Khóa học ngắn hạn về bảo mật thông tin Bảo mật thông tin hoạt động nghề nghiệp
Khái niệm bảo mật thông tin Bảo mật thông tin đề cập đến việc bảo mật thông tin và cơ sở hạ tầng hỗ trợ khỏi các tác động vô tình hoặc cố ý mang tính chất tự nhiên hoặc nhân tạo có thể gây ra thiệt hại không thể chấp nhận được cho các chủ thể quan hệ thông tin, bao gồm cả chủ sở hữu và người sử dụng thông tin và cơ sở hạ tầng hỗ trợ. Bảo vệ thông tin là tập hợp các biện pháp nhằm đảm bảo an ninh thông tin.
Vấn đề bảo mật thông tin Bảo mật thông tin là một trong những khía cạnh quan trọng nhất của an toàn không thể thiếu. Hình minh họa là những sự thật sau đây: Trong Học thuyết An toàn Thông tin của Liên bang Nga, việc bảo vệ khỏi truy cập trái phép vào các nguồn thông tin, đảm bảo an ninh cho hệ thống thông tin và viễn thông được nhấn mạnh là những thành phần quan trọng của lợi ích quốc gia; Trong thời gian Gần 500 nỗ lực đã được thực hiện để xâm nhập mạng máy tính của Ngân hàng Trung ương Liên bang Nga. Năm 1995, 250 tỷ rúp đã bị đánh cắp. Theo FBI, thiệt hại do tội phạm máy tính ở Mỹ năm 1997 lên tới 136 triệu USD.
Các vấn đề bảo mật thông tin Theo báo cáo “Tội phạm và bảo mật máy tính - 1999: các vấn đề và xu hướng”, 32% số người được hỏi đã liên hệ cơ quan thực thi pháp luật liên quan đến tội phạm máy tính, 30% số người được hỏi cho biết IP của họ bị kẻ tấn công tấn công; 57% - bị tấn công qua Internet; 55% ghi nhận trường hợp vi phạm an toàn thông tin do chính nhân viên của mình thực hiện; 33% không thể trả lời câu hỏi “máy chủ web và hệ thống thương mại điện tử của bạn có bị tấn công không?”
Các vấn đề bảo mật thông tin Nghiên cứu bảo mật thông tin toàn cầu năm 2004 do công ty tư vấn Ernst&Young thực hiện đã xác định các khía cạnh chính sau: Chỉ 20% số người được hỏi tin rằng tổ chức của họ giải quyết các vấn đề bảo mật thông tin ở cấp quản lý cấp cao; Theo những người được hỏi, “thiếu nhận thức về vấn đề bảo mật thông tin” là trở ngại chính cho việc tạo ra hệ thống hiệu quả IB. Chỉ 28% ghi nhận “tăng cường đào tạo nhân viên trong lĩnh vực an toàn thông tin” là nhiệm vụ ưu tiên; " hành vi sai trái nhân viên khi làm việc với hệ thống thông tin” được xếp hạng thứ hai về mức độ phổ biến của các mối đe dọa an ninh thông tin, sau virus, Trojan và sâu Internet. Chưa đến 50% số người được hỏi có đào tạo nhân viên trong lĩnh vực an toàn thông tin; Chỉ 24% số người được hỏi tin rằng bộ phận bảo mật thông tin của họ xứng đáng được điểm cao nhất vì đáp ứng được nhu cầu kinh doanh của tổ chức; Chỉ 11% số người được hỏi tin rằng các quy định được các cơ quan chính phủ áp dụng trong lĩnh vực bảo mật đã cải thiện đáng kể tình trạng bảo mật thông tin của họ.
Các mối đe dọa bảo mật thông tin Mối đe dọa bảo mật thông tin (IS) là một sự kiện, hành động, quá trình hoặc hiện tượng tiềm ẩn có thể dẫn đến thiệt hại cho lợi ích của ai đó. Một nỗ lực để thực hiện một mối đe dọa được gọi là một cuộc tấn công. Việc phân loại các mối đe dọa an toàn thông tin có thể được thực hiện theo một số tiêu chí: theo khía cạnh an toàn thông tin (tính sẵn sàng, tính toàn vẹn, tính bảo mật); bởi các thành phần IS bị nhắm tới bởi các mối đe dọa (dữ liệu, chương trình, phần cứng, cơ sở hạ tầng hỗ trợ); bằng phương pháp thực hiện (hành động vô tình hoặc cố ý mang tính chất tự nhiên hoặc nhân tạo); theo vị trí của nguồn đe dọa (bên trong hoặc bên ngoài IS được đề cập).
Thuộc tính của thông tin Bất kể các loại mối đe dọa cụ thể, hệ thống thông tin phải đảm bảo các thuộc tính cơ bản của thông tin và hệ thống xử lý nó: khả năng tiếp cận - khả năng lấy được thông tin hoặc dịch vụ thông tin trong thời gian hợp lý; tính toàn vẹn – đặc tính liên quan và nhất quán của thông tin, bảo vệ thông tin khỏi bị phá hủy và thay đổi trái phép; bảo mật - bảo vệ khỏi sự truy cập trái phép vào thông tin.
Ví dụ về việc thực hiện đe dọa vi phạm bí mật Một số thông tin được lưu trữ và xử lý trong hệ thống thông tin phải được giấu kín với người ngoài. Việc truyền thông tin này có thể gây thiệt hại cho cả tổ chức và chính hệ thống thông tin. Thông tin bí mật có thể được chia thành thông tin chủ đề và thông tin dịch vụ. Thông tin dịch vụ (ví dụ: mật khẩu người dùng) không áp dụng cho một lĩnh vực chủ đề tuy nhiên, việc tiết lộ nó có thể dẫn đến việc truy cập trái phép vào tất cả thông tin. Thông tin chủ đề chứa thông tin mà việc tiết lộ có thể dẫn đến thiệt hại (kinh tế, đạo đức) cho một tổ chức hoặc cá nhân. Phương tiện tấn công có thể là nhiều phương tiện kỹ thuật khác nhau (nghe lén cuộc hội thoại, mạng), các phương pháp khác (chuyển mật khẩu truy cập trái phép, v.v.). Khía cạnh quan trọng– tính liên tục của việc bảo vệ dữ liệu trong toàn bộ vòng đời lưu trữ và xử lý dữ liệu. Một ví dụ về vi phạm là việc lưu trữ dữ liệu sao lưu có thể truy cập được.
Ví dụ về mối đe dọa vi phạm tính toàn vẹn dữ liệu Một trong những mối đe dọa được thực hiện thường xuyên nhất đối với bảo mật thông tin là trộm cắp và giả mạo. Trong hệ thống thông tin, những thay đổi trái phép đối với thông tin có thể dẫn đến tổn thất. Tính toàn vẹn của thông tin có thể được chia thành tĩnh và động. Ví dụ về vi phạm tính toàn vẹn tĩnh là: nhập dữ liệu không chính xác; sửa đổi dữ liệu trái phép; thay đổi mô-đun phần mềm vi-rút; Ví dụ về vi phạm tính toàn vẹn động: vi phạm tính nguyên tử của giao dịch; sao chép dữ liệu; tiền gửi gói bổ sung vào lưu lượng mạng.
Phần mềm độc hại Một cách để thực hiện một cuộc tấn công là đưa phần mềm độc hại vào hệ thống. Loại này phần mềm bị kẻ tấn công sử dụng để: giới thiệu phần mềm độc hại khác; giành quyền kiểm soát hệ thống bị tấn công; tiêu thụ mạnh mẽ tài nguyên; thay đổi hoặc phá hủy các chương trình và/hoặc dữ liệu. Theo cơ chế phân phối, chúng được phân biệt: virus - mã có khả năng lây lan bằng cách đưa vào các chương trình khác; sâu là mã có thể độc lập khiến các bản sao của chính nó lan truyền khắp IP và được thực thi.
Phần mềm độc hại Trong GOST R “Bảo vệ thông tin. Đối tượng thông tin. Các yếu tố ảnh hưởng đến thông tin. Quy định chung" đưa ra khái niệm về virus như sau: Virus phần mềm là một tệp thực thi hoặc được giải thích. Mã chương trình, có đặc tính phân phối và tự sao chép trái phép trong các hệ thống tự động hoặc mạng viễn thông nhằm thay đổi hoặc phá hủy phần mềm và/hoặc dữ liệu được lưu trữ trong hệ thống tự động.
Ví dụ về việc thực hiện mối đe dọa từ chối truy cập Lỗi dịch vụ (từ chối truy cập vào hệ thống thông tin) là một trong những mối đe dọa được thực hiện thường xuyên nhất đối với an ninh thông tin. Về các thành phần IS, loại mối đe dọa này có thể được chia thành các loại sau: sự từ chối của người dùng (miễn cưỡng, không có khả năng làm việc với IS); lỗi nội bộ hệ thống thông tin(lỗi trong quá trình cấu hình lại hệ thống, phần mềm và phần cứng, phá hủy dữ liệu); sự cố của cơ sở hạ tầng hỗ trợ (gián đoạn hệ thống thông tin liên lạc, cung cấp điện, phá hủy và hư hỏng cơ sở).
Khái niệm tấn công vào hệ thống thông tin Tấn công là bất kỳ hành động hoặc chuỗi hành động nào nhằm khai thác các điểm yếu của hệ thống thông tin và dẫn đến vi phạm chính sách bảo mật. Cơ chế bảo mật – phần mềm và/hoặc phần cứng, phát hiện và/hoặc ngăn chặn một cuộc tấn công. Dịch vụ bảo mật là dịch vụ cung cấp bảo mật được xác định theo chính sách cho hệ thống và/hoặc dữ liệu được truyền hoặc xác định việc thực hiện một cuộc tấn công. Dịch vụ sử dụng một hoặc nhiều cơ chế bảo mật.
Phân loại các cuộc tấn công Phân loại các cuộc tấn công vào hệ thống thông tin có thể được thực hiện theo một số tiêu chí: Theo nơi xuất xứ: Các cuộc tấn công cục bộ (nguồn của kiểu tấn công này là người dùng và/hoặc chương trình hệ thống cục bộ); Tấn công từ xa(nguồn gốc của cuộc tấn công là người dùng từ xa, dịch vụ hoặc ứng dụng); Do tác động lên hệ thống thông tin Các cuộc tấn công tích cực (kết quả là làm gián đoạn hệ thống thông tin); Tấn công thụ động (tập trung vào việc lấy thông tin từ hệ thống mà không làm gián đoạn hoạt động của hệ thống thông tin);
Tấn công mạng I. Tấn công thụ động Tấn công thụ động là tấn công trong đó kẻ địch không có khả năng sửa đổi các thông điệp được truyền đi và chèn chúng vào kênh thông tin giữa người gửi và người nhận tin nhắn của họ. Mục đích tấn công thụ động chỉ có thể nghe các tin nhắn được truyền đi và phân tích lưu lượng truy cập.
