Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Информационных систем и технологий

Направление Информатика и вычислительная техника

Кафедра Информатики и вычислительной техники

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Разработка программного обеспечения для сокрытия информации в формат DOCX

Разработал В.В. Прохоров

Самара 2017

Введение

На сегодняшний день, защита и сокрытие информации является активно развивающимся и перспективным направлением. По большому счету, это связано с не менее активным развитием информационных технологи и средств, уязвимостями которых конечно же хотят воспользоваться злоумышленники.

К средствам криптографической защиты информации относятся технические, программные, программно-аппаратные средства защиты информации, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами, механизмы идентификации и аутентификации. [3]

Актуальность работы заключается в необходимости постоянного обновления способов сокрытия, передачи и защиты информации, на фоне с активно развивающимися способами похищения информации.

Объектом исследований моей выпускной работы защита информации.

Предметом исследования выпускной работы является сокрытие информации и ее передача.

Задачами выпускной работы являются:

1. Ознакомиться с современными способами сокрытия информации.

2. Разработать несколько методов сокрытия информации.

3. Разработать программное обеспечение для скрытого внедрения информации.

Работа состоит из введения, пяти разделов, заключения и списка использованных источников.

В заключение представлены основные выводы по проделанной работе и ее результаты.

В рамках работы была изучена литература таких авторов как Эллен Б., Дэвид Мерц. и Бретт Слаткин., а так же техническая документация различных мультимедиа форматов и языка программирования Python.

1. Среда разработки PyCharm

1.1 Общие сведения

PyCharm - интегрированная среда разработки для Python. Которая была разработана компанией JetBrains. За основу была взята другая интегрированая среда разработки IntelliJ IDEA. В настоящее время, пользователям предлагается две версии продукта: бесплатная (Community Edition) и платная (Professional Edition). Также существует версия Education Edition, которая разработана специально для обучения программированию.

Начинающие программисты могут скачать и сразу же начать использовать PyCharm для образовательных или любых других целей. Преподаватели могут использовать его для создания собственных курсов и для удобства использовать их в процессе обучения студентов.

В PyCharm Educational Edition есть все необходимое, включая такие важные инструменты, как интегрированная Python-консоль, отладчик, интеграция с системами контроля версий и многое другое, как и в PyCharm Community Edition. Вместе с тем, уникальными для данной редакции являются возможность создания и прохождения интерактивных курсов, задачи в стиле “заполни недостающий код”, специальные подсказки, автоматические фоновые проверки, советы по улучшениям в коде, умное автодополнение и много чего еще. В отличие от обычных IDE данная версия имеет следующие возможности:

· новый образовательный тип проекта -- “Education”. Проект представляет собой интерактивный курс внутри IDE, который включает в себя уроки, задачи, файлы для редактирования, кнопку для проверки правильности решения и т.д. Преподаватель с помощью данного типа проекта может создавать свои собственные курсы и задания, фоновые тесты, с помощью которых студенты будут проверять свои решения. В частности, предусмотрена возможность реализовывать задачи в стиле “заполни недостающий код”, когда обучающемуся предлагается заполнить недостающий код в уже существующем, заранее подготовленном преподавателем коде;

· упрощенный интерфейс по умолчанию, со скрытыми элементами для опытных пользователей, которые не нужны на первых порах. В любой момент можно включить полный интерфейс;

· инсталлятор для Windows который автоматически определяет и устанавливает интерпретатор Python во время установки самого PyCharm Educational Edition. Нет необходимости устанавливать что либо, кроме PyCharm, для того чтобы начать программировать: все, что необходимо, либо уже есть внутри, либо будет установлено автоматически.

В PyCharm есть все необходимые функции, такие как, выделение ошибок, синтаксиса, отладчик, авто-форматирование, фреймворки для веб-разработки и многое другое. Pycharm выпускается в трех версиях дистрибутивов: для Windows, для Linux и для Mac OS, так как написана на языке Java и Python, что обеспечивает ей такую кроссплатформенность. [1]

1.2 Разработка программ в среде PyCharm

При первом запуске IDE PyCharm, нужно указать ей путь в директорию куда вы установили Python.(рис.1.1)

Рис. 1.1 - Указываем путь в директорию.

Теперь мы можем создать проект. Чтобы это сделать, в меню в верхнем правом углу нужно выбрать «Edit Configurations» (рис. 1.2)

Рис. 1.2 - Вкладка меню «Edit Configurations».

Затем следует добавить новую конфигурацию нажав на плюсик в верхнем левом углу. (рис. 1.3)

Рис. 1.3 - Добавление новой конфигурации.

После завершения этих простых подготовительных этапов, мы можем приступить к самому интересному - к программированию!

Напишем классическую для студентов, знакомящихся с новым языком, программу Hello World. Для этого нам понадобится всего одна строка! (рис. 1.4). Запустить программу можно нажав на кнопку «Run» которая стала активной.

Рис. 1.4 - Запуск программы Hello World.

