Анализ существующей системы защиты информации на предприятии

     Криптография  делится на два класса: с симметричными  ключами и открытыми ключами.

     В криптографии с симметричными ключами  отправитель и получатель используют один и тот же (общий) ключ, как для шифрования, так и для расшифрования.

     Преимущества  криптографии с симметричными ключами:

• Производительность - Производительность алгоритмов с симметричными ключами очень велика.
• Стойкость - Криптография с симметричными ключами очень стойкая, что делает практически невозможным процесс дешифрования. При прочих равных условиях (общий алгоритм) стойкость определяется длиной ключа. При длине ключа 256 бит необходимо произвести 10 в 77 степени переборов для определения ключа.

     Недостатки  криптографии с симметричными ключами:

• Распределение ключей - Так как для шифрования и расшифрования используется один и тот же ключ, при использовании криптографии с симметричными ключами требуются очень надежные механизмы для распределения ключей.
• Масштабируемость - Так как используется единый ключ между отправителем и каждым из получателей, количество необходимых ключей возрастает в геометрической прогрессии. Для 10 пользователей нужно 45 ключей, а для 100 уже 499500.
• Ограниченное использование - Так как криптография с симметричными ключами используется только для шифрования данных и ограничивает доступ к ним, при ее использовании невозможно обеспечить аутентификацию и неотрекаемость.

     В криптографии с открытыми ключами  используется пара ключей: открытый ключ и секретный (личный) ключ, известный только его владельцу. В отличие от секретного ключа, который должен сохраняться в тайне, открытый ключ может распространяться по сети. Секретный ключ в криптографии с открытыми ключами используется для формирования электронной подписи и расшифрования данных.

     Криптография  с открытыми ключами обеспечивает все требования, предъявляемые к  криптографическим системам. Но реализация алгоритмов требует больших затрат процессорного времени. Поэтому  в чистом виде криптография с открытыми  ключами в мировой практике обычно не применяется. Для шифрования данных используются симметричные (сеансовые) ключи, которые в свою очередь шифруются с использованием открытых для передачи сеансовых ключей по сети.

     Криптография  с открытыми ключами требует  наличия Инфраструктуры Открытых Ключей (PKI - Public Key Infrastructure) - неотъемлемого сервиса для управления электронными сертификатами и ключами пользователей, прикладного обеспечения и систем.

     Инфраструктура  Открытых Ключей  (ИОК) используется для управления ключами и электронными сертификатами в приложениях  (таких как электронная почта, Web приложения, электронная коммерция), использующих криптографию для установления защищенных сетевых соединений (S/MIME, SSL, IPSEC), или для формирования ЭЦП электронных документов, приложений и т.д. Кроме того, ИОК может быть использована для корпоративных приложений.

• Электронная почта и документооборот

     Защищенные  электронная почта и документооборот  используют криптографию для шифрования сообщений или файлов и формирования ЭЦП. Из наиболее известных и распространенных стандартов стоит отметить протокол S/MIME (Secure Multipurpose Internet Mail Extensions), который является расширением стандарта Internet почты MIME  (Multipurpose Internet Mail Extensions).

• Web приложения

     Web броузеры и сервера используют ИОК для аутентификации и конфиденциальности сессии, а также для онлайновых банковских приложений и электронных магазинов. Наиболее распространенным протоколом в этой сфере является протокол SSL (Secure Sockets Layer). Протокол SSL не ограничивается применением только для защиты HTTP (Hypertext Transfer Protocol), а также может быть использован для FTP (File Transfer Protocol) и Telnet.

• ЭЦП файлов и приложений

     Использование ЭЦП для подписи приложений и  файлов позволяет безопасно распространять их по сети Internet. При этом пользователь уверен в корректности полученного приложения от фирмы-разработчика. 

     2.3. IPSec 

     В ОАО «ВолгаТелеком» протокол IPSec применяется для усиления криптографической защиты информации в протоколе L2TP (L2TP with IPsec). Этот протокол был разработан для создания средств обеспечения защищенной передачи пакетов протокола IPv6. Основная задача IPSec - обмен сеансными ключами, используемыми для шифрования данных, и их администрирование. В протоколе применяется схема обмена ключами IKE (Internet Key Exchange), которая в настоящее время утверждается в качестве стандарта IETF. Схема IKE представляет собой два похожих модуля: IKE aggressive mode - для быстрого распределения ключей и IKE X.509 certificates -для использования сертификатов публичных ключей. Протокол IPSec выделяет два заголовка в IP-пакете, которые используются системами аутентификации и шифрования данных: АН (Authentification Header - заголовок аутентификации) и ESP (Encapsulating Security Payload - заголовок протокола безопасного закрытия содержания).

