Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни




НазваниеТема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни
страница12/16
Дата13.12.2012
Размер4.17 Mb.
ТипОтчет
1   ...   8   9   10   11   12   13   14   15   16

ТЕМА 11 ИНФОРМАЦИОННА СИГУРНОСТ



Функции на информационната сигурност

Информационната сигурност се дефинира като степен на запазване на поверителността, достоверността и достъпността на информацията:
  • Поверителност (конфиденциалност): информацията се чете, копира или разпространява само от тези потребители, които са упълномощени за това;

  • Достоверност (интегрираност): информацията може да се променя само по регламентиран начин;

  • Достъпност: потребители, притежаващи необходимите правомощия, могат да използват съответната информация или услуги винаги, когато са им нужни.



Заплахи за информационната сигурност

Определение природни фактори или човешки действия, които потенциално могат да нарушат информационната сигурност. Могат да се обособят в следните групи:
  • Природни бедствия: земетресения, гръмотевици, пожари и други природни явления, които могат да причинят физически дефекти, разрушаване на данни или загуба на работоспособност на компютри или техни устройства;

  • Неумишлени човешки грешки: дължат се основно на недостатъчна квалификация на потребителите. В тази група попадат и грешките в използвания системен софтуер и приложни програми;

  • Умишлени човешки действия: съзнателни вредителски действия на настоящи или бивши служители на организацията или на външни за нея лица, чрез които се цели нанасяне на щети.



Потенциалните заплахи за информационната сигурност се превръщат в нарушения като се възползват от слабости (vulnerabilities) в нейната защита – например, нередовно архивиране на данните, липса на програми за обучение на потребителите, неправилно конфигуриране на технологиите за защита;

  • Потенциалните заплахи за информационната сигурност се превръщат в нарушения като се възползват от слабости (vulnerabilities) в нейната защита – например, нередовно архивиране на данните, липса на програми за обучение на потребителите, неправилно конфигуриране на технологиите за защита;

  • Нарушение на информационната сигурност: събитие, което причинява загуба на желаното състояние на даден информационен ресурс;

  • Инцидент с информационната сигурност: умишлено предизвикано нарушение на сигурността;

  • Атака срещу информационната сигурност: действия, предизвикали инцидент със сигурността;

  • Нападатели: лица, осъществяващи атака срещу информационната сигурност.



Защита на информационната сигурност

Представлява съвкупност от организационни и технологични решения за постигане и запазване на желаното състояние на информационната сигурност. Средствата за защита на информационната сигурност реализират следните основни функции:
  • предпазване (prevention) от нарушения на информационната сигурност;

  • откриване (detection) на нарушения на информационната сигурност;

  • реагиране (reaction) на нарушения на информационната сигурност;

  • възстановяване (recovery) след нарушения на информационната сигурност;



Типични заплахи за информационната сигурност

Заплахите за информационната сигурност могат да се обединят в няколко основни групи:
  • вредителски код: програма или част от програма, която се разпространява, инсталира или изпълнява без информираното съгласие на потребителите и може да предизвиква нарушения на информационната сигурност;

  • отказ от обслужване: отнемане на правото на легитимните потребители да използват определени ресурси или услуги;

  • социално инженерство: съвкупност от техники, чрез които се подвеждат потребителите да разкрият поверителна информация или да компрометират по друг начин информационната сигурност.



Вредителски код

Категории вредителски код - различават се по механизмите за проникване и разпространение, както и по последствията при активиране:
  • компютърни вируси;

  • троянски коне;

  • червеи;

  • spyware;

  • adware;

  • комбинирани заплахи.