Tấn công mạng Một cuộc tấn công tích cực là cuộc tấn công trong đó kẻ thù có khả năng sửa đổi các tin nhắn được truyền đi và chèn vào các tin nhắn của chính mình. Các loại tấn công chủ động sau đây được phân biệt: Denial of Service - Tấn công DoS (Denial of Service) Vi phạm từ chối dịch vụ hoạt động bình thường dịch vụ mạng. Kẻ thù có thể chặn tất cả tin nhắn được gửi đến một người nhận cụ thể. Một ví dụ khác về cuộc tấn công như vậy là việc tạo ra lưu lượng truy cập đáng kể, dẫn đến dịch vụ mạng không thể xử lý các yêu cầu từ các máy khách hợp pháp. Một ví dụ kinh điển về cuộc tấn công như vậy trong mạng TCP/IP là cuộc tấn công SYN, trong đó kẻ tấn công gửi các gói khởi tạo việc thiết lập kết nối TCP nhưng không gửi các gói hoàn tất việc thiết lập kết nối này. Kết quả là máy chủ có thể bị quá tải và máy chủ có thể không kết nối được với người dùng hợp pháp.
Tấn công mạng Sửa đổi luồng dữ liệu - tấn công "người ở giữa" Sửa đổi luồng dữ liệu có nghĩa là thay đổi nội dung của tin nhắn được chuyển tiếp hoặc thay đổi thứ tự của tin nhắn.
Tấn công mạng Tái sử dụng Tái sử dụng có nghĩa là thu thập dữ liệu một cách thụ động và sau đó chuyển tiếp dữ liệu đó để có được quyền truy cập trái phép - đây được gọi là tấn công phát lại. Trên thực tế, các cuộc tấn công phát lại là một kiểu giả mạo, nhưng do chúng là một trong những lựa chọn tấn công phổ biến nhất để giành quyền truy cập trái phép nên chúng thường được coi là một kiểu tấn công riêng biệt.
Các phương pháp tiếp cận đảm bảo an ninh thông tin Để bảo vệ AIS, có thể xây dựng các quy định sau: Bảo mật thông tin dựa trên các quy định và yêu cầu của luật, tiêu chuẩn và văn bản quy định hiện hành; Bảo mật thông tin của AIS được đảm bảo bằng tổ hợp các công cụ phần mềm và phần cứng cũng như các biện pháp tổ chức hỗ trợ chúng; An ninh thông tin của AIS phải được đảm bảo ở mọi khâu xử lý dữ liệu công nghệ và trong mọi chế độ vận hành, kể cả trong quá trình sửa chữa, bảo trì;
Các phương pháp tiếp cận để đảm bảo an ninh thông tin Để bảo vệ AIS, có thể xây dựng các quy định sau: Các công cụ bảo vệ phần mềm và phần cứng không được làm suy giảm đáng kể các tính năng cơ bản. đặc điểm chức năng AIS; Một phần không thể thiếu của công việc bảo mật thông tin là đánh giá tính hiệu quả của các biện pháp bảo mật, được thực hiện bằng phương pháp có tính đến toàn bộ tập hợp các biện pháp bảo mật. đặc điểm kỹ thuật của đối tượng được đánh giá, bao gồm giải pháp kỹ thuật và triển khai thực tế; Bảo vệ AIS phải bao gồm việc giám sát hiệu quả của thiết bị bảo vệ. Việc giám sát này có thể được thực hiện định kỳ hoặc được bắt đầu khi người sử dụng AIS cần.
Tính hệ thống của bảo mật thông tin có nghĩa là Tính hệ thống trong việc phát triển và triển khai hệ thống bảo mật thông tin liên quan đến việc xác định các mối đe dọa có thể có đối với bảo mật thông tin và lựa chọn các phương pháp và phương tiện nhằm chống lại các mối đe dọa này. Các giải pháp phải mang tính hệ thống, nghĩa là bao gồm một tập hợp các biện pháp để chống lại toàn bộ các mối đe dọa.
Tính liên tục của việc bảo vệ Tính liên tục của việc bảo vệ giả định rằng tập hợp các biện pháp nhằm đảm bảo an ninh thông tin phải được thực hiện liên tục theo thời gian và không gian. Sự bảo vệ đối tượng thông tin phải được đảm bảo trong quá trình bảo trì, sửa chữa định kỳ, trong quá trình thiết lập, cấu hình hệ thống, dịch vụ thông tin.
Sự đầy đủ hợp lý Việc xây dựng và bảo trì hệ thống an ninh thông tin đòi hỏi phải có kinh phí nhất định, đôi khi là đáng kể. Đồng thời, không thể tạo ra một hệ thống bảo vệ toàn diện. Khi lựa chọn một hệ thống bảo vệ, cần phải tìm ra sự thỏa hiệp giữa chi phí bảo vệ đối tượng thông tin và những tổn thất có thể xảy ra khi các mối đe dọa thông tin được nhận ra.
Tính linh hoạt trong quản lý và ứng dụng Các mối đe dọa đối với an ninh thông tin rất đa dạng và không được xác định trước. Để các biện pháp đối phó thành công, cần có khả năng thay đổi các phương tiện được sử dụng, nhanh chóng kích hoạt hoặc loại trừ các phương tiện bảo vệ dữ liệu đã sử dụng và thêm các cơ chế bảo vệ mới.
Tính mở của các thuật toán và cơ chế bảo mật Bản thân các công cụ bảo mật thông tin có thể gây ra mối đe dọa cho hệ thống hoặc đối tượng thông tin. Để ngăn chặn loại mối đe dọa này, các thuật toán và cơ chế bảo vệ cần phải cho phép xác minh độc lập về tính bảo mật và tuân thủ các tiêu chuẩn, cũng như khả năng sử dụng chúng cùng với các biện pháp bảo vệ dữ liệu khác.
Dễ áp dụng các biện pháp và phương tiện bảo vệ Khi thiết kế hệ thống bảo mật thông tin, cần nhớ rằng việc thực hiện các biện pháp và phương tiện được đề xuất sẽ được thực hiện bởi người dùng (thường không phải là chuyên gia trong lĩnh vực bảo mật thông tin). Do đó, để tăng hiệu quả của các biện pháp bảo vệ, thuật toán làm việc với chúng phải dễ hiểu đối với người dùng. Ngoài ra, các công cụ và cơ chế bảo mật thông tin được sử dụng không được vi phạm công việc bình thường người dùng với hệ thống tự động(giảm mạnh năng suất, tăng độ phức tạp của công việc, v.v.).
Các phương pháp đảm bảo an ninh thông tin Hãy xem xét một ví dụ về phân loại các phương pháp được sử dụng để đảm bảo an ninh thông tin: chướng ngại vật - một phương pháp chặn đường đi đến thông tin của kẻ tấn công; kiểm soát truy cập – một phương pháp bảo vệ bằng cách điều chỉnh việc sử dụng tài nguyên thông tin hệ thống; che giấu là một phương pháp bảo vệ thông tin thông qua việc chuyển đổi mật mã; quy định là một phương pháp bảo vệ thông tin tạo điều kiện cho việc xử lý tự động, theo đó khả năng truy cập trái phép được giảm thiểu; ép buộc là một phương pháp bảo vệ trong đó nhân viên buộc phải tuân thủ các quy tắc xử lý, truyền tải và sử dụng thông tin; xúi giục là một phương pháp bảo vệ trong đó người dùng được khuyến khích không vi phạm các phương thức xử lý, truyền tải và sử dụng thông tin thông qua việc tuân thủ các tiêu chuẩn đạo đức và đạo đức.
Phương tiện bảo vệ hệ thống thông tin Các phương tiện như vậy có thể được phân loại theo các tiêu chí sau: phương tiện kỹ thuật - các thiết bị điện, điện tử và máy tính khác nhau; phương tiện vật lý – được thực hiện dưới dạng các thiết bị và hệ thống tự động; phần mềm – phần mềm được thiết kế để thực hiện chức năng bảo mật thông tin; phương tiện mật mã– các thuật toán toán học cung cấp các phép biến đổi dữ liệu để giải quyết các vấn đề bảo mật thông tin; phương tiện tổ chức – một tập hợp các biện pháp tổ chức, kỹ thuật, tổ chức và pháp lý; các phương tiện luân lý và đạo đức - được thực hiện dưới dạng các chuẩn mực đã phát triển cùng với sự phổ biến của máy tính và công nghệ thông tin; phương tiện lập pháp - một tập hợp các hành vi lập pháp quy định các quy tắc sử dụng IP, xử lý và chuyển giao thông tin.
Thông tin hóa các hoạt động chính trị xã hội, kinh tế và quân sự của đất nước và do đó, sự phát triển nhanh chóng của hệ thống thông tin đi kèm với sự gia tăng đáng kể các cuộc tấn công vào thông tin cả từ bên ngoài. nước ngoài, và khỏi các phần tử tội phạm và những công dân không có quyền truy cập vào nó. Không còn nghi ngờ gì nữa, trong tình hình hiện nay, một trong những nhiệm vụ hàng đầu mà nhà nước pháp quyền phải đối mặt là giải quyết mâu thuẫn sâu sắc giữa mức độ an ninh thực tế hiện có và mức độ cần thiết. nhu cầu thông tin cá nhân, xã hội và chính nhà nước, cung cấp cho họ sự bảo mật thông tin.Dành cho giáo viên đại học và sinh viên chuyên ngành “An toàn thông tin”, chuyên gia bảo mật, nhà quản lý và giám đốc điều hành công ty.