     Спецификация IPSec предусматривает применение АН и ESP к IP-пакету двумя способами. В  стандартном режиме передачи данных аутентификации и шифрованию подвергается только заголовок IP-пакета. В режиме тоннелирования аутентификация и шифрование распространяются на весь пакет. При выборе режима нужно определить, какой фактор более важен: скорость доставки данных или безопасность информации. Существует три модификации протокола

     IPSec:

     IPsec gateway - для связи между различными сетями;  

     IPsec client for Windows - для связи с клиентской Windows-машиной;  

     IPsec client for Macintosh - для связи с клиентской Macintosh-машиной. 

     2.4. VPN 

     VPN одна из перспективных и быстроразвивающихся  сфер технологии обеспечения Информационной безопасности, которой пользуется не только ОАО «ВолгаТелеком», но и масса других предприятий. Защищая информацию, передаваемую по открытым каналам связи с помощью VPN технологии, можно построить защищенную виртуальную частную сетей (VPN) внутри любой другой сети. Информация VPN сети будет не доступна другим пользователям сети. По VPN сети может передаваться конфиденциальная и бухгалтерская информация. VPN- технология обеспечивает:

• Защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
• Контроль доступа в защищаемый сектор сети;
• Безопасный доступ пользователей VPN к ресурсам сетей общего пользования;
• Централизованное управление политикой корпоративной сетевой безопасности.

 
 
 

2.5. Электронно-цифровая подпись (ЭЦП) 

     В отечественной литературе прижились  три термина для определения  одного понятия: электронная подпись; электронно-цифровая подпись (ЭЦП); цифровая подпись. Последний вариант является прямым переводом английского словосочетания digital signature. Термин «цифровая подпись» более удобен и точен.

     Содержание  документа на бумажном носителе, заверенного  печатью и преобразованного в  электронный документ, в соответствии с нормативными  правовыми актами или соглашением сторон может  заверяться электронной цифровой подписью уполномоченного лица.

     В случаях, установленных законами и  иными нормативными правовыми актами Российской Федерации или соглашением сторон, электронная цифровая подпись в электронном документе, сертификат которой содержит необходимые при осуществлении данных отношений сведения о правомочиях его владельца, признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью.

     Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.¹

     Электронная цифровая подпись представляет собой  последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи².

     Электронная цифровая подпись в электронном  документе равнозначна  собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

     - сертификат ключа подписи, относящийся  к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при  наличии доказательств, определяющих момент подписания. Сертификат ключа  подписи  - это документ на бумажном носителе или электронный  документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для  подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;

     - подтверждена подлинность электронной цифровой подписи в электронном документе. Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия  искажений в подписанном данной электронной цифровой подписью электронном документе;

     - электронная цифровая подпись  используется в соответствии со сведениями, указанными в сертификате ключа подписи.

     ЭЦП, как и другие реквизиты документа, выполняющие удостоверительную функцию (собственноручная подпись, печать и др.), является средством, обеспечивающим конфиденциальность информации.

     Заключение.

 

     Стандарт по информационной безопасности определяет защиту информации как деятельность, направленную на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на информацию. И если первое направление (предотвращение утечки) должно предупреждать разглашение конфиденциальных сведений, несанкционированный доступ к ним, то два других направления защищают от одинаковых угроз (искажение конфиденциальной информации, ее уничтожение, блокирование доступа и аналогичные действия с носителем информации). Вся разница заключается в наличии или отсутствии умысла в действиях с информацией (рис. 3.1.).  

     

     Рис.3.1. Защита информации «ВолгаТелеком»

     Больше  всего угроз по-прежнему создают  компьютерные вирусы (в число которых помимо традиционных файловых, загрузочных, макровирусов и т. п. вредоносных программ входят также «трояны», «вандалы», перехватчики паролей и т. д.) и атаки распространителей спама.

     Внутри  локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к монитору бумажки с записанным логином и паролем.

     В ОАО «ВолгаТелеком» зачастую не придается значения разграничению доступа между легальными пользователями. Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату начальства, а вот по отношению к конфиденциальной информации действует, так сказать, принцип «каждому — по интересам», и сведения, предназначенные двум-трем топ-менеджерам, становятся известны чуть ли не половине офиса.

     Можно выделить несколько основных задач, решение которых в «ВолгаТелекоме» обеспечивает защиту информации.

     Это:

     - организация доступа к информации  только допущенных к ней лиц;

     - подтверждение истинности информации;

     - защита от перехвата информации  при передаче ее по каналам  связи;

     - защита от искажений и ввода  ложной информации.

     Защитить  информацию – это значит:

• обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;
• не допустить подмены (модификации) элементов информации при сохранении ее целостности;
• не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
• быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.