Программно-аппаратные средства защиты информации

Тип работы:
Отчет
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФГБОУ ВПО «ПЯТИГОРСКИЙ ГОСУДАРСТВЕННЫЙ ЛИНГВИСТИЧЕСКИЙ УНИВЕРСИТЕТ»

ОТЧЕТ

ПО УЧЕБНОЙ ПРАКТИКЕ

в ФГБОУ ВПО «Пятигорский государственный

лингвистический университет"

наименование организации/предприятия

Выполнил студент (ка)

3 курса, группы 301-ЗИ

курс, группа

Дашко Артём Викторович

Руководитель от университета

ст. пр. каф. ИТМСДО

должность, уч. степень, звание

Павленко И.И.

Пятигорск 2012 г.

ВВЕДЕНИЕ

Во все времена информация являлась важным ресурсом, и владение достоверной и актуальной информацией всегда давало преимущество одной из сторон. Проблема защиты информации возникла на заре зарождения человеческого общества, и актуальность этой проблемы с каждым днём всё возрастала. Уже сегодня человечество ступило на новый этап своего развития — переход к новому типу постиндустриального общества, где главную роль играет информация. Параллельно с прогрессом в области информационных технологий постоянно увеличивается и количество возможных угроз, начиная от технических неисправностей и заканчивая действиями злоумышленников. Постоянное увеличение объема конфиденциальной информации, широкое использование различных технических средств для ее обработки, хранения и передачи, появление новых методов и средств несанкционированного доступа к информации требуют подготовки высококвалифицированных специалистов по защите информации. Целью учебной практики является ознакомление с программно аппаратными комплексами в сфере криптографической защиты информации и написание эссе, посвящённого одной из актуальнейших на сегодняшний день специальностей.

Задачами учебной практики являются:

· ознакомление с программно-аппаратными средствами криптографической защиты информации;

· изучение отечественных и зарубежных стандартов шифрования;

· ознакомление с базовыми принципами стеганографии;

· ознакомление с методами защиты информации от несанкционированного доступа.

Отчёт состоит из введения, двух глав: «моя специальность» и «программно-аппаратные средства защиты информации», заключения и библиографического списка.

1. МОЯ СПЕЦИАЛЬНОСТЬ

Характерной чертой современного общества является тот факт, что информация представляет собой один из важнейших ресурсов, а средства её обработки и хранения используются практически во всех сферах нашей деятельности — от обеспечения национальной безопасности и здравоохранения до покупок через интернет и межличностного общения. Постоянно увеличивается количество людей, занятых производством и потреблением информации, всё больше возрастает значимость знаний и доля умственного труда. Самые последние достижения человечества в области IT активно используются в нашей повседневной жизни, и с каждым днём увеличивается доля информационных технологий в жизни общества. Данный социальный и технологический процесс, который является основной движущей силой современного общества, называется «информатизация», а тип общества — информационным.

Таким образом, человечество уже на данном этапе своего развития зависит от информации и информационных технологий, обеспечивающих её хранение, обработку и распространение. Поэтому проблема обеспечения защищённости информации и информационных систем является одной из важнейших проблем современности.

Есть ряд причин, которыми обусловлена возрастающая актуальность проблемы обеспечения информационной безопасности:

· постоянное возрастание мощности компьютеров при одновременном упрощении их эксплуатации;

· усложнение технических средств обработки и передачи информации;

· всё большая интеграция информационных технологий в самые различные сферы деятельности;

· расширение круга пользователей, имеющих доступ к вычислительным ресурсам и массивам данных;

· развитие глобальных сетей передачи данных.

Важные проблемы информационной безопасности напрямую зависят от развития информационных технологий и от степени их проникновения в различные сферы деятельности общества. Поэтому специалист по защите информации не должен отставать от темпа развития информационного общества и всегда быть в курсе последних событий и инноваций в IT-сфере.

Одной из главных проблем сегодня является увеличение числа компьютерных преступлений. Согласно данным компании Group-IB, за 2011 год только в России было заработано около 4.5 миллиардов долларов с помощью компьютерных преступлений. Финансовые показатели мирового рынка компьютерной преступности в 2011 году составили 12.5 миллиардов долларов. Получается, что на долю нашей страны приходится почти треть всех преступных доходов, что почти в два раза превосходит прошлогодние показатели. Причём большую часть преступного рынка составляет интернет-мошенничество и спам. Так, интернет-мошенники за 2011 год заработали около 942 миллионов долларов. Спамеры — около 830 миллионов. Причём большая часть киберпреступлений остаётся нераскрытой и не регистрируется правоохранительными органами, а около 19 процентов нарушений было обнаружено случайно. Проблема состоит в том, что законодательство отстаёт от потребностей практики, и это особенно сказывается на обеспечении защиты от преднамеренных действий преступников.

Важным элементом развития информационного общества является информационная культура в узком её смысле — набор знаний об информационной среде, законах её функционирования и умение ориентироваться в информационных потоках. Эти знания будут способствовать общему снижению уровня компьютерной преступности. Также необходимо своевременно информировать общество о способах противодействия компьютерным преступлениям, о новых видах мошенничества. Можно с уверенностью сказать, что теоретические исследования проблем современного общества в IT-среде, нахождение решений и реализация их на практике лежит в области деятельности специалистов в сфере защиты информации. Таким образом, это одна из важнейших и актуальнейших профессий на сегодняшний день.

