деятельности

Установление пределов
вмешательства в частную жизнь
с использованием
компьютерных систем
Введение административных
механизмов защиты граждан
от такого вмешательства

Установление приоритетов защиты
Определение исполнительских
механизмов и нормативное
обеспечение механизмов защиты

Введение антимонопольного
законодательства
Создание механизмов
добросовестной конкуренции
Введение механизмов защиты
авторских прав

Билль о надзоре за данными (1969)

100 различных актов)
Определение и закрепление государственной политики в области

ответственность за нарушение порядка обработки и
использования персональных

доступ к информации, хранящейся в компьютере
(использование чужого

обеспечении информатизации был поставлен

Проблема права на информацию

Закрепление общего права граждан на информацию

Разработка актов, связанных с режимом массовой информации

Создание общего информационного пространства (в том числе, в общеевропейском контексте)

1

Проблема собственности на некоторые виды информации

Проблема признания информации объектом товарного характера

2

3

защите информации
2006
Базовый закон
Принципы правового регулирования отношений в сфере

защите информации
2006
Базовый закон
Закрепляются права граждан, организаций, государства

В Законе:

защите информации
2006
Базовый закон
Предотвращение утечки, хищения, утраты, искажения, подделки,

Защита информации:

Российской Федерации на государственную
тайну (установление прав

отнесение информации к информации, составляющей
коммерческую тайну, и

условия обработки персональных
данных

Права субъекта персональных данных

отношений в области
использования электронных подписей

Принципы использования

Российской Федерации


2017
Правовое регулирование отношений в области
обеспечения

вычислительной системы» – «Оранжевая книга» (1985)
Дополнения по оценке защищенности сетей

ЕС

Франция, Великобритания, ФРГ, Голландия в конце
80-х годов приняли согласованный документ «Критерии
оценки безопасности информационных технологий»

Россия

В начале 90-х годов приняты руководящие документы по
стандартизации:
«Средства вычислительной техники, Защита от
несанкционированного доступа к информации. Показатели
защищенности СВТ»
«Автоматизированные системы. Защита от
несанкционированного доступа к информации.
Классификация автоматизированных систем и требования
по защите информации»

обрабатываемой информации
Технология обработки информации
Требования по защите
информации
(стандартные классы защиты)

(ФСТЭК)
«Средства вычислительной техники. Межсетевые экраны. Защита от

Дальнейшее развитие – внедрение «Общих критериев» (с 2004 г.)
(стандарт ISO 15408-99 «Критерии оценки безопасности информационных технологий»)

организационно-правового
обеспечения защиты информации? В чем

Федерации
«Об информации, информационных технологиях и защите

элементная база)
Право (юриспруденция)
Экономика и управление (оптимизация, рефлексия)
Социология (общественные отношения)
Психология (психологическая

Горячая линия – Телеком, 2017. – 308 с.

Малюк А.А., Полянская

(Указ Президента Российской Федерации
от 5

и свободам человека и гражданина
в области

качественных услуг в сфере
информационных и телекоммуникационных технологий и обеспечение

1

2

Повышение качества образования, медицинского обслуживания, социальной защиты
населения на основе развития и использования информационных и
телекоммуникационных технологий

3

Совершенствование системы государственных гарантий конституционных прав и
свобод человека и гражданина в информационной сфере

4

Развитие экономики Российской Федерации на основе использования информационных
и телекоммуникационных технологий

Стратегия развития информационного общества
в Российской Федерации

и местного самоуправления,
взаимодействия гражданского общества и бизнеса с органами

6

Развитие науки, технологий, техники и подготовки квалифицированных кадров в сфере
информационных и телекоммуникационных технологий

7

Сохранение культуры многонационального народа Российской Федерации, укрепление
нравственных и патриотических принципов в общественном сознании, развитие
системы культурного и гуманитарного просвещения

8

Противодействие использованию потенциала информационных и
телекоммуникационных технологий в целях угрозы национальным интересам России

угроз
в информационное пространство и внутреннюю сферу Российской Федерации.
Внешние военные

Внутренние военные опасности
Деятельность по информационному воздействию на население,
в первую очередь на молодых граждан страны,
имеющая целью подрыв исторических,
духовных и патриотических традиций в области защиты Отечества.

Деятельность по сдерживанию и предотвращению военных конфликтов
Объединение усилий государства, общества и личности по защите
Российской Федерации, разработка и реализация мер,
направленных на повышение эффективности военно-патриотического
воспитания граждан Российской Федерации.

фактора
жизни общества.
Разработка

ОСНОВНЫЕ НАПРАВЛЕНИЯ
научных исследований в области обеспечения
информационной безопасности Российской Федерации
(утверждены Советом Безопасности РФ в 2008 г.)

