Содержание
Оглавление
ВВЕДЕНИЕ 4
ГЛАВА 1 ОСНОВНЫЕ СВЕДЕНИЯ ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 8
1.1 Общее введение в защиту информации, основные понятия и сведения 8
1.2 Классификация угроз безопасности информации 14
1.3 Каналы утечки информации 23
ГЛАВА 2 АНАЛИЗ СУЩЕСТВУЮЩИХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ И ФОРМУЛИРОВКА МЕТОДА РЕШЕНИЯ ЗАДАЧИ 27
2.1 Обзор существующих систем защиты информации 27
2.1.1 StarForce Content 27
2.1.2 DefView 32
2.1.3 КриптоПро eToken CSP 36
2.1.4 СТЭК – Траст 39
2.1.5 Locker 43
2.2 Сводный анализ рассмотренных систем 47
2.3 Постановка задачи 49
2.4 Выбор средств и технологий разработки 49
ГЛАВА 3 РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ ОТ КОПИРОВАНИЯ 50
3.1. Описание архитектуры системы 50
3.2 Описание таблиц БД 56
3.3 Описание системы с использованием языка моделирования UML 57
3.4 Описание структуры классов 59
3.5 Создание сертификатов для передачи клиенту 62
3.5.1 Создание собственного самоподписанного доверенного сертификата 62
3.5.2 Процесс создания клиентского сертификата 65
3.5.2.1 Подготовка конфигурации и файлов для подписи сертификатов 65
3.5.2.2 Процесс создания клиентского закрытого ключа и запроса на сертификат (CSR) 66
3.5.2.3 Процесс подписания запроса на сертификат (CSR) с помощью доверенного сертификата (CA) 66
3.5.2.4 Процесс подготовки данных для передачи клиенту 67
3.5.3 Настройка веб-сервера 68
3.5.3.1 Процесс запрета доступа к защищаемой области по протоколу HTTP 68
3.5.3.2 Процесс запроса и проверки клиентских сертификатов 69
3.5.4 Отзыв сертификатов 70
3.5.4.1 Процесс создания списка отзыва (CRL) 70
3.5.4.2 Отзыв сертификата 71
3.5.4.3 Настройка веб-сервера 72
3.6. Экспериментальная проверка работоспособности системы 72
ГЛАВА 4 СТОИМОСТЬ РАЗРАБОТКИ И ВНЕДРЕНИЯ 80
ЗАКЛЮЧЕНИЕ 91
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 93
Выдержка из текста
ВВЕДЕНИЕ
Актуальность. В настоящее время растёт число компаний из различных областей, которые внедряют системы электронного документооборота. При этом важна достоверность данных, актуальность информации, сохранение конфиденциальности информации и её надёжное хранение.
Все чаще, при работе с документами, есть необходимость ограничения доступа к ним и защиты от копирования. Особенно актуально для документов, которые предоставляются сторонним лицам только для ознакомления. В данном случае необходимо исключить присвоение интеллектуальной собственности и обеспечить охрану авторских прав.
В связи со всеми возникающими проблемами актуальным становится внедрение системы защиты (СЗ) содержимого электронных документов (ЭД) от несанкционированного копирования (НСК). Основное преимущество такой системы – простота и надёжность.
Сегодня имеют широкое применение СЗ от НСК ПО, которые реализованы на электронных ключах (ЭК). Под программными обеспечением в данном случае понимаются файлы компиляции, имеющие расширение .exe. На российском рынке информационных технологий все больше и больше появляется отечественных производителей аппаратных средств защиты. Но они обычно используют алгоритмы защиты зарубежных ЭК. Это приводит к тому, что в сети Internet можно найти универсальные эмуляторы для определенных видов ЭК. В связи с этим задача повышения эффективности СЗ на ЭК является актуальной. Это подтверждается включением данной проблемы в перспективные направления научно-исследовательских работ и диссертационных исследований.
Компания «Аладдин Р.Д.» – ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных. На протяжении 17 лет является признанным экспертом, специализирующимся на комплексном подходе к решению задач аутентификации и защиты персональных данных. Используя перспективные западные технологии в области USB-токенов и смарт-карт, PKI и информационной безопасности, специалисты компании «Аладдин Р.Д.» создают лучшие отечественные решения для внедрения в рамках комплексных проектов. Все продукты компании сертифицированы. Компания Аладдин Р.Д. имеет лицензии ФСТЭК, ФСБ, Минэкономразвития. eToken — единственный на рынке сертифицированный ФСТЭК России «Программно-аппаратный комплекс аутентификации и хранения ключевой информации пользователей».