К области деятельности специалиста по защите информации также относится корпоративный сектор в рамках государственных учреждений либо коммерческих организаций, где необходимо выполнять одни из следующих видов деятельности: экспериментально-исследовательскую, проектную, организационно-управленческую либо эксплуатационную. Специалист по защите информации выполняет сложные работы, связанные с обеспечением комплексной защиты информации, разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Он организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации, проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли для выработки мер и принятия решений. Так же он анализирует существующие методы и средства, применяемые для защиты информации, и разрабатывает предложения по их совершенствованию. Специалист по защите информации должен знать основные виды угроз, а также принимать комплексные меры по противодействию им.

Таким образом, специалист по защите информации на предприятии должен выполнять следующие задачи:

Во-первых, это анализ и исследование, построение модели безопасности. Для этого необходимо знать основные направления экономического и социального развития отрасли, специализацию и особенности предприятия, специфику работы конкурентов, кадровые проблемы и т. д. Во-вторых — разработка организационно-правовых документов. Здесь необходимы знания законодательства и права, основ организации, планирования и управления предприятием.

В-третьих, специалист по защите информации руководит приобретением, установкой и настройкой программных и технических средств защиты.

В-четвертых — поддержка, обновление и модернизация созданной системы безопасности, управление персоналом и предприятием в контексте информационной безопасности, слежение за тенденциями в области ИБ и своевременное внедрение новых технологий и решений.

Кроме этого, специалист должен постоянно развиваться и совершенствоваться, чтобы не отставать от темпа развития современных информационных технологий.

2. ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

2. 1 Программно — аппаратные средства криптографической защиты информации с закрытым ключом

На сегодняшний день шифрование широко применяются в компьютерной технике для сокрытия конфиденциальной информации от несанкционированного использования и для защищенной передачи информации между различными элементами информационной системы. Наука, изучающая алгоритмы и способы шифрования, называется криптография. На сегодняшний день криптография включает в себя четыре раздела:

· симметричные криптосистемы;

· ассиметричные криптосистемы;

· электронная подпись;

· управление ключами.

Существует два основных типа алгоритмов, основанных на ключах.

Это алгоритмы симметричные и ассиметричные. Также они называются алгоритмами с закрытым и алгоритмами с открытым ключом. Рассмотрим алгоритмы с закрытым ключом.

Симметричные алгоритмы представляют собой криптографические алгоритмы, в которых ключ шифрования может быть рассчитан по ключу дешифрования и наоборот. В большинстве симметричных алгоритмов ключи шифрования и дешифрования одни и те же. Такие алгоритмы требуют, чтобы отправитель и получатель согласовали используемый ключ перед началом зашифрованной передачи сообщений. Безопасность симметричного алгоритма определяется ключом, раскрытие которого означает, что кто угодно сможет прочитать зашифрованные сообщения.

Симметричные алгоритмы делятся на две категории. Одни обрабатывают открытый текст побитно. Они называются потоковыми алгоритмами, или потоковыми шифрами. Другие работают с группами битов открытого текста. Группы битов называются блоками, а алгоритмы — блочными алгоритмами, или блочными шифрами.

Для современных систем криптографической защиты информации сформулированы следующие общепринятые требования:

· зашифрованное сообщение должно поддаваться чтению только при наличии ключа;

· число операций, необходимых для расшифровывания информации путём перебора всевозможных ключей, должно выходить за пределы возможностей современных компьютеров;

· знание алгоритма шифрования не должно влиять на надёжность защиты;

· незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения;

· структурные элементы алгоритма шифрования должны быть неизменными;

· длина шифрованного текста должна быть равной длине исходного текста;

· не должно быть простых и легко устанавливаемых зависимостей между ключом и открытым текстом;

· любой ключ из множества возможных ключей должен обеспечивать надёжное шифрование;

· алгоритм должен допускать как программную, так и аппаратную реализацию.

Ключи, используемые в криптосистемах, в идеале должны быть случайными. Недопустимо использовать словарные слова и другие легко запоминающиеся ключи. Часто криптографические средства включают в себя средства генерации случайных последовательностей, что также обеспечивает дополнительную защиту.

Достоинства симметричных криптосистем:

· скорость вычислений;

· простота реализации;

· меньшая требуемая длина ключа;

· изученность.

Недостатки симметричных криптосистем:

· сложность управления ключами в большой сети;

· сложность обмена ключами.

2.1. 1 Требования к используемым криптографическим средствам за рубежом и в России

Симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) принят в качестве стандарта шифрования правительством США. Спецификации алгоритма были опубликованы Национальным институтом стандартов и технологий США 26 ноября 2001 года. AES является самым распространённым алгоритмом симметричного шифрования в настоящее время. Поддержка данного алгоритма введена фирмой Intel в семейство процессоров, начиная с микроархитектуры Sandy Bridge. Алгоритм принят в качестве государственного стандарта шифрования, так как он соответствует определённым требованиям:

· 128-битный размер блока шифруемых данных;

· поддержка алгоритмом размеров ключей шифрования в 128, 192 и 256 бит;

· стойкость против известных атак;

· ясная, простая и обоснованная структура алгоритма;

· отсутствие коллизий;

· высокая скорость шифрования данных на всех потенциальных шифровальных платформах — от 8 битных до 64-битных;

· возможность параллельного выполнения операций в многопроцессорных системах.