Компютърни вируси

  • Представляват саморазпространяващ се програмен код, който е присъединен към друга програма или документ;

  • Проникват в компютърната система при активиране или копиране на заразени с вируса обекти – приложения, носители или документи;

  • Заразяват други обекти при активиране, с което се осъществява тяхното разпространение;

  • Извършват и някакви допълнителни действия освен заразяване на други обекти, което нарушава информационната сигурност и може да причини щети на определени информационни ресурси;



Троянски коне и червеи

Троянски коне: представляват програма или част от нея, чието изпълнение изглежда безопасно, но предизвиква странични (често разрушителни) ефекти.
  • Не могат да заразяват други обекти;

  • Проникват в компютърните системи чрез копиране, по електронната поща или при сваляне на файлове от Интернет;

Червеи: представляват саморазпространяващи се програми, които проникват в други компютърни системи без да се нуждаят от обект-носител или от определено потребителско действие.
  • Могат да пренасят други вредителски програми като троянски коне или spyware;

  • Автоматично се изпълняват на заразените компютърни системи и могат да осъществяват всякакви действия;



Други категории вредителски код

  • Spyware: вредителски код, чието действие се заключава в събиране на информация, свързана с личността на потребителя, и нейното предоставяне на трети лица без неговото знание и съгласие.

  • Adware: нежелана програма, която се инсталира без информираното съгласие на потребителя и извежда върху неговия екран рекламни съобщения и банери, носещи финансови облаги за разпространителя на adware;

  • Комбинирани заплахи (blended threats): модерна форма на вредителски код, която съчетава червеи, троянски коне, spyware и други негови форми и в резултат от това получава възможност да порази милиони компютърни системи в целия свят.



Отказ от обслужване

Под отказ от обслужване (denial of sevice) се разбира отнемането от легитимни потребители на възмож-ността да използват определени ресурси или услуги.
  • Изчерпване на критични ресурси, водещо до загуба на работоспособност;

  • Изчерпване на мрежовия капацитет – обикновено се постига чрез едновременна атака от множество компютри, формиращи атакуваща мрежа. Такива атаки се наричат разпределени атаки, водещи до отказ от обслужване;

  • Нежелана електронна поща (spam) – представлява електронни съобщения, съдържащи търговски предложения или реклами, които се изпращат без желанието или съгласието на получателите и без да се предоставя възможност за отказ от по-нататъшно получаване на съобщения от същия източник.



Социално инженерство

Представлява съвкупност от техники, прилагани от нарушителите, чрез които се подвеждат потребителите да разкрият поверителна информация или да извършат други действия, компрометиращи информационната сигурност.
  • Представяне за лице, което има авторитет или се ползва с доверието на потребителя;

  • Техники за отгатване на потребителските пароли;

  • Отваряне на прикачени файлове с предизвикателно съдържание, съдържащи вредителски код;

  • Phishing – подвеждане на потребителя да разкри важни негови персонални данни, които по-късно чрез кражба на самоличността му носят финансови облаги за нарушителите. Обикновено измамата протича на две стъпки: получаване на съобщение – примамка, от което се отваря сайт, събиращ чувствителна информация за потребителя.



Основи на криптографията

Криптографията е научна област и сфера на практическа дейност, която се занимава с методите, алгоритмите и техниките за преобразуване на определен текст (документ, съобщение) от една (обикновено четима) в друга (типично нечетима за неоторизираните лица) форма и последващото възстановяване на оригиналното му съдържание.

Целта на тези преобразувания е предаването по поверителен начин на важна за изпращача и получателя информация, чието съдържание остава скрито и недостъпно за трети лица, които могат да получат достъп до обменянато съдържание.

Основи на криптографията



Основи на криптографията

Процесът на криптиране има следното съдържание:
  • Четимото съобщение, което трябва да се предаде на получателя, се нарича отворен текст;

  • С помощта на избрани методи, алгоритми и ключове съобщението се криптира (шифрира) до шифриран текст, който е в нечетима форма;

  • Шифрираният текст се изпраща на получателя или се съхранява за последващо използване;

  • След получаване шифрираният текст се декриптира (дешифрира) до отворен текст в четима форма чрез методите, алгоритмите и ключовете, използвани за криптиране.

Криптанализ – част от криптографията, която се занимава с дешифриране на съобщения без да са известни използваните алгоритми и ключове за неговото криптиране.

Криптография със симетричен ключ

  • За шифриране и дешифриране се използва един и същи ключ, който е установен между изпращача и получателя преди започване на обмена на съобщения и е разпространен между тях по сигурен начин;

  • За гарантиране конфиденциалността на обменяната информация трябва да се запази поверителността на използвания общ ключ за шифриране и дешифриране. Всеки, на когото е известен използваният ключ, може да дешифрира и прочете съдържанието на съобщението. Поради тези особености криптографията със симетричен ключ често се нарича още криптография с таен ключ.



