Современные методы защиты информации

Чтобы каждая сторона могла удостовериться в подлинности ЭЦП, поставленной под документом другой стороной, они должны обменяться открытыми ключами. Однако этот процесс не так прост, как может показаться. Ведь в случае конфликтной ситуации одна из сторон может заявить, что тот открытый ключ, который был использован при проверке ЭЦП под документом, не ее, а неизвестно чей. Сначала для документа должна быть выработана ЭЦП с использованием соответствующих технических средств и секретного ключа стороны «А».

Из исходного текста документа и его ЭЦП формируется электронный документ. Здесь нужно понимать, что электронный документ — это не просто файл на магнитном носителе с текстом документа, а файл, состоящий из двух частей: общей (в которой содержится текст) и особенной, содержащей все необходимые ЭЦП (рис. 2). Текст документа без ЭЦП — это не более чем обычный текст, который не имеет юридической силы. Его можно распечатать, передать по электронной почте, отредактировать, но нельзя установить его подлинность. ЭЦП без текста документа вообще представляет собой непереводимую игру букв. Восстановить документ по ЭЦП невозможно точно так же, как невозможно восстановить дворец по найденному кирпичу. ЭЦП сама по себе не имеет ни ценности, ни смысла.

Рис. 2. Текст документа + ЭЦП = электронный документ

Чтобы обеспечить конфиденциальность при передаче по открытым каналам, он может быть зашифрован с использованием открытого ключа корреспондента — стороны «Б» (рис. 3).

Рис. 3. Шифрование электронного документа с использованием открытого ключа получателя

Получившийся зашифрованный текст может быть безопасно передан стороне «Б», например, по электронной почте через Интернет. Сторона «Б», в свою очередь, должна сначала расшифровать полученный документ, используя свой секретный ключ (рис. 4).

Рис. 4. Расшифровка электронного документа с использованием секретного ключа получателя

Расшифровав текст, его можно прочитать, однако, чтобы убедиться в том, что он передан именно стороной «A», нужно проверить цифровую подпись, пришедшую вместе с текстом электронного документа (рис. 5).

Рис. 5. Проверка ЭЦП с использованием открытого ключа отправителя.

Так выглядит схема передачи файла из пункта «А» в пункт «Б». Если осуществляется передача в обратном направлении, в описанных шагах нужно поменять местами ключи отправителя и получателя. Но это не единственное приложение криптографии с открытым ключом. Например, две стороны хотят составить договор в электронном виде и защитить его от внесения изменений. Поскольку стороны равны перед законом, каждая из них должна подписать один и тот же документ (файл) с использованием своего личного (секретного) ключа, после чего обменяться полученными цифровыми подписями. В этом случае (при наличии заверенных карточек открытых ключей каждой из сторон) проверить подлинность файла не составит труда. Выполняется проверка ЭЦП точно так же, как было описано в примере с передачей сообщений.

Итак, чтобы установить доверительные отношения в электронном документообороте, стороны должны:

1. Заключить соглашение об использовании электронных документов.

2. Сгенерировать ключи в соответствии с документацией на выбранный комплекс средств ЭЦП.

3. Принять меры к защите личного (секретного) ключа ЭЦП от компрометации (разглашения).

Носитель, на котором хранится личный ключ, определяется используемыми средствами ЭЦП и может представлять жесткий диск компьютера, гибкий диск (дискету) или устройство хранения на базе энергонезависимой памяти. Как правило, личный ключ дополнительно шифруется, и для его использования нужно ввести пароль или PIN-код. В любом случае, если ключ хранится на несъемном диске, нужно ограничить доступ к компьютеру со средствами ЭЦП. Если же ключ хранится на съемном носителе, это устройство следует хранить, например, в сейфе вместе с печатью организации. 4. Обменяться открытыми ключами ЭЦП и заверенными карточками открытого ключа ЭЦП.

Общая схема электронной подписи

Схема электронной подписи обычно включает в себя:

1) Алгоритм генерации ключевых пар пользователя;

2) Функцию вычисления подписи;

3) Функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись.

ЭЦП позволяет обеспечить:

1)Удостоверение источника документа. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

2)Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно, подпись станет недействительной.

3) Невозможность отказа от авторства. Так как создать корректную подпись можно лишь, зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

4) Предприятиям и коммерческим организациям сдачу финансовой отчетности в государственные учреждения в электронном виде;

5)Организацию юридически значимого электронного документооборота.

Тем не менее, возможны ещё и угрозы системам цифровой подписи:

1) Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.

2) Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.

3) Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.

Практическая часть (вариант 8)

Туристическая фирма ООО «Турист» осуществляет реализацию  путевок на заграничные туры. В стоимость путевок включаются  дополнительные обязательные экскурсионные программы. Первичный расчет стоимости путевок выполняется в долларах, которые затем переводятся в рубли  по текущему курсу. Данные для выполнения расчетов представлены в Приложении 1,2.

Для решения задачи необходимо следующее.

1. Построить таблицы по данным, приведенным в Приложении 1,2 .

2. Рассчитать общую стоимость туров  по каждому месту пребывания Приложение 1,2.

3. Организовать межтабличные связи для автоматического формирования стоимости туров в рублях  по каждому месту пребывания и по всем странам в целом, с использованием функций ВПР или ПРОСМОТР .

4. Сформировать и заполнить таблицу с данными по расчету дохода по предоставляемым турам для каждого места пребывания и по всем странам в целом в рублях с количества проданных путевок и обязательной экскурсионной программы (Приложение 3)

5. Результаты расчетов  доходов от реализации путевок по каждому месту пребывания туристов представить в графическом виде проанализировать результаты.

