Программно-аппаратные средства защиты информации

МОЯ СПЕЦИАЛЬНОСТЬ

 

Характерной чертой современного общества является тот факт, что информация представляет собой один из важнейших ресурсов, а средства её обработки и хранения используются практически во всех сферах нашей деятельности - от обеспечения национальной безопасности и здравоохранения до покупок через интернет и межличностного общения. Постоянно увеличивается количество людей, занятых производством и потреблением информации, всё больше возрастает значимость знаний и доля умственного труда. Самые последние достижения человечества в области IT активно используются в нашей повседневной жизни, и с каждым днём увеличивается доля информационных технологий в жизни общества. Данный социальный и технологический процесс, который является основной движущей силой современного общества, называется «информатизация», а тип общества - информационным.

Таким образом, человечество уже на данном этапе своего развития зависит от информации и информационных технологий, обеспечивающих её хранение, обработку и распространение. Поэтому проблема обеспечения защищённости информации и информационных систем является одной из важнейших проблем современности.

Есть ряд причин, которыми обусловлена возрастающая актуальность проблемы обеспечения информационной безопасности:

·   постоянное возрастание мощности компьютеров при одновременном упрощении их эксплуатации;

·   усложнение технических средств обработки и передачи информации;

·   всё большая интеграция информационных технологий в самые различные сферы деятельности;

·   расширение круга пользователей, имеющих доступ к вычислительным ресурсам и массивам данных;

·   развитие глобальных сетей передачи данных.

Важные проблемы информационной безопасности напрямую зависят от развития информационных технологий и от степени их проникновения в различные сферы деятельности общества. Поэтому специалист по защите информации не должен отставать от темпа развития информационного общества и всегда быть в курсе последних событий и инноваций в IT-сфере.

Одной из главных проблем сегодня является увеличение числа компьютерных преступлений. Согласно данным компании Group-IB, за 2011 год только в России было заработано около 4.5 миллиардов долларов с помощью компьютерных преступлений. Финансовые показатели мирового рынка компьютерной преступности в 2011 году составили 12.5 миллиардов долларов. Получается, что на долю нашей страны приходится почти треть всех преступных доходов, что почти в два раза превосходит прошлогодние показатели. Причём большую часть преступного рынка составляет интернет-мошенничество и спам. Так, интернет-мошенники за 2011 год заработали около 942 миллионов долларов. Спамеры - около 830 миллионов. Причём большая часть киберпреступлений остаётся нераскрытой и не регистрируется правоохранительными органами, а около 19 процентов нарушений было обнаружено случайно. Проблема состоит в том, что законодательство отстаёт от потребностей практики, и это особенно сказывается на обеспечении защиты от преднамеренных действий преступников.

Важным элементом развития информационного общества является информационная культура в узком её смысле - набор знаний об информационной среде, законах её функционирования и умение ориентироваться в информационных потоках. Эти знания будут способствовать общему снижению уровня компьютерной преступности. Также необходимо своевременно информировать общество о способах противодействия компьютерным преступлениям, о новых видах мошенничества. Можно с уверенностью сказать, что теоретические исследования проблем современного общества в IT-среде, нахождение решений и реализация их на практике лежит в области деятельности специалистов в сфере защиты информации. Таким образом, это одна из важнейших и актуальнейших профессий на сегодняшний день.

К области деятельности специалиста по защите информации также относится корпоративный сектор в рамках государственных учреждений либо коммерческих организаций, где необходимо выполнять одни из следующих видов деятельности: экспериментально-исследовательскую, проектную, организационно-управленческую либо эксплуатационную. Специалист по защите информации выполняет сложные работы, связанные с обеспечением комплексной защиты информации, разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Он организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации, проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли для выработки мер и принятия решений. Так же он анализирует существующие методы и средства, применяемые для защиты информации, и разрабатывает предложения по их совершенствованию. Специалист по защите информации должен знать основные виды угроз, а также принимать комплексные меры по противодействию им.

Таким образом, специалист по защите информации на предприятии должен выполнять следующие задачи:

Во-первых, это анализ и исследование, построение модели безопасности. Для этого необходимо знать основные направления экономического и социального развития отрасли, специализацию и особенности предприятия, специфику работы конкурентов, кадровые проблемы и т.д. Во-вторых - разработка организационно-правовых документов. Здесь необходимы знания законодательства и права, основ организации, планирования и управления предприятием.

