Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства — программы, отражающие хакерские атаки.
Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.
К аппаратным средствам относятся:
генераторы шума,
сетевые фильтры,
сканирующие радиоприемники и
множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Примеры аппаратных средств защиты информации:
1. USB-идентификатор.
2. Смарт-карты и USB-ключи eToken
3. Электронный замок
Организационные
Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.
Законодательные
Законодательные средства — комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
В Российской Федерации вопросы защиты информации регулируются следующими документами:
1. Конституция Российской Федерации.
2. Законы Российской Федерации.
3. Гражданский кодекс Российской Федерации.
4. Уголовный кодекс Российской Федерации.
Это следующие документы:
международные всемирные конвенции об охране промышленной собственности, охране интеллектуальной собственности, авторском праве;
Конституция РФ (ст. 23);
Гражданский кодекс РФ (ст. 139);
Уголовный кодекс РФ (ст. 272; ст. 273; ст. 274);
Федеральный закон «Об информации, информатизации и защите информации» от 20.02.95 № 24-ФЗ (ст. 10);
Федеральный закон «О государственной тайне» от 21.07.93 № 5485-1 (ст. 5; ст. 8; ст. 20; ст. 28);
Психологические
Психологические средства — комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.
Нарушение информационной безопасности как психологическая проблема имеет и свою идеологию: «в государстве нарушают и воруют все». С некоторыми вариациями данное суждение существует уже столетия. Это связано с основными проблемами психологии человека и идеологии на уровне государства:
· Психологически человек не готов различать свое и чужое;
· В сознании людей закон не воспринимается как объективная реальность;
· Возможность заработать воспринимается людьми как возможность украсть;
· Наличие отраслей, в которых воровство традиционно негласно входит в систему оплаты труда.
· Цель психологического мониторинга - создание гармоничной среды, способствующей развитию людей и всей системы в целом, что предполагает:
· улучшение психологического климата организации и повышение «боевого духа ее сотрудников»;
· совершенствование практики подбора кадров;
· оказание поддержки сотрудникам в развитии их способностей;
· сплочение коллектива в единую команду;
· помощь людям в преодолении стрессов;
· достижение соответствия между внутренним потенциалом человека и его работой;
· устранение конфликтов;
· снижение текучести кадров;
· проведение разумной политики поощрения и наказания в фирме;
· консультирование руководителей по психологическим аспектам деятельности предприятия на рынке, включая переговоры, рекламу;
· консультирование руководителей и сотрудников по личным проблемам;
· обучение руководителей и сотрудников психологическим технологиям взаимодействия с людьми;
· обучение руководителей и сотрудников методам психологической защиты.
Контрольные вопросы:
1. Принцип аутентификации абонента?
Принцип аутентификации абонента в IEEE 802.11
Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию абонентского устройства радиодоступа, а не конкретного абонента как пользователя сетевых ресурсов. Процесс аутентификации абонента беспроводной локальной сети IEEE 802.11 состоит из следующих этапов:
· Абонент (Client) посылает фрейм Probe Request во все радиоканалы.
· Каждая точка радиодоступа (Access Point - AP), в зоне радиовидимости которой находится абонент, посылает в ответ фрейм Probe Response.
· Абонент выбирает предпочтительную для него точку радиодоступа и посылает в обслуживаемый ею радиоканал запрос на аутентификацию (Authentication Request).
· Точка радиодоступа посылает подтверждение аутентификации (Authentication Reply).
· В случае успешной аутентификации абонент посылает точке радиодоступа фрейм ассоциации (Association Request).
· Точка радиодоступа посылает в ответ фрейм подтверждения ассоциации (Association Response).
· Абонент может теперь осуществлять обмен пользовательским трафиком с точкой радиодоступа и проводной сетью.
2. Аутентификация по стандарту 802.11?
При активизации беспроводный абонент начинает поиск точек радиодоступа в своей зоне радиовидимости с помощью управляющих фреймов Probe Request. Фреймы Probe Request посылаются в каждый из радиоканалов, поддерживаемых абонентским радиоинтерфейсом, чтобы найти все точки радиодоступа с необходимыми клиенту идентификатором SSID и поддерживаемыми скоростями радиообмена.