Криптография със симетричен ключ



Криптография с асиметричен ключ

  • За шифриране и дешифриране на съобщението се използват различни ключове, които са математически свързани, но практически не могат да се извлекат един от друг;

  • Всеки от участниците в обмена на поверителна информация може да притежава 2 уникални ключа: публичен ключ, който е известен на всички, и частен ключ, който се пази в тайна;

  • Изпращачът на съобщението го шифрира с публичния ключ на получателя и го предава по канала за връзка. Получателят дешифрира съобщението с помощта на частния си ключ, който е известен само на него;

  • Обменът на конфиденциална информация не изисква предварително съгласуване на общ ключ, тъй като публичният ключ е общо известен, а частният се знае само от неговия притежател.



Криптография с асиметричен ключ



Криптография с асиметричен ключ

Криптографията с асиметричен (публичен) ключ позволява наред с криптирането да се реализират и други функции, свързани с информационната сигурност:
  • Автентикация: доказване на идентичността на обекта (личността), изпратил дадена информация;

  • Интегрираност: доказване, че съдържанието на обменяното съобщение (документ) не е променяно в хода на комуникацията;

  • Неотменимост: доказване, че даден обект е действителният изпращач на конкретно съобщение и отнемане на възможността той да се откаже от авторството си в някакъв бъдещ момент.



Цифрови подписи

Реализацията на посочените по-горе функции се основава на използване на цифрови подписи, които представляват криптирано с частния ключ на изпращача извлечение от обменяния документ.
  • С помощта на хеш-алгоритъм от съобщението за предаване се формира извлечение (message digest);

  • Извлечението се криптира с частния ключ на изпращача и полученият по този начин цифров подпис за конкретния документ се добавя към съобщението за изпращане;

  • Получателят проверява (верифицира) цифровия подпис като отделя криптираното извлечение от основното съобщение, формира ново извлечение чрез същата, предварително съгласувана хеш-функция, декриптира предаденото извлечение с публичния ключ на изпращача и го сравнява с новоформираното. Съвпадението означава, че полученият документ носи цифровия подпис на изпращача.



Цифрови подписи

Информационна сигурност

Допълнителни функции на информационната сигурност

Реализацията на предишната схема дава средните резултати:
  • Съвпадението на формираното и декриптираното извлечения потвърждава идентичността на изпращача на съобщението;

  • Регистрацията по определена процедура на установеното съвпадение му придава юридическа сила и не позволява на изпращача в бъдеще да отрече изпращането на конкретното съобщение;

  • Съвпадението на формираното при получателя и на предаденото извлечения гарантира, че в процеса на обмен съдържанието на изпратения документ (съобщение) не е променяно и неговата интегрираност (достоверност) е гарантирана;

  • Цифровото подписване може да се съчетае с криптиране на оригиналното съобщение, което гарантира поверителност на обменяната информация, нейната интегрираност и идентичността на изпращача.



Цифрови сертификати

Практическото използване на цифрови подписи изисква достоверна информация за това на кого (личност, организация или друг обект) принадлежи даден публичен ключ. По този начин се ограничават възможността реалният изпращач да приеме чужда самоличност.
  • Цифровият сертификат е електронен документ, който показва на кого принадлежи определен публичен ключ (неговото име, адрес и друга информация за притежателя);

  • Цифровите сертификати се издават от сертифициращи организации, чиято дейност е регламентирана по определен начин и които се ползват с доверието на участниците в електронните комуникации;

  • В процеса на обмен всяка от страните може да поиска от сертифициращата организация информация за притежателя на даден публичен ключ. Получаваният отговор (сертификат) е подписан с частния ключ на организацията и може да се изполва за незабавна проверка на самоличността или да се съхрани за бъдещо приложение;

  • Сертификатите могат да се използват и за проверка на идентичността на сървъри и сайтове при комуникациите в Интернет.



Алгоритми за криптиране със симетричен ключ

Алгоритми за блоково шифриране: съобщението, подлежащо на криптиране, се разделя на блокове с еднаква дължина, всеки от които се подлага на самостоятелна обработка. При обединяване на обработените блокове се получава криптираното съобщение.
  • Конфузия (заместване) – отделни символи или група битове се заместват с други такива в процеса на криптиране;

  • Дифузия (разместване) – символите или битовете във всеки блок се разместват в него по определен начин и променят оригиналното значение.

