Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Данный метод защиты реализуется в виде программ или пакетов программ.
Современная криптография включает в себя четыре крупных раздела:
1. Симметричные криптосистемы - для шифрования и для дешифрования используется один и тот же ключ. (Шифрование - преобразовательный процесс: исходный текст, который называют открытым текстом, заменяется шифрованным текстом, дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный. Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов);
2. Криптосистемы с открытым ключом - используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. Алгоритмы шифрования с открытым ключом получили широкое распространение в современных ИС. Так, алгоритм RSA стал мировым стандартом для открытых систем и используется в банковских компьютерных сетях, для работы с удаленными клиентами (обслуживание кредитных карт);
3. Электронная подпись. Системой электронной подписи называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.
4. Управление ключами – это процессы системы обработки информации, содержанием которых является составление и распределение ключей между пользователями. Управление ключами - информационный процесс, включающий в себя три элемента:
· генерация ключей - используются специальные аппаратные и программные методы генерации случайных ключей;
· накопление ключей - организация их хранения, учета и удаления. Принятие, хранение, учет и удаление используемых ключей реализуется базой данных. Каждая информация об используемых ключах должна храниться в зашифрованном виде;
· распределение ключей – обмен между пользователями ИС.
Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.
1.8 Экранирование. Межсетевые экраны
Экранирование – механизм обеспечения целостности данных и информации в информационных системах, выполняющий разграничение информационных потоков между сетями.
С одной стороны данный механизм позволяет обезопасить информацию внутри сети, игнорируя внешние несанкционированные запросы на доступ. Т.е. нарушителю, чтобы проникнуть в защищенную систему потребуется преодолеть определенный защитный барьер.
С другой стороны данный механизм контролирует исходящие информационные потоки, что повышает режим конфиденциальности. Кроме этого экранирование позволяет регистрировать информационный обмен.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в ИС и/или выходящих из ИС, и обеспечивает защиту ИС посредством фильтрации информации, возможно, с выполнением некоторых преобразований.
Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее распространении в/из ИС. В общем случае межсетевой экран выполняет свои функции, контролируя все информационные потоки между двумя сегментами сети или сетями.
Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.
Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В этой межсетевые экраны классифицируют следующим образом:
· внешние (обеспечивающие защиту ИС от внешней среды);
· внутренние (обеспечивающие защиту между сегментами корпоративной сети).
Работа всех межсетевых экранов строится на основе базовой модели OSI / ISO. Чем выше уровень фильтрации пакетов, тем выше уровень защиты. На основании модели OSI / ISO все сетевые экраны делят на:
· межсетевые экраны с фильтрацией пакетов;
· шлюзы сеансового уровня;
· шлюзы прикладного уровня;
· межсетевые экраны экспертного уровня.
Существует два основных способа создания наборов правил межсетевого экрана:
· исключающий - позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил;
· включающий - пропускает только трафик, соответствующий правилам и блокирует все остальное. Обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.
Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, являющихся выражением политики безопасности организации.