3. Открытая аутентификация?
Открытая аутентификация, по сути, не является алгоритмом аутентификации в привычном понимании. Точка радиодоступа удовлетворит любой запрос открытой аутентификации. На первый взгляд использование этого алгоритма может показаться бессмысленным, однако следует учитывать, что разработанные в 1997 году методы аутентификации IEEE 802.11 ориентированы на быстрое логическое подключение к беспроводной локальной сети.
4. Аутентификация с общим ключом?
Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP.
Абонент посылает точке радиодоступа запрос аутентификации, указывая при этом необходимость использования режима аутентификации с общим ключом.
Точка радиодоступа посылает подтверждение аутентификации, содержащее Challenge Text.
Абонент шифрует Challenge Text своим статическим WEP-ключом и посылает точке радиодоступа запрос аутентификации.
Если точка радиодоступа в состоянии успешно расшифровать запрос аутентификации и содержащийся в нем Challenge Text, она посылает абоненту подтверждение аутентификации, таким образом предоставляя доступ к сети.
5. Уязвимость механизмов аутентификации 802.11?
Уязвимость механизмов аутентификации 802.11
Проблемы идентификатора беспроводной ЛВС
Идентификатор SSID регулярно передается точками радиодоступа в специальных фреймах Beacon. Несмотря на то, что эти фреймы играют чисто информационную роль в радиосети, т. е. совершенно "прозрачны" для абонента, сторонний наблюдатель в состоянии с легкостью определить SSID с помощью анализатора трафика протокола 802.11, например Sniffer Pro Wireless.
6. Уязвимость открытой аутентификации?
Уязвимость открытой аутентификации
Открытая аутентификация не позволяет точке радиодоступа определить, является абонент легитимным или нет. Это становится заметной брешью в системе безопасности в том случае, если в беспроводной локальной сети не используется шифрование WEP
D-Link не рекомендует эксплуатацию беспроводных сетей без шифрования WEP. В тех случаях, когда использование шифрования WEP не требуется или невозможно (например, в беспроводных локальных сетях публичного доступа), методы аутентификации более высокого уровня могут быть реализованы посредством Internet-шлюзов.
7. Уязвимость аутентификации по МАС-адресу?
Уязвимость аутентификации по МАС-адресу
Стандарт IEEE 802.11 требует передачи MAC-адресов абонента и точки радиодоступа в открытом виде. В результате в беспроводной сети, использующей аутентификацию по MAC-адресу, злоумышленник может обмануть метод аутентификации путем подмены своего MAC-адреса легитимным. Подмена MAC-адреса возможна в беспроводных адаптерах, допускающих использование локально администрируемых MAC-адресов. Злоумышленник может воспользоваться анализатором трафика протокола IEEE 802.11 для выявления MAC-адресов легитимных абонентов.
8. Современные методы защиты информации?
Современные методы защиты информации
Сегодня используется шесть основных способов защиты:
· Препятствие
· Маскировка
· Регламентация
· Управление
· Принуждение
· Побуждение
9. Средства защиты информационных систем?
Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:
· Физические;
· Программные и аппаратные;
· Организационные;
· Законодательные;
· Психологические.
10. Описать 4 уровня безопасности системы?
В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:
D — нулевой уровень безопасности;
С — системы с произвольным доступом;
В — системы с принудительным доступом;
А — системы с верифицируемой безопасностью.
Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.
В уровне С есть следующие классы — С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.
Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры. Класс безопасности В2 характерен для многих современных систем и предполагает: Снабжение метками секретности всех ресурсов системы; Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью. Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.
Уровень А включает один, наивысший класс безопасности — А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.
Практическая работа №5
Тема: Криптографические средства защиты информации.
Цель: получить практический опыт в определении цели развертывания и сферы применения инфраструктуры открытых ключей, а также в применении шифрования и электронно-цифровой подписи.
Ход работы