1.Межсетевые экраны

Общиетребования.

Предъявляемые требования к любому средству зашитыинформации в компьютерной сети можно разбить на следующие категории:

- функциональные - решение требуемой совокупностизадач зашиты;

- требования по надежности — способности своевременно,правильно и корректно выполнять все предусмотренные функции зашиты;

- требования по адаптируемости— способности к целенаправленной адаптации при изменении структуры, технологическихсхем и условий функционирования компьютерной сети;

- эргономические — требования по удобствуадминистрирования, эксплуатации и минимизации помех пользователям;

- экономические — минимизация финансовых и ресурсныхзатрат.

Межсетевые экраны должны удовлетворять следующимгруппам более детальных требований. По целевым качествам — обеспечиватьбезопасность защищаемой внутренней сети и полный контроль над внешнимиподключениями и сеансами связи. Межсетевой экран должен иметь средстваавторизации доступа пользователей через внешние подключения. Типичной являетсяситуация, кагда часть персонала организации должнавыезжать, например, в командировку, и в процессе работы им требуется доступ кнекоторым ресурсам внутренней компьютерной сети организации. Брандмауэр долженнадежно распознавать таких пользователей и предоставлять им необходимые видыдоступа.

По управляемости и гибкости — обладать мощными игибкими средствам управления для полного воплощения в жизнь политикибезопасности организации. Брандмауэр должен обеспечивать простую реконфигурациюсистемы при изменении структуры сети. Если у организации имеется нескольковнешних подключений, в том числе и в удаленных филиалах, система управленияэкранами должна иметь возможность централизованно обеспечивать для нихпроведение единой политики межсетевых взаимодействий.

По производительности и прозрачности — работатьдостаточно эффективно и успевать обрабатывать весь входящий и исходящий трафикпри максимальной нагрузке. Это необходимо для того, чтобы брандмауэр нельзябыло перегрузить большим количеством вызовов, которые привели бы к нарушениюего работы. Межсетевой экран должен работать незаметно для пользователейлокальной сети и не затруднять выполнение ими легальных действий. В противномслучае пользователи будут пытаться любыми способами обойти установленные уровнизащиты.

По самозащищенности —обладать свойством самозащиты от любых несанкционированных воздействий.Поскольку межсетевой экран является и ключом и дверью к конфиденциальнойинформации в организации, он должен блокировать любые попыткинесанкционированного изменения его параметров настройки, а также включатьразвитые средства самоконтроля своего состояния и сигнализации. Средствасигнализации должны обеспечивать своевременное уведомление службы безопасностипри обнаружении любы* несанкционированных действий, а также нарушенииработоспособности межсетевого экрана.

В настоящее время общеупотребительным подходом кпостроению критериев оценки средств информационно-компьютерной безопасности являетсяиспользование совокупности определенным образом упорядоченных качественных требованийк подсистемам защиты, их эффективности и эффективности реализации. Подобный подходвыдержан и в руководящем документе ГостехкомиссииРоссии, где устанавливается классификация межсетевых экранов по уровнюзащищенности от несанкционированного доступа к информации. Данная классификацияпостроена на базе перечня показателей защищенности и совокупности описывающихих требований.

Показатели защищенности применяются к брандмауэрам дляопределения уровня защищенности, который они обеспечивают при межсетевомвзаимодействии. Конкретные перечни показателей определяют классы межсетевыхэкранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэровна соответствующие классы по уровням контроля межсетевых информационных потоковнеобходимо в целях разработки и принятия обоснованных и экономическиоправданных мер по достижению требуемой степени защиты информации примежсетевых взаимодействиях.

Устанавливается пять классов межсетевых экранов попоказателям защищенности. Самый низкий класс защищенности — пятый, применяемыйдля безопасного взаимодействия автоматизированных систем класса 1Д с внешнейсредой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — первый,применяемый для безопасного взаимодействия автоматизированных систем класса 1Ас внешней средой. При включении брандмауэра в автоматизированную систему (АС)определенного класса защищенности, класс защищенности совокупной системы,полученной из исходной путем добавления в нее межсетевого экрана, не долженпонижаться. Для АС класса ЗБ, 2Б должны применяться брандмауэры не ниже 5-гокласса. Для АС класса ЗА, 2А в зависимости от важности обрабатываемойинформации должны применяться брандмауэры следующих классов:

- при обработке информации с грифом"секретно" — не ниже 3-го класса;

- при обработке информации с грифом "совершенносекретно" — не ниже 2-го класса;

- при обработке информации с грифом "особойважности". — не ниже 1-го класса.