A. V. Artemov - Bảo mật thông tin. Đọc toàn bộ bài giảng trực tuyến
Người đánh giá:
Ứng viên Khoa học Kinh tế, Phó Giáo sư Khoa Doanh nhân và Tiếp thị, Cơ quan Giáo dục Ngân sách Nhà nước Liên bang về Giáo dục Chuyên nghiệp Đại học "Đại học Bang - UNPC" N.A. Lebedeva
A. V. Artemov, ứng cử viên khoa học kỹ thuật, Phó Giáo sư Khoa Điện tử, Khoa học Máy tính và An toàn Thông tin, Cơ quan Giáo dục Ngân sách Nhà nước Liên bang về Giáo dục Chuyên nghiệp Đại học "Đại học Bang - UNPC"
An ninh thông tin là một thành phần quyết định của an ninh quốc gia Nga
Câu hỏi nghiên cứu:
1. Vị trí an toàn thông tin trong hệ thống an ninh quốc gia Nga: khái niệm, cấu trúc và nội dung.
2. Các văn bản quản lý cơ bản quy định về vấn đề an toàn thông tin.
3. Các mối đe dọa hiện đại an ninh thông tin ở Nga
Câu 1. Vị trí an toàn thông tin trong hệ thống an ninh quốc gia Nga: khái niệm, cấu trúc và nội dung
Thông tin hóa các hoạt động chính trị - xã hội, kinh tế và quân sự của đất nước và do đó, sự phát triển nhanh chóng của hệ thống thông tin đi kèm với sự gia tăng đáng kể các cuộc tấn công vào thông tin từ cả nhà nước nước ngoài và từ các phần tử tội phạm và công dân không có quyền truy cập vào Nó. Không còn nghi ngờ gì nữa, trong tình hình hiện nay, một trong những nhiệm vụ hàng đầu mà nhà nước pháp quyền phải đối mặt là giải quyết mâu thuẫn sâu sắc giữa mức độ bảo mật thực tế và cần thiết đối với nhu cầu thông tin của cá nhân, xã hội và chính nhà nước, đảm bảo thông tin của họ. bảo vệ. trong đó trong phạm vi bảo mật thông tin (IS) của cá nhân, xã hội, nhà nước và các hệ thống viễn thông, tự động hiện đạiđược hiểu trạng thái an ninh của môi trường thông tin tương ứng với lợi ích (nhu cầu) của cá nhân, xã hội và nhà nước trong lĩnh vực thông tin, đảm bảo các cơ hội hình thành, sử dụng và phát triển của họ, bất kể sự hiện diện của các mối đe dọa bên trong và bên ngoài.
Bảo mật thông tin được xác định khả năng của nhà nước (xã hội, cá nhân):
– đảm bảo, với một xác suất nhất định, các nguồn thông tin đầy đủ và được bảo vệ và luồng thông tinđể duy trì các chức năng quan trọng và khả năng tồn tại, hoạt động và phát triển bền vững của chúng;
– chống lại những mối nguy hiểm và đe dọa thông tin, những tác động tiêu cực của thông tin đến ý thức cá nhân, xã hội và tâm lý con người, cũng như trên mạng máy tính và các nguồn thông tin kỹ thuật khác;
– phát triển các kỹ năng cá nhân và nhóm cũng như kỹ năng hành vi an toàn;
– duy trì sự sẵn sàng liên tục đối với các biện pháp thích hợp trong chiến tranh thông tin, bất kể ai áp đặt nó.
Không có lĩnh vực nào của cuộc sống xã hội hiện đại không thể hoạt động nếu không phát triển cấu trúc thông tin. Nguồn thông tin quốc gia ngày nay là một trong những nguồn sức mạnh kinh tế và quân sự chính của nhà nước. Thâm nhập vào tất cả các lĩnh vực hoạt động của nhà nước, thông tin có được một biểu hiện chính trị, vật chất và chi phí cụ thể. Trong bối cảnh đó, vấn đề bảo mật thông tin của Liên bang Nga như một phần không thể thiếu của an ninh quốc gia và bảo vệ thông tin đang trở thành một trong những nhiệm vụ ưu tiên của chính phủ.
Ở bất kỳ quốc gia nào, an ninh mạng đều được coi trọng đặc biệt. Trong quá trình phát triển, nhiệm vụ này trải qua nhiều giai đoạn tùy thuộc vào nhu cầu của nhà nước, khả năng, phương pháp và phương tiện thu thập thông tin (đặc biệt là thông tin tình báo), chế độ pháp lý của nhà nước và nỗ lực thực sự của nhà nước để đảm bảo bảo vệ thông tin. .
Một giai đoạn quan trọng trong việc hình thành và hoàn thiện một hệ thống như vậy ở nước ta là giai đoạn những năm 70–80. Kể từ đầu những năm 70. Trong hoạt động tình báo của các quốc gia hàng đầu trên thế giới, việc sử dụng quy mô lớn các phương tiện tình báo kỹ thuật đã bắt đầu. Thập niên 80, được đánh dấu bằng tiến bộ khoa học và công nghệ nhanh chóng, đặc biệt là trong lĩnh vực quân sự, đã tạo động lực mới để tăng cường hơn nữa khả năng của các phương tiện kỹ thuật của cơ quan tình báo nước ngoài: có tới 70% thông tin tình báo có được vào thời điểm đó bằng các phương tiện kỹ thuật.
Tình hình hiện nay đòi hỏi phải cải thiện hệ thống các biện pháp chống lại các cơ quan tình báo nước ngoài. Là nhiệm vụ quan trọng quốc gia và là một trong những thành phần trong hệ thống chung chống lại tình báo kỹ thuật đã trở thành một biện pháp để bảo vệ bí mật nhà nước và chính thức.
Đến đầu những năm 90. Đã có những thay đổi về chất trong các lĩnh vực quân sự - chính trị và khoa học - kỹ thuật buộc chúng ta phải xem xét lại phần lớn chính sách của nhà nước trong lĩnh vực an ninh thông tin nói chung.
Thứ nhất, công nghệ thông tin đã thay đổi căn bản khối lượng và tầm quan trọng của thông tin lưu chuyển trong các phương tiện kỹ thuật truyền tải và xử lý thông tin. Thứ hai, ở Nga, trên thực tế, sự độc quyền của nhà nước đối với các nguồn thông tin đã trở thành quá khứ; đặc biệt, quyền của công dân được tìm kiếm, tiếp nhận và phổ biến thông tin đã được hiến pháp hóa. Thứ ba, cơ chế hành chính quản lý an toàn thông tin trước đây tỏ ra kém hiệu quả, đồng thời nhu cầu phối hợp liên ngành trong lĩnh vực này ngày càng tăng một cách khách quan. Thứ tư, do Nga ngày càng tham gia vào quá trình phân công lao động quốc tế, tăng cường liên hệ kinh tế, văn hóa và nhân đạo với các quốc gia khác, nhiều biện pháp hạn chế chế độ tạo điều kiện thuận lợi cho việc bảo vệ thông tin, chẳng hạn như hệ thống các khu vực bị đóng cửa. các chuyến thăm của công dân nước ngoài đã trở nên không thể chấp nhận được.
Trong điều kiện hiện nay, xét đến các mối đe dọa được coi là an toàn thông tin của cá nhân, xã hội và nhà nước, cần xem xét các vấn đề, nhiệm vụ đảm bảo an toàn thông tin, đó là một nhiệm vụ không thể thiếu. một phần không thể thiếuđảm bảo an ninh quốc gia của bất kỳ quốc gia nào trong cộng đồng thế giới ở giai đoạn phát triển mới - giai đoạn hình thành xã hội thông tin. Nổi tiếng tính năng đặc trưng một xã hội như vậy là điều kiện rõ ràng cho sự phát triển kinh tế, xã hội, khoa học và tổng thể của đất nước triển khai rộng rãi công nghệ thông tin mới đảm bảo thông tin hóa xã hội một cách hiệu quả, từ đó đảm bảo an ninh thông tin của xã hội, bao gồm cả việc cung cấp cho xã hội thông tin chất lượng cao, sản phẩm thông tin, dịch vụ và kiến thức, ngày nay là nguồn lực chiến lược quan trọng nhất của đất nước. Thông tin hóa cá nhân và xã hội là định hướng chiến lược, quan trọng nhất trong các hoạt động của nhà nước, xác định các ưu tiên và sự phát triển chính trị, kinh tế xã hội ổn định, an toàn trong mọi lĩnh vực, bao gồm cả thông tin và hoạt động trong cộng đồng thế giới. Điều này được xác nhận bởi các bước thực hành các quốc gia hàng đầu trên thế giới và Nga, được khẳng định bằng việc họ thông qua một số đạo luật pháp lý và các văn bản khác:
– 2000 – “Hiến chương Okinawa của Hiệp hội Thông tin Toàn cầu” (do Tổng thống thay mặt Nga ký);
– 2000 theo Khái niệm An ninh Quốc gia Liên bang Nga (được phê duyệt bởi Nghị định của Tổng thống, được sửa đổi ngày 10 tháng 1 năm 2000);
– 2000 – Các chương trình mục tiêu liên bang “Phát triển môi trường thông tin giáo dục thống nhất (2001–2005)”, “ Nga điện tử»;
– 25 tháng 7 năm 2007 – chương trình “Chiến lược phát triển xã hội thông tin ở Nga” (được Hội đồng An ninh Liên bang Nga thông qua);
– 2002 – Chương trình mục tiêu liên bang “Nước Nga điện tử giai đoạn 2002–2010” (được phê duyệt theo Nghị định của Chính phủ Nga ngày 28 tháng 1 năm 2002 số 65);
– 2007 “Chiến lược phát triển xã hội thông tin ở Nga” (được Hội đồng Bảo an Liên bang Nga phê duyệt ngày 25 tháng 7 năm 2007) và các chiến lược khác.
Câu 2. Văn bản điều chỉnh cơ bản quy định về vấn đề an toàn thông tin
Xét Khái niệm An ninh Quốc gia Nga được phê chuẩn bởi Nghị định của Tổng thống Liên bang Nga ngày 17 tháng 12 năm 1997 số 1300 (được sửa đổi ngày 10 tháng 1 năm 2000), phản ánh “Hiến chương Okinawa của Xã hội Thông tin Toàn cầu”, Có thể lập luận rằng trong đó hệ thống lợi ích quốc gia của Nga được quyết định bởi sự kết hợp của các lợi ích chính sau:
cá nhân - bao gồm việc cung cấp thực sự các quyền và tự do theo hiến pháp, an toàn cá nhân, cải thiện chất lượng và mức sống, phát triển thể chất, tinh thần và trí tuệ;
– xã hội – bao gồm việc củng cố nền dân chủ, đạt được và duy trì sự hòa hợp công cộng, tăng cường hoạt động sáng tạo của người dân và sự hồi sinh tinh thần của nước Nga;
– các quốc gia – bao gồm bảo vệ trật tự hiến pháp, chủ quyền và toàn vẹn lãnh thổ của Nga, thiết lập sự ổn định chính trị, kinh tế và xã hội, thực thi luật pháp vô điều kiện và duy trì luật pháp và trật tự, đồng thời phát triển hợp tác quốc tế dựa trên quan hệ đối tác.