Защита, предоставляемая компанией Aladdin базируется на использовании внешних электронных ключей (eToken, HASP), подключаемых к портам компьютеров. Заявлены разные модели HASP для портов USB. Используются мощные уникальные ключи. Защита снабжается комплектом разработчика ПО — SDK (Software Developer Kit). Из особенностей SDK можно отметить легкость освоения. Использование SDK позволит встроить защиту в разрабатываемое ПО наиболее эффективным образом (так называемый способ размазанной защиты). Этот способ — наиболее надёжная защита. При использовании возможностей HASP возможно создать защиту высокого уровня.
eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП).
Двухфакторная аутентификация
• Аппаратное выполнение криптографических операций в доверенной среде
• Безопасное хранение криптографических ключей, данных пользователей, настроек приложений и др.
• Поддерживаемые ОС: Windows, Linux, Mac
• Единственный на рынке сертифицированный ФСТЭК России
«Программно-аппаратный комплекс аутентификации и хранения ключевой информации пользователей»
Основываясь на приведённых выше сведениях, было решено использовать решения и методы защиты информации компании Аладдин.
Цель ВКР состоит в разработке системы защиты от копирования электронных документов (форматы .doc(x), .xls(x), .odt, .ods) на базе решений компании Аладдин.
Задачи исследования:
— обзор правовых аспектов защиты информации, основных угроз утечки информации и статистики каналов утечки информации;
— сравнительный анализ известных систем защиты электронных документов от копирования;
— разработка структуры системы защиты;
— разработка программного модуля, представляющего собой веб-сервис, предоставляющий доступ к хранилищу документов, доступ к которому возможен при наличии у пользователя сертификата, выданного администратором, с возможностью формирования защищенного файла (без возможности копирования его содержимого) с документом, который можно передавать вместе с электронным ключом.
Объектом исследования являются программные средства защиты информации.
Предметом исследования является эффективность программных средств защиты информации в конкретных условиях.
Методы исследования. При выполнении исследований и решении поставленных задач были использованы методы системного анализа, методология функционального проектирования, методы математического моделирования, методы синтеза, криптографии.
Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатов экспериментов, проведенных с помощью полученного в работе ПО.
Научная новизна работы. До настоящего момента применение HASP возможно следующим образом: привязка электронного аппаратного ключа к какому-либоисполняемому .exe-файлу, но не к конкретно текстовым ЭД (имеющим расширения .doc, .pdf и т. д.). В данной же работе планируется разработать и реализовать программный модуль, преобразующий текстовые ЭД определённых форматов в .exe-файл, которые в дальнейшем можно привязать к электронному ключу. Программный модуль позволяет просматривать файл, запрещая копирование информации, содержащейся в нём.[10]
При выполнении выпускной квалификационной работы использовались труды следующих авторов: Жаринова В. Ф., Соколова А. В., Сыркова Б. Ю., Щербакова А. А., Гайковича Ю. В., Григорьева Ю.А., Васильева Д. А., Месаровича М., Одрина В.М. и др.
Список использованной литературы
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Закон «Об авторском праве и смежных правах» N 149-ФЗ от 9 июля 1993 года [Текст].
2. Гражданский кодекс РФ 1 января 2008 года, часть 4 [Текст].
3. Алексенцев, А. И. Защита информации: словарь базовых терминов и определений. — 2008.
4. Алексенцев, А. И. О классификации конфиденциальной информации по видам тайны // Безопасность информационных технологий. — 2009. — № 3.
5. Алексенцев, А. И. О концепции защиты информации // Безопасность информационных технологий. — 2008. — № 4.
6. Алексенцев, А. И. О составе защищаемой информации // Безопасность информационных технологий. — 2009. — № 2.
7. Алексенцев, А. И. Понятие и назначение комплексной системы защиты информации // Вопросы защиты информации. — 2006. — № 2.
8. Алексенцев, А. И. Понятие и структура угроз защищаемой информации // Безопасность информационных технологий. — 2010.