Вспомним, что в соответствии с руководящим документом Гостехкомиссии России, устанавливается девять классов защищенностиАС от несанкционированного доступа к информации. Каждый класс характеризуетсяопределенной минимальной совокупностью требований по защите. Классыподразделяются на три группы, отличающиеся особенностями обработки информации вАС. В пределах каждой группы соблюдается иерархия требований по защите взависимости от ценности (конфиденциальности) информации и, следовательно,иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенностидля данной группы, обозначается индексом NA, где N — номер группыот 1 до 3. Следующий класс обозначается NБ и т. д.

Третья группа включает АС, в которых работает одинпользователь, допущенный ко всей информации АС, размещенной на носителях одногоуровня конфиденциальности. Данная группа содержит два класса ЗБ и ЗА. Втораягруппа включает АС, в которых пользователи имеют одинаковые права доступа(полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителяхразличного уровня конфиденциальности. Эта группа содержит два класса 2Б и 2А.Первая группа включает многопользовательские АС, в которых одновременно обрабатываетсяи/или хранится информация разных уровней конфиденциальности и не всепользователи имеют право доступа ко всей информации АС. Данная группа содержитпять классов 1Д, 1Г. 1В, 1Б и 1А.

Разработкаполитики межсетевого взаимодействия.

Политика межсетевого взаимодействия является тойчастью политики безопасности в организации, которая определяет требования кбезопасности информационного обмена с внешним миром. Данные требования обязательнодолжны отражать два аспекта:

- политику доступа к сетевым сервисам;

- политику работы межсетевого экрана.

Политика доступа к сетевым сервисам определяет правилапредоставления а также использования всех возможных сервисов защищаемойкомпьютерной сети. Соответственно в рамках данной политики должны быть заданывсе сервисы, предоставляемые через сетевой экран, и допустимые адрес; клиентовдля каждого сервиса. Кроме того, должны быть указаны правша для пользователей,описывающие, когда и какие пользователи каким сервисом и на каком компьютеремогут воспользоваться. Отдельно определяют правила аутентификации пользователейи компьютеров, а также условии работы пользователей вне локальной сетиорганизации.

Политика работы межсетевого экрана задает базовыйпринцип управления межсетевым взаимодействием, положенный в основу функционирований  брандмауэра. Может быть выбран один из двухтаких принципов:

- запрещено все, что явно не разрешено;

- разрешено все, что явно не запрещено.

В зависимости от выбора, решение может быть принятокак в пользу безопасности в ущерб удобству использования сетевых сервисов, таки наоборот В первом случае межсетевой экран должен быть сконфигурирован такимобразом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия.Учитывая, что такой подход позволяет адекватно реализовать принцип минимизациипривилегий, он, с точки зрения безопасности, является лучшим. Здесьадминистратор не сможет по забывчивости оставить разрешенными какие-либополномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисымогут быть использованы во вред безопасности, что особенно характерно длязакрытого и сложного программного обеспечения, в котором могут быть различныеошибки и некорректности. Принцип "запрещено все, что явно неразрешено", в сущности является признанием факта, что незнание можетпричинить вред.

При выборе принципа "разрешено все, что явно незапрещено" межсетевой экран настраивается таким образом, чтобы блокироватьтолько явно запрещенные межсетевые взаимодействия. В этом случае повышается удобствоиспользования сетевых сервисов со стороны пользователей, но снижаетебезопасность межсетевого взаимодействия. Администратор может учесть и все действия,которые запрещены пользователям. Ему приходится работать режиме реагирования,предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуютна безопасность сети.

Определениесхемы подключения межсетевого экрана.

Для подключения межсетевых экранов могутиспользоваться различные схемы, которые зависят от условий функционирования, атакже количества сетевых интерфейсов брандмауэра.

Брандмауэры с одним сетевым интерфейсом не достаточноэффективны как с точки зрения безопасности, так и с позиций удобстваконфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, асоответственно не могут обеспечивать надежную защиту межсетевых взаимодействий.Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу,иена решения которой превышает стоимость замены брандмауэра с одним сетевыминтерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтомурассмотрим лишь схемы подключения межсетевых экранов с двумя и тремя сетевымиинтерфейсами. При этом защищаемую локальную сеть будем рассматривать каксовокупность закрытой и открытой подсетей. Здесь под открытой подсетьюпонимается подсеть, доступ к которой со стороны потенциально враждебной внешнейсети может быть полностью или частично открыт. В открытую подсеть могут, например,входить общедоступные WWW-. FTP- и SMTP-серверы, атакже терминальный сервер с модемным пулом.

