16. Чем достигается защита средств управления, коммутации и внутреннего монтажа компьютерных систем (пэвм), из чего состоит и как действует единая система контроля вскрытия устройств (скву).

Имеется какое-то блокирующее устройство, которое срабатывает при открытии, например двери. То есть дверь открывается – посылается сигнал. Сигнал может передаваться на пульт, как через провода, так и по радио каналу. Эффективнее будет работать система, в которой проводное соединение, так как радио передачу можно заглушить.

Состав технических и программных средств:

• контроллер охраны (1 на 8 охраняемых помещений)

• извещатели охранные (датчики открывания) дверей, универсальные механические запорные устройства;

• оборудование передачи данных на пульт диспетчера;

• АРМ операторов диспетчерских и дежурных служб (пульт диспетчера);

• программное обеспечение

17. Приведите классификацию криптографических алгоритмов и охарактеризуйте их. Раскройте смысл функционирования схемы шифрования в алгоритме ГОСТ 28147-89. Основные режимы работы блочного симметричного алгоритма.

В соответствии со стандартом шифрования ГОСТ 28147-89 под шифром понимают совокупность обратимых преобразований множества открытых данных на множество зашифрованных данных, задаваемых ключом и алгоритмом криптографического преобразования. Назначение этих алгоритмов – защита информации.

В зависимости от числа ключей, применяемых в конкретном алгоритме, криптоалгоритмы подразделяют:

1. Бесключевые криптоалгоритмы (КА) – не используют вычисление никаких ключей;

2. Одноключевые КА – работают с одним ключевым параметром (секретным ключом);

3. Двухключевые КА – на различных стадиях работы в них применяются два ключевых параметра: секретный (закрытый) и открытый ключи.

Общепринятая классификация криптоалгоритмов защиты информации представлена на рисунке

Хеширование – метод криптозащиты, представляющий собой контрольное преобразование информации: из данных неограниченного размера путем выполнения криптографических преобразований, вычисляется хеш-значение фиксированной длины однозначно соответствующее исходным данным.

Симметричное шифрование использует один и тот же ключ, как для зашифровывания, так и для расшифровывания информации. Из рисунка видно, что оно бывает блочное и поточное.

Блочное шифрование характеризуется тем, что информация предварительно разбивается на блоки фиксированной длины, например 64 и 128 бит. При этом блоки могут шифроваться как независимо друг от друга, так и «со сцеплением», т.е. когда результат шифрования текущего блока данных зависит от значения предыдущего блока или от результата шифрования предыдущего блока

Поточное шифрование применяется прежде всего тогда, когда информацию невозможно разбить на блоки, например, есть некий поток данных, каждый символ которого требуется зашифровать и отправить, не дожидаясь остальных данных, достаточных для формирования блока. Такие алгоритмы поточного шифрования шифруют данные побитно или посимвольно.

В ассиметричном шифровании открытый ключ используется для зашифровывания информации и секретный ключ для ее расшифровывания. Секретный и открытый ключи связаны между собой сложным соотношением.

Электронная цифровая подпись используется для надежного подтверждения целостности и авторства данных.

ГОСТ 28147-89:

Отечественным стандартом подобным алгоритму DES является стандарт шифрования ГОСТ 28147-89. Этот стандарт не накладывает ограничений на степень секретности защищаемой информации, удовлетворяет криптографическим требованиям и предназначен для аппаратной и программной реализации.

Алгоритм шифрования данных представляет собой 64-х битовый блочный алгоритм с 256-и битовым ключом.

Схема алгоритма ГОСТ 28147 представлена на рисунке:

Данные подлежащие шифрованию разбивают на 64-ые блоки, они разбиваются на два субблока N₁ и N₂.

N1 обрабатывается, после чего его значение складываются со значениями субблока N₂.

Сложение N₁ и N₂ выполняется логическая операция исключающего ИЛИ, затем субблоки меняются местами, это преобразование выполняется определенное число раз 16 или 32. В каждом преобразовании выполняется: наложение ключа, табличная замена.

1 операция: содержимое N1 складывается по модулю 2³² с 32-ой битовой частью ключа Kx.

Полный ключ шифрования представляется виде конкатенации 32-х битовых подключей: К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₀, К₁, … в раундах с 1 по 24.