1.3 Язык программирования Python

Python - интерпретируемый, объектно-ориентированный, высокоуровневый язык программирования с динамической семантикой. Его высокоуровневые встроенные структуры данных в сочетании с динамической типизацией и динамической привязкой делают его очень привлекательным для быстрой разработки приложений, а также для использования в качестве связующего звена для соединения существующих компонентов. Простой и понятный синтаксис Python легко читаем, что, следовательно, снижает стоимость обслуживания программ. Python поддерживает модули и пакеты, что способствует модульности программы и повторному использованию кода. Интерпретатор Python и обширная стандартная библиотека доступны в исходной или двоичной форме бесплатно для всех основных платформ и могут свободно распространяться.

Стандартная библиотека имеет более 100 модулей и всегда развивается. Некоторые из этих модулей включают в себя регулярное соответствие выражению, стандартные математические функции, потоки, интерфейсы операционных систем, сетевое программирование, стандартные интернет-протоколы (HTTP, FTP, SMTP и т. Д.), Обработку электронной почты, обработку XML, разбор HTML и набор инструментов GUI ( Tcl / Tk).

Также Python предоставляет пользователям повышенную производительность поскольку этап компиляции отсутствует, и следовательно цикл редактирования-тестирования-отладки невероятно быстр. Отладка программ Python проста: ошибка или некорректный ввод никогда не вызовет ошибку сегментации. Вместо этого, когда интерпретатор обнаруживает ошибку, он вызывает исключение. Когда программа не обнаруживает исключения, интерпретатор печатает трассировку стека. Отладчик исходного уровня позволяет проверять локальные и глобальные переменные, оценивать произвольные выражения, устанавливать точки останова, последовательно переходить по коду строки и т. д.

Архитектура Python

Язык Python организован предоставляя синтаксис для формирования выражений, образующих исполняемые программы, и словарь - набор функциональности в виде стандартной библиотеки и подключаемых модулей.

Как уже упоминалось, синтаксис Python достаточно лаконичный, особенно если сравнивать с Java или C++. С одной стороны - это хорошо, так как чем проще синтаксис, тем проще его изучить и тем меньше ошибок можно совершить в процессе его использования. Однако у подобных языков есть недостаток - с их помощью можно передавать самую простую информацию и нельзя выражать сложные конструкции. Но к Python это не относится. Дело в том, что Python является языком с более высоким уровнем абстракции, выше, например, чем у Java и C++, и позволяет передать такое же количество информации в меньшем объеме исходного кода.

Также Python является языком общего назначения, поэтому может применяться практически в любой области разработки ПО (standalone, клиент-сервер, Web-приложения) и в любой предметной области. Кроме того, Python легко интегрируется с уже существующими компонентами, что позволяет внедрять Python в уже написанные приложения.

Другая составляющая успеха Python - это его модули расширения, как стандартные, так и специфические. Стандартные модули расширения Python - это отлично спроектированная и неоднократно проверенная функциональность для решения задач, возникающих в каждом проекте по разработке ПО, обработка строк и текстов, взаимодействие с операционной системой, поддержка Web-приложений. Эти модули также написаны на языке Python, поэтому обладают его важнейшим свойством - кросс-платформенностью, позволяющей безболезненно и быстро переносить проекты с одной операционной системы на другую. Если необходимой функциональности не оказалось в стандартной библиотеке Python, то можно создать собственный модуль расширения для его последующего использования. Здесь стоит отметить, что модули расширения для Python можно создавать не только на самом языке Python, но и с помощью других языков программирования. В этом случае появляется возможность более эффективной реализации ресурсоемких задач, например сложных научных вычислений, однако теряется преимущество кросс-платформенности, если язык модуля расширения не является сам по себе кросс-платформенным, как Python. [2]

Как было сказано ранее, сложные задачи часто могут быть выражены очень компактным кодом. В качестве примера, на рисунке 1.5 приведен простой скрипт Python, который извлекает веб-страницу, сканирует ее на наличие URL ссылок и печатает первые 10 из них.

Начало работы с Python

Прежде чем начать использовать Python, необходимо установить его среду исполнения - в данной статье это CPython и соответственно интерпретатор python. Существуют различные способы установки: опытные пользователи могут сами скомпилировать Python из его общедоступного исходного кода, также можно загрузить с Web-сайта www.python.org уже готовые исполняемые файлы для конкретной операционной системы, наконец, многие дистрибутивы Linux поставляются с уже предустановленным интерпретатором Python. В этой статье используется версия Python 2.x для ОС Windows, однако представленные примеры можно запускать на любой версии Python.

Рис. 1.5 - Пример простого скрипта на Python

После того как программа установки развернет исполняемые файлы Python в указанный каталог, необходимо проверить значения следующих системных переменных:

· PATH. В этой переменной должен содержаться путь к каталогу, где установлен Python, чтобы его могла найти операционная система;

· PYTHONHOME. Эта переменная должна содержать только путь к каталогу, где установлен Python. Также в этом каталоге должен содержаться подкаталог lib, в котором будет выполняться поиск стандартных модулей Python;

· PYTHONPATH. Переменная со списком каталогов, содержащих модули расширения, которые будут подключаться к Python (элементы списка должны разделяться системным разделителем) ;

· PYTHONSTARTUP. Не обязательная переменная, определяющая путь к сценарию Python, который должен выполняться каждый раз при запуске интерактивного сеанса интерпретатора Python.