В-третьих, специалист по защите информации руководит приобретением, установкой и настройкой программных и технических средств защиты.

В-четвертых - поддержка, обновление и модернизация созданной системы безопасности, управление персоналом и предприятием в контексте информационной безопасности, слежение за тенденциями в области ИБ и своевременное внедрение новых технологий и решений.

Кроме этого, специалист должен постоянно развиваться и совершенствоваться, чтобы не отставать от темпа развития современных информационных технологий.

Требования к используемым криптографическим средствам за рубежом и в России

Симметричный алгоритм блочного шифрования AES (Advanced Encryption Standard) принят в качестве стандарта шифрования правительством США. Спецификации алгоритма были опубликованы Национальным институтом стандартов и технологий США 26 ноября 2001 года. AES является самым распространённым алгоритмом симметричного шифрования в настоящее время. Поддержка данного алгоритма введена фирмой Intel в семейство процессоров, начиная с микроархитектуры Sandy Bridge. Алгоритм принят в качестве государственного стандарта шифрования, так как он соответствует определённым требованиям:

· 128-битный размер блока шифруемых данных;

·   поддержка алгоритмом размеров ключей шифрования в 128, 192 и 256 бит;

·   стойкость против известных атак;

·   ясная, простая и обоснованная структура алгоритма;

·   отсутствие коллизий;

·   высокая скорость шифрования данных на всех потенциальных шифровальных платформах - от 8 битных до 64-битных;

·   возможность параллельного выполнения операций в многопроцессорных системах.

Стандарт шифрования в Российской Федерации ГОСТ 28147-89 также относится к симметричным криптографическим алгоритмам. Он введён в действие с июля 1990 года и устанавливает единый алгоритм криптографических преобразований для систем обмена информацией в вычислительных сетях, а также определяет правила шифрования и расшифровки данных. ГОСТ 28147-89 является 64-битовым алгоритмом шифрования с 256-битовым ключом. Алгоритм удовлетворяет современным криптографическим требованиям и не накладывает ограничений на степень секретности защищаемой информации. При использовании метода гаммирования алгоритм может выполнять функции поточного шифрования.

Данный стандарт удобен как для аппаратной, так и для программной реализации. При размере блока данных 64 бита основная работа ведется с половинами этого блока, что позволяет эффективно реализовать указанный стандарт шифрования на большинстве современных компьютеров.

Достоинства ГОСТ 28147-89:

· бесперспективность силовой атаки;

·   эффективность реализации;

·   высокое быстродействие;

·   наличие защиты от навязывания ложных данных.

Недостатки ГОСТ 28147-89:

· невозможность определения криптостойкости алгоритма, не зная таблицы замен;

·   возможная несовместимость реализаций алгоритмов от различных производителей, так как могут использоваться разные таблицы замен;

·   возможность преднамеренного предоставления слабых таблиц замены;

·   отсутствие в стандарте запрета на использование таблиц замены, в которых узлы не являются перестановками, что может привести к снижению криптостойкости шифра.

Стеганография

 

Стеганография - наука о скрытой передаче информации путём сохранения в тайне самого факта передачи сообщения.

Слово "стеганография" в переводе с греческого буквально означает "тайнопись" (steganos - секрет, тайна; graphy - запись). К ней относится огромное множество секретных средств связи, таких как невидимые чернила, микрофотоснимки, условное расположение знаков, тайные каналы и средства связи на плавающих частотах и т. д.

В отличие от криптографии, которая скрывает содержимое сообщения, стеганография скрывает сам факт его существования. Как правило, сообщение будет выглядеть как что-либо иное, например, как изображение, статья, список покупок или письмо. Стеганографию обычно используют совместно с криптографией.

Преимущество стеганографии над чистой криптографией состоит в том, что сообщения не привлекают к себе внимания. Сообщения, факт шифрования и передачи которых не скрыт, могут вызывать подозрения. Таким образом, криптография защищает содержание сообщения, а стеганография защищает сам факт наличия каких-либо скрытых посланий.

В наше время существует три типа стеганографии - классическая, компьютерная и цифровая.

МОЯ СПЕЦИАЛЬНОСТЬ

 

Характерной чертой современного общества является тот факт, что информация представляет собой один из важнейших ресурсов, а средства её обработки и хранения используются практически во всех сферах нашей деятельности - от обеспечения национальной безопасности и здравоохранения до покупок через интернет и межличностного общения. Постоянно увеличивается количество людей, занятых производством и потреблением информации, всё больше возрастает значимость знаний и доля умственного труда. Самые последние достижения человечества в области IT активно используются в нашей повседневной жизни, и с каждым днём увеличивается доля информационных технологий в жизни общества. Данный социальный и технологический процесс, который является основной движущей силой современного общества, называется «информатизация», а тип общества - информационным.