Среди всего множества возможных схем подключениябрандмауэров типовыми являются следующие:

- схема единой защиты локальной сети;

- схема с защищаемой закрытой и не защищаемой открытойподсетями;

- схема с раздельной зашитой закрытой и открытойподсетей.

Схема единой зашиты локальной сети является наиболеепростым решением, при котором брандмауэр целиком экранирует локальную сеть отпотенциально враждебной внешней сети. Между маршрутизатороми брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэрявляется единственной видимой снаружи машиной. Открытые серверы, входящие в локальнуюсеть, также будут защищены межсетевым экраном. Однако объединение серверов,доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сетисущественно снижает безопасность межсетевых взаимодействий. Поэтому даннуюсхему подключения брандмауэра можно использовать лишь при отсутствии влокальной сети открытых серверов или когда имеющиеся открытые серверы делаютсядоступными из внешней сети только для ограниченного числа пользователей,которым можно доверять.

При наличии в составе локальной сети общедоступныхоткрытых серверов их целесообразно вынести как открытую подсеть до межсетевогоэкрана. Данный способ обладает более высокой защищенностью закрытой частилокальной сети, но обеспечивает пониженную безопасность открытых серверов,расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместитьэти серверы на себе. Но такое решение не является лучшим с точки зрениязагрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное,можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытойподсетью и не защищаемой  защищаемой открытой подсетью целесообразно использоватьлишь при невысоких требованиях по безопасности к открытой подсети.

В случае же, когда к безопасности открытых серверовпредъявляются повышенные требования, то необходимо использовать схему сраздельной защитой закрытой и открытой подсетей. Такая схема может бытьпостроена на основе одного брандмауэра с тремя сетевыми интерфейсами или наоснове двух брандмауэров с двумя сетевыми интерфейсами. В обоих случаях доступк открытой и закрытой подсетям локальной сети возможен только через межсетевойэкран. При этом доступ к открыто сети не позволяет осуществить доступ к закрытойподсети.

Из последних двух схем большую степень безопасностимежсетевых в: действий обеспечивает схема с двумя брандмауэрами, каждый из ксобразует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсетьздесь выступает в качестве экранирующей подсети. Обычно экранирующая подсетьконфигурируется таким образом, чтобы o6ecпечитьдоступ к компьютерам подсети как из потенциально враждебной внешней сети, так ииз закрытой подсети локальной сети. Однако прямой обмен информационнымипакетами между внешней сетью и закрытой подсетью невозможен.

При атаке системы с экранирующей подсетью необходимопреодолеть, по крайней мере, две независимые линии зашиты, что является весьмасложной задачей. Средства мониторинга состояния межсетевых экранов практическинеизбежно обнаружат подобную попытку, и администратор системы своевременнопредпримет необходимые действия по предотвращению несанкционированного доступа.

Следует обратить внимание, что работа удаленныхпользователей, подключаемых через коммутируемые линии связи, также должнаконтролироваться в соответствии с политикой безопасности, проводимой в организации.Типовое решение этой задачи — установка сервера удаленного доступа1терминального сервера), который обладает необходимыми функциональнымивозможностями, например, терминального сервера Annex компании Bay Networks. Терминальный серверявляется системой с несколькими асинхронными портами и одним интерфейсомлокальной сети. Обмен информацией между асинхронными портами и локальной сетьюосуществляется только после соответствующей аутентификации внешнегопользователя.

Подключение терминального сервера должноосуществляться таким образом, чтобы его работа выполнялась исключительно черезмежсетевой эк\\ Это позволит достичь необходимойстепени безопасности при работе удаленных пользователей с информационнымиресурсами организации. Такое подключение возможно, если терминальный сервервключить в состав or-крытой подсети прииспользовании схем подключения брандмауэра с раздельной защитой открытой изакрытой подсетей (рис- 2.20 и 2.21).