Командная строка для работы с интерпретатором имеет следующую структуру: PYTHONHOME\python (опции) [ -с команда | файл со сценарием | - ] {аргументы}

Опции - это не обязательные строковые значения, которые могут изменять поведение интерпретатора во время сеанса. Их значение будет рассматриваться в этой и последующих статьях. За опциями указывается либо отдельная команда, которую должен выполнить интерпретатор, либо путь к файлу, в котором содержится сценарий для выполнения. Стоит отметить, что команда может состоять из нескольких выражений, разделенных точкой с запятой, и должна быть заключена в кавычки, чтобы операционная система смогла ее корректно передать интерпретатору. Аргументы - те параметры, которые передаются для последующей обработки в исполняемый сценарий; они передаются в программу в виде строк и разделяются пробелами.

Для проверки правильности установки и работоспособности Python можно выполнить следующие команды: c:\> python- v c:\> python -c “import time; print time.asctime()”

Опция -v выводит версию используемой реализации Python и завершает работы, а вторая команда распечатывает на экран значение системного времени.

Писать сценарии Python можно в любом текстовом редакторе, так как они представляют собой обычные текстовые файлы, однако существуют и специальные среды разработки, предназначенные для работы с Python.

Основы синтаксиса Python

Сценарии исходного кода Python состоят из так называемых логических строк, каждая из которых в свою очередь состоит из физических строк. Для обозначения комментариев используется символ #. Комментарии и пустые строки интерпретатор игнорирует.

Далее приведен очень важный аспект, который может показаться странным программистам, изучающим Python в качестве второго языка программирования. Дело в том, что в Python нет символа, который бы отвечал за отделение выражений друг от друга в исходном коде, как, например, точка с запятой (;) в C++ или Java. Точка с запятой позволяет разделить несколько инструкций, если они находятся на одной физической строке. Также отсутствует такая конструкция, как фигурные скобки {}, позволяющая объединить группу инструкций в единый блок.

Физические строки разделяются самим символом конца строки, но если выражение слишком длинное для одной строки, то две физических строки можно объединить в одну логическую. Для этого необходимо в конце первой строки ввести символ обратного слеша (\), и тогда следующую строку интерпретатор будет трактовать как продолжение первой, однако при этом нельзя, чтобы на первой строке за символом \ находились бы другие символы, например, комментарий с #. Для выделения блоков кода используются исключительно отступы. Логические строки с одинаковым размером отступа формируют блок, и заканчивается блок в том случае, когда появляется логическая строка с отступом меньшего размера. Именно поэтому первая строка в сценарии Python не должна иметь отступа. Усвоение этих несложных правил поможет избежать большинства ошибок, связанных с освоением нового языка.

Других радикальных отличий от остальных языков программирования в синтаксисе Python нет. Имеется стандартный набор операторов и ключевых слов, большая часть которых уже знакома программистам, а специфические для Python будут рассматриваться в этой и последующих статьях. Также используются стандартные правила для заданий идентификаторов переменных, методов и классов - имя должно начинаться с подчеркивания или латинского символа любого регистра и не может содержать символов @, $, %. Также не может использоваться в качестве идентификатора только один символ подчеркивания (см. сноску, в которой говорится об интерактивном режиме работы).

Типы данных в Python

Типы данных, используемых в Python, также совпадают с другими языками - целые и вещественные типы данных; дополнительно поддерживается комплексный тип данных - с вещественной и мнимой частью (пример такого числа - 1.5J или 2j, где J представляет собой квадратный корень из -1). Python поддерживает строки, которые могут быть заключены в одинарные, двойные или тройные кавычки, при этом строки, как и в Java, являются immutable-объектами, т.е. не могут изменять свое значение после создания.

Есть в Python и логический тип данных bool c двумя вариантами значения - True и False. Однако в старых версиях Python такого типа данных не было, и, кроме того, любой тип данных мог быть приведен к логическому значению True или False. Все числа, отличные от нуля, и непустые строки или коллекции с данными трактовались как True, а пустые и нулевые значения рассматривались как False. Эта возможность сохранилась и в новых версиях Python, однако для повышения читаемости кода рекомендуется использовать для логических переменных тип bool. В то же время, если необходимо поддерживать обратную совместимость со старыми реализациями Python, то в качестве логических переменных стоит использовать 1 (True) или 0 (False).

В Python определены три типа коллекций для хранения наборов данных:

· кортеж (Tuple);

· список (List);

· словарь (Dictionary).

Кортеж представляет из себя неизменяемую упорядоченную последовательность данных. Он может содержать элементы различных типов, например даже другие кортежи. Кортеж определяется в круглых скобках, а его элементы разделяются запятыми. Специальная встроенная функция tuple() позволяет создавать кортежи из представленной последовательности данных.

Список - это изменяемая упорядоченная последовательность элементов. Элементы списка также разделяются запятыми, но задаются уже в квадратных скобках. Для создания списков существует функция list().

Словарь - это изменяемая, но не упорядоченная коллекция, так что порядок элементов в словаре может меняться со временем. Задается словарь в фигурных скобках, ключ отделяется от значения двоеточием, а сами пары ключ/значение разделяются запятыми. Для создания словарей доступна функция dict(). Словарь является хеш-таблицей которая сохраняет элемент вместе с его ключом-идентификатором. Последующий доступ к элементам выполняется также по ключу, поэтому единица хранения в словаре - это пара объект - ключ и связанный с ним объект - значение.