Таким образом, человечество уже на данном этапе своего развития зависит от информации и информационных технологий, обеспечивающих её хранение, обработку и распространение. Поэтому проблема обеспечения защищённости информации и информационных систем является одной из важнейших проблем современности.

Есть ряд причин, которыми обусловлена возрастающая актуальность проблемы обеспечения информационной безопасности:

·   постоянное возрастание мощности компьютеров при одновременном упрощении их эксплуатации;

·   усложнение технических средств обработки и передачи информации;

·   всё большая интеграция информационных технологий в самые различные сферы деятельности;

·   расширение круга пользователей, имеющих доступ к вычислительным ресурсам и массивам данных;

·   развитие глобальных сетей передачи данных.

Важные проблемы информационной безопасности напрямую зависят от развития информационных технологий и от степени их проникновения в различные сферы деятельности общества. Поэтому специалист по защите информации не должен отставать от темпа развития информационного общества и всегда быть в курсе последних событий и инноваций в IT-сфере.

Одной из главных проблем сегодня является увеличение числа компьютерных преступлений. Согласно данным компании Group-IB, за 2011 год только в России было заработано около 4.5 миллиардов долларов с помощью компьютерных преступлений. Финансовые показатели мирового рынка компьютерной преступности в 2011 году составили 12.5 миллиардов долларов. Получается, что на долю нашей страны приходится почти треть всех преступных доходов, что почти в два раза превосходит прошлогодние показатели. Причём большую часть преступного рынка составляет интернет-мошенничество и спам. Так, интернет-мошенники за 2011 год заработали около 942 миллионов долларов. Спамеры - около 830 миллионов. Причём большая часть киберпреступлений остаётся нераскрытой и не регистрируется правоохранительными органами, а около 19 процентов нарушений было обнаружено случайно. Проблема состоит в том, что законодательство отстаёт от потребностей практики, и это особенно сказывается на обеспечении защиты от преднамеренных действий преступников.

Важным элементом развития информационного общества является информационная культура в узком её смысле - набор знаний об информационной среде, законах её функционирования и умение ориентироваться в информационных потоках. Эти знания будут способствовать общему снижению уровня компьютерной преступности. Также необходимо своевременно информировать общество о способах противодействия компьютерным преступлениям, о новых видах мошенничества. Можно с уверенностью сказать, что теоретические исследования проблем современного общества в IT-среде, нахождение решений и реализация их на практике лежит в области деятельности специалистов в сфере защиты информации. Таким образом, это одна из важнейших и актуальнейших профессий на сегодняшний день.

К области деятельности специалиста по защите информации также относится корпоративный сектор в рамках государственных учреждений либо коммерческих организаций, где необходимо выполнять одни из следующих видов деятельности: экспериментально-исследовательскую, проектную, организационно-управленческую либо эксплуатационную. Специалист по защите информации выполняет сложные работы, связанные с обеспечением комплексной защиты информации, разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов. Он организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации, проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли для выработки мер и принятия решений. Так же он анализирует существующие методы и средства, применяемые для защиты информации, и разрабатывает предложения по их совершенствованию. Специалист по защите информации должен знать основные виды угроз, а также принимать комплексные меры по противодействию им.

Таким образом, специалист по защите информации на предприятии должен выполнять следующие задачи:

Во-первых, это анализ и исследование, построение модели безопасности. Для этого необходимо знать основные направления экономического и социального развития отрасли, специализацию и особенности предприятия, специфику работы конкурентов, кадровые проблемы и т.д. Во-вторых - разработка организационно-правовых документов. Здесь необходимы знания законодательства и права, основ организации, планирования и управления предприятием.

В-третьих, специалист по защите информации руководит приобретением, установкой и настройкой программных и технических средств защиты.

В-четвертых - поддержка, обновление и модернизация созданной системы безопасности, управление персоналом и предприятием в контексте информационной безопасности, слежение за тенденциями в области ИБ и своевременное внедрение новых технологий и решений.

Кроме этого, специалист должен постоянно развиваться и совершенствоваться, чтобы не отставать от темпа развития современных информационных технологий.

ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