Khái niệm này xác định lợi ích quốc gia của Nga trong lĩnh vực thông tin.
Lợi ích quốc gia của Nga xác định sự cần thiết phải tập trung nỗ lực của xã hội và nhà nước vào việc giải quyết những vấn đề nhất định. Đó là:
– tuân thủ các quyền hiến định và quyền tự do của công dân trong lĩnh vực thu thập và trao đổi thông tin;
– Bảo vệ các giá trị tinh thần dân tộc; – thúc đẩy di sản văn hóa, quốc gia, các tiêu chuẩn đạo đức và đạo đức công cộng;
– đảm bảo quyền của công dân được tiếp nhận thông tin đáng tin cậy;
- Phát triển công nghệ viễn thông hiện đại. Các hoạt động có hệ thống của nhà nước để thực hiện các nhiệm vụ này sẽ cho phép Liên bang Nga trở thành một trong những trung tâm phát triển của thế giới trong thế kỷ 21. Đồng thời, việc sử dụng thông tin để thao túng ý thức quần chúng là không thể chấp nhận được. Sự bảo vệ của nhà nước là cần thiết nguồn thông tin do rò rỉ các thông tin quan trọng về chính trị, kinh tế, khoa học, kỹ thuật và quân sự.
Theo Khái niệm này, điều quan trọng nhất Nhiệm vụ hỗ trợ IS là:
– thiết lập sự cân bằng cần thiết giữa nhu cầu trao đổi thông tin tự do và hạn chế cho phép sự phân phối của nó;
– cải thiện cấu trúc thông tin, đẩy nhanh sự phát triển và phổ biến rộng rãi các công nghệ thông tin mới, thống nhất các phương tiện tìm kiếm, thu thập, lưu trữ, xử lý và phân tích thông tin, có tính đến việc Nga gia nhập cơ sở hạ tầng thông tin toàn cầu;
– phát triển khuôn khổ pháp lý điều chỉnh phù hợp và sự phối hợp, với vai trò lãnh đạo của Cơ quan Thông tin và Truyền thông Chính phủ Liên bang dưới sự chỉ đạo của Tổng thống Liên bang Nga về hoạt động của các cơ quan chính phủ liên bang và các cơ quan khác, những người giải quyết rắc rối hỗ trợ bảo mật thông tin;
- Phát triển viễn thông trong nước phương tiện thông tin, ưu tiên phân phối của chúng ở thị trường trong nước so với các sản phẩm tương tự nước ngoài;
– bảo vệ tài nguyên thông tin nhà nước, chủ yếu trong các cơ quan chính phủ liên bang và tại các doanh nghiệp công nghiệp quốc phòng.
Học thuyết An toàn Thông tin của Liên bang Nga ngày 09/09/2001 số Pr-1895 là một tập hợp các quan điểm chính thức về mục tiêu, mục đích, nguyên tắc và phương hướng chính trong việc đảm bảo an ninh thông tin của Liên bang Nga. Nó làm cơ sở:
– xây dựng chính sách nhà nước trong lĩnh vực an ninh thông tin ở Liên bang Nga;
– chuẩn bị các đề xuất nhằm cải thiện sự hỗ trợ về mặt pháp lý, phương pháp, khoa học, kỹ thuật và tổ chức cho an ninh thông tin;
– phát triển các chương trình mục tiêu nhằm đảm bảo an ninh thông tin ở Liên bang Nga.
Cấu trúc của Giáo lý bao gồm 4 phần và 11 chương. Trong phần đầu tiên " An ninh thông tin của Liên bang Nga"được cho khái niệm về bảo mật thông tin, lợi ích quốc gia của cá nhân, xã hội và nhà nước trong lĩnh vực thông tin được nêu bật. Chúng được quy định chi tiết hơn trong Học thuyết hơn là trong Khái niệm An ninh Quốc gia.
Các mục tiêu chiến lược và hiện tại trong chính sách đối nội và đối ngoại của nhà nước nhằm đảm bảo an ninh thông tin được hình thành trên cơ sở các lợi ích thông tin sau:
– cá nhân – bao gồm việc thực hiện các quyền hiến định của con người và công dân trong việc tiếp cận thông tin, sử dụng thông tin vì lợi ích của việc thực hiện các hoạt động không bị pháp luật cấm, về thể chất, tinh thần và phát triển trí tuệ, cũng như trong việc bảo vệ thông tin nhằm đảm bảo an ninh cá nhân;
– xã hội – nhằm đảm bảo lợi ích của cá nhân trong lĩnh vực này, củng cố nền dân chủ, tạo ra một nhà nước xã hội hợp pháp, đạt được và duy trì sự hòa hợp công cộng cũng như đổi mới tinh thần của nước Nga;
– các quốc gia – có trách nhiệm tạo điều kiện cho sự phát triển hài hòa cơ sở hạ tầng thông tin của Nga, thực hiện các quyền và tự do hiến pháp của con người và công dân trong lĩnh vực thu thập và sử dụng thông tin để đảm bảo tính bất khả xâm phạm của hệ thống hiến pháp, chủ quyền và toàn vẹn lãnh thổ của Nga, ổn định chính trị, kinh tế và xã hội, tuân thủ luật pháp và trật tự vô điều kiện, phát triển hợp tác quốc tế bình đẳng và cùng có lợi.
Các loại mối đe dọa an ninh thông tin và nguồn gốc của chúng được xác định. Chúng cũng được quy định chi tiết, không giống như Khái niệm An ninh Quốc gia.
Trong phần thứ hai “Các phương pháp đảm bảo an toàn thông tin”:
– được xác định phương pháp chungđảm bảo an ninh thông tin của Liên bang Nga;
– tiết lộ các tính năng của việc cung cấp bảo mật thông tin ở Liên bang Nga trong nhiều lĩnh vực khác nhauĐời sống xã hội;
– Hợp tác quốc tế trong lĩnh vực an toàn thông tin được xác định.
Trong phần thứ ba “Những quy định cơ bản của chính sách nhà nước về đảm bảo an ninh thông tin của Liên bang Nga” chứa:
– Nguyên tắc đảm bảo chính sách của nhà nước;
– các biện pháp ưu tiên thực hiện chính sách nhà nước nhằm đảm bảo an ninh thông tin của Liên bang Nga.
Phần thứ tư" Cơ sở tổ chức của hệ thống an ninh thông tin của Liên bang Nga" thiết lập các chức năng chính của hệ thống bảo mật thông tin và cơ sở tổ chức của nó.
Việc bảo vệ thông tin phải dựa trên cách tiếp cận có hệ thống. Cách tiếp cận có hệ thống là tất cả các phương tiện được sử dụng để đảm bảo an ninh thông tin phải được coi là một tập hợp các biện pháp có liên quan đến nhau. Một trong những nguyên tắc bảo vệ thông tin là nguyên tắc “đủ hợp lý”, như sau: bảo vệ một trăm phần trăm không tồn tại trong bất kỳ trường hợp nào, do đó, người ta không nên cố gắng đạt được mức độ bảo vệ thông tin tối đa có thể đạt được về mặt lý thuyết mà là để đạt được mức tối thiểu cần thiết trong những điều kiện cụ thể và ở mức độ nhất định mối đe dọa có thể xảy ra.
Bảo vệ thông tin có thể được chia thành bảo vệ:
khỏi mất mát và hủy diệt;
khỏi sự truy cập trái phép.
2. Bảo vệ thông tin khỏi bị mất và bị phá hủy
Mất thông tin có thể xảy ra vì những lý do sau:
trục trặc máy tính;
mất điện hoặc trục trặc;
hư hỏng phương tiện lưu trữ;
hành động sai lầm của người dùng;
tác dụng của virus máy tính;
hành động cố ý trái phép của người khác.
Những nguyên nhân này có thể được ngăn chặn sao lưu dữ liệu, I E. tạo bản sao lưu của họ. Phương tiện đặt chỗ bao gồm:
phần mềm sao lưu đi kèm với hầu hết các hệ điều hành. Ví dụ: Sao lưu MS, Sao lưu Norton;
tạo tài liệu lưu trữ trên phương tiện truyền thông bên ngoài thông tin.
Nếu bị mất, thông tin có thể được khôi phục. Nhưng điều này chỉ có thể thực hiện được nếu:
sau khi xóa một tập tin, không có thông tin mới nào được ghi vào vùng trống;
nếu tập tin không bị phân mảnh, tức là. (do đó, bạn cần thường xuyên thực hiện chống phân mảnh bằng cách sử dụng tiện ích Disk Defragmenter có trong hệ điều hành Windows chẳng hạn).
Sự hồi phụcđược thực hiện bằng phần mềm sau:
Phục hồi khỏi gói tiện ích DOS;
Hủy xóa khỏi Norton Utilites.
Nếu dữ liệu có giá trị cụ thể đối với người dùng thì bạn có thể sử dụng bảo vệ khỏi sự phá hủy:
gán thuộc tính Read Only cho các tập tin;
sử dụng phần mềm đặc biệt để lưu file sau khi xóa, mô phỏng xóa. Ví dụ: Norton được bảo vệ Thùng rác(giỏ hàng an toàn). .
Các vi phạm về bảo mật dữ liệu là mối đe dọa lớn đối với bảo mật dữ liệu. hệ thống cung cấp điện- Mất điện, tăng giảm điện áp, v.v. Việc mất thông tin trong những trường hợp như vậy có thể tránh được gần như hoàn toàn bằng cách sử dụng nguồn điện liên tục. Chúng đảm bảo máy tính hoạt động bình thường ngay cả khi tắt nguồn bằng cách chuyển sang nguồn pin.
Bảo vệ thông tin khỏi sự truy cập trái phép
Truy cập trái phép- đọc, thay đổi hoặc hủy thông tin mà không có thẩm quyền thích hợp để làm việc đó.
Nền tảng những con đường điển hình nhận thông tin trái phép:
trộm cắp phương tiện lưu trữ;
sao chép phương tiện lưu trữ bằng cách vượt qua các biện pháp bảo mật;
cải trang thành người dùng đã đăng ký;
trò lừa bịp (ngụy trang dưới dạng yêu cầu hệ thống);
khai thác điểm yếu các hệ điều hành và ngôn ngữ lập trình;
chặn bức xạ điện tử;
chặn bức xạ âm thanh;
chụp ảnh từ xa;
sử dụng thiết bị nghe;
vô hiệu hóa cơ chế bảo vệ một cách độc hại.