Функции в Python

Хотя Python и поддерживает ООП, однако многие его возможности реализованы в виде отдельных функций; кроме того, модули расширения чаще всего делаются тоже в виде библиотеки функций. Функции также применяются и в классах, где они по традиции называются методами.

Есть только несколько моментов, специфичных для Python, которые стоит учитывать. Как и в Java, примитивные значения передаются по значению (в функцию попадает копия параметра, и она не может изменить значение, установленное до вызова функции), а сложные объектные типы передаются по ссылке (в функцию передается ссылка и она вполне может изменить объект).

Параметры могут передаваться как просто по порядку перечисления, так и по именам, в этом случае не нужно указывать при вызове те параметры, для которых есть значения по умолчанию, а передавать только обязательные или менять порядок параметров при вызове функции.

Функция в Python обязательно возвращает значение - это делается либо явно с помощью оператора return, за которым следует возвращаемое значение, либо, в случае отсутствия оператора return, возвращается константа None, когда достигается конец функции. Как видно из примеров объявлений функций, в Python нет необходимости указывать, возвращается что-либо из функции или нет, однако если в функции имеется один оператор return, возвращающей значение, то и другие операторы return в этой функции должны возвращать значения, а если такого значения нет, то необходимо явно прописывать return None.

Если функция очень простая и состоит из одной строки, то ее можно определить прямо на месте использования, в Python подобная конструкция называется лямбда-функцией (lambda). lambda-функция - это анонимная функция (без собственного имени), телом которой является оператор return, возвращающий значение некоторого выражения. Такой подход может оказаться удобным в некоторых ситуациях, однако стоит заметить, что повторное использование подобных функций невозможно («где родился, там и пригодился»).

Так же стоит описать отношение Python к использованию рекурсии. По умолчанию глубина рекурсии ограничена 1000 уровней, и когда этот уровень будет пройден, возникнет исключительная ситуация, и работа программы будет остановлена. Однако при необходимости величину этого предела можно изменить. [2]

криптография информация подпись ключ

2 Расширение файлов

2.1 Общие сведения

Расширением называют символ или набор символов в конце имени файла, отделенный от него точкой. Расширение файла помогает операционной системе, например Windows, определить, какая программа на вашем компьютере связана с файлом. Например, файл Мой_Диплом.docx заканчивается на docx, расширении файла, которое может быть связано с Microsoft Word на вашем компьютере. Когда вы попытаетесь открыть этот файл, Windows увидит, что файл заканчивается расширением DOCX, которое он уже знает, и что он должен быть открыт с помощью программы Microsoft Word. Любые расширения файла могут быть переименованы, но это не преобразует файл в другой формат и ничего не изменит в самом файле, кроме части его имени после точки. Многие расширения файлов, особенно те, которые мы постоянно используем, например форматы изображений, аудио и видео, обычно совместимы с несколькими установленными вами программами.

Расширения файлов и формат файлов часто упоминаются взаимозаменяемо, однако на самом деле расширение файла - это всего лишь любые символы после точки, в то время как формат файла говорит о том, как организованы данные в файле.

Например, в имени файла Мой_Диплом.csv расширение файла - csv, что указывает на то, что это файл CSV. Можно легко переименовать этот файл в Мой_Диплом.mp3, но это не значит, что можно будет воспроизвести файл как звуковую запись, хотя может показаться, что это произошло, потому что Windows показывает ярлык, связанный с новым расширением файла. Сам файл по-прежнему является строками текста (CSV-файл), а не сжатой музыкальной записью (файл MP3).

Чтобы по-настоящему изменить тип файла, его нужно преобразовать, используя программу, которая поддерживает файлы обоих типов или специальный инструмент, предназначенный для преобразования файла из формата, в котором он находится, в формат, который вы хотите.

Некоторые расширения файлов классифицируются как исполняемые, что означает, что при нажатии они не просто открываются для просмотра или воспроизведения. Вместо этого они на самом деле делают что-то само собой, например, устанавливают программу, запускают процесс, скрипт и т.д.

Файлы с подобными расширениями могут содержать в себе всё что угодно, от кодов запуска атомных ракет, до скрипта, который заспамит ваших друзей и вас рекламой инновационного способа изучения английского языка, поэтому следует быть предельно осторожным, когда скачиваете такие файлы из источника, которому вы не доверяете. [4]

2.2 Язык XML

Формат XML (Extensible Markup Language) или расширяемый язык разметки - он описывает документ и частично поведение программ, использующих XML документы. Данный язык разрабатывался с расчетом его широкого применения в сети интернет. В XML файле используются теги для определения объектов и их атрибутов. Форматирование данных похоже на язык разметки HTML документов, но в отличие от HTML, в XML используются теги, которые задаются пользователями.

Основные составляющие XML-документа - это элементы, определенные тегами. Элемент имеет начальный и конечный теги. Все элементы в документе XML содержатся в самом внешнем элементе, известном как корневой элемент. XML также может поддерживать вложенные элементы или элементы внутри элементов. Эта возможность позволяет XML поддерживать иерархические структуры. Имена элементов описывают содержимое элемента, а структура описывает взаимосвязь между элементами.

Структура XML документа представляет собой древо. Некоторые элементы имеют содержимое и атрибуты.

Например: <tag attr = “attrval”> value </tag> Здесь: <tag></tag> - открывающий и закрывающий теги элемента, attr - атрибут, attrval - значение, value - содержимое.