Стандарт шифрования в Российской Федерации ГОСТ 28 147–89 также относится к симметричным криптографическим алгоритмам. Он введён в действие с июля 1990 года и устанавливает единый алгоритм криптографических преобразований для систем обмена информацией в вычислительных сетях, а также определяет правила шифрования и расшифровки данных. ГОСТ 28 147–89 является 64-битовым алгоритмом шифрования с 256-битовым ключом. Алгоритм удовлетворяет современным криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации. При использовании метода гаммирования алгоритм может выполнять функции поточного шифрования.

Данный стандарт удобен как для аппаратной, так и для программной реализации. При размере блока данных 64 бита основная работа ведется с половинами этого блока, что позволяет эффективно реализовать указанный стандарт шифрования на большинстве современных компьютеров.

Достоинства ГОСТ 28 147–89:

· бесперспективность силовой атаки;

· эффективность реализации;

· высокое быстродействие;

· наличие защиты от навязывания ложных данных.

Недостатки ГОСТ 28 147–89:

· невозможность определения криптостойкости алгоритма, не зная таблицы замен;

· возможная несовместимость реализаций алгоритмов от различных производителей, так как могут использоваться разные таблицы замен;

· возможность преднамеренного предоставления слабых таблиц замены;

· отсутствие в стандарте запрета на использование таблиц замены, в которых узлы не являются перестановками, что может привести к снижению криптостойкости шифра.

2.1. 2 Российские и зарубежные системы криптографической защиты информации с закрытым ключом

На сегодняшний день существует достаточно много различных программно — аппаратных систем криптографической защиты информации, которые разрабатываются и производятся как в России, так и за рубежом.

Среди зарубежных средств криптографической защиты информации наиболее распространёнными являются:

· Crypton CSP;

· SecretDisk;

· Trusted TLS;

· File PRO;

· TrueCrypt;

· Secret Net.

Одним из известнейших зарубежных продуктов является программный комплекс TrueCrypt. Разрабатывается группой True Crypt Foundation под собственной лицензией TrueCrypt Collective Licence. Программа является бесплатной и предоставляется «как есть». Существуют версии под Windows, Mac OS X и Linux. Последней стабильной версией программы на сегодня является версия 7. 1а.

Назначение программы — создание виртуального зашифрованного логического диска, который хранится в виде файла. Смонтированный том TrueCrypt определяется системой как обычный логический диск.

Основные функции программы:

· создание виртуального зашифрованного диска в виде файла-контейнера, который монтируется в системе как обычный диск;

· шифрование разделов жесткого диска с возможностью шифровать системный раздел;

· шифрование содержимого flash-накопителей;

· шифрование «на лету» с возможностью предзагрузочной аутентификации.

Возможности программы:

· поддержка скрытых томов;

· создание неидентифицируемых томов;

· возможность создания динамического криптоконтейнера, размер которого увеличивается по мере накопления данных;

· поддержка трёх основных алгоритмов шифрования — AES, Serpent и Twofish;

· поддержка каскадного шифрования несколькими алгоритмами

· встроенная функция удаления данных;

· поддержка нескольких хэш-функций.

Из массы других программных комплексов TrueCrypt выделяется скоростью работы. Благодаря многопоточной архитектуре приложение хорошо работает с многоядерными системами. Также несомненным плюсом является открытость исходного кода, что практически исключает возможность встроенных бэкдоров и программных закладок.

Среди средств шифрования отечественного производства себя зарекомендовали такие системы, как:

· Беркут;

· Домен-К;

· КриптоАрм;

· КриптоПро CSP.

Подробней рассмотрим средство криптографической защиты информации отечественного производства под названием КриптоПро CSP.

Данный продукт разработан ООО «Крипто-Про». Последняя версия продукта — КриптоПро CSP 3.6 R2. Год выпуска — 2010. Имеется сертификат соответствия, выданный ФСБ России.

Данный продукт может использоваться для:

· авторизации и обеспечения юридической значимости электронных документов посредством формирования и проверки электронной цифровой подписи;

· обеспечения конфиденциальности и контроля целостности информации посредством её шифрования и имитозащиты;

· контроля системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или нарушения правильности функционирования.

Основные характеристики продукта:

· длина закрытого ключа электронной цифровой подписи — 256 бит;

· длина открытого ключа электронной цифровой подписи — 512 или 1024 бита;

· длина закрытого ключа, используемого при шифровании — 256 бит;

· длина открытого ключа — 512 или 1024 бит.

Типы ключевых носителей:

· дискета 3,5″;

· процессорные карты MPCOS-EMV и российские интеллектуальные карты Оскар, Рик;

· таблетки Touch-Memory DS1993 — DS1996 с использованием устройств Аккорд 4+;

· электронный ключ с интерфейсом USB;

· сменный носитель с интерфейсом USB;

· реестр ОС Windows;

· файлы ос Solaris/Linux/FreeBSD.