В процессе шифрования исполняется один из этих подключей, в зависимости от номера раунда режима работы алгоритма.

В раундах с 25 по 32 используются ключи в следующей последовательности: К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀, К₇, …

Для расшифрования с 1 по 8 раунд используются ключи

К₀, К₁, К₂, К₃, К₄, К₅, К₆, К₇, К₀, …

В раундах с 9 по 32:

К₇, К₆, К₅, К₄, К₃, К₂, К₁, К₀, К₇, …

Все блоки шифруются независимо друг от друга, т.е. результат зашифровывания каждого блока зависит только от его содержимого (исходного текста).

Для шифрования используются 2 режима работы: гаммирование и гаммирование с обратной связью.

На i-ом цикле используется подключ K_i , тогда

N_{1 i+1} = N₂ (+) f(N_1i, K_i)

N_{2 i+1} = N₁

(+) – сложение по модулю 2

Для генерации подключей исходный 256 битный ключ разбивается на восемь 32-х битных блоков:

К₀, К₁, К₂, … К₇

Ключи К₈, К₉, … , К₂₃ является циклическим повторением ключей К₀, К₁, К₂, … , К₇. Они нумеруются от младших битов к старшим. Ключи К₂₄, К₂₅, … , К₃₁ являются ключами К₀, К₁, К₂, … ,К₇ идущими в обратном порядке.

После выполнения всех 32-х раундов алгоритма блоки N_{1 33} и N_{2 33} склеиваются, при этом старшим битом становится блок N_{1 33} , а младшим N_{2 33} результат этих преобразований и есть результат работы алгоритма.

1. Функция f(N₁; K_i) является результатом сложения N_1i и K_i по модулю 2.

2. Результат разбивается на 8 четырех битовых последовательностей, K-ая из которых поступает на узел таблицы замен в порядке возрастания старшинства называемом S-блоком.

3. Общее количество S-блоков равно 8, т.е. столько же сколько и пользователей. Каждый S-блок представляет собой перестановку чисел от 0 до 15.

4. Первая четырех битовая последовательность попадает на вход 2-го S-блока и т.д. Если S-блок выглядит в следующей последовательности чисел 1, 15, 13, 0, 5, 7, 10, 4, 9, 2, 3, 14. 6, 8, 11, 12 и на входе S-блока будет 0, то на выходе будет 1. Если на входе 5, то на выходе 7.

Выходы всех 8-ми S-блоков объединяются в 32-х битное слово затем все слово циклически сдвигается влево к старшим разрядам на 11 битов.

Все 8 S-блоков могут быть различными, следовательно они являются дополнительным ключевым материалом, а также параметром схемы, общим для определенной группы пользователей.

Достоинства:

1. Бесперспективность силовой атаки;

2. Эффективность реализации м высокое быстродействие при реализации на компьютерах;

3. Наличие защиты от навязывания ложных данных и одинаковый цикл шифрования во всех 4-х алгоритмах ГОСТа.

Основные режимы работы блочного симметричного алгоритма:

1. Простая замена;

2. Гаммирование;

3. Гаммирование с обратной связью;

4. Генерация эмитоприставок.

18. На какие группы подразделяются методы и средства нейтрализации угроз информационной безопасности в компьютерных системах, представьте классификацию методов и средств борьбы с компьютерными вирусами. В чем заключаются методы использования резидентных сторожей и аппаратно-программной защиты от вирусов.

Методы и средства нейтрализации угроз информационной безопасности в компьютерных системах

Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение. Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.). Управление доступом — метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

• аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка — метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия. Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму. Принуждение — такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение — такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм. Указанные выше методы обеспечения информационной безопасности организации (фирмы) реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.

Классификация методов и средств борьбы с компьютерными вирусами.

Методы:

1.  Сканирование.

 2.  Обнаружение изменений, или контроль целостности.

3.  Эвристический анализ.

4.  Метод резидентного сторожа.

5.  Вакцинирование программ.

 Средства:

6. Сканеры (устаревший вариант — «полифаги»).

7. Ревизоры (класс, близкий к IDS).

8. Сторожа (мониторы). 

9. Вакцины.

10. Антивирусные комплесы.

Метод резидентного сторожа.