В XML файлах хранятся различные данные - от настроек приложений до баз данных. Файлы на основе XML используются для обмена информацией в интернете, между программами и внутри программ. Т.к. XML документы состоят их текста, их можно легко редактировать в любом текстовом редакторе.

2.3 Формат DOCX

Формат DOCX был представлен компанией Microsoft в 2007 году вместе с новой версией программы Microsoft Word 2007, которая использует данный формат документов. В более ранних версиях Microsoft Word используется расширение файла DOC но этот формат был во многом неудобен и не отличался стабильностью, одним из главных его недостатков были проблемы совместимости с различными версиями Word. DOCX считается улучшенной версией формата DOC, и в последнее время набирает всё большую популярность среди так как он более доступен чем его предшественник на начальных этапах развития.

Фактически, переход на DOCX является частью перехода на более открытый стандарт форматирования файлов для Microsoft, что позволяет разработчикам легче создавать приложения, которые могут обращаться к данным в документах Word (например для передачи веб-страницы), а также облегчить для других программ обработчиков текста открытие документов Word.

Файлы DOCX основаны на XML и могут содержать текст, объекты, стили, форматирование и изображения, каждые из которых хранятся в виде отдельных файлов и в конечном итоге объединяются в одном сжатом ZIP-файле. Благодаря этому, они более сжаты, чем файлы DOC (простой документ формата DOCX представляет собой файл-архив в котором находится небольшой пакет файлов, размером приблизительно 10Кб). Таким образом, документ Word, использующий формат DOCX, может составлять половину или три четверти размера, который был бы в виде файла DOC, а это может сэкономить немного пространства на диске, и уменьшить пропускную способность необходимую для отправки файлов по электронной почте, по сети или через интернет. При открытии файл автоматически распаковывается, а при сохранении сжимается.

Если вы попытаетесь открыть поврежденный файл с форматом DOC, то Word просто не сможет его открыть и выдаст ошибку, это был большой недостаток старого расширения, таким образом терялось огромное количество данных. DOCX файлы имеют модульную структуру, поэтому различные компоненты данных хранятся отдельно друг от друга, и когда вы пробуете открыть поврежденный файл DOCX, он все равно откроется, и вы можете пользоваться всеми частями документа которые не были повреждены.

Так же в данном формате обеспечивается конфиденциальность при использовании документов совместно, так как персональные данные, например, такие как имена авторов, пути к файлам, какие либо бизнес-сведения, сведения об организации и т.д. можно легко найти и удалить с помощью инспектора документов. Благодаря этому DOCX является таким популярным средством переноса данных. Чтобы изучить содержимое файла с форматом DOCX вручную, нужно переименовать расширение на .ZIP, после чего полученный файл можно распаковать с помощью любого программного обеспечения, поддерживающего ZIP.

2.4 Структура DOCX

Документ DOCX представляет собой ZIP архив который физически содержит два типа файлов:

· XML файлы (файлы с расширением xml и rels) ;

· медиа файлы (изображения и т.п.).

А логически - три вида элементов:

· тип контента (Content Types) - типы содержащихся файлов (например png) встречающихся в документе и типов частей документов (например верхний колонтитул) ;

· детали или части (Parts) - различные части документа, в файлах формата DOCX эта информация находится в файле document.xml, сюда входят как xml так и медиа файлы;

· отношения или связи (Relationships) - определяют связи между частями документа для ссылок (к примеру связь между страницами документа), а также здесь определены такие части как гиперссылки.

Все эти части подробно описаны в официальном стандарте:

ECMA-376: Office Open XML File Format

Для наглядного примера создадим обычный DOCX документ при помощи программы Microsoft Word. [4]

Как выглядит документ после распаковки, представлено на рисунке 2.1.

· docProps/core.xml - основные метаданные документа;

· docProps/app.xml - хранит метаданные из самого документа, такие как имя автора, последнее редактирование, количество страниц, символов, название приложения в котором был создан документ и т.п.

· word/settings.xml - пользовательские настройки документа;

· word/styles.xml - стили, которые были применены в документе;

· word/webSettings.xml - настройки отображения HTML частей документа и настройка конвертации документа в HTML;



Рис.2.1 - Распакованный DOCX документ

· word/fontTable.xml - шрифты использованные в документе;

· word/themel.xml - тема (состоит из цветовой схемы, шрифтов и форматирования).

В сложных документах частей может быть больше.

[Content_Types].xml

Файл расположен в корне архива. В нем определяются MIME типы содержимого документа.

MIME (Multipurpose Internet Mail Extension, Многоцелевые расширения почты Интернета) -- спецификация для передачи по сети файлов различного типа: изображений, музыки, текстов, видео, архивов и др. Содержимое файла [Content_Types].xml представлено на рисунке 2.2.

Рис. 2.2 - Содержимое файла [Content_Types].xml

_rels/.rels

Файл с описанием структуры документа. Он содержит пути к информации метаданных, а также к основному XML-документу, который содержит содержимое самого документа. В моем примере представлена всего одна связь - идентификатор rId1 сопоставлен с файлом word/document.xml (тело документа) (см. рис. 2.3).

Рис. 2.3 - Содержимое файла _rels/.rels

word/document.xml

В файле расположено описание основного содержимого документа. (см. рис. 2.4).