Vì bảo vệ thông tin chống lại truy cập trái phép áp dụng:
Sự kiện tổ chức.
Phương tiện kỹ thuật.
Phần mềm.
Mật mã học.
1. Sự kiện tổ chức bao gồm:
chế độ truy cập;
lưu trữ phương tiện và thiết bị trong két an toàn (đĩa mềm, màn hình, bàn phím);
hạn chế quyền truy cập của mọi người vào phòng máy tính.
2. Phương tiện kỹ thuật bao gồm các phương pháp phần cứng khác nhau để bảo vệ thông tin:
bộ lọc, màn chắn cho thiết bị;
phím để khóa bàn phím;
thiết bị xác thực - để đọc dấu vân tay, hình dạng bàn tay, mống mắt, tốc độ và kỹ thuật gõ, v.v.
3. Phần mềm bảo mật thông tin liên quan đến việc phát triển phần mềm đặc biệt không cho phép người không được phép lấy thông tin từ hệ thống. Các công cụ phần mềm bao gồm:
truy cập mật khẩu;
khóa màn hình và bàn phím bằng tổ hợp phím;
sử dụng các công cụ bảo vệ mật khẩu Bảo vệ BIOS(hệ thống đầu vào-đầu ra cơ bản - hệ thống đầu vào-đầu ra cơ bản).
4. Dưới theo cách mật mã Bảo vệ thông tin có nghĩa là mã hóa nó khi đưa vào hệ thống máy tính. Bản chất của biện pháp bảo vệ này là một phương thức mã hóa (khóa) nhất định được áp dụng cho tài liệu, sau đó tài liệu sẽ không thể đọc được. bằng phương tiện thông thường. Bạn có thể đọc một tài liệu nếu có chìa khóa hoặc sử dụng phương pháp đọc thích hợp. Nếu việc trao đổi thông tin sử dụng cùng một khóa để mã hóa và đọc thì quá trình mã hóa là đối xứng. Điểm bất lợi là khóa được chuyển cùng với tài liệu. Do đó, INTERNET sử dụng các hệ thống mật mã bất đối xứng, trong đó không phải một mà là hai khóa được sử dụng. Đối với công việc, 2 khóa được sử dụng: một khóa mở (công khai) và khóa còn lại đóng (riêng tư). Các khóa được xây dựng theo cách mà một nửa tin nhắn được mã hóa chỉ có thể được giải mã bởi nửa còn lại. Bằng cách tạo một cặp khóa, công ty sẽ phân phối khóa chung một cách rộng rãi và lưu trữ khóa riêng một cách an toàn.
Cả hai khóa đều đại diện cho một chuỗi mã nhất định. Khóa công khai được công bố trên máy chủ của công ty. Bất kỳ ai cũng có thể mã hóa bất kỳ tin nhắn nào bằng khóa chung và sau khi mã hóa, chỉ chủ sở hữu khóa riêng mới có thể đọc được.
Nguyên tắc bảo vệ đầy đủ. Nhiều người dùng sau khi nhận được khóa chung của người khác muốn lấy và sử dụng chúng, nghiên cứu thuật toán của cơ chế mã hóa và cố gắng thiết lập phương pháp giải mã tin nhắn để xây dựng lại khóa riêng. Nguyên tắc đầy đủ là kiểm tra số lượng kết hợp của khóa riêng.
Khái niệm của Chữ ký điện tử. Sử dụng chữ ký điện tử, khách hàng có thể liên lạc với ngân hàng, ra lệnh chuyển tiền của mình vào tài khoản của người hoặc tổ chức khác. Nếu cần tạo chữ ký điện tử, bạn nên sử dụng chương trình đặc biệt (nhận từ ngân hàng) để tạo 2 khóa giống nhau: riêng tư (để lại cho khách hàng) và công khai (chuyển về ngân hàng).
Bảo vệ đọcđã tiến hành:
ở cấp độ DOS bằng cách giới thiệu các thuộc tính Ẩn cho tệp;
mã hóa.
Bảo vệ ghi âmđã tiến hành:
thiết lập thuộc tính Chỉ đọc cho các tệp;
cấm ghi vào đĩa mềm bằng cách di chuyển hoặc bẻ cần gạt;
cấm ghi thông qua cài đặt BIOS - "ổ đĩa chưa được cài đặt"
Khi bảo vệ thông tin, vấn đề hủy dữ liệu đáng tin cậy thường phát sinh, nguyên nhân là do:
Khi xóa, thông tin không bị xóa hoàn toàn;
Ngay cả sau khi định dạng đĩa mềm hoặc đĩa, dữ liệu vẫn có thể được phục hồi bằng các phương tiện đặc biệt dựa trên từ trường dư.
Để xóa an toàn, các tiện ích đặc biệt được sử dụng để xóa dữ liệu bằng cách liên tục ghi một chuỗi số 0 và số 1 ngẫu nhiên thay cho dữ liệu đã xóa.
Bảo vệ thông tin trên mạngINTERNET
Khi làm việc trên Internet, bạn nên nhớ rằng về tài nguyên Mạng toàn cầuđược mở cho mọi khách hàng, giống như các tài nguyên trong hệ thống máy tính của anh ta có thể, trong những điều kiện nhất định, được mở cho tất cả những ai có đủ phương tiện cần thiết. Đối với người dùng cá nhân, thực tế này không có vai trò đặc biệt nhưng cần phải biết về nó để ngăn chặn những hành động vi phạm luật pháp của những quốc gia nơi đặt máy chủ Internet. Những hành động như vậy bao gồm các nỗ lực tự nguyện hoặc không tự nguyện nhằm phá vỡ chức năng của hệ thống máy tính, cố gắng hack các hệ thống được bảo vệ, sử dụng và phân phối các chương trình làm gián đoạn chức năng của hệ thống máy tính (đặc biệt là virus máy tính). Khi làm việc trên World Wide Web, bạn nên nhớ rằng tất cả các hành động đều được ghi lại và ghi lại bằng phần mềm đặc biệt và thông tin về cả hành động hợp pháp và bất hợp pháp nhất thiết phải được tích lũy ở đâu đó. Vì vậy, thông tin liên lạc trực tuyến nên được coi như thể chúng là thư từ bưu thiếp thông thường. Thông tin được lưu chuyển tự do theo cả hai hướng, nhưng nói chung nó có sẵn cho tất cả những người tham gia quá trình thông tin. Điều này áp dụng cho tất cả các dịch vụ Internet mở cửa cho công chúng.
Tuy nhiên, ngay cả trong dịch vụ bưu chính thông thường, cùng với bưu thiếp, cũng có phong bì bưu chính. Việc sử dụng phong bì bưu điện khi trao đổi thư từ không có nghĩa là đối tác có điều gì đó muốn che giấu. Việc sử dụng chúng phù hợp với truyền thống lịch sử lâu đời và các tiêu chuẩn đạo đức và đạo đức trong giao tiếp đã được thiết lập. Nhu cầu về những “phong bì” tương tự để bảo vệ thông tin cũng tồn tại trên Internet. Ngày nay, Internet không chỉ là một phương tiện liên lạc và một hệ thống tham chiếu phổ quát - nó lưu chuyển các nghĩa vụ tài chính và hợp đồng, nhu cầu bảo vệ chúng khỏi bị xem và làm sai lệch là điều hiển nhiên. Từ năm 1999, INTERNET đã trở thành một phương tiện mạnh mẽ để đảm bảo doanh thu thương mại bán lẻ và điều này đòi hỏi phải bảo vệ dữ liệu thẻ tín dụng và các phương tiện thanh toán điện tử khác.
Các nguyên tắc bảo vệ thông tin trên Internet dựa trên định nghĩa về thông tin mà chúng tôi đã trình bày trong chương đầu tiên của sổ tay hướng dẫn này. Thông tin là sản phẩm của sự tương tác giữa dữ liệu và phương pháp phù hợp với chúng.. Nếu trong quá trình giao tiếp, dữ liệu được truyền qua các hệ thống mở (và Internet là một trong số đó), thì về mặt lý thuyết, không thể loại trừ quyền truy cập vào dữ liệu đó của những người không được phép. Theo đó, hệ thống bảo mật tập trung vào thành phần thứ hai của thông tin—các phương pháp. Nguyên tắc hoạt động của họ dựa trên việc loại bỏ hoặc ít nhất là làm phức tạp khả năng lựa chọn phương pháp thích hợpđể chuyển đổi dữ liệu thành thông tin.
Quá trình tin học hóa của xã hội hiện đại dẫn đến sự gia tăng mạnh mẽ giá trị của một số thông tin nhất định và những tổn thất có thể xảy ra trong trường hợp thông tin đó bị rò rỉ, sửa đổi hoặc phá hủy. Về vấn đề này, vấn đề đảm bảo an ninh thông tin trở nên đặc biệt cấp thiết.
Khái niệm về bảo mật trong lĩnh vực thông tin rất rộng. Hiểu một cách tổng quát, dưới bảo mật thông tin hiểu tính bảo mật của thông tin khỏi những nỗ lực trái phép để có được nó, sửa đổi, phá hủy và trì hoãn truy cập. An toàn thông tin phải bảo đảm đạt được các mục tiêu sau:
Tính toàn vẹn dữ liệu - bảo vệ khỏi các lỗi dẫn đến mất thông tin, cũng như việc tạo hoặc phá hủy dữ liệu trái phép;
Bảo mật thông tin;
Những lý do dẫn đến việc mất mát hoặc thay đổi thông tin không mong muốn bao gồm:
1) Truy cập trái phép vào dữ liệu (vô tình hoặc cố ý):
Sao chép, xuyên tạc, phá hủy hoặc làm sai lệch thông tin;
Làm quen người không được phép với những thông tin mật.
2) Phần mềm hoạt động không đúng dẫn đến mất mát hoặc hỏng dữ liệu:
Lỗi trong phần mềm ứng dụng hoặc mạng;
Nhiễm virus máy tính vào hệ thống.
3) Hư hỏng thiết bị kỹ thuật do:
Mất điện;
Lỗi hệ thống đĩa và hệ thống lưu trữ dữ liệu;
Sự gián đoạn của máy chủ, máy trạm, card mạng, modem;
Sự cố hệ thống cáp.
4) Lỗi của nhân viên bảo trì hoặc người sử dụng.
5) Lưu trữ thông tin không chính xác.