9. Алексенцев, А. И. Сущность и соотношение понятий «защита информации», «безопасность информации», «информационная безопасность» // Безопасность информационных технологий. — 2009.
10. Вернигоров, Н.С. Использование нелинейного локатора для раннего обнаружения устройств звукозаписи // Защита информации. – М.: Конфидент, 2001. — № 4.
11. Виноградов, А. Г. Программные воздействия. М.: 2009.
12. Гайкович, Ю. В. Безопасность электронных банковских систем / Ю. В, Гайкович, А. В. Першин // Информационная безопасность. "Открытые системы". – М.: "Единая Европа", 2008. — N4,5,6.
13. Геранович, Н. Л. Теория и практика обеспечения информационной безопасности. — М.: 2009.
14. Герасименко, В. А. Основы защиты информации. / В. А. Герасименко, А. А. Малюк. — М.: ООО «Инкомбук», 2007.
15. Жаринов В. Ф. Тестовые режимы / В. Ф. Жаринов, А. М. Киреев, Д. В. Синелёв, Л. С. Хмелёв // Защита информации. — М.: Конфидент, 2006. — № 2.
16. Засольцев Н.В. Компьютерные преступления и мы. — М.: 2010.
17. Завгородний, В.И. Комплексная защита информации в компьютерных системах. — М.: Логос, 2011.
18. Зегжда, П. Д. Теория и практика обеспечения информационной безопасности. — М.: Издательство «Яхтсмен», 2006.
19. Зима, В. М. Безопасность глобальных сетевых технологий / В. М. Зима, А. А. Молдовян, Н. А. Молдовян. — 2-е изд.- СПб.: БХВ-Петербург, 2008.
20. Зимовой, А. А. Защита информации. — М.: Юрист, 2006.
21. 3олотарев, В. И. Акустическая защита конфиденциальных переговоров // Защита информации. – М.: Конфидент, 2001. — № 4.
22. Наркович, П.Д. Компьютерные преступления. — М.: 2014.
23. Крамарев А.Г. Компьютерная безопасность общества. — М.: 2013.
24. Курушин, В. Д. Компьютерные преступления и информационная безопасность / В. Д. Курушин, В. А. Минаев. — М.: Новый Юрист, 2008.
25. Лукацкий, А. В. Обнаружение атак. — 2-е изд., перераб. и доп. — СПб.: БХВ-Петербург, 2003.
26. Луханович, Н. Д. Компьютерные преступления и информационная безопасность. — М.: 2014
27. Мельков А. Ю. Введение в теорию и практику компьютерной безопасности. — М.: 2013.
28. Мельников, В. В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электроинформ. — 2007.
29. Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. / В. Г. Олифер, Н. А. Олифер. — СПб.: Питер, 2006.
30. Соколов, А. В. Защита информации в распределенных корпоративных системах / А. В. Соколов, В. Ф. Шанъгин. — М.: ДМК Пресс, 2002.
31. Скрыль, С. В. Аналитическая разведка в оценке угроз информационной безопасности / С. В, Скрыль, В. В. Киселев // Системы безопасности. — 2002.
32. Стивен, Н. Анализ типовых нарушений безопасности в сетях. Пер. с анг. / Н., Стивен, М. Купер, М. Фирноу. — М.: Издательский дом «Вильяме», 2011.
33. Стивен И. Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу / И. Стивен, Д. Новак. – Издательство «Лори», 2011.
34. Сырков, Б. Ю. Компьютерная система глазами хакера // Технологии и средства связи. — 2008. — № 6.
35. Технологии защиты информации в Интернете. Специальный справочник. — СПб.: Питер, 2009.
36. Шиверский, А. А. Защита информации. Проблемы теории и практики. — М.: Юрист, 2006.
37. Щербаков, А. А. Разрушающие программные воздействия. М.: Издательство Эдель, 2009.
38. Щербаков, А. Ю. Введение в теорию и практику компьютерной безопасности. — М.: 2011.
39. Глобальное исследование утечек за 2013 год [Электронный ресурс] / INFOWATCH. — М., 2013. — 26с. – Режим доступа : http://www.infowatch.ru/analytics/reports/462
40. Руководство по Защите Программного Обеспечения и Лицензированию с помощью HASP HL [Электронный ресурс]. – Alladin. – 1 CD-ROM.