Рис. 2.4 - Содержимое файла word/document.xml

Структура этого файла схожа со структурой HTML документов.

· <w:document> </w:document> -- Документ;

· <w:body> </w:body> -- Тело документа;

· <w:p> <w:p> -- Параграф;

· <w:r> <w:r> -- Фрагменты текста;

· <w:t> <w:t> -- Основной текст;

· <w:sectPr> <w:sectPr> -- Описание.

Следовательно, при открытии данного документа в текстовом редакторе, мы увидим страницу с одним словом Test. (см. рис. 2.5).

Рис. 2.5 - Содержимое файла Test.docx

word/_rels/document.xml.rels

Содержимое этого компонента представляет собой список связей из документа word/document.xml.

Каждый компонент имеет возможность связываться с другими компонентами. Для предоставления этих ссылок, реализован специальный механизм связей.

Связи помогают решить две задачи:

· получение списка ресурсов связанных с компонентом, не анализируя его содержимое (т.к. содержимое может быть большим, зашифрованным и т.п.) ;

· изменение связей компонента не меняя содержимого.

Название файла связей формируется путем соединения названия документа в котором он находится с расширением rels. Папка с файлом связей должна называться _rels и располагаться на одном уровне с документом к которому он относится.

Так как в моем тестовом документе word/document.xml нет связей, то и в файле пусто. (см. рис. 2.6).

Рис. 2.5 - Содержимое файла word/document.xml

Даже если связей нет, этот файл всё равно должен существовать.

В примере мы видим тэг <Relationships>, он определяет одну связь и имеет следующие атрибуты:

· ID - Идентификатор, с помощью которого осуществляется связь между компонентами;

· TYPE - Тип связи. Определяет семантику связей, например две связи указывают на компонент с картинкой jpeg, но одна картинка будет встроена в текст, а вторая будет фоном страницы;

· TARGET - Адрес, на который ссылается связь.

3. Цифровая подпись

3.1 Общие сведения

Цифровые подписи похожи на электронные «отпечатки пальцев». В виде закодированного сообщения цифровая подпись надежно связывает подписанта с документом в записанной транзакции. Цифровые подписи используют стандартный формат, называемый инфраструктурой открытого ключа (PKI), для обеспечения самых высоких уровней безопасности и универсального принятия.

Цифровые подписи, подобно рукописным подписям, уникальны для каждого подписывающего лица. Поставщики цифровых подписей, такие как DocuSign, следуют определенному протоколу, называемому PKI.

PKI требует, чтобы провайдер использовал математический алгоритм для генерации двух длинных чисел, называемых ключами. Один из ключей является общедоступным, а один - частным.

Когда пользователь электронным образом подписывает документ, подпись создается с использованием личного ключа подписавшего, который всегда надежно хранится подписывающим лицом. Математический алгоритм действует как шифр, создавая данные, соответствующие подписанному документу, называемому хешем, и шифруя эти данные. Полученные зашифрованные данные являются цифровой подписью. Подпись также отмечается временем подписания документа. Если документ изменился после подписания, то цифровая подпись становится недействительной.

Например, пользователь подписывает соглашение о продаже документа, используя свой личный ключ. Покупатель получает документ. Также, покупатель получает копию открытого ключа отправителя. Если открытый ключ не может расшифровать подпись (через шифр, из которого были созданы ключи), это означает, что отправитель не является владельцем подписи или она была изменена с момента ее подписания. Подпись считается недействительной.

Чтобы защитить целостность подписи, PKI требует, чтобы ключи создавались, проводились и сохранялись в безопасном режиме и часто требовали использование службы центра сертификации (CA). Поставщики цифровых подписей, такие как DocuSign, отвечают требованиям PKI для безопасной цифровой подписи.

Цифровые подписи используют определенные типы шифрования для обеспечения аутентификации.

Шифрование - это процесс приема всех данных, которые один компьютер отправляет другому, и кодирования его в форму, которую сможет декодировать только другой компьютер.

Аутентификация - это процесс проверки того, что информация поступает из надежного источника. Эти два процесса работают рука об руку для цифровых подписей.

Защита информации -- это деятельность по предотвращению хищения защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект защиты -- информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Цель защиты информации -- это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации -- степень соответствия результатов защиты информации поставленной цели.

Защита информации от утечки -- деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками. Защита информации от разглашения -- деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Криптографическая защита информации - деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием средств криптографической защиты информации.

Стеганография - это наука о скрытой передаче информации путём сохранения в тайне самого факта передачи. Исторически это направление появилось первым, но затем во многом было вытеснено криптографией. В отличие от криптографии, которая скрывает содержимое секретного сообщения, стеганография скрывает само его существование. Тайнопись осуществляется самыми различными способами. Общей чертой этих способов является то, что скрываемое сообщение встраивается в некоторый безобидный, не привлекающий внимание объект. После этого объект открыто доставлялся адресату. В криптографии само шифрованное сообщение, привлекает внимание, при стеганографии наличие скрытой связи остается незаметным.