Trong điện toán, khái niệm bảo vệ là khá rộng. Nó ngụ ý độ tin cậy của máy tính, sự an toàn của dữ liệu có giá trị, bảo vệ thông tin khỏi những thay đổi của những người không được phép và bảo đảm bí mật của thư từ trong quá trình liên lạc điện tử. Tất nhiên, ở tất cả các nước văn minh đều có luật bảo vệ sự an toàn của công dân, nhưng trong phạm vi công nghệ máy tính Thực tiễn thực thi pháp luật vẫn còn kém phát triển và quy trình lập pháp không theo kịp sự phát triển của công nghệ. Vì vậy, độ tin cậy của hệ thống máy tính chủ yếu dựa vào các biện pháp tự vệ.
Bảo mật hệ thống thông tin là một hệ thống các biện pháp tổ chức và kỹ thuật nhằm ngăn chặn các mối đe dọa, tức là các sự kiện hoặc hành động vi phạm hoạt động bình thường của hệ thống máy tính hoặc quyền có thông tin của công dân, doanh nghiệp và nhà nước.
Các biện pháp đảm bảo an ninh cho hệ thống máy tính phải bao gồm tất cả mối đe dọa có thể và thường bao gồm bảo vệ vật lý của máy chủ, các phương tiện khôi phục hệ thống và dữ liệu sau khi bị lỗi và các phương tiện bảo vệ chống truy cập trái phép.
Chắc chắn, giải pháp phổ quát Không có vấn đề bảo mật thông tin nào loại trừ tất cả các lý do trên: bảo vệ vật lý dữ liệu và chương trình hệ thống, bảo vệ khỏi truy cập trái phép vào dữ liệu được truyền qua đường truyền và nằm trên các thiết bị lưu trữ.
Hiện đang được phát triển và sử dụng thành công Các phương pháp khác nhau và các phương tiện để giảm thiểu rủi ro mất dữ liệu hoặc sửa đổi không mong muốn. Tuy nhiên, không có cách tiếp cận thống nhất để phân loại chúng.
Ví dụ, có các vấn đề pháp lý, kỹ thuật và tổ chức khía cạnh bảo mật thông tin.
Hướng tới các biện pháp pháp lý bao gồm: việc xây dựng các quy định bao hàm trách nhiệm hành chính và hình sự đối với hành vi trộm cắp thông tin, vi phạm bản quyền của người lập trình và tất cả các loại tội phạm máy tính đã được thảo luận trước đó.
Về biện pháp kỹ thuật bao gồm: bảo vệ chống truy cập trái phép vào hệ thống; phần mềm diệt virus; sao lưu, lưu trữ các tài liệu đặc biệt quan trọng; tổ chức các mạng máy tính cục bộ với khả năng phân phối lại tài nguyên trong trường hợp các liên kết riêng lẻ bị lỗi; lắp đặt hệ thống bảo vệ chống sự cố nguồn điện; cũng như trang bị cho cơ sở một hệ thống báo động an ninh.
Dưới biện pháp tổ chứcĐiều này chủ yếu đề cập đến việc lựa chọn nhân viên của công ty, cũng như đảm bảo rằng những người chưa được xác minh không được phép truy cập vào thông tin được bảo vệ. Ví dụ, điều này bao gồm việc trang bị cho cơ sở một hệ thống khóa kết hợp để chỉ người biết mã mở cửa mới có thể vào một phòng nhất định.
Có các cách tiếp cận khác để phân loại các công cụ bảo mật thông tin:
- bảo vệ vật lý có nghĩa là: phương tiện bảo vệ cho hệ thống cáp, hệ thống cấp điện, công cụ lưu trữ, mảng đĩa, v.v.
Bảo vệ vật lý, đặc biệt, bao gồm:
a) đảm bảo an toàn cho cơ sở nơi lắp đặt máy chủ, có tính đến các yêu cầu về độ tin cậy của tòa nhà, nhiệt độ và độ ẩm cũng như sự sẵn có của thiết bị chữa cháy;
b) Các biện pháp hạn chế Truy cập vật lýĐẾN hệ thống máy tính Và cơ sở hạ tầng mạng những người không được phép có thể dừng, khởi động lại và thậm chí cài đặt lại máy chủ, đánh cắp Đĩa cứng, cài đặt thiết bị trinh sát và phần mềm.
c) phương tiện bảo vệ khỏi sự cố mất điện - từ nguồn cung cấp điện liên tục đến các biện pháp nối đất và bảo vệ hiệu quả chống sét đánh.
- bảo vệ phần mềm: chương trình diệt virus, hệ thống phân định nguồn điện, phần mềm kiểm soát truy cập;
Các công cụ phần mềm và phương pháp bảo vệ được sử dụng tích cực và rộng rãi hơn các phần mềm khác để bảo vệ thông tin trên máy tính cá nhân và mạng máy tính, thực hiện các chức năng bảo vệ như phân định và kiểm soát quyền tiếp cận tài nguyên; đăng ký và phân tích các quy trình, sự kiện, người dùng đang diễn ra; ngăn ngừa các tác động phá hoại có thể xảy ra đối với tài nguyên; bảo vệ mật mã thông tin; nhận dạng và xác thực người dùng và quy trình, v.v.
Hiện nay, phần lớn nhất của nhóm biện pháp này trong hệ thống xử lý thông tin kinh tế là gói phần mềm đặc biệt hoặc chương trình riêng lẻ , được đưa vào phần mềm nhằm mục đích thực hiện các nhiệm vụ bảo mật thông tin.
- phương tiện công nghệ bảo mật thông tin là một tập hợp các hoạt động được tích hợp hữu cơ vào các quy trình công nghệ chuyển đổi dữ liệu. Trong số đó:
Sự sáng tạo bản sao lưu trữ người vận chuyển;
thủ công hoặc lưu tự động các tập tin được xử lý trong bộ nhớ ngoài của máy tính;
Đăng ký người sử dụng thiết bị máy tính vào nhật ký;
Tự động đăng ký quyền truy cập của người dùng vào một số tài nguyên nhất định;
Xây dựng các hướng dẫn đặc biệt để thực hiện tất cả các quy trình công nghệ, v.v.
- các biện pháp và biện pháp khắc phục về mặt pháp lý, đạo đức và đạo đức bao gồm các luật và quy định có hiệu lực tại quốc gia quy định các quy tắc xử lý thông tin và trách nhiệm pháp lý đối với hành vi vi phạm của họ; chuẩn mực hành vi, việc tuân thủ chúng góp phần bảo vệ thông tin.
- Biện pháp bảo vệ hành chính: kiểm soát việc ra vào cơ sở, phát triển chiến lược an ninh của công ty, kế hoạch hành động tình huống khẩn cấp vân vân.
Các phương tiện bảo vệ mang tính tổ chức và hành chính bao gồm việc điều chỉnh quyền truy cập vào tài nguyên thông tin và máy tính, quy trình chức năng của hệ thống xử lý dữ liệu, điều chỉnh hoạt động của nhân sự, v.v. Mục tiêu của chúng là làm phức tạp nhất hoặc loại bỏ khả năng xảy ra các mối đe dọa an ninh. Các phương tiện tổ chức và hành chính điển hình nhất:
Thiết lập chế độ trạm kiểm soát trên lãnh thổ nơi có cơ sở xử lý thông tin;
Sản xuất và phát hành thẻ đặc biệt;
Hoạt động tuyển dụng liên quan đến xử lý dữ liệu;
Chỉ cho phép các quan chức đã được xác minh xử lý và truyền tải thông tin bí mật;
Lưu trữ từ tính và các phương tiện lưu trữ khác đại diện cho một bí mật nhất định, cũng như nhật ký đăng ký trong két mà những người không có thẩm quyền không thể tiếp cận được;
Tổ chức bảo vệ chống lắp đặt thiết bị nghe trong các cơ sở liên quan đến xử lý thông tin;
Tổ chức hạch toán việc sử dụng và tiêu hủy tài liệu (phương tiện) có thông tin mật;
Phát triển mô tả công việc quy tắc làm việc với các công cụ máy tính và mảng thông tin;
Hạn chế quyền truy cập vào thông tin và tài nguyên máy tính của các quan chức theo trách nhiệm chức năng của họ.
Bất kỳ sự phân loại nào được xem xét đều khá có điều kiện. Các công nghệ hiện đại đang phát triển theo hướng tổng hợp các phương tiện bảo vệ khác nhau và chỉ có thể đạt được mức độ bảo mật cần thiết khi có sự kết hợp tối ưu giữa tổ chức, phần mềm, phần cứng, vật lý và các phương pháp bảo vệ khác, tức là nếu cách tiếp cận có hệ thốngđể giải quyết vấn đề an toàn thông tin.
IS(Bảo mật thông tin)
Bài giảng số 1
Bảo mật thông tin – khả năng của hệ thống xử lý cung cấp một khoảng thời gian nhất định để đáp ứng các yêu cầu xử lý nhất định dựa trên xác suất xảy ra các sự kiện, thể hiện ở việc rò rỉ dữ liệu bị mất hoặc sửa đổi bất hợp pháp có giá trị nào đó đối với chủ sở hữu của chúng. Người ta tin rằng nguồn gốc của những hành động này có thể là những ảnh hưởng ngẫu nhiên và ảnh hưởng của kẻ hủy diệt con người.
Hệ thống xử lý thông tin tự động (AS) - Hệ thống tổ chức và kỹ thuật là tập hợp các thành phần có mối liên hệ với nhau:
Máy tính và truyền thông.
Các phương pháp và thuật toán xử lý dữ liệu (phần mềm).
Mảng và cơ sở dữ liệu được trình bày trên bất kỳ phương tiện truyền thông nào.
Nhân viên máy tính và người sử dụng.
Chủ thể của quan hệ thông tin:
Nhà nước và hệ thống chính trị.
Các tổ chức thương mại nhà nước ( pháp nhân).
Công dân (cá nhân).
Nguồn thông tin.
Người sử dụng (người tiêu dùng) thông tin.
Chủ sở hữu (chủ sở hữu) thông tin.
Các cá nhân hoặc pháp nhân được thu thập thông tin.
Chủ sở hữu AS và những người tham gia vào quá trình xử lý thông tin.
Bảo mật. Thuộc tính chỉ ra rằng chỉ những người dùng được ủy quyền và những người được hệ thống xử lý thông tin cung cấp mới có thể truy cập thông tin.
Chính trực. Thuộc tính của thông tin, trước hết là thông tin chỉ có thể được thay đổi bởi những người dùng có quyền làm như vậy và thứ hai, thông tin đó không mâu thuẫn và phản ánh tình huống thật sự của sự vật.