Программное обеспечение терминального сервера должнопредоставлять возможности администрирования и контроля сеансов связи черезкоммутируемы; каналы. Модули управления современных терминальных серверов имеютдостаточно продвинутые возможности обеспечения безопасности самого сервера i разграничения доступа клиентов, выполняя следующиефункции:

- использование локального пароля на доступ кпоследовательному порт\ на удаленный доступ по протоколуРРР, а также для доступа к административной консоли;

- использование запроса на аутентификацию с какой-либомашины локальной сети;

- использование внешних средств аутентификации;

- установку списка контроля доступа на портытерминального сервера;

- протоколирование сеансов связи через терминальныйсервер.

Настройкапараметров функционирования брандмауэра.

Межсетевой экран представляет собойпрограммно-аппаратный комплекс зашиты, состоящий из компьютера, а такжефункционирующих на нем операционной системы (ОС) и специального программногообеспечения. Следует отметить, что это специальное программное обеспечениечасто также называют брандмауэром.

Компьютер брандмауэра должен быть достаточно мощным ифизически защищенным, например, находиться в специально отведенном и охраняемомпомещении. Кроме того, он должен иметь средства защиты от загрузки ОС снесанкционированного носителя.

Операционная система брандмауэра также должнаудовлетворять ряду требований:

- иметь средства разграничения доступа к ресурсамсистемы;

- блокировать доступ к компьютерным ресурсам в обходпредоставляемого программного интерфейса;

- запрещать привилегированный доступ к своим ресурсамиз локальной сети;

- содержать средства мониторинга/аудита любыхадминистративных действий.

Приведенным требованиям удовлетворяют различныеразновидности ОС UNIX, а также Microsoft Windows NT. После установки на компьютер брандмауэравыбранной операционной системы, ее конфигурирования, а также инсталляцииспециального программного обеспечения можно приступать к настройке параметровфункционирования всего межсетевого экрана. Этот процесс включает следующиеэтапы:

- выработку правил работы межсетевого экрана всоответствии с разработанной политикой межсетевого взаимодействия и описаниеправил в интерфейсе брандмауэра;

- проверку заданных правил на непротиворечивость;

- проверку соответствия параметров настройкибрандмауэра разработанной политике межсетевого взаимодействия.

Формируемая на первом этапе база правил работымежсетевого экрана представляет собой формализованное отражение разработаннойполитикой межсетевого взаимодействия. Компонентами правил являются защищаемыеобъекты, пользователи и сервисы.

В число защищаемых объектов могут входить обычныекомпьютеры с одним сетевым интерфейсом, шлюзы (компьютеры с несколькимисетевыми интерфейсами), маршрутизаторы, сети, областиуправления. Защищаемые объекты могут объединяться в группы. Каждый объект имеетнабор атрибутов, таких как сетевой адрес, маска подсети и т. п. Часть этихатрибутов следует задать вручную, остальные извлекаются автоматически из информационныхбаз, например NIS/NIS+, SNMP M1B, DNS. Следует обратить внимание нанеобходимость полного описания объектов, так как убедиться в корректностизаданных правил экранирования можно только тогда, когда определены сетевыеинтерфейсы шлюзов и маршрутизаторов. Подобнуюинформацию можно получить автоматически от SNMP-агентов.

При описании правил работы межсетевого экранапользователи наделяются входными именами и объединяются в группы. Дляпользователей указываются допустимые исходные и целевые сетевые адреса,диапазон дат и времени работы, а также схемы и порядок аутентификации.

Определение набора используемых сервисов выполняетсяна основе встроенной в дистрибутив брандмауэра базы данных, имеющейзначительный набор TCP/IP сервисов. Нестандартные сервисы могут задаваться вручнуюс помощью специальных атрибутов. Прежде чем указывать сервис при задании жид,необходимо определить его свойства. Современные брандмауэры содержатпредварительно подготовленные определения всех стандартных TCP/IP-сервисов,разбитых на четыре категории — TCP, UDP, RPC, ICMP.

Сервисы TCP являются полностью контролируемымисервисами, так как предоставляются и используются на основе легкодиагностируемых виртуальных соединений.

Сервисы UDP традиционно трудны для фильтрации,поскольку фаза установления виртуального соединения отсутствует, равно как иконтекст диалога между клиентом и сервером. Брандмауэр может сам вычислять этотконтекст, отслеживая все UDP-пакеты, пересекающие межсетевой экран обоихнаправлениях, и ассоциируя запросы с ответами на них. В результат получаетсяаналог виртуального соединения для дейтаграммногопротокола, а все попытки нелегального установлении подобного соединения, равнокак и дейтаграммы, следующие вне установленных соединений, обрабатывают™ в соответствиис установленной политикой межсетевого взаимодействия.

