Симметричное:
В симметричных криптосистемах для шифрования и расшифрования используется один и тот же ключ. Алгоритм и ключ выбирается заранее и известен обеим сторонам. Сохранение ключа в секретности является важной задачей для установления и поддержки защищённого канала связи. В связи с этим, возникает проблема начальной передачи ключа (синхронизации ключей). Кроме того существуют методы криптоатак, позволяющие так или иначе дешифровать информацию не имея ключа или же с помощью его перехвата на этапе согласования. В целом эти моменты являются проблемой криптостойкости конкретного алгоритма шифрования и являются аргументом при выборе конкретного алгоритма. Кроме того, невозможно установить подлинность и авторство текста.
Ассиметричное:
В системах с открытым ключом используются два ключа — открытый и закрытый, связанные определенным математическим образом друг с другом. Открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу и используется для шифрования сообщения и для проверки ЭЦП. Для расшифровки сообщения и для генерации ЭЦП используется секретный ключ
Данная схема решает проблему симметричных схем, связанную с начальной передачей ключа другой стороне. Если в симметричных схемах злоумышленник перехватит ключ, то он сможет как «слушать», так и вносить правки в передаваемую информацию. В асимметричных системах другой стороне передается открытый ключ, который позволяет шифровать, но не расшифровывать информацию. Таким образом решается проблема симметричных систем, связанная с синхронизацией ключей
Если необходимо наладить канал связи в обе стороны, то каждый будет знать свои закрытый, открытый ключи и открытый ключ собеседника. Закрытый ключ каждой стороны не передается по незащищенному каналу, тем самым оставаясь в секретности.
Методы разграничения доступа. Мандатное и дискретное управление доступом.
Определение полномочий субъекта для последующего контроля санкционированного использования им объектов информационной системы осуществляется после выполнения идентификации и аутентификации подсистема защиты.
Существуют следующие методы разграничения доступа:
· разграничение доступа по спискам - каждому пользователю – список ресурсов и прав доступа к ним или каждому ресурсу – список пользователей и их прав доступа к данному ресурсу.
· использование матрицы установления полномочий - подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в информационную систему, а столбцами – объекты (ресурсы) информационной системы.
· разграничение доступа по уровням секретности и категориям - полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.
· парольное разграничение доступа - Парольное разграничение основано на использовании пароля доступа субъектов к объектам.
Дискретное управление доступом представляет собой разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.
Мандатное управление доступом основано на сопоставлении меток конфиденциальности информации, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации соответствующего уровня конфиденциальности. Иначе, для реализации мандатного управления доступом каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. Это распределение по уровням секретности и категориям
Регистрация и аудит.
Регистрация представляет собой механизм, фиксирующий все события, касающиеся безопасности, такие как: вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытки доступа к защищаемым ресурсам, изменение полномочий субъектов доступа и статуса объектов доступа и т. д. Эффективность системы повышается в случае дополнения регистрации аудитом – анализом протоколируемой информации. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.
Цели:
· обеспечение подотчетности пользователей и администраторов
· обеспечение возможности реконструкции последовательности событий
· обнаружение попыток нарушений информационной безопасности
· предоставление информации для выявления и анализа проблем
Процесс ведения регистрационного журнала состоит из четырех этапов:
· сбор и хранение данных
· защита
· интеграция
· анализ
Анализ(аудит) можно проводить 2 способами:
· Статистические методы - основаны на определении среднестатистических значений параметров функционирования и сравнении их с текущими. Наличие определенных отклонений может сигнализировать об опасности(лавина запросов, вирус, внедрения в систему нарушителя и т.д.)
· Эвристические методы - логические правила обнаружения кодируют известные сценарии опасности или модели действий нарушителя. Понятно, что данные методы идентифицируют только известные угрозы, определенные в базе знаний системы.