Алгоритми за поточно шифриране: оригиналното съобщение се разглежда като последователност от битове, които се криптират един след друг.
  • Поточен ключ – генерира се в зависимост от използвания симетричен ключ;

  • Логическа функция – прилага се върху оригиналното съобщение и поточния ключ в процеса на криптиране.

Инициализиращ вектор: случайно число, увеличаващо дисперсията в процеса на криптиране.

Промишлени алгоритми за криптография със симетричен ключ

  • DES: използва блоково шифриране с дължина на блока 8 байта и 56 битов ключ;

  • 3DES

  • AES

  • IDEA

  • Blowfish

  • RC4, RC5 и RC6



Промишлени алгоритми за криптография с асиметричен ключ

  • RSA – създаден от Rivest, Shamir и Adleman; широко разпространен в технически и софтуерни системи, които се нуждаят от услуги, свързани с информационната сигурност;

  • ECC;

  • ElGamal;

  • Алгоритми за хеширане: MD2, MD4, MD5, SHA, SHA-1.



Идентификация и автентикация

Идентификация: дефиниране на обозначение, което еднозначно определя дадена същност (човек, устройство, приложение).

Автентикация: процес на потвърждаване или отхвърляне на предявената идентичност от потребителя. Осъществява се чрез следните методи:
  • Нещо, което потребителят знае: пароли, PIN кодове, частни ключове; силни и слаби пароли;

  • Нещо, което потребителят притежава: карта, USB или друго устройство, което се предявява в процеса на автентикация;

  • Нещо, което потребителят е: отпечатъци на пръстите, сканиране на ретината и други биометрични показатели;

  • Многофакторна автентикация.



Оторизация

  • Определя кои ресурси са достъпни за даден потребител и какви са неговите права (пълномощия, позволения) по отношение на тези ресурси: примери за възможни права са четене, създаване, промяна, изтриване, стартиране, разглеждане.

  • Правата се предоставят при регистриране на съответната идентичност – явно от администратора на ресурсите или неявно според възприетата политика за информационна сигурност.

  • Контрол на достъпа при използване на ресурсите.

  • Управление на оторизацията: създаване на групи и дефиниране на роли.



Технологии за защита на информационната сигурност

Най-разпространените технологии за защита на информационната сигурност са:

Антивирусен софтуер;

Защитни стени;

Защита на електронната поща;

Системи за откриване на прониквания;

Антивирусен софтуер

Антивирусният софтуер изпълнява следните основни функции:

Предпазване от проникване на вредителски код;

Търсене на вредителско съдържание – по явно искане на потребителя или автоматично при възникване на определени условия; в цялата файлова система или в част от нея;

Отстраняване на открит вредителски код – възстановяване на заразените обекти в оригиналното им състояние (лекуване), поставяне под карантина, премахване на заразените обекти;

Методи за откриване на вредителски код:

Търсене на образци (сигнатури) във файлове или в компютърната памет;

Евристични методи, основаващи се на общи правила за поведението на вредителския код.

Защитни стени

Защитната стена (firewall) представлява съвкупност от технически и програмни средства, която контролира мрежовия трафик и отстранява от него пакети или заявки, влизащи в конфликт с установените правила за сигурност. Осъществява следните функции:

Филтриране на пакети: според IP-адреса на изпращача или получателя, според порта, към или от който са изпратени, или според някаква комбинация от тези параметри; филтри на съдържание в съвременните решения;

Скриване на системна информация за вътрешната мрежа;

Поддържане на системни дневници за пропуснатите и отхвърлените пакети или заявки.

Видове защитни стени:

Персонални – защитават работни станции или автономни компютри и обикновено се реализират като софтуерен продукт;

Мрежови – защитават компютърната мрежа на определена организация и по-често се реализират като специализирани устройства.

Защита на електронната поща

Нормативно регулиране на нежеланата електронна поща (spam)

Изпращачите на търговски и рекламни електронни съобщения са задължени явно да обозначат техния характер;

Тези съобщения трябва да съдържат реалния адрес на техния изпращач;

Получателят трябва да е в състояние лесно да се откаже от по-нататъшното получаване на електронна поща от същия източник.

