- •Иб(Информационная Безопасность) Лекция №1
- •Лекция №2 Основные методы обеспечения иб
- •Угрозы иб
- •Построение систем защиты от угроз нарушения конфиденциальности информации
- •Организационные меры и методы обеспечения физической безопасности
- •Идентификация и аутентификация
- •Парольная аутентификация
- •Преимущества и недостатки парольной системы
- •Угрозы безопасности парольной системы
- •Рекомендации по практической реализации парольных систем
- •Лекция №3 Оценка стойкости парольных систем
- •Методы хранения и передачи паролей
- •Разграничение доступа
- •Лекция №4 Криптографическое преобразование информации
- •Лекция №6
- •Des(Data Encryption Standard)
- •Лекция №7 Алгоритмы с открытыми ключами
- •Алгоритм открытых рюкзаков(укладки ранца)
- •Сверх возрастающие рюкзаки
- •Лекция №8 Сравнение симметричных и ассиметричных систем
- •Методы защиты внешнего периметра
- •Межсетевое экранирование
- •Лекция №9 Системы обнаружения вторжений
- •Протоколирование и аудит
- •Лекция №10 Построение системы защиты от угроз нарушения целостности информации
- •Однонаправленные хэш функции
- •Лекция № 11
- •Идея функции сжатия
- •Применение
- •Коды проверки подлинности сообщений(mac(Message Authentication Code))
- •Лекция №12 Электронные подписи(Digital Signature)(не полная лекция)
- •Подпись документа с помощью криптографии с открытым ключом
- •Подпись документа с помощью ассиметричных алгоритмов и однонаправленных хэш функций
- •Управление открытыми ключами
- •Структура сертификатов(в России)
- •Хранение закрытого ключа
Лекция №8 Сравнение симметричных и ассиметричных систем
Достоинства симметричных систем:
Скорость расчетов примерно на 3 порядка выше.
Относительная простота реализации за счет использования более простых операций.
Меньшая требуемая длинна ключа для сопоставимой стойкости.
Большая изученность за счет большего времени использования.
Недостатки симметричных систем:
Сложность управления ключами в большой сети пользователей, означает квадратичное возрастание числа пар ключей, которые необходимо генерировать, передавать и хранить в сети(количество ключей: N=(n*n-1)/2).
Сложность обмена секретными ключами. Для применения, необходимо решить проблему надежной передачи ключей каждому абоненту, так как нужен секретный канал, для передачи секретного ключа обеим сторонам.
Для компенсации недостатков симметричного шифрования, в настоящее время широко применяется комбинированная(гибридная) криптографическая система:
Существует 2 абонента A, B.
K1a(открытый ключ), K2a(закрытый секретный ключ), K(сеансовый ключ).
Сеансовый ключ – секретный симметричный случайный ключ, который используется только в пределах одного сеанса связи и после этого уничтожается.
Абонент A генерирует сеансовый ключ K.
Абонент A зашифровывает сеансовый ключ при помощи своего секретного ключа K2a и ассиметричного алгоритма(C=Ek2a(K)). Полученное сообщение он отправляет абоненту B(C=Ek2a(K)B).
Абонент B расшифровывает послание при помощи того же алгоритма и открытого ключа абонента A(Dk1a(C)=K).
Теперь абоненты A и B могут отправлять друг другу секретные сообщения при помощи симметричного алгоритма и сеансового ключа K.
Методы защиты внешнего периметра
Под системой защиты внешнего периметра автоматизированной системы, обычно включается в себя 2 основных механизма:
Средства межсетевого экранирования.
Средства обнаружения вторжений.
Так как эти механизмы решают родственные задачи, они часто оформляются в рамках единого программного продукта.
Межсетевое экранирование
Межсетевой экран(МЭ(firewall/брандмауэр)) выполняет функции разграничения информационных потоков на границы защищаемой автоматизированной системы, это позволяет:
Повысить безопасность объектов внутренней среды за счет игнорирования не авторизованных запросов из внешней среды.
Контролировать информационные потоки из внутренней, во внешнюю среду.
Регистрировать процессы информационного обмена.
Контроль информационных потоков производится посредством фильтрации информации, т.е. анализом по совокупности критериев и принятия решения о распространении или не распространении ее в или из АС.
В зависимости от принципов функционирования выделяют несколько классов межсетевых экранов. Основным классификационным признаком является уровень модели OSI, на которой работает тот или иной межсетевой экран.
Классификация:
Фильтр-пакеты – межсетевой экран с фильтрацией пакетов представляет собой маршрутизатор или работающую на шлюзе программу, сконфигурируем мая таким образом, чтобы фильтровать входящие и исходящие сетевые пакеты с данными, этот тип межсетевых экранов работает на сетевом и транспортном уровне модели OSI. Он пропускает или отбраковывает пакеты в соответствии с информацией, содержащихся в заголовках пакетов. Пакеты ассоциируются с конкретным отправителем и получателем, а информация в них содержит:
IP адрес и порт отправителя.
IP адрес и порт получателя.
Информацию о приложении и протоколе.
Шлюзы сеансового уровня – данные межсетевые экраны работают на сеансовом уровне модели OSI, они следят за подтверждением связи между авторизованным клиентом и внешним узлом, и наоборот, определяя является ли запрашиваемый сеанс связи допустимым.
Шлюзы прикладного уровня – межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня(HTTP, Torrent и т.д.), для этого используются Proxy сервисы(программы специального назначения, управляющая трафиком через межсетевой экран для определенных высокоуровневых протоколов).
Схема использования прокси сервиса:
Без использования Proxy сервиса.
С использованием Proxy сервисами.
Межсетевые экраны экспертного уровня – межсетевые экраны, сочетающие в себе элементы всех трех предыдущих категорий, вместо Proxy сервисов, в таких экранах используются алгоритмы распознавания и обработки данных на уровне отдельных приложений.