Международные стандарты безопасности
Атаки на стегосистемы
Чтобы осуществить ту или иную угрозу злоумышленники применяют атаки. Наиболее простая атака — субъективная. Внимательно рассматривается изображение, прослушивается звукозапись в попытках найти признаки существования в нем скрытого сообщения. Такая атака имеет успех лишь для совсем незащищенных стегосистем. Обычно это первый этап при вскрытии стегосистемы. Выделяются следующие типы атак.
- Атака по известному заполненному контейнеру;
- Атака по известному встроенному сообщению;
- Атака на основе выбранного скрытого сообщения;
- Адаптивная атака на основе выбранного скрытого сообщения;
- Атака на основе выбранного заполненного контейнера;
- Атака на основе известного пустого контейнера;
- Атака на основе выбранного пустого контейнера;
- Атака по известной математической модели контейнера.
Рассмотрим некоторые из них:
Атака по известному заполненному контейнеру — у взломщика имеется одно или несколько стего. В случае нескольких стего считается, что запись скрытой информации проводилось отправителем одинаковым способом. Задача взломщика заключается в обнаружении факта наличия стегоканала, а также доступа к нему или определения ключа. Имея ключ, можно раскрыть другие стегосообщения.
Атака по известной математической модели контейнера — взломщик определяет отличие подозрительного послания от известной ему модели. К примеру, пусть биты внутри отсчета изображения коррелированны. Тогда отсутствие корреляции может служить сигналом о наличии скрытого сообщения. При этом задача внедряющего сообщение состоит в том, чтобы не нарушить статистических закономерностей в контейнере.
Атака на основе известного пустого контейнера — если злоумышленнику известен пустой контейнер, то сравнивая его с предполагаемым стего можно установить наличие стегоканала. Несмотря на кажущуюся простоту метода, существует теоретическое обоснование эффективности этого метода. Особый интерес представляет случай, когда контейнер нам известен с некоторой погрешностью (такое возможно при добавлении к нему шума).
Стандарты безопасности (примеры)
| № п/п | Тип стандартов | примеры стандартов |
| Основополагающие стандарты | ISO 31000 Risk management — Principles and guidelines (Менеджмент риска. Принципы и руководства); IEC/ ISO 31010 Risk management — Risk assessment techniques (Менеджмент риска. Методы оценки риска); BS 31100 Risk management.Code of practice (Менеджмент риска. Практический кодекс); BS 25999 Business continuity management (part 1, part 2) (Управление непрерывностью бизнеса, ч. 1, 2); IEC 61160 Risk management. Formal design review (Менеджмент риска. Формальный анализ проекта); BS OHSAS 18001 Occupational health and safety management systems. Requirements. (Системы менеджмента безопасности труда и здоровья. Требования); GS-R-1 Legal and Governmental Infrastructure for Nuclear, Radiation, Radioactive Waste and Transport Safety. Requirements (Законодательная и правительственная инфраструктура для ядерной и радиационной безопасности, безопасности радиоактивных отходов и транспортировки); ISO 22000:2005 Food safety management systems — Requirements for any organization in the food chain (Системы управления безопасностью пищевой продукции. Требования для любой организации в пищевой цепочке) | |
| Групповые стандарты | ISO 14121 Safety of machinery — Risk assessment (Безопасность машин. Оценка риска); ISO 12100 Safety of machinery — Basic concepts, general principles for design (Безопасность машин. Базовые концепции, основные принципы для проектирования); ISO 13849 Safety of machinery — Safety-related parts of control systems (Безопасность машин. Безопасность частей систем контроля); ATEX 95 directive 94/9/EC, Equipment and protective systems intended for use in potentially explosive atmospheres (Директива 94/9/EC. Оборудование и защитные системы, предназначенные для применения в потенциально взрывоопасных атмосферах); ATEX 137 directive 99/92/EC, Minimum requirements for improving