 Этот метод направлен на выявление «подозрительных» действий пользовательских программ, например, таких, как запись на диск по абсолютному адресу, форматирование диска, изменение загрузочного сектора, изменение или переименование выполняемых программ, появление новых резидентных программ, изменение системных областей DOS и других. При обнаружении «подозрительного» действия необходимо «спросить разрешение» у пользователя на выполнение такого действия.

Программы-мониторы, или резидентные сторожа это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распостранение вируса на самой ранней стадии.

Их цель - не пропустить вирус на компьютер. И поэтому они контролируют обращение к дискам. При обнаружении «подозрительного» действия программа-монитор либо блокирует выполнение такого действия до специального разрешения пользователя, либо просто выдаёт на экран предупреждающее сообщение, либо совершает другие специальные действия.

Метод аппаратно-программной защиты от вирусов.

Наиболее распространенными методами защиты от вирусов остаются различные антивирусные программы. Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера. Корпорация Intel уже в 1994 году предложила перспективную технологию защиты от вирусов в компьютерных сетях. Flash-память сетевых адаптеров Intel EtherExpress PRO/10 содержала антивирусную программу, сканирующую все системы компьютера еще до его загрузки.

19. Основные подходы к защите данных от НСД: какие действия выполняются при организации доступа к оборудованию и ПО компьютерных систем (ПЭВМ); оценка эффективности наращивания средств контроля доступа по кривой роста относительного уровня обеспечения безопасности компьютерных систем (ПЭВМ).

Аутентификация субъекта – проверка подлинности субъекта с данным идентификатором.

Процедура аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил, после идентификации и аутентификации субъекта выполняют процедуру авторизации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т.е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи.

Цель данной процедуры – обеспечить уверенность что соединение установлено законным субъектом и вся информация дойдет до места назначения.

Для подтверждения своей подлинности субъект может предъявить системе разные сущности.

В зависимости от предъявляемых субъектом сущностей, процессы аутентификации могут быть разделены на основе:

• Знание чего-либо. Примерами служат: пароль, персональный идентификационный номер (PIN), секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ.

• Обладание чем-либо. Пример: магнитные карты, СМАРТ-карты, сертификаты и другие устройства типа Touch-memory.

• Каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голоса, радужной оболочки и сетчатки глаза, отпечатков пальцев, геометрии лица, ладони и другие). В данной категории не используются криптографические методы и средства.

Система запрос – ответ.

Заключается в том, что одна из сторон инициирует аутентификацию, с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета. Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.

Сертификаты и цифровые подписи

Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах. Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организации.

В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.

Процессы аутентификации по уровню обеспечиваемой безопасности разделяются на следующие типы:

• Аутентификация, использующая пароли и PIN-коды;

• Строгая аутентификация на основе использования криптографических методов и средств;

• Биометрическая аутентификация пользователей.

Основные атаки на протоколы аутентификации:

• Маскарад – пользователь выдает себя за другого с целью получения полномочий и возможности действий от лица другого пользователя;

• Подмена стороны аутентификационного обмена – злоумышленник в ходе данной атаки участвует в процессе аутентификационного обмена между двумя сторонами с целью модификации проходящего через него трафика;

• Повторная передача. Заключается в повторной передачи аутентификационных данных каким-либо пользователям;

• Принудительная задержка – злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;

• Атака с выборкой текста – злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.

Для предотвращения таких атак при построении протоколов аутентификации применяются:

• Использование механизмов типа «запрос – ответ», отметка времени, случайных чисел, идентификаторов, цифровых подписей;

• Привязка результата аутентификации к последующим действиям пользователей в рамках системы;

• Периодическое выполнение процедур аутентификации в рамках уже установленного сеанса и связи и т.п.

оценка эффективности наращивания средств контроля доступа по кривой роста относительного уровня обеспечения безопасности компьютерных систем (ПЭВМ).

Наращивание средств контроля доступа

1 + 2 + 3

1

1 + 2

Уровень обеспечения ИБ

Низкий

Средний

Высокий

Цифрами на графике обозначены:

1 – пароль (ПИН)

2 – магнитные карты (проксимити, смарт-карты и др.)

3 – биометрия (отпечаток пальца, сетчатка глаза, геометрия руки и др.)

Как видно из рисунка с наращиванием средств контроля доступа увеличивается и уровень обеспечения безопасности компьютерных систем.