Таким образом, данный продукт соответствует всем стандартам и требованиям, предъявляемым к средствам криптографической защиты информации. Также он содержит все компоненты, необходимые для обеспечения комплексной криптографической защиты информации.

Преимуществом продукта является поддержка всех современных типов ключевых носителей, а также возможность работы как на Windows, так и на *nix платформах.

2. 2 Программно-аппаратные средства криптографической защиты информации с открытым ключом

Криптографическая система с открытым ключом — система шифрования, при которой ключ, используемый для шифрования, отличается от ключа, используемого для дешифрования, причём ключ дешифрования не может быть рассчитан по ключу шифрования и наоборот. Также криптографическая система с открытым ключом называется ассиметричной криптосистемой, а алгоритмы шифрования — ассиметричными алгоритмами. Данная система называется системой с открытым ключом потому, что ключ шифрования может быть открыт для всех пользователей. Кто угодно может использовать этот ключ для шифрования сообщения, но только обладатель ключа дешифрования сможет расшифровать это сообщение. Ключ дешифрования также называют закрытым ключом. Поэтому при обмене информацией с помощью ассиметричных криптосистем каждый пользователь должен иметь в своём распоряжении пару взаимосвязанных ключей.

Криптографические системы с открытым ключом можно использовать:

· в качестве средства шифрования передаваемой и хранимой информации;

· в качестве средства распределения ключей;

· в качестве средства аутентификации пользователей.

Важным преимуществом ассиметричных алгоритмов перед симметричными является отсутствие необходимости предварительной передачи секретного ключа. Основным недостатком является вычислительная сложность, а следовательно, большие затраты ресурсов по сравнению с симметричными алгоритмами. Поэтому на практике ассиметричные криптосистемы используются для передачи секретного ключа, а дальнейший обмен информацией производится уже с помощью симметричных криптосистем.

Преимущества ассиметричных криптосистем:

· отсутствие необходимости предварительной передачи секретного ключа;

· закрытый ключ уникален для каждого пользователя, в то время как в симметричных криптосистемах один ключ известен множеству пользователей;

· в больших сетях число ключей при использовании ассиметричной криптосистемы значительно меньше, чем при использовании симметричной.

Недостатки ассиметричных криптосистем:

· необходимость использования более длинных ключей;

· сложность и ресурсоёмкость вычислений.

В настоящее время существует множество различных алгоритмов ассиметричного шифрования. Самыми распространёнными на сегодняшний день являются:

· RSA;

· DSA;

· Elgamal;

· Diffie-Hellman;

· ECDSA;

· Rabin;

· ГОСТ Р 34. 10−2001;

· McEliece.

стеганография шифрование открытый ключ

2.2. 1 Зарубежные системы шифрования с открытым ключом

В настоящее время наиболее развитым методом криптографической защиты информации с известным ключом является RSA, названный так по начальным буквам фамилий его изобретателей (Rivest, Shamir и Adleman). Криптостойкость данного алгоритма основывается на предположении, что исключительно трудно определить секретный ключ по известному, поскольку для этого необходимо решить задачу о существовании делителей целого числа. Данная задача является NP — полной. Известные точные алгоритмы для решения данной задачи имеют экспоненциальную оценку вычислительной сложности, следствием чего является невозможность получения точных решений для задач большой и даже средней размерности.

Таким образом, единственным способом атаки на данный алгоритм является метод грубой силы. Поэтому для обеспечения эквивалентного уровня защиты ключ асимметричной криптосистемы должен быть гораздо длиннее ключа симметричной криптосистемы. Это сразу же сказывается на вычислительных ресурсах, требуемых для шифрования. Для того чтобы избежать низкой скорости алгоритмов асимметричного шифрования, генерируется временный симметричный ключ для каждого сообщения и только он шифруется асимметричными алгоритмами.

Само сообщение шифруется с использованием этого временного сеансового ключа. Затем этот сеансовый ключ шифруется с помощью открытого асимметричного ключа получателя и асимметричного алгоритма шифрования.

После этого этот зашифрованный сеансовый ключ вместе с зашифрованным сообщением передается получателю. Получатель использует тот же самый асимметричный алгоритм шифрования и свой секретный ключ для расшифровки сеансового ключа, а полученный сеансовый ключ используется для расшифровки самого сообщения.

В асимметричных криптосистемах важно, чтобы сеансовые и асимметричные ключи были сопоставимы в отношении уровня безопасности, который они обеспечивают.

В 1991 году в США был опубликован проект федерального стандарта цифровой подписи DSS (Digital Signature Standard), описывающий систему цифровой подписи DSA. Одним из основных критериев при создании проекта была его патентная чистота. Предлагаемый алгоритм DSA, имеет, как и RSA, теоретико-числовой характер, и основан на криптографической системе Эль-Гамаля в варианте Шнорра. Его надежность основана на практической неразрешимости определенного частного случая задачи вычисления дискретного логарифма. Современные методы решения этой задачи имеют приблизительно ту же эффективность, что и методы решения задачи факторизации; в связи с этим предлагается использовать ключи длиной от 512 до 1024 бит с теми же характеристиками надежности, что и в системе RSA. Длина подписи в системе DSA меньше, чем в RSA, и составляет 320 бит. С момента опубликования проект получил много критических отзывов, многие из которых были учтены при его доработке. Одним из главных аргументов против DSA является то, что, в отличие от общей задачи вычисления дискретного логарифма, ее частный случай, использованный в данной схеме, мало изучен и, возможно, имеет существенно меньшую сложность вскрытия. Функции DSA ограничены только цифровой подписью, система принципиально не предназначена для шифрования данных.