Если повнимательней присмотреться к темпам развития современной компьютерной стеганографии то станет ясно, что в ближайшие годы интерес к развитию ее методов будет усиливаться все больше и больше. Предпосылки к этому уже сформировались сегодня. В частности, известно, что актуальность проблемы информационной безопасности постоянно растет и стимулирует поиск новых методов защиты информации. С другой стороны, бурное развитие информационных технологий обеспечивает возможность реализации этих новых методов защиты. И конечно, сильным катализатором этого процесса является лавинообразное развитие Internet, в том числе, такие нерешенные противоречивые проблемы Internet, как защита авторского права, защита прав на личную тайну, организация электронной торговли, компьютерная преступность и кибертерроризм. [5]

Используемое в PKI асимметричное шифрование подразумевает два ключа: открытый ключ и закрытый ключ. Как показано на рисунке 1, процесс начинается, когда отправитель зашифровывает сообщение с использованием открытого ключа. Отправитель может запросить открытый ключ у предполагаемого получателя сообщения либо загрузить его из открытой папки или с сайта. Только предполагаемый получатель сообщения сможет расшифровать его с использованием надлежащего закрытого ключа. Несколько более медленное, чем симметричное шифрование, ассиметричное шифрование в свою очередь не требует обмена секретным ключом.

Цифровая подпись может быть разбита на три части: алгоритм генерации ключа, алгоритм подписи и алгоритм проверки подписи. Алгоритм генерации ключа выбирает случайный закрытый ключ из набора возможностей и отправляет закрытый ключ с соответствующим открытым ключом. Алгоритм подписи создает подпись на основе сообщения и закрытого ключа. Наконец, алгоритм проверки подписи принимает или отклоняет аутентичность сообщения, если он снабжен сообщением, сигнатурой и открытым ключом. (рис. 3.1). [7]

Рис. 3.1 - Пример защищенной передачи данных

3.2 Инфраструктура открытых ключей

Инфраструктура открытых ключей (PKI - Public Key Infrastructure) -- набор сервисов и компонентов, используемых для управления жизненным циклом цифровых сертификатов и ключевых носителей.

PKI оперирует в работе термином «сертификат». Сертификат -- это электронный документ, который содержит электронный ключ пользователя (открытый ключ или же ключевую пару), информацию о владельце сертификата, удостоверяющую подпись центра выдачи сертификатов (УЦ) и информацию о сроке действия сертификата.

Основные задачи системы информационной безопасности, которые решает PKI:

· обеспечение целостности информации;

· обеспечение конфиденциальности информации;

· обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;

· обеспечение возможности подтверждения совершенных пользователями действий с информацией. [ 7 ]

3.3 Авторское право

В объективном смысле авторское право представляет собой совокупность правовых норм, регулирующих отношения по поводу создания использования произведений науки, литературы и искусства. В субъективном смысле авторское право - те личные имущественные и неимущественные права, которые принадлежат лицам, создавшим произведения литературы, науки и искусства.

Нормы и принципы авторского права

Как и всякий другой правовой институт, авторское право имеет принципы. Свобода творчества. Позволяет автору выбирать интересующую его тему, форму будущего произведения, метод создания, использовать произведения всеми дозволенными законом способами. Конституционное законодательство гарантирует свободу научного, технического и художественного творчества путем широкого развертывания научных исследований, изобретательской и рационализаторской работы, развития литературы и искусства.

Принцип сочетания личных интересов с интересами всего общества.

Принцип моральной и материальной заинтересованности в использовании произведений. Материальное поощрение: государственные и именные премии.

Принцип всемирной охраны права и законного интереса авторов, который отражен не только в нормах права, но и в нормах, обеспечивающих защиту нарушенных авторских прав.

Объекты авторского права

Объектом авторского права следует считать не просто работу автора и не идеи, выраженные автором, а произведение, как комплекс идей и образов, получивших свое выражение в готовом труде, как индивидуальное и неповторимое творческое отражение объективной действительности.

Однако не всякое произведение как результат мыслительной деятельности человека охраняется нормами авторского права. Объектами авторского права признаются лишь такие произведения, которые обладают предусмотренными законом признаками.

Произведение как результат творческой деятельности автора становится объектом авторского права лишь при условии, что оно выражено в какой-либо объективной форме. До тех пор, пока мысли и образы автора не проявились вовне, а существуют лишь в виде творческого замысла, они не могут быть восприняты другими людьми, и, следовательно, не существует и практической надобности в их правовой охране.

Субъекты авторского права

Субъектами авторского права являются лица, которым принадлежит субъективное авторское право в отношении произведения. Обладателями субъективного авторского права могут быть российские граждане, иностранцы, лица без гражданства, их наследники и иные правопреемники. Право на произведение для каждой категории субъектов возникает в связи с различными юридическими фактами -- созданием произведения, переходом авторских прав по наследству, авторскому договору и т.д.

Важнейшими субъектами авторского права являются авторы произведений. Авторами признаются лица, творческим трудом которых создано произведение. Автор -- творец нового.

Права авторов

Авторские права настолько взаимосвязаны, что выделить среди них права чисто имущественного или неимущественного характера довольно трудно.

Тем не менее, закон признает такое деление и указывает на то, какие права являются личными неимущественными, а какие носят имущественный характер. Важность этого деления состоит в том, что личные неимущественные права (в законах западных стран -- так называемые моральные права) могут принадлежать лишь самому создателю произведения, они, как правило, непередаваемы другим лицам и охраняются бессрочно. Напротив, имущественные права могут свободно отчуждаться другим лицам и носят сугубо срочный характер. Рассмотрим важнейшие личные и имущественные права автора.