RPC-сервисы сложны для фильтрации из-за переменныхномеров используемых портов. Брандмауэры отслеживают RPC-трафик, выявляязапросы к функции PORTMAPPER и извлекая из ответов выделенные номера портов

Протокол ICMP используется самим IP-протоколом дляотправки контрольных сообщений, информации об ошибках, а также для тестированияцелостности сети. Для ICMP протокола не используется концепция портов. В немиспользуются числа от 0 до 255 для указания типа сервиса, которые вместе:адресами и учитываются при контроле межсетевого взаимодействия.

После того как база правил сформирована, онапроверяется на непротиворечивость. Это очень важный момент, особенно дляразвитых, многокомпонентных сетевых конфигураций со сложной политикоймежсетевого взаимодействия. Без подобной возможности администрированиемежсетевого экрана с неизбежностью привело бы к многочисленным ошибкам исозданию слабостей. Проверка сформированных правил на непротиворечивостьвыполняется автоматически. Обнаруженные неоднозначности должны быть устраненыпутем редактирования противоречивых правил. После окончательного определенияправил и устранения ошибок от администратора могут потребоваться дополнительныедействия по компиляции и установке фильтров и посредников. Большинствобрандмауэров после формирования базы правил выполняют процесс окончательнойнастройки автоматически.

Проверка соответствия параметров настройки брандмауэраразработанной политике межсетевого взаимодействия может выполняться на основеанализа протоколов работы межсетевого экрана. Однако наибольшая результативностьтакой проверки будет достигнута при использовании специализированных системанализа защищенности сети. Наиболее ярким представителем таких систем являетсяпакет программ Internet ScannerSAFEsuite компании InternetSecurity Systems.

Входящая в состав данного пакета подсистема FireWall Scanner обеспечиваетпоиск слабых мест в конфигурации межсетевых экранов и предоставляет рекомендациипо их коррекции. Поиск слабых мест осуществляется на основе проверки реакциимежсетевых экранов на различные типы попыток нарушения безопасности. При этомвыполняется сканирование всех сетевых сервисов, доступ к которым осуществляетсячерез межсетевой экран. Для постоянного полдержания высокой степени безопасностисети FireWall Scannerрекомендуется сделать частью установки межсетевого экрана.

При настройке межсетевого экрана следует помнить, чтои как любое другое средство, он не может защитить от некомпетентностиадминистраторов и пользователей. Несанкционированные проникновения в защищенныесети могут произойти, например, по причине выбора легко угадываемого пароля.Экранирующая система не защищает также от нападения по не контролируемым еюканалам связи. Если между потенциально враждебной внешней сетью и защищаемойвнутренней сетью имеется неконтролируемый канал, то брандмауэр не сможет защититьот атаки через него. Это же относится и к телефонным каналам передачи данных.Если модем позволяет подключиться внутрь защищаемой сети в обход межсетевогоэкрана, то защита будет разрушена. Здесь следует вспомнить основной принципзащиты — система безопасна настолько, насколько безопасно ее самое незащищенноезвено. Поэтому необходимо, чтобы экранирующая система контролировала все каналыпередачи информации между внутренней и внешней сетью.

2.Криптография

         Про­бле­маза­щи­ты ин­фор­ма­ции пу­тем ее пре­об­ра­зо­ва­ния, исключающего ее про­чте­ниепо­сто­рон­ним ли­цом вол­но­ва­ла че­ло­ве­че­ский ум с дав­них вре­мен.История криптографии - ровесница истории человеческого языка. Более того,первоначально письменность сама по себе была криптографической системой, таккак в древних обществах ею владели только избранные. Священные книги Древ­негоЕгип­та, Древ­ней Индии тому примеры.

Сшироким распространением письменности криптография стала формироваться каксамостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры.Так, Цезарь в своей переписке использовал уже более менее систематический шифр,получивший его имя.

Бурноераз­ви­тие крип­то­гра­фи­че­ские сис­те­мы по­лу­чи­ли в го­ды пер­вой и вто­ройми­ро­вых войн. Начиная с послевоенного времени и по нынешний день появлениевычислительных средств ускорило разработку и совершенствование  криптографических методов.