Один из стандартов, позволяющих выполнять операции ассиметричного шифрования и цифровой подписи, называется OpenPGP. Основан данный стандарт на библиотеках функций PGP (Pretty Good Privacy). Ввиду проблем с лицензированием некоторых алгоритмов, использующихся в программе PGP, силами Free Software Foundation и был создан этот стандарт. Свободной реализацией нового стандарта стала программа GNU Privacy Guard. Существуют версии программы под Linux и Windows.

Особенности GNUPG:

· полная альтернатива PGP;

· не использует коммерческие алгоритмы;

· распространяется под лицензией GNU GPL;

· совместимость с PGP 5, 6, 7.

· поддержка электронной подписи с помощью алгоритмов ElGamal, DSA, RSA и хэш-функций MD5, SHA-1, SHA-2.

· поддержка ассиметричных алгоритмов ElGamal и RSA с длиной ключа от 1024 до 4096 бит;

· поддержка блочных алгоритмов симметричного шифрования AES, 3DES, Blowfish, Twofish.

· возможность расширения за счёт дополнительных модулей

Преимущества данной программы заключаются в совместимости с такими почтовыми клиентами, как Mozilla Thunderbird, The Bat! Также функцию шифрования и цифровой подписи можно использовать с другими почтовыми клиентами при помощи программы GPGrelay.

2.2. 2 Отечественные системы шифрования с открытым ключом

Программно-аппаратный комплекс «Удостоверяющий Центр «КриптоПро УЦ» является первым в Российской Федерации специализированным программно-аппаратным комплексом, успешно прошедшим сертификационные испытания и получившим сертификат соответствия ФСБ России. С момента получения первого сертификата соответствия данный комплекс неоднократно модернизировался, качество новых версий комплекса подтверждалось новыми сертификатами соответствия ФСБ России. Свидетельством отличных эксплуатационных характеристик является его широкое применение как органами государственной власти и местного самоуправления, так и субъектами малого, среднего и крупного бизнеса всех отраслей.

Программно-аппаратный комплекс «КриптоПро УЦ» предназначен для выполнения организационно-технических мероприятий по обеспечению участников автоматизированных информационных систем средствами применения электронной подписи в целях:

· контроля целостности и авторства электронных документов, передаваемых в АИС;

· проверки подлинности взаимодействующих программных компонентов и конфиденциальности передаваемых данных при информационном взаимодействии;

· создания системы юридически значимой электронной цифровой подписи в системах электронного документооборота;

· обеспечения безопасности и разграничения доступа при взаимодействии субъектов АИС.

Таким образом, мы выяснили, что в настоящее время средства криптографической защиты информации достаточно развиты как за рубежом, так и в нашей стране. Наиболее перспективным нам видится использование комплексных систем защиты информации, которые могут использовать преимущества различных алгоритмов шифрования и электронной подписи. Также важной составляющей программно-аппаратных средств криптографической защиты информации являются алгоритмы генерации ключевых последовательностей и надёжные способы хранения и передачи полученных ключей.

3. Стеганография

Стеганография — наука о скрытой передаче информации путём сохранения в тайне самого факта передачи сообщения.

Слово «стеганография» в переводе с греческого буквально означает «тайнопись» (steganos — секрет, тайна; graphy — запись). К ней относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков, тайные каналы и средства связи на плавающих частотах и т. д.

В отличие от криптографии, которая скрывает содержимое сообщения, стеганография скрывает сам факт его существования. Как правило, сообщение будет выглядеть как что-либо иное, например, как изображение, статья, список покупок или письмо. Стеганографию обычно используют совместно с криптографией.

Преимущество стеганографии над чистой криптографией состоит в том, что сообщения не привлекают к себе внимания. Сообщения, факт шифрования и передачи которых не скрыт, могут вызывать подозрения. Таким образом, криптография защищает содержание сообщения, а стеганография защищает сам факт наличия каких-либо скрытых посланий.

В наше время существует три типа стеганографии — классическая, компьютерная и цифровая.

3.1 Основные программы стеганографии

S-Tools 4.0 — Программа для скрытия данных от посторонних глаз. Работает без инсталляции. Использует метод стеганографии — данные прячутся в файлах графики (BMP или GIF) или музыкальном WAV-файле, которые внешне не отличаются от аналогичных файлов, не несущих спрятанной информации (картинку можно посмотреть, музыку можно послушать). Дело в том, что оцифрованные файлы (те же *. bmp или *. wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны). Кроме этого, программа позволяет не только спрятать информацию во внешне ничем не примечательном файле, но и зашифровать ее Softsearch. URL: http: //softsearch. ru/programs/133−068-s-tools-download. shtml.