Технологии за защита на електронната поща:

Филтриране на съдържание – чрез търсене в съобщението на конкретни думи, фрази или сигнатури се осъществява защита от нежелана поща, вредителски код, изтичане на чувствителна информация или други заплахи за информационната сигурност;

Поддържане на списъци със забранени или разрешени електронни адреси;

Репутация на Интернет ресурси.

Принципи на проектиране на информационната сигурност

Съответствие с националните и европейски законови регулации;

Съотнасяне на разходите за информационна сигурност със стойността на защитаваните активи на организацията;

Приоритента защита на критичните за организацията бизнес-процеси;

Ясно определяне на нивото на остатъчния риск за информационната сигурност;

Защита на визията на организацията;

Съобразяване с нивото на информационна сигурност при основните конкуренти на организацията;

Отчитане на времето за излизане на пазара;

Постигане на максимална простота при експлоатация на предлаганите решения.

Проектиране на информационната сигурност

Концептуално проектиране:

Разработка на стратегия за информационна сигурност, одобрена от висшето ръководство на организацията;

Създаване на политики за информационна сигурност, съответстващи и произтичащи от стратегията;

Избор на международни стандарти или добри практики, в съответствие с които ще се прилагат разработените политики за информационна сигурност.

Детайлно проектиране:

Избор на технологични решения за реализация на политиките за информационна сигурност в различните бизнес-процеси;

Разработка на процедури, регламентиращи поведението на служителите на организацията по повод политиките за информационна сигурност и във връзка с избраните технологични решения.

Стандарти за информационна сигурност

ISO 27000:

Предоставя модел за създаване, управление, мониторинг и развитие на информационната сигурност в организацията;

Използва се за сертифициране на системите за информационна сигурност на организациите;

Играе ключова роля по отношение на визията и репутацията на организацията;

Предлага 11 ключови проблема, които трябва да получат конкретни решения при проектиране на информационната сигурност;

Съдържа добри практики и препоръки за проектиране на информационна сигурност в организациите

1   ...   8   9   10   11   12   13   14   15   16

Похожие:

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconИнформация. Информатика. Информатизация. Вопросы: Что такое информация?
Информация (лат. Informatio) сведения, разъяснения, изложение. Определения информации

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconИнформация и информатика Информация Информация – отражение окружающего мира в виде знаков и сигналов
Средства передачи информации каналы связи (разговор, переписка, радио, телевидение, комп сети)

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconИнформация. Информатика. Что такое информация?
Информацию можно классифицировать по-разному: полезная, бесполезная полная, неполная истинная, ложная

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconПрезентация курса «Коммерческое товароведение». Тема №1. Предмет, цели и задачи курса товароведения. Тема №2. Методы, применяемые в товароведении. Тема №3. Ассортимент товаров

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconВведение в информатику учебный предмет информатика информация и информационные процессы
Информация это сведения об объектах и явлениях окружающей среды, их свойствах и состоянии

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconИнформация Информация и знания
Информатика это техническая наука, определяющая сферу деятельности, связанную с процессами хранения, преобразования и передачи информации...

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconИнформация
Терминът "информатика" (фр informatique) е съкращение от information (информация) и automatique (автоматика) и буквално означава...

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconПрограммная обработка данных на компьютере 1) Программная обработка данных на компьютере 1)
Информация может обрабатываться компьютером, если она представлена в двоичной знаковой системе

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconСтатистическая обработка данных. MathCad. Тема 7
При выполнении физических экспериментов их данные обычно представляются с той или иной случайной погрешностью, поэтому их обработка...

Тема 1 Въведение в курса по информатика. Данни и информация. Обработка на данни iconЦель и задачи курса «экономическая информатика и вычислительная техника»
В соответствии с требованиями Государственных образователь­ных стандартов высшего профессионального образования студенты экономических...

Разместите кнопку на своём сайте:
rpp.nashaucheba.ru


База данных защищена авторским правом ©rpp.nashaucheba.ru НашаУчеба
связаться с администрацией
rpp.nashaucheba.ru
Главная страница