Khả dụng. Thuộc tính của một hệ thống trong đó thông tin lưu chuyển, được đặc trưng bởi khả năng cung cấp quyền truy cập thông tin kịp thời, không bị cản trở cho những người dùng có thẩm quyền thích hợp để truy cập thông tin đó.
Truy cập thông tin:
Làm quen với thông tin, bao gồm cả việc sao chép.
Sửa đổi thông tin.
Phá hủy thông tin.
Chủ đề hệ thống – một thành phần hoạt động của hệ thống (người dùng hoặc quy trình), có hành động liên quan đến các đối tượng được điều chỉnh bởi các quy tắc kiểm soát truy cập.
Đối tượng hệ thống – một thành phần thụ động của hệ thống (thiết bị, đĩa, thư mục, tệp), quyền truy cập được quy định bởi các quy tắc kiểm soát truy cập.
Truy cập trái phép (USD) – quyền truy cập của một chủ thể vào một đối tượng bỏ qua các quy tắc kiểm soát quyền truy cập được thiết lập trong hệ thống.
kẻ xâm nhập – một chủ thể đã cố gắng hoặc cố gắng truy cập trái phép vào các đối tượng hệ thống do nhầm lẫn, thiếu hiểu biết hoặc có mục đích xấu.
Xác thực - xác minh tính xác thực của một chủ thể hoặc đối tượng.
Nhận biết – Gán tên cho chủ thể hoặc đối tượng của hệ thống.
xác minh – kiểm tra tính toàn vẹn của một số thông tin.
Sức mạnh bảo vệ – xác suất mà kẻ tấn công sẽ không vượt qua được hàng phòng thủ trong một khoảng thời gian nhất định.
Bài giảng số 2
Các phương pháp cơ bản đảm bảo an toàn thông tin
Phục vụ an ninh mạng” đại diện cho một cơ chế bảo vệ thông tin được xử lý trong các hệ thống và mạng máy tính phân tán.
Các phương pháp “kỹ thuật và kỹ thuật” nhằm mục đích đảm bảo việc bảo vệ thông tin thông qua các kênh kỹ thuật, ví dụ, bảo vệ khỏi việc chặn bức xạ điện từ hoặc thông tin giọng nói.
Các phương pháp bảo vệ thông tin “hợp pháp” và “tổ chức” tạo ra khung pháp lýđể tổ chức các hoạt động khác nhau liên quan đến đảm bảo an ninh thông tin.
“Phương pháp lý thuyết” đảm bảo an toàn thông tin đặt ra cho mình 2 nhiệm vụ:
Việc chính thức hóa các loại quy trình khác nhau liên quan đến bảo mật thông tin, ví dụ, mô hình kiểm soát truy cập chính thức trong hệ thống tự động, giúp mô tả tất cả các luồng thông tin truyền từ chủ thể đến đối tượng và ngược lại và từ đó bảo vệ thông tin này một cách hiệu quả.
Biện minh nghiêm ngặt về tính đúng đắn và đầy đủ của hệ thống bảo mật thông tin. Ví dụ, nhiệm vụ này phát sinh khi chứng nhận một hệ thống theo mức độ bảo mật thông tin.
Dưới mối đe dọa Thông thường, người ta phải hiểu các sự kiện hoặc hành động có thể xảy ra có thể gây tổn hại đến bất kỳ lợi ích nào.
Mối đe dọa an ninh thông tin – các hành động tiềm ẩn có thể vi phạm tính bảo mật, tính toàn vẹn hoặc tính sẵn có của thông tin, cũng như khả năng ảnh hưởng đến các thành phần của hệ thống loa, dẫn đến sự cố, mất hoặc hỏng chức năng của chúng.
Việc phân loại các mối đe dọa an toàn thông tin có thể được thực hiện theo các tiêu chí sau:
Theo mức độ cố ý :
Ngẫu nhiên. Sự sơ suất của nhân viên hoặc hành động vô tình.
Cố ý. Hành động của kẻ tấn công.
Tùy thuộc vào nguồn gốc của mối đe dọa:
Các mối đe dọa đối với môi trường tự nhiên.
Những mối đe dọa đến từ con người
Các mối đe dọa bắt nguồn từ phần mềm hoặc phần cứng được ủy quyền. Xử lý sai.
Các mối đe dọa bắt nguồn từ phần mềm hoặc phần cứng trái phép. Virus, thiết bị nghe lén, camera ẩn, v.v.
Theo vị trí của nguồn đe dọa :
Các mối đe dọa có nguồn nằm ngoài khu vực được kiểm soát. Ghi âm thanh hoặc video từ xa.
Các mối đe dọa có nguồn nằm bên trong khu vực được kiểm soát.
Theo mức độ tác động lên loa :
Thụ động.
Tích cực.
Vì vi phạm ba thuộc tính cơ bản của thông tin được bảo vệ :
Bảo mật.
Chính trực.
Khả dụng.
Mô hình hệ thống bảo vệ:
Các biện pháp an ninh tổ chức và vật lý.
.
Kiểm soát truy cập.
4.1. Các phương pháp mật mã.
Các phương pháp bảo vệ chu vi.
Ghi chép và kiểm toán.
TRONG trường hợp chung Các phương pháp được sử dụng tại doanh nghiệp bao gồm:
Triển khai hệ thống kiểm soát và phân định quyền truy cập vật lý vào các phần tử AS.
Tạo ra một dịch vụ bảo mật và an ninh vật lý.
Tạo cơ chế kiểm soát việc di chuyển của nhân viên và khách, ví dụ như sử dụng thẻ giám sát hoặc thẻ ra vào.
Xây dựng và thực hiện các quy định, mô tả công việc và các văn bản quy định khác.
Quy định làm việc với phương tiện chứa thông tin bí mật.
Phân loại các phương thức xác thực:
Phương pháp dựa trên kiến thức của đối tượng về một số thông tin bí mật. Ví dụ cổ điển: Xác thực mật khẩu. Những phương pháp này là phổ biến nhất.
Các phương pháp dựa trên việc chủ thể sở hữu một số đối tượng duy nhất. Ví dụ: chìa khóa điện tử, thẻ truy cập, v.v.
Các phương pháp dựa trên việc quét đặc điểm sinh trắc học của con người. Ví dụ: quét dấu vân tay, mống mắt, khuôn mặt người, chữ viết tay đơn giản và bàn phím.
Xác thực mật khẩu
Sơ đồ xác thực mật khẩu chung:
Nhập ID người dùng.
Kiểm tra xem mã định danh đó có tồn tại trong hệ thống hay không.
Nếu tồn tại thì thủ tục xác thực được thực hiện.
Nếu thủ tục được hoàn thành thành công, ủy quyền sẽ xảy ra.
Nếu quy trình xác thực không thành công, bạn sẽ phải thử nhập lại nhiều lần.
Ưu điểm và nhược điểm của hệ thống mật khẩu
Dễ dàng thực hiện tương đối. Theo quy định, hệ thống mật khẩu không yêu cầu phần cứng bổ sung.
Tính truyền thống. Cơ chế Mật khẩu bảo vệđã quen thuộc với hầu hết người dùng.
Mật khẩu có khả năng chống bẻ khóa có xu hướng ít được sử dụng.
Có 3 loại mối đe dọa:
Khuyến nghị cho việc triển khai thực tế hệ thống mật khẩu
Đặt độ dài mật khẩu tối thiểu. Đề xuất này làm cho việc sử dụng mật khẩu hoàn toàn trở nên khó khăn hơn.
Tăng sức mạnh của bảng chữ cái mật khẩu. Đề xuất này làm phức tạp việc tìm kiếm hoàn chỉnh.
Kiểm tra và lọc mật khẩu theo điều kiện khác nhau. Khuyến nghị này khiến việc đoán mật khẩu bằng từ điển trở nên khó khăn.
Đặt thời hạn hiệu lực của mật khẩu tối đa (ví dụ: thay đổi mật khẩu 2 tuần một lần). Mật khẩu hết hạn giới hạn lượng thời gian mà kẻ tấn công có thể dành để đoán mật khẩu.
Sàng lọc dựa trên nhật ký lịch sử mật khẩu. Cơ chế này ngăn chặn việc sử dụng lại mật khẩu có thể đã bị xâm phạm trước đó.
Giới hạn số lần nhập mật khẩu. Đề xuất này làm cho việc đoán mật khẩu tương tác trở nên khó khăn.
Không có thời gian chờ gõ đúng mật khẩu. Cơ chế này cũng gây khó khăn cho việc lựa chọn tương tác.
Cấm người dùng chọn mật khẩu và thế hệ tự động mật khẩu. Đề xuất này đảm bảo độ mạnh của mật khẩu được tạo nhưng người dùng có thể gặp khó khăn khi ghi nhớ chúng.
Đánh giá sức mạnh của hệ thống mật khẩu
A – sức mạnh của bảng chữ cái của các tham số. Số lượng chữ cái mà mật khẩu có thể được tạo ra.
L – độ dài mật khẩu.
S=A^L – số lượng mật khẩu có độ dài L có thể được tạo bằng bảng chữ cái A.
V – tốc độ chọn mật khẩu trung bình.
T – thời gian hiệu lực tối đa của mật khẩu.
P – xác suất đoán được mật khẩu trong một khoảng thời gian nhất định.
P = (V*T)/S = (V*T)/(A^L)
Thông thường, tốc độ đoán mật khẩu trung bình V và thời gian nó hợp lệ trong hệ thống T được coi là các giá trị đã biết. Trong trường hợp này, bằng cách đặt xác suất đoán V tối đa trong quá trình hoạt động của nó, bạn có thể tính toán sức mạnh cần thiết của không gian mật khẩu.
S = A^L = (V*T)/P
Giảm tốc độ đoán mật khẩu V làm giảm khả năng đoán mật khẩu. Đặc biệt, từ đó, nếu việc chọn mật khẩu được thực hiện bằng cách tính toán các hàm Hash thì độ mạnh lớn hơn của hệ thống mật khẩu sẽ được đảm bảo bằng cách sử dụng tốc độ tính toán chậm. hàm HASH.
Phương pháp lưu trữ và truyền mật khẩu
TRONG biểu mẫu mở. Kiểu lưu trữ và truyền tải này không được khuyến khích, thậm chí có tính đến sự hiện diện của các cơ chế bảo vệ khác.