Steganos Privacy Suite — (раньше называлась Security Suite) — cамая известная из программ, использующих стеганографию — способ шифрования данных, который скрывает сам факт шифрования. Для этого зашифрованные данные «прячутся» в файлах графики, или музыкальном файле, которые внешне ничем не отличаются от аналогичных файлов, не несущих зашифрованной информации — картинку можно посмотреть, музыку можно послушать.

Дело в том, что оцифрованные файлы (те же *. bmp или *. wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны).

От аналогичных программ Steganos Security Suite выгодно отличается способностью скрывать данные не только в файлах форматов wav и bmp, но и в html и даже в обычных текстовых. Не будет лишней и имеющаяся функция удаления файлов без возможности их восстановить. Кроме этого, программа поддерживает 256-битное шифрование по стандарту AES, удаление всех следов нахождения в Интернете, имеет модуль шифрования почты, позволяющий вести шифрованную переписку, а также менеджер паролей. Имеется и такая полезная опция, как блокирование компьютера от посторонних Softodrom. URL: http: //soft. softodrom. ru/ap/Steganos-Privacy-Suite-p901.

3.2 Компьютерная стеганография

Компьютерная стеганография — направление стеганографии, основанное на особенностях компьютерной платформы. Основные положения современной компьютерной стеганографии следующие:

· методы скрытия должны обеспечивать аутентичность и целостность файла;

· безопасность методов основывается на сохранении стеганографическим преобразованием основных свойств открыто передаваемого файла при внесении в него секретного сообщения;

· извлечение секретного сообщения представляет сложную вычислительную задачу для противника.

Примеры компьютерной стеганографии:

· использование зарезервированных полей компьютерных форматов файлов;

· скрытие информации в неиспользуемых местах носителей информации;

· использование особых свойств полей форматов, которые не отображаются на экране;

· использование особенностей файловых систем.

3.3 Цифровая стенография

Цифровая стеганография — направление стеганографии, основанное на сокрытии или внедрении дополнительной информации в цифровые объекты. Чаще всего данный метод основывается на избыточности аудиовизуальной информации. Как правило, внесение искажений, которые находятся ниже порога чувствительности человека, не приводит к заметным изменениям этой информации.

Все алгоритмы встраивания скрытой информации можно разделить на несколько подгрупп:

· алгоритмы, использующие особенности цифрового сигнала;

· алгоритмы, использующие встраивание скрытой информации;

· алгоритмы, использующие особенности форматов файлов.

Существует несколько основных методов стеганографии — метод суррогатной, метод селективной и метод конструирующей стеганографии.

В методах суррогатной стеганографии отсутствует возможность выбора контейнера и для сокрытия сообщения выбирается первый попавшийся контейнер, зачастую не совсем подходящий к встраиваемому сообщению. В этом случае, биты контейнера заменяются битами скрываемого сообщения таким образом, чтобы это изменение не было заметным. Основным недостатком метода является то, он позволяет скрывать лишь незначительное количество данных.

В методах селективной стеганографии предполагается, что спрятанное сообщение должно воспроизводить специальные статистические характеристики шума контейнера. Для этого генерируют большое число альтернативных контейнеров, чтобы затем выбрать наиболее подходящий из них для конкретного сообщения. Частным случаем такого подхода является вычисление некоторой хеш-функция для каждого контейнера. При этом для сокрытия сообщения выбирается тот контейнер, хеш-функции которого совпадает со значением хеш-функции сообщения.

В методах конструирующей стеганографии контейнер генерируется самой стегосистемой. Здесь может быть несколько вариантов реализации. Так, например, шум контейнера может моделироваться скрываемым сообщением. Это реализуется с помощью процедур, которые не только кодируют скрываемое сообщение под шум, но и сохраняют модель первоначального шума. В предельном случае по модели шума может строиться целое сообщение.

Основные задачи, для решения которых можно использовать компьютерную и цифровую стеганографию:

· защита конфиденциальной информации от несанкционированного доступа;

· преодоление систем мониторинга и управления сетевыми ресурсами;

· камуфлирование программного обеспечения;

· защита авторского права на некоторые виды интеллектуальной собственности.

Защита конфиденциальной информации от несанкционированного доступа — это область, в которой использование компьютерной стеганографии является наиболее эффективным. Например, одна секунда оцифрованного звука с частотой дискретизации 44 100 Гц и разрядностью 8 бит позволяет скрыть за счет замены наименее значимых разрядов около 10 килобайт информации. При этом изменение звука практически не обнаруживается при прослушивании файла человеком.

Стеганографические методы, направленные на противодействие системам мониторинга и управления сетевыми ресурсами позволяют противостоять попыткам промышленного шпионажа.

Другой важной задачей стеганографии является камуфлирование программного обеспечения. При необходимости нужное ПО может быть закамуфлировано под стандартные программные продукты или скрыто в файлах мультимедиа. Довольно часто этот метод стеганографии используют создатели компьютерных вирусов и другого нежелательного ПО.

Ещё одной областью использования стеганографии является защита авторского права. На графические изображения может наноситься специальная метка, которая остаётся невидимой для глаз, но распознаётся специальным ПО и позволяет однозначно идентифицировать файл.