2.1. Постановка задачи

2.1.1. Цель решения задачи

Целью данной задачи является расчет  общей стоимость туров  по каждому месту пребывания, расчету дохода по предоставляемым турам для каждого места пребывания и по всем странам в целом в рублях с количества проданных путевок и обязательной экскурсионной программы.

2.1.2. Условие задачи

Входной информацией служат ведомости “стоимость туров” (Приложение  1)  и “Стоимость обязательной экскурсионной программы” (Приложение  2). В результате работы необходимо получить необходимо  получить ведомость “Расчет дохода от реализации туров ”, а также  организовать межтабличные связи с использованием функций ВПР или ПРОСМОТР для автоматического формирования расчета дохода по предоставляемым турам для каждого места пребывания и по всем странам в целом в рублях с количества проданных путевок и обязательной экскурсионной программы (Приложение 3). В конце следует представить результаты расчетов дохода от реализации путевок по каждому месту пребывания туристов в гра­фическом виде.

2.2. Компьютерная модель решения задачи

2.2.1. Информационная модель решения задачи

Информационная модель, отражающая взаимосвязь исходных и результирующих документов, приведена в Приложении 4.

2.2.2 Аналитическая модель решения задачи

      Для получения ведомости «Доход туристической фирмы от реализации путевок » необходимо произвести следующие расчеты:

      стоимость одного тура в одну страну (в долл.)

      общая стоимость туров в одну страну (в долл.)

      общая стоимость туров в  одну страну (в руб.)

      общую стоимость туров во все страны (в руб.)

Расчеты выполняются по следующим формулам:

C1=(перелет+трансфер)+(проживание+питание)+(страховка+виза)+стоимость  обяз. экскурс программы

Ст = С1 х кол-во туров

Ср = Ст х S

Соб = сумма Ср по каждой стране

Где: С1- стоимость одного тура (в долл.), С т- стоимость туров в одну страну (в долл.), С р- стоимость тура (в руб.), S –курс доллара на текущую дату, С об- общая стоимость реализованных туров.

2.2.3.Технология решения задачи MS Excel

1. Вызвать Excel

2. Переименуем «лист 1» в «Стоимость туров»

3. Введем заголовок таблицы «стоимость предлагаемых туров, в долл.»

4.Отформатируем заголовок

5. Отформатируем ячейки A2÷F2 под ввод длинных заголовков

6. Введем в ячейки A2÷F2 названия представленные в Приложении 1.

7. Отформатируем ячейки В3÷В8 для ввода текстовых символов

8. Заполним таблицу согласно данным представленным в Приложении 1

9. Заполним колонку «стоимость тура» с помощью формулы суммы

10. Присвоим имя группе ячеек B3÷F8

Таблица «стоимость туров» готова

11. Строим таблицу «Стоимость обязательной экскурсионной программы» аналогично 1 таблице

12. Заполняем таблицу данными представленными в Приложении 2.

13.  Присваиваем имя группе ячеек А3÷В8

Таблица «Стоимость обязательной экскурсионной программы»  готова

14. Строим таблицу «Расчет дохода от реализации туров» аналогично 1 и 2 таблице

15. Заполняем таблицу данными представленными в Приложении 3.

16. Организуем межтабличные связи с помощью функции ВПР

17. Высчитываем с помощью формулы «умножить» и заполняем столбцы с данными о стоимости тура в руб., стоимости экскурсий в руб.,  с помощью  формулы «сумма» - общую стоимость туров.

18. Высчитываем с помощью автосуммы и заполняем ячейку о итоговой общей сумме.

Таблица «Доход от реализации туров» готова

20.Теперь представим расчеты доходов от реализации путевок в графическом виде.

2.3. Результаты компьютерного эксперимента и их анализ

Анализ полученных данных позволит оценить правильно или нет выполнена компьютерная модель решения задачи. Для этого необходимо произвести расчеты по данным приведенным в Приложении 1, 2, 3. Полученные результаты сравниваем с данными из таблицы «Расчеты доходов от реализации путевок». Так как данные сходятся делаем вывод что компьютерная модель выполнена верно.

Данные полученные в таблице «Расчеты доходов от реализации путевок» позволят руководству туристической фирмы просчитать доходы от реализации туров с учетом курса доллара на текущую дату. С помощью функции ВПР легко проследить затраты на каждом этапе без лишних вычислений, а информация представленная графически даст возможность визуализировать конечные результаты.

Заключение

Проблема защиты информации путем ее преобразования, исключающего прочтение посторонним лицом, волновала человеческий ум с давних времен. В ходе работы мы узнали о различных видах шифрования информации. Сегодня мы смело можем сказать, что методы и средства защиты информации являются актуальными и развивающимся направлениями. Но нужно четко представлять себе, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в информационных системах. В то же время можно существенно уменьшить риск потерь при комплексном подходе к вопросам безопасности. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока специалистами не произведен соответствующий анализ. Анализ должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь и др.) и предоставить информацию для определения подходящих средств защиты. Однако обеспечение безопасности информации - дорогое дело. Большая концентрация защитных средств в информационной системе может привести не только к тому, что система окажется очень дорогостоящей  и потому нерентабельной и неконкурентноспособной, но и к тому, что у нее произойдет существенное снижение коэффициента готовности. Например, если такие ресурсы системы, как время центрального процессора будут постоянно тратиться на  работу антивирусных программ, шифрование, резервное архивирование, протоколирование и тому подобное, скорость работы пользователей  в такой системе может упасть до нуля.

Поэтому главное при определении мер и принципов защиты информации это квалифицированно определить границы разумной безопасности и затрат на средства защиты с одной стороны и поддержания системы в работоспособном состоянии и приемлемого риска с другой.