Ở dạng giá trị HASH tương ứng. Cơ chế này thuận tiện cho việc kiểm tra mật khẩu, vì các giá trị Hash gần như được liên kết duy nhất với mật khẩu nhưng ít được kẻ tấn công quan tâm.
Ở dạng được mã hóa. Mật khẩu có thể được mã hóa bằng cách sử dụng một số thuật toán mật mã, trong khi khóa mã hóa có thể được lưu trữ trên một trong các thành phần cố định của hệ thống hoặc trên phương tiện di động.
Khi đăng ký người dùng mới vào hệ thống hoặc thay đổi mật khẩu của người dùng hiện tại, giá trị của hàm Hash một chiều được tính từ mật khẩu này, sau đó được nhập vào cơ sở dữ liệu (H = h(M) -> vào cơ sở dữ liệu).
Khi người dùng cố gắng đăng nhập vào hệ thống, giá trị Hash của mật khẩu họ nhập sẽ được tính toán (H’ = h(M’)), sau đó giá trị kết quả được so sánh với giá trị trong cơ sở dữ liệu. Nếu hai giá trị này bằng nhau thì mật khẩu được nhập chính xác và người dùng được ủy quyền trong hệ thống (H = H’ – mật khẩu đúng).
Kiểm soát truy cập thường được hiểu là thiết lập quyền hạn của các chủ thể để kiểm soát tiếp theo việc sử dụng tài nguyên (đối tượng) được ủy quyền có sẵn trong hệ thống. Có hai loại kiểm soát truy cập chính:
tùy ý. D – kiểm soát truy cập giữa các đối tượng được đặt tên và các chủ thể được đặt tên trong hệ thống. Trong thực tế, sự phân biệt như vậy thường được thực hiện bằng cách sử dụng ma trận quyền truy cập.
Thi hành. M - thường được triển khai dưới dạng kiểm soát truy cập theo cấp độ bảo mật. Quyền hạn của mỗi người dùng được đặt theo mức độ riêng tư tối đa mà người đó được chấp nhận và tất cả các tài nguyên AS phải được phân loại theo cùng mức độ riêng tư.
Quy tắc bảo mật đơn giản. Một thực thể có cấp độ bảo mật X(s) chỉ có thể đọc thông tin từ một đối tượng có cấp độ bảo mật X(0) nếu X(0) không vượt quá X(s). Nó được gọi là: Không Đọc Lên.
Thuộc tính bổ sung (*-property). Một thực thể có cấp độ bảo mật X(s) chỉ có thể ghi dữ liệu vào một đối tượng có cấp độ bảo mật X(0) nếu X(s) không vượt quá X(0).
Nếu trong trường hợp kiểm soát truy cập tùy ý, quyền truy cập tài nguyên cho người dùng được xác định bởi chủ sở hữu tài nguyên này, thì trong trường hợp kiểm soát truy cập bắt buộc, mức độ bí mật được đặt từ bên ngoài hệ thống. Phân hóa bắt buộc được hiểu là bắt buộc, chặt chẽ hơn.
Bài giảng số 4
Chuyển đổi thông tin mật mã
Định nghĩa cơ bản:
Mật mã học- khoa học nghiên cứu phương pháp toán học bảo vệ thông tin bằng cách chuyển đổi nó. Mật mã học được chia thành 2 lĩnh vực:
mật mã. Khám phá các phương pháp chuyển đổi thông tin để đảm bảo tính bảo mật và tính xác thực của nó. Tính xác thực thông tin nằm ở tính xác thực của quyền tác giả và tính toàn vẹn của nó.
Phân tích mật mã. Kết hợp các phương pháp toán học để vi phạm tính bảo mật và tính xác thực mà không biết về khóa bí mật.
chuyển nhượng thông tin bí mật thông qua các kênh liên lạc không an toàn.
Thiết lập tính xác thực của tin nhắn được truyền đi.
Lưu trữ thông tin trên phương tiện truyền thông ở dạng mã hóa.
Bảng chữ cái– một tập hợp hữu hạn các ký hiệu được sử dụng để mã hóa thông tin.
Chữ– một tập hợp các ký tự được sắp xếp theo thứ tự bảng chữ cái.
Hệ thống mật mã (mật mã)đại diện cho một gia đình T các phép biến đổi thuận nghịch văn bản thôđược mã hóa. Một phần tử của họ này có thể được liên kết một-một với một số nhất định k, được gọi là khóa mã hóa. chuyển đổi Tkđược xác định hoàn toàn bởi thuật toán tương ứng ( T) và khóa k.
Chìa khóa- một số trạng thái bí mật cụ thể của các tham số của thuật toán chuyển đổi dữ liệu mật mã, đảm bảo lựa chọn một tùy chọn từ một tập hợp các trạng thái có thể có cho của thuật toán này. Tính bí mật của khóa phải đảm bảo không thể chuyển đổi bản mã thành bản rõ, trong khi bản thân thuật toán có thể được công bố và biết đến rộng rãi.
Không gian phímK– một tập hợp các giá trị khóa có thể có (K = A^L).
Chìa khóa Và mật khẩu– một số thông tin mật, sự khác biệt nằm ở cách sử dụng các thuật ngữ này. Mật khẩu được sử dụng để xác thực và khóa được sử dụng để mã hóa thông tin.
Sự khác biệt của các khái niệm mã hóa Và mã hóa:
Thuật ngữ mã hóa tổng quát hơn, nó liên quan đến việc chuyển đổi thông tin từ dạng này sang dạng khác, ví dụ từ analog sang kỹ thuật số. Mã hóa- trường hợp mã hóa đặc biệt, được sử dụng chủ yếu để đảm bảo tính bảo mật của thông tin.
Mã hóa dữ liệu là quá trình chuyển đổi dữ liệu mở thành dữ liệu đóng (được mã hóa) và giải mã- quá trình ngược lại.
giải mã– chuyển đổi dữ liệu riêng tư thành dữ liệu công khai mà không cần biết khóa bí mật.
Chống tiền điện tử– một đặc tính của mật mã quyết định khả năng chống lại việc giải mã của nó. Thông thường, đặc tính này được xác định bởi khoảng thời gian cần thiết để mã hóa.
Quá trình đóng dữ liệu mật mã có thể được thực hiện bằng phần cứng hoặc phần mềm. Việc triển khai phần cứng có tốc độ tính toán cao hơn, nhưng theo quy luật, chi phí cao hơn. Ưu điểm của việc triển khai phần mềm nằm ở tính linh hoạt của cài đặt thuật toán. Bất kể phương pháp triển khai nào, đối với các hệ thống bảo mật thông tin mật mã hiện đại, đều tồn tại các yêu cầu sau:
Bài giảng số 6
Ba thuộc tính quan trọng của mật mã Vernam (mật mã notepad):
Chìa khóa phải thực sự ngẫu nhiên.
Phù hợp với kích thước của bản rõ đã cho.
Chỉ sử dụng một lần và tiêu hủy sau khi sử dụng.
Trong thực tế, bạn có thể chuyển một cách vật lý một phương tiện lưu trữ bằng một khóa dài, thực sự ngẫu nhiên một lần, sau đó gửi tin nhắn khi cần; đây là ý tưởng đằng sau mật mã notepad. Trong cuộc họp cá nhân, người mã hóa được cung cấp một cuốn sổ, mỗi trang chứa một khóa và bên nhận cũng có cuốn sổ đó. Các trang đã sử dụng sẽ bị hủy nếu có hai kênh độc lập trong đó xác suất chặn thông tin thấp nhưng khác 0, mật mã như vậy cũng hữu ích. Một câu được mã hóa có thể được truyền qua một kênh và theo một cách khác, khóa, để giải mã tin nhắn, bạn cần nghe cả hai kênh cùng một lúc.
Mật mã Vernam là hệ thống mật mã an toàn nhất có thể và các hạn chế mà khóa phải đáp ứng mạnh đến mức công dụng thực tế Mật mã này trở nên khó thực hiện nên nó chỉ được sử dụng để truyền các thông điệp có tính bí mật cao nhất.
DES ( Dữ liệu Mã hóa Tiêu chuẩn )
Năm 1972, Cục Tiêu chuẩn Quốc gia Hoa Kỳ khởi xướng một chương trình bảo vệ dữ liệu thông tin liên lạc và máy tính. Một trong những mục tiêu của chương trình là phát triển một tiêu chuẩn mật mã thống nhất. Năm 1973, Cục đã công bố các yêu cầu đối với thuật toán mật mã:
Thuật toán phải cung cấp mức độ bảo mật cao.
Thuật toán phải được xác định đầy đủ và dễ hiểu.
Tính bảo mật của thuật toán chỉ nên dựa trên tính bí mật của khóa và không nên phụ thuộc vào việc giữ bí mật các chi tiết của thuật toán.
Thuật toán phải có sẵn cho tất cả người dùng.
Thuật toán phải cho phép thích ứng với các ứng dụng khác nhau.
Thuật toán phải cho phép thực hiện tiết kiệm dưới dạng thiết bị điện tử.
Thuật toán phải được kiểm chứng.
Thuật toán phải được phép xuất.
DES là sự kết hợp khóa mật mã và mã hóa dữ liệu theo khối 64 bit (mỗi khối 8 byte). Ở một phía của thuật toán, 64 bit bản rõ là đầu vào, mặt khác, 64 bit bản mã là đầu ra, DES là thuật toán đối xứng. Độ dài khóa là 56 bit. Ở mức độ đơn giản nhất, thuật toán chỉ là sự kết hợp của 2 phương thức mã hóa chính:
Sắp xếp lại.
Thay thế.
Việc sử dụng lặp lại một giai đoạn được xác định bằng cách đạt được mức độ hiệu ứng tuyết lở nhất định (khoảng 50%).
Ví dụ: Triple DES, DES với các khóa độc lập, DES X, GDES (DES tổng quát).
Bài giảng số 7
Thuật toán với khóa công khai
Khái niệm mật mã khóa công khai được đưa ra bởi Diffe và Halman và độc lập bởi Merkle vào năm 1976. Đóng góp của họ cho ngành mật mã là niềm tin rằng các khóa có thể được sử dụng theo cặp (khóa mã hóa và khóa giải mã) và rằng không thể lấy được khóa này từ khóa kia.
Từ năm 1976, nhiều thuật toán mật mã khóa công khai đã được đề xuất, nhiều thuật toán trong số đó không an toàn và nhiều thuật toán không thực tế, hoặc chúng sử dụng khóa quá dài hoặc độ dài của bản mã dài hơn nhiều so với độ dài của bản rõ.