Таким образом, современная стеганография наряду с криптографией представляет множество средств защиты информации, и лучшим решением будет комбинирование как криптографических, так и стеганографических методов.

Основные программы стеганографии.

S-Tools 4.0 — Программа для скрытия данных от посторонних глаз. Работает без инсталляции. Использует метод стеганографии — данные прячутся в файлах графики (BMP или GIF) или музыкальном WAV-файле, которые внешне не отличаются от аналогичных файлов, не несущих спрятанной информации (картинку можно посмотреть, музыку можно послушать). Дело в том, что оцифрованные файлы (те же *. bmp или *. wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны). Кроме этого, программа позволяет не только спрятать информацию во внешне ничем не примечательном файле, но и зашифровать ее Softsearch. URL: http: //softsearch. ru/programs/133−068-s-tools-download. shtml.

Steganos Privacy Suite — (раньше называлась Security Suite) — cамая известная из программ, использующих стеганографию — способ шифрования данных, который скрывает сам факт шифрования. Для этого зашифрованные данные «прячутся» в файлах графики, или музыкальном файле, которые внешне ничем не отличаются от аналогичных файлов, не несущих зашифрованной информации — картинку можно посмотреть, музыку можно послушать.

Дело в том, что оцифрованные файлы (те же *. bmp или *. wav) могут быть в определенной степени изменены, и это не повлияет на качество звука или изображения (вернее, эти изменения будут практически не заметны).

От аналогичных программ Steganos Security Suite выгодно отличается способностью скрывать данные не только в файлах форматов wav и bmp, но и в html и даже в обычных текстовых. Не будет лишней и имеющаяся функция удаления файлов без возможности их восстановить. Кроме этого, программа поддерживает 256-битное шифрование по стандарту AES, удаление всех следов нахождения в Интернете, имеет модуль шифрования почты, позволяющий вести шифрованную переписку, а также менеджер паролей. Имеется и такая полезная опция, как блокирование компьютера от посторонних.

3.4 Защита информации от несанкционированного доступа

Несанкционированный доступ — доступ к информации со стороны лиц, не имеющих разрешение на получение этой информации. Также несанкционированным доступом называется получение доступа к информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Риски, которые несут современные предприятия в связи с НСД, сделали этот фактор одной из наиболее опасных угроз при работе с информацией. Таким образом, в системе защиты информации на первом месте находится защита от несанкционированного доступа.

Наиболее частыми причинами несанкционированного доступа к информации являются:

· ошибки конфигурации;

· слабая защищённость средств авторизации;

· физический доступ к плохо охраняемому оборудованию;

· ошибки в программном обеспечении;

· злоупотребление служебными полномочиями;

· прослушивание каналов связи при использовании незащищённых соединений;

· проникновение клавиатурных шпионов, вирусов и троянов на компьютеры сотрудников.

Средства защиты информации от несанкционированного доступа можно условно разделить на следующие категории:

· средства, затрудняющие физический доступ к объектам

· аппаратные и программные средства защиты информации

· организационные средства защиты информации

Программные и аппаратные средства в свою очередь можно разделить на:

· средства управления доступом;

· средства регистрации и учёта;

· криптографические средства;

· средства обеспечения целостности;

· средства антивирусной защиты;

· средства обнаружения вторжений.

Важным моментом является то, что о надёжной защите объекта можно говорить только при реализации системного подхода, то есть при комплексном применении программных и аппаратных средств вместе с организационными мерами.

ЗАКЛЮЧЕНИЕ

Во время прохождения учебной практики мы ознакомились с актуальными проблемами защиты информации в современном информационном обществе. Также мы ознакомились с отечественными и зарубежными разработками в области программно-аппаратных средств криптографической защиты информации, выяснили используемые алгоритмы шифрования, а также узнали различные способы стеганографической защиты информации.

После изучения материалов по теме мы сделали вывод, что наиболее перспективным направлением в сфере программно-аппаратной защиты информации является создание комплексных систем, решающих широкий круг задач. Примерами таких систем являются изученные нами два программно-аппаратных комплекса Российского производства: Крипто-Про УЦ и Крипто-Про CSP.

С другой стороны, существует набор узкоспециализированных инструментов, с помощью которых можно решать локальные задачи, не требующие комплексного подхода. Такими инструментами являются свободные программные продукты TrueCrypt и GNU Privacy Guard.

Можно сказать, что современные программно-аппаратные системы защиты информации находятся на достаточно высоком уровне, который практически всегда соответствует требованиям общества и государства. Однако, невозможно обойтись без своевременного внедрения и последующей грамотной эксплуатации данных систем. Также всегда стоит учитывать тот факт, что человечество постоянно развивается, и для решения новых задач потребуются все знания и умения специалиста по информационной безопасности, который должен всё время следить за изменяющимися потребностями общества в данной сфере.

Все задачи, поставленные в ходе учебной практики, успешно выполнены.

Библиографический список

1. Алексенцев А. И. История и современные системы защиты информации в России: учеб. -метод. комплекс / А. И. Алексенцев, В. И. Еремеева, И. А. Комочкова. — М. :РГГУ, 2002. -102 с.