the safety and health protection of workers potentially at risk from explosive atmospheres (Директива 1999/92EC. Минимальные требования для улучшения безопасности, охраны труда и здоровья работников, а также потенциального риска от взрывоопасной атмосферы); IEC 62198 Project Risk Management — Application Guidelines (Управление риском проекта. Руководство по применению); ISO 15190 Medical laboratories — Requirements for safety (Медицинские лаборатории. Требования к безопасности); ISO 14971 Medical devices — Application of risk management to medical devices (Медицинские приборы. Применение менеджмента риска к медицинским приборам); ISO 14798 Lifts (elevators), escalators and moving walks — Risk assessment and reduction methodology (Лифты, эскалаторы и конвейеры. Методология оценки и снижения риска); ISO 15408 Information technology — Security techniques — Evaluation criteria for IT security (Информационная технология. Критерии оценки для безопасности информационной технологии) | |
| Стандарты на безопасность продукции | ISO 10218 Robots for industrial environments — Safety requirements (Промышленные роботы. Требования безопасности); IEC 61010–1:2001 Safety requirements for electrical equipment for measurement, control, and laboratory use—Part 1: General requirements (Требования безопасности к оборудованию для измерений, контроля и лабораторного применения. Часть 1: Основные требования); IEC 60086–4:2000—Primary batteries—Part 4: Safety of lithium batteries. (Батареи первичные. Часть Часть 4: Безопасность литиевых батарей); EC 61199 Single-capped fluorescent lamps. Safety specifications (Лампы люминесцентные одноцокольные. Требования безопасности); IEC 60335 Household and similar electrical appliances — Safety (Приборы электрические бытового и аналогичного назначения. Безопасность); IEC 60065 Audio, video and similar electronic apparatus — Safety requirements (Аудио, видео и подобная электронная аппаратура. Требования безопасности); EN 692 Mechanical presses — Safety (Механические прессы. Безопасность); EN 50088 Safety of electric toys (Безопасность электрических игрушек) | |
| Стандарты на продукцию | Standards of Codex Alimentarius Commission. (Стандарты Комиссии Кодекс Алиментариус на продукцию CODEX STAN 12–1981, CODEX STAN 13–1981 и др.); ISO 3500:2005 Gas cylinders — Seamless steel CO2 cylinders for fixed fire-fighting installations on ships (Баллоны газовые. Стальные бесшовные баллоны с углекислым газом для судовых стационарных пожарных установок); ISO 4706:2008 Gas cylinders — Refillable welded steel cylinders — Test pressure 60 bar and below (Баллоны газовые. Баллоны стальные сварные заправляемые. Испытательное давление 60 бар и ниже); EN 13109:2002 LPG tanks. Disposa (Баллоны для сжиженного газа. Использование); EN 13807:2003 Transportable gas cylinders. Battery vehicles. Design, manufacture, identification and testing (Баллоны газовые переносные. Аккумуляторные автомобили. Проектирование, изготовление, идентификация и испытания); ГОСТ 10003–90. Стирол. Технические условия; ГОСТ 10007–80. Фторопласт-4. Технические условия; ГОСТ 10121–76. Масло трансформаторное селективной очистки. Технические условия; ГОСТ 10037–83. Автоклавы для |
· интерпретация "Оранжевой книги" для сетевых конфигураций; (как получить сетевую надежную вычислительную базу; какие сервисы безопасности должны присутствовать в сетевой среде. Для этого необходимость выработки и проведения в жизнь единой политики безопасности; необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях. )
· международные стандарты X.800 и X.509 ; (Сервисы и механизмы безопасности: аутентификация партнеров и источника данных; управление доступом; конфиденциальность данных; целостность данных; неотказуемость.)
· рекомендацииIETF (Тематическая группа по технологии Интернет (Internet Engineering Task Force, IETF) Базовые протоколы, обеспечивающие безопасность: IPsec, DNSsec, S/MIME, X.509v3, TLS. Российский национальный стандарт ГОСТ Р ИСО/МЭК 17799-2005).