СЕКЦИЯ ИНФОРМАТИКИ

Система защиты информации от несанкционированного доступа

   

Основные методы защиты информации

    При работе за одним компьютером нескольких пользователей часто возникает проблема защиты конфеденциальных данных от случайного доступа.

    Существует несколько способов защиты информации:

    1. Защита отдельных файлов от чтения, удаления, копирования.

    2. Программы, распределяющие права пользователей.

    3. Архивация данных под паролем.

    4. Защита данных методом прозрачного кодирования.

    Первые 2 способа неэффективны, так как достаточно удалить программу защиты из памяти и данные будут доступны для любого пользователя. Архивация данных с использованием пароля неэффективна, так как не позволяет защитить данные от удаления, а при работе с данными приходится их извлекать из архива, при этом они остаются незащищенными. Поэтому метод прозрачного кодирования наиболее эффективен, так как удаление защищающей программы из памяти ничего не дает - данные остаются закодированными. В нашей программе мы использовали именно этот метод. Наша программа также дает возможность защитить отдельные файлы от улаления, путем защиты от записи любого физического диска, и от чтения, путем защиты диска от чтения.

   

Способы кодирования информации.

    Криптография - наука, изучающая способы шифрования данных. Она известна с древнейших времЈн. Различные способы криптографии применялись для зашифровки военных, дипломатических, торгово-финансовых, религиозных сообщений. Но своеЈ наибольшее развитие криптография получила при появлении компьютеров. Основным методом защиты информации на ПК является кодирование данных по некоторому алгоритму. В данном докладе раскрываются основные способы кодирования информации.

    1. Гомирование - наложение пароля по некоторому алгоритму на шифруемые данные. В качестве пароля может служить строка символов, последовательность цифр и т.п. Для того чтобы расшифровать данные необходимо знать пароль и алгоритм, по которому они были закодированы. Данный способ не эффективен при пароле малой длины и большом объеме шифруемых данных и легко вскрывается. Также гомирование не эффективно, когда известен какой-то кусок сообщения, так как в этом случае легко вычислить ключ.

    2. Перестановка. В сообщении по некоторому алгоритму меняются местами отдельные символы. При этом используется какой-то ключ. Этот алгоритм не эффективен при малой длине шифруемых данных.

    Более надежную защиту данных дает одновременное использование гомирования и перестановки. В этом случае становиться труднее подобрать ключ.

    3. Взбивание - это шифрование, за счет многочисленных перестановок и гомирования, осуществляемое на уровне битов. Основным достоинством этого способа является то, что при изменении одного символа пароля меняются все символы зашифрованной информации, в отличии от гомирования, при котором меняются лишь отдельные символы (их количество зависит от длины сообщения и ключа - чем больше ключ, тем меньшее количество символов меняется). Поэтому взбивание дает более надежную защиту информации.

    4. Шифр подстановки или замены. В сообщении по некоторому принципу один символ заменяется на другой символ, на последовательность символов или на соответствующие цифры. Для повышения надежности можно использовать шифр многоалфавитной замены, при котором один символ может быть заменен одним из нескольких. Также можно заменять не символ, а пару символов. Часто для шифра замены используются таблицы, показывающие, на какой символ можно заменить данный. Этот шифр легко вскрыть путем расчетов и вычислений повторяемости отдельных знаков, если шифруется сообщение очень большой длины.

   

Система защиты информации "Defender"

    Цель создания системы - отработать полученные навыки в написании резидентных программ, методы взаимодействия обработчиков прерываний в памяти и различные методы шифрования данных.

   

Состав системы:

    Вся система состоит из 3 частей.

    I.Менеджер. В задачи менеджера входит распределение ресурсов ЭВМ и настройка прав пользователей, то есть изменение, удаление, добавление и изменение уровней доступа.

    Права пользователей подразделяются на обычные и расширенные. Пользователь, имеющий обычные права, может только менять свой пароль и имя. Возможности супервизора намного шире. Он может менять права, имена и пароли любого другого пользователя, а также удалять и добавлять новых.

    По желанию супервизора любой из существующих дисков может быть зашифрован. По введенной строке пароля формируется многобайтный код (по которому и осуществляется шифрование), а также признак пароля. При раскодировании пользователь должен ввести тот же пароль, что и при кодировании. Признак введенного пароля сравнивается с хранящимся признаком, и если они совпадают, то работа с диском разрешается. Каждому паролю соответствует единственный признак, обратное не верно, то есть невозможно по признаку восстановить пароль или многобайтный код шифровки.

    II.Оболочка, работающая с пользователями. Она по введенному имени и паролю пользователя определяет его права, которые и посылает резидентной части.

    III.Резидент. При попытке считать или записать информацию он либо разрешает, либо запрещает работу с диском. Если диск закодирован, то, прежде чем передать информацию, он ее кодирует при записи и декодирует при чтении. Также резидент при запрещЈнной графике запрещает программам работать в графическом режиме.

   

Возможности системы:

    Защита данных методом прозрачного шифрования информации на винчестере.

    Защита от записи любого физического диска.

    Защита от чтения любого физического диска.

    Защита от запуска игровых программ, работающих в графическом режиме.

    Защита от копирования и удаления файлов.

   

Защита от взлома.

    Для доступа в систему необходимо ввести свои имя и пароль. Их максимальная длина - 49 символов, так что подобрать их практически невозможно. По специальному алгоритму формируется число - признак пароля. Каждому паролю соответствует единственный признак пароля. Обратное восстановление пароля по его признаку невозможно.

    Существуют программы, контролирующие клавиатуру и подслушивающие пароль. Менеджер работает с клавиатурой напрямую через ПЗУ, так что перехватить и пароль нельзя. Нельзя также самовольно изменить свои права раскодировав файл с данными, так как каждая запись в файл кодируется тремя совершенно разными способами.

    Единственный способ узнать ключи и способы кодирования - это просмотр программы в TD и ему подобных. Но во время работы процедуры кодирования вектора прерываний 01h и 03h переадресовываются, что делает невозможным пошаговое выполнение, а указатель на вершину стека некоторое время указывает на ПЗУ, что дает возможность повиснуть еще работающим

   

Преимущества нашей программы:

    1. Прозрачное кодирование диска.

    2.Система рассчитана на любой IBM-совместимый компьютер.

    3. Возможность работать с любым количеством физических дисков, не превышающем 24.

    4. Защищенность системы от взлома и подслушивания пароля.

© ярославский областной Центр Дистанционного Обучения школьников, 1999