2. Бузов Г. А. Практическое руководство по выявлению специальных технических средств несанкционированного получения информации / Г. А. Бузов. — М.: Горячая линия-Телеком, 2010. — 237 с.

3. Варакута С. А. Связи с общественностью: учеб. пособие / С. А. Варакута, Ю. Н. Егоров. — М.: ИНФРА-М, 2003. — 246 с.

4. Гашков С. Б. Криптографические методы защиты информации: учеб. пособие для студентов вузов / С. Б. Гашков, Э. А. Применко, М. А. Черепнев. — М.: Академия, 2010. — 297 с.

5. Грибунин В. Г. Комплексная система защиты информации на предприятии: учеб. пособие для студентов вузов / В. Г. Грибунин, В. В. Чудовский. — М.: Академия, 2009. — 411 с.

6. Гришина Н. В. Комплексная система защиты информации на предприятии: учеб. пособие для студентов вузов / Н. В. Гришина. — М.: ФОРУМ, 2011. — 238 с.

7. Грушо А. А. Теоретические основы компьютерной безопасности: учеб. пособие для студентов вузов / А. А. Грушо, Э. А. Применко, Е. Е. Тимонина. — М.: Академия, 2009. — 267 с.

8. Девянин П. Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для студентов вузов / П. Н. Девянин. — М.: Горячая линия-Телеком, 2011. — 319 с.

9. Домарев В. К Безопасность информационных технологий. Методология создания систем защиты / Домарев В. К.: ООО «ТИД «ДС» 2002 — 666 c.

10. Дорошенко В. Б. Учебно-методический комплекс по дисциплине Безопасность распределенных систем": для специальности 90 103. 65. — Организация и технология защиты информации" / В. Б. Дорошенко — Пятигорск: ПГЛУ, 2011. — 27 с.

11. Дорошенко В. Б. Учебно-методический комплекс по дисциплине Комплексная система защиты информации на предприятии": для специальности 90 103. 65. — «Организация и технология защиты информации» В. Б. Дорошенко — Пятигорск: ПГЛУ, 2011. — 32 с.

12. Коноплева И. А. Информационные технологии: учеб. пособие / И. А. Коноплева, О. А. Хохлова, А. В. Денисов. — М.: Проспект, 2007. — 294 с.

13. Лисавол Л. А. Учебно-методический комплекс по дисциплине «Средства обепечения корпоративных информационных систем»: для специальности 90 103. 65 «Организация и технология защиты информации» / Л. А. Лисавол — Пятигорск: ПГЛУ, 2011. — 38 с.

14. Минаев. В. В. Организация и технология защиты информации государственный образовательный стандарт высшего профессионального образования и примерные программы дисциплин федерального компонента / отв. ред. В. В. Минаев. — М.: РГГУ, 2001. — 358 с.

15. Михайлов А. В. Компьютерные вирусы и борьба с ними / А. В. Михайлов. — М.: Диалог-МИФИ, 2011. — 103 с.

16. Очаков А. К. Учебно-методический комплекс по дисциплине «Инженерно-техническая защита информации»: для специальности 90 103. 65. — «Организация и технология защиты информации» / А. К. Очаков Пятигорск: ПГЛУ, 2011. — 44 с.

17. Петренко С. А. Политики информационной безопасности / С. А. Петренко, В. А. Курбатов. — М.: Академия АйТи, 2006. — 394 с.

18. Писаренко Е. А. Учебно-методический комплекс по дисциплине «Базы данных»: для специальности 90 103. 65 «Организация и технология защиты информации» / Е. А. Писаренко — Пятигорск: ПГЛУ, 2011. — 45 с.

19. Рындюк В. А. Учебно-методический комплекс по дисциплине «История и современная система защиты информации в России»: для специальности 90 103. 65 «Организация и технология защиты информации» / В. А. Рындюк; Пятиг. гос. лингвист. ун-т. — Пятигорск: ПГЛУ, 2011. — 47 с.

20. Рындюк В. А. Учебно-методический комплекс по дисциплине «Основы информационной безопасности»: для направления подготовки 90 900. 62 «Информационная безопасность». Профиль. — «Организация и технология защиты информации» / В. А. Рындюк — Пятигорск: ПГЛУ, 2011. — 66 с.

21. Рындюк В. А. Учебно-методический комплекс по дисциплине «Системы защиты информации в ведущих зарубежных странах»: для специальности 90 103. 65 «Организация и технология защиты информации» очная форма обучения / В. А. Рындюк — Пятигорск: ПГЛУ, 2011. — 35 с.

22. Соловьев Э. Я. Коммерческая тайна и ее защита / Э. Я. Соловьев. — М.: ИВФ Антал, 1996. — 57 с.

23. Трофимова В. В. Информационные технологии в экономике и управлении учебник / под ред. В. В. Трофимова. — М.: Юрайт, 2011. — 478 с.

24. Черников Б. В. Информационные технологии управления: учебник / Б. В. Черников. — М.: ФОРУМ, 2008. — 351 с.

25. Ярочкин В. И. Информационная безопасность: учебник для вузов / В. И. Ярочкин. — М.: Академический Проект, 2008. — 542 с.

ПоказатьСвернуть
Заполнить форму текущей работой