Криптографическиеметоды защиты информации в автоматизированных системах могут применяться какдля защиты информации, обрабатываемой в ЭВМ или хранящейся в различного типаЗУ, так и для закрытия информации, передаваемой между различными элементамисистемы по линиям связи. Криптографическое преобразование как методпредупреждения несационированного доступа кинформации имеет многовековую историю. В настоящее время разработано большое колличество различных методов шифрования, созданытеоретические и практические основы их применения. Подавляющие число этихметодов может быть успешно использовано и для закрытия информации. Подшифрованием в данном едаваемых сообщений, хра­не­ниеин­фор­ма­ции (до­ку­мен­тов, баз данных) на но­си­те­лях в за­шиф­ро­ван­номви­де.

По­че­му про­бле­ма ис­поль­зо­ва­ния крип­то­гра­фи­че­ских ме­то­довв информационных системах (ИС) ста­ла в на­стоя­щий мо­мент осо­бо ак­ту­аль­на?

С од­нойсто­ро­ны, рас­ши­ри­лось ис­поль­зо­ва­ние ком­пь­ю­тер­ных се­тей, вчастности глобальной сети Интернет, по ко­то­рым пе­ре­да­ют­ся боль­шие объ­е­мыин­фор­ма­ции го­су­дар­ствен­но­го, во­ен­но­го, ком­мер­че­ско­го и ча­ст­но­гоха­рак­те­ра, не до­пус­каю­ще­го воз­мож­ность дос­ту­па к ней по­сто­рон­нихлиц.

С дру­гойсто­ро­ны, по­яв­ле­ние но­вых мощ­ных ком­пь­ю­те­ров,  тех­но­ло­гий се­те­вых и ней­рон­ных вы­чис­ле­нийсде­ла­ло воз­мож­ным дис­кре­ди­та­цию криптографических сис­тем еще не­дав­носчи­тав­ших­ся  прак­ти­че­ски не раскрываемыми.

Про­бле­мой защиты информации путем ее преобразования за­ни­ма­ет­ся крип­то­ло­гия (kryptos - тай­ный, logos - нау­ка). Криптология раз­де­ля­ет­сяна два на­прав­ле­ния - крип­то­гра­фиюи крип­тоа­на­лиз.Це­ли этих на­прав­ле­ний прямо про­ти­во­по­лож­ны.

Крип­то­гра­фияза­ни­ма­ет­ся по­ис­ком и ис­сле­до­ва­ни­ем ма­те­ма­ти­че­ских ме­то­дов пре­об­ра­зо­ва­нияин­фор­ма­ции.

Сфе­раин­те­ре­сов криптоанализа-  ис­сле­до­ва­ние воз­мож­но­сти рас­шиф­ро­вы­ва­нияин­фор­ма­ции без зна­ния клю­чей.

Современная криптография включает в себя четыре крупных раздела:

>1. >Симметричныекриптосистемы.

>2. >Криптосистемыс открытым ключом.

>3. >Системыэлектронной подписи.

>4. >Управлениеключами.

Основныенаправления  использованиякриптографических методов - передача конфиденциальной информации по каналамсвязи (например, электронная почта), установление подлинности передаваемых  сообщений ,хранение информации (документов,баз данных) на носителях в зашифрованном виде.

 Криптографические методы защиты информации вавтоматизированных системах могут применяться как для защиты информации,обрабатываемой в ЭВМ или хранящейся в различного типа ЗУ, так и для закрытия информации,передаваемой между различными элементами системы по линиям связи.Криптографическое преобразование как метод предупреждения несационированногодоступа к информации имеет многовековую историю. В настоящее время разработанобольшое колличество различных методов шифрования,созданы теоретические и практические основы их применения. Подавляющие числоэтих методов может быть успешно использовано и для закрытия информации.

Итак,криптография дает возможность преобразовать информацию таким образом, что еепрочтение (восстановление) возможно только при знании ключа.

В качестве информации, подлежащей шифрованию и дешифрованию,будут рассматриваться тексты, построенныена некотором алфавите. Под этимитерминами понимается следующее.

Алфавит - конечное множество используемых для кодирования информациизнаков.

Текст - упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых всовременных ИС можно привести следующие:

>*                   > алфавит Z₃₃ - 32 буквы русскогоалфавита и пробел;

>*                   > алфавит Z₂₅₆ - символы, входящие встандартные коды ASCII и КОИ-8;

>*                   > бинарный алфавит - Z₂ = {0,1};

>*                   > восьмеричный алфавит или шестнадцатеричныйалфавит;

Шиф­ро­ва­ние- пре­