Гуманитарные проблемы обеспечения
информационной безопасности Российской Федерации

обеспечения информационной безопасности

Развитие информационного права.
Нормативное правовое и

ОСНОВНЫЕ НАПРАВЛЕНИЯ
научных исследований в области обеспечения
информационной безопасности Российской Федерации
(утверждены Советом Безопасности РФ в 2008 г.)

Гуманитарные проблемы обеспечения
информационной безопасности Российской Федерации

массового сознания

Обеспечение безопасности личности, общества и государства

ОСНОВНЫЕ НАПРАВЛЕНИЯ
научных исследований в области обеспечения
информационной безопасности Российской Федерации
(утверждены Советом Безопасности РФ в 2008 г.)

Гуманитарные проблемы обеспечения
информационной безопасности Российской Федерации

Советом Безопасности РФ в 2008 г.)

Наиболее острые
гуманитарные проблемы

Формирование культуры
информационного

Социально-психологические
последствия широкого использования современных
информационных технологий во всех сферах жизни
общества.
Формирование понятийного
аппарата в области обеспечения информационной
безопасности Российской Федерации.

Правовое регулирование
отношений в области противодействия
преступлениям в сфере
информационно-коммуникационных технологий.

Правовое регулирование
отношений в области электронного
документооборота и использования технологии
электронной цифровой подписи, иных аналогов
собственноручной подписи.

Формирование системы
международной информационной безопасности.

2002 года)
1) Осведомленность. Участники глобального информационного
общества должны быть

Проблемы формирования культуры информационной безопасности

предупреждению инцидентов,
затрагивающих безопасность, их обнаружению и реагированию
на них.

Резолюция Генеральной Ассамблеи ООН

Проблемы формирования культуры информационной безопасности

которые признаются демократическим
обществом, включая свободу обмена мыслями и идеями,

Резолюция Генеральной Ассамблеи ООН

Проблемы формирования культуры информационной безопасности

Участники должны рассматривать соображения безопасности
в качестве важнейшего элемента планирования

Проблемы формирования культуры информационной безопасности

информационных систем и сетей пересмотру
и переоценке и вносить надлежащие

Проблемы формирования культуры информационной безопасности

которую они потребляют. Только внутри самого человека должны быть выстроены

Проблемы формирования культуры информационной безопасности

во благо или во зло. Здесь мы как раз возвращаемся

Проблемы формирования культуры информационной безопасности

Современная особенность: наметилась тенденция смещения военных
опасностей и военных угроз в информационное пространство и
внутреннюю сферу Российской Федерации

Основные внутренние военные опасности:

Деятельность по информационному воздействию на население,
в первую очередь на молодых граждан страны,
имеющая целью подрыв исторических, духовных
и патриотических традиций в области защиты Отечества.

ОБРАЗОВАНИЕ И ИНФОРМАЦИОННОЕ
ПРОТИВОБОРСТВО

грамотности
Обеспечение готовности к
информационному противоборству
Обеспечение готовности к отражению
информационной

Образование и воспитание

ОБРАЗОВАНИЕ И ИНФОРМАЦИОННОЕ
ПРОТИВОБОРСТВО

воспитания и обучения в интересах человека, семьи, общества, государства, а

ОБРАЗОВАНИЕ И ИНФОРМАЦИОННОЕ
ПРОТИВОБОРСТВО

интересах.
Таким образом,
образование может стать инструментом влияния
как в руках

ОБРАЗОВАНИЕ И ИНФОРМАЦИОННОЕ
ПРОТИВОБОРСТВО

война –
это целенаправленное обучение врага тому,
как снимать панцирь

С.П. Расторгуев. Философия информационной войны

ОБРАЗОВАНИЕ И ИНФОРМАЦИОННОЕ
ПРОТИВОБОРСТВО

«готовых играть по правилам» и принять общественную систему с высоким

СССР (Россия)

Цель образования (пока?!)

развитие мышления, памяти, способностей, знакомство с основами науки, создание хороших стартовых условий для дальнейшего образования

СТРАТЕГИЯ ОБРАЗОВАНИЯ

на интеллект,
чтобы молодежи было интересно
заниматься техникой, работать в

СТРАТЕГИЯ ОБРАЗОВАНИЯ

- не жевательную резинку для человеческого потребления, а людей для

СТРАТЕГИЯ ОБРАЗОВАНИЯ

Главное – система ценностей

ценностной
ориентации личности может уберечь
общество от деградации
!
!
Главное – система

СТРАТЕГИЯ ОБРАЗОВАНИЯ

общество не было никогда!
Главное – система ценностей
СТРАТЕГИЯ ОБРАЗОВАНИЯ

умений
Концепция образования

информации от внутренних угроз