Одним из главных личных неимущественных прав, возникающих в связи с созданием произведения, является право авторства. Этим обозначениям отмечаются правомочия автора, связанные с возможностью именовать себя автором произведения, а все другие лица при использовании произведения (например, цитировании, включении отрывков из него в сборники или хрестоматии) обязаны ссылаться на автора. Опираясь на это право, автор требует защиты своих интересов в случае присвоения авторства другим лицом (плагиат).

Защита авторских и смежных прав

Защита авторских прав, как и защита смежных, патентных и других прав интеллектуальной собственности обеспечивается предусмотренными законодательством способами с учетом существа нарушенного права и последствий нарушения этого права» (пункт 1 статьи 150 ГК РФ).

Любые лица, использующие произведение, вправе осуществлять такое использование только с согласия автора или правообладателя, кроме случаев использования произведения в пределах законодательно установленных исключений (например, цитирование, распространение (продажа) экземпляров произведения, правомерно выпущенных в гражданский оборот с согласия правообладателя, и т.д.).

Для доказывания наличия нарушения исключительного права на произведение необходимо и достаточно одновременное наличие двух обстоятельств:

1) Факта использования произведения каким-либо способом.

2) Отсутствия у лица, осуществляющего использование произведения, договора с правообладателем.

Соответствующие способы защиты прав могут применяться по требованию правообладателей и организаций по управлению правами на коллективной основе, а также иных лиц.

За различные случаи нарушений авторских прав законодательством установлена ответственность:

· гражданско-правовая;

· административная;

· уголовная.

Защита прав в Интернете

Если говорить кратко, она проходит в восемь шагов.

Шаг первый. Поставь знак Копирайт ©.

Знак Копирайт, это первая защита прав в Интернете и своего рода предупреждение всем: у произведения есть хозяин, коммерческое использование без разрешения собственника - автора или правообладателя запрещено.

Шаг второй. Защита торговой марки на название сайта.

Подлинная защита прав интеллектуальной собственности в Интернете на ваш сайт или портал начнется тогда, когда вы зарегистрируете название в виде товарного знака (торговой марки).

Шаг третий. Регистрация авторских прав на контент, тексты и изображения.

Достаточно автору, как правообладателю передать на хранение отсканированные страницы оригинального текста, изображения, внешнего вида оформления сайта или иной контент, и получить Свидетельство о регистрации прав, как защита авторских прав в Интернете становится возможной.

Шаг четвертый. Регистрация оригинальной программы или базы данных.

Если создатель компьютерной программы или базы данных желает, помимо морального удовлетворения от своего авторства, получать материальную выгоду, ему без государственной регистрации его прав в Роспатенте не обойтись. Такая регистрация и есть первая защита авторских прав в Интернете программиста или фирмы-правообладателя на компьютерную программу или оригинальную базу данных.

Шаг пятый. Регистрация имени, названия сайта или домена в качестве СМИ.

Дополнительная зашита авторских прав тоже «выдается» вам вместе со Свидетельством о регистрации СМИ и никто не имеет права использовать вашу информацию без ссылок на источник.

Шаг шестой. Заключить лицензионный договор с автором контента сайта.

Лицензионный договор с автором или несколькими авторами контента это хорошая защита прав и вас самих от недобросовестных исполнителей. Вы становитесь правообладателем.

Шаг седьмой. Сообщение о правилах использования контента сайта

Рекомендуется владельцам сайтов обязательно потратить некоторую долю своего времени для того, чтобы продумать правила пользования сайтом, отдельными частями и разделами, текстами и изображениями, внести в правила все необходимые ссылки на законодательство, потому что хорошо прописанные правила помогают защите прав.

Шаг восьмой. Лицензионное соглашение с пользователем

В таких соглашениях оговаривается порядок пользования лицензиатом контента демо-версий скачиваемых файлов и все, что касается защиты прав интеллектуальной собственности. [11]

4. Защита информации

4.1 Общие сведения

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ.

Защита информации -- это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Цель защиты информации -- это успешный результат защиты информации. Целью защиты информации является предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации -- степень соответствия результатов защиты информации поставленной цели.

Система защиты информации -- совокупность органов и/или исполнителей, использующаяся ими техника защиты информации, а также объекты защиты, собранные и работающие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами защиты информации.

К конфиденциальным данным относятся, например, следующие: личная информация пользователей; аккаунты (имена и пароли); данные о банковских картах; данные о изобретениях и различные внутренние документы; бухгалтерские сведения, рукописи, художественные произведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть засекреченной. Объекты защиты информации - это информация, носитель информации или информационный процесс, которые необходимо защитить от несанкционированного доступа, изменения и копирования третьими лицами. Носителем секретной информации может быть как физическое лицо, так и материальный объект или физическое поле. Информация может содержаться в виде символов, сигналов и образов, технических процессов и решений, количественных характеристик и физических величин.

Основные объекты защиты информации:

· информационные ресурсы содержащие конфиденциальную информацию;

· системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ) ;

· ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования. [ 9 ]

4.2 Современные методы защиты информации

Современные методы защиты информации основываются на следующих подходах:

Системный подход к построению систем защиты, предполагающий оптимальