Информационная безопасность

Тема: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ .

• Идентификация и аутентификация;
• Контроль и управление доступом;
• Протоколирование и аудит;
• Шифрование:
• Контроль целостности;
• Экранирование.

Информационная безопасность и ее составляющие

Базовые принципы информационной безопасности обеспечивают:

Целостность данных - защита от сбоев, ведущих к потере информации, а также от неавторизованного создания или уничтожения данных;

Конфиденциальность информации и, одновременно, ее доступность для всех авторизованных пользователей.

Защита информации - совокупность мер,- обеспечивающих защиту прав собственности владельцев информационной продукции, в первую очередь - программ, баз и банков данных от несанкционированного доступа, использования, разрушения или нанесения ущерба в какой-либо иной форме,

Средства защиты:

Организационно -административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных, к регламентации деятельности персонала и др.

Технические средства защиты призваны создать некоторую физически замкнутую среду вокруг объекта и элементов защиты.

СОСТАВЛЯЮЩИЕ БЕЗОПАСНОСТИ

Понятие «безопасность» в русском языке трактуется как состояние, при котором отсутствует опасность, есть защита от нее.

Безопасность электронной коммерции – это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь.

Понятие «безопасность» предполагает три составляющих :

• физическую безопасность , под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников;
• экономическую безопасность , под которой понимается защита экономических интересов субъектов отношений, а также обеспечение защиты материальных ценностей от пожаров, стихийных бедствий, краж других посягательств;
• информационную безопасность , под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Обеспечение информационной безопасности основывается на криптографических или шифровальных системах, которые обеспечивают конфиденциальность, аутентификацию и целостность информации.

Конфиденциальность предполагает защиту информации от несанкционированного доступа при ее хранении и при передаче. Доступ к информации имеет только тот, для кого она предназначена. Шифрование данных обеспечивает конфиденциальность.

Аутентификация предполагает необходимость однозначной идентификации отправителя послания. Обеспечивается электронной цифровой подписью и сертификатом.

Целостность предполагает, что информация должна быть защищена от несанкционированной модификации при ее хранении и при передаче. Обеспечивается электронной цифровой подписью.

КРИПТОГРАФИЯ

Все системы шифрования работают по определенной методологии, которая включает один или несколько алгоритмов шифрования (математических формул), ключей, используемых этими алгоритмами, а также системы управления ключами.

Криптография - это специальная область математики, отвечающая за защиту информации.

Появление электронных платежных систем и цифровых денег стало возможно только с развитием этой области знаний. Поэтому далее рассмотрим основные методы шифрования и ключевые понятия криптографии.

Проблема надежности электронных платежей и их защищенности - сегодня один из наиболее важных факторов, влияющих на доверие клиентов. Функционирование платежных систем в Internet возможно только при обеспечении условий безопасности.

МЕТОДЫ ШИФРОВАНИЯ

Способов шифрования сообщений огромное количество, но все их условно можно разделить на две больших группы:

• методы шифрования закрытым ключом (симметричные алгоритмы)
• методы шифрования открытым ключом (ассиметричные алгоритмы).

Самая древняя криптографическая операция - метод Цезаря. Представляет собой циклический сдвиг алфавита на один шаг, можно использовать сдвиг на две позиции или три и т.д. Величина сдвига (число 1, 2, 3...) - это ключ, с помощью которого можно зашифровать и расшифровать текст или сообщение.

Подобные методы слишком просты и не являются надежной защитой. Сейчас шифровку и расшифровку сообщений производит программное обеспечение, а ключи вставлены в это программное обеспечение.

МЕТОДЫ ШИФРОВАНИЯ ЗАКРЫТЫМ КЛЮЧОМ

Существуют более криптостойкие методы. Для замены берутся не одиночные буквы, а наборы по две буквы и более, а в качестве ключей используются не просто числа, а комбинации букв и чисел и т.д. У всех упомянутых алгоритмов есть общая черта, они используют один и тот же ключ (пароль) для шифрования сообщения и его расшифровки.

Методы в криптографии, которые используют для шифровки и расшифровки сообщений один и тот же ключ, называются шифрованием закрытым ключом (или симметричными алгоритмами), а используемый ключ – секретным (симметричным).

Алгоритмы симметричного шифрования используют ключи не очень большой длины и могут быстро шифровать большие объемы данных. Основной проблемой является безопасная передача закрытого ключа противоположной стороне, поэтому симметричный секретный ключ никогда не передается по незащищенным каналам связи.

ШИФРОВАНИЕ ОТКРЫТЫМ КЛЮЧОМ

Существуют методы, в которых для шифрования используется один ключ, а для расшифровки - другой. Программное обеспечение каждой стороны генерирует два ключа, связанных между собой по определенному правилу. По одному ключу восстановить другой невозможно.

Один из ключей открытый (общедоступный - public ) для шифровки , другой ключ закрытый (персональный - private ) для расшифровки.

Методы в криптографии, основанные на применении пары ключей (закрытый и открытый), называют шифрованием открытым ключом (или ассиметричными алгоритмами).

Имея такую пару ключей, открытый ключ можно передавать партнеру даже через газету. С помощью открытого ключа он шифрует сообщение, и даже он не сможет его расшифровать, так как расшифровать можно только с помощью второго, секретного ключа.

На поиски секретного ключа с помощью компьютерных программ могут уйти годы.

ШИФРОВАНИЕ ОТКРЫТЫМ КЛЮЧОМ

Каждый пользователь имеет два ключа, секретный ключ генерируется каждым пользователем самостоятельно, оба ключа математически связаны, открытые ключи помещаются в открытый справочник. Подобные методы являются более криптостойкими по сравнению с методами шифрования закрытым ключом.

Основной проблемой криптографических систем -распространение ключей. Асимметричные методы более приспособлены для Internet , но использование открытых ключей требует их дополнительной защиты и идентификации для определения связи с секретным ключом.

Шифрование передаваемых через Internet данных позволяет защитить их от посторонних лиц. Однако для полной безопасности должна быть уверенность в том, что второй участник транзакции является тем лицом, за которое он себя выдает.

В реальном мире наиболее важным идентификатором личности является его подпись. В электронной коммерции применяется электронный эквивалент традиционной подписи - цифровая подпись

Компьютерные вирусы и средства антивирусной защиты

• Компьютерные вирусы - специально написанные программы, способные самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.
• Троянские программы (квазивирусы ) - не способны к самораспространению, но опасны, так как, маскируясь под полезную программу выполняют деструктивные или шпионские действия.

Антивирусные программы предназначены для обнаружения, удаления и зашиты от компьютерных вирусов.

Защита от несанкционированного вмешательства

• Защита информации компьютера, подключенного к Internet , обеспечивается:
• автоматическим обновлением операционной системы и основных программ. Для Windows XP ( SP 2) обеспечивается настройкой автоматического обновления (Панель управления/Центр обеспечения безопасности) или периодическим посещением сайта http :// window ... t . com /.
• использованием антивируса с периодическим обновлением антивирусных баз.
• установкой и настройкой защитного экрана (брандмауэра). Для Windows XP ( SP 2) (Панель управления/Центр обеспечения безопасности)
• установкой антишпионской утилиты , например, свободно распространяемой Windows Defender от Microsoft .
• настройкой правильного режима безопасности для браузера . Например, для Internet Explorer отказаться от установки неподписанных элементов управления ActiveX и др.
• работой под учетной записью "Пользователь" и использованием учетной записи "Администратор" только в необходимых случаях. Например, для инсталляции программного обеспечения
• созданием групп пользователей с разделением прав доступа к информации.
• настройкой аудита системы.
• архивным копированием файлов .

Специфика обработки конфиденциальной информации

• Конфиденциальная информация - секретная, не подлежащая разглашению.
• Одним из эффективных способов сохранения конфиденциальности информации является ее кодирование ( шифрование). Делается это с помощью специальных криптографических программ. В качестве примера можно привести программный пакет PGP , который реализует технологию несимметричной криптографии с использованием пары ключей. Пользователь генерирует пару ключей, состоящую из закрытого ключа и открытого ключа - чисел, связанных определенным математическим соотношением.
• Закрытый (секретный) ключ остается в исключительном доступе владельца и хранится в локальном файле, защищенном паролем. Он используется для расшифровки зашифрованной информации» а также для ее шифрования. Открытый ключ используется только для шифрования информации: q его помощью нельзя произвести дешифровку.

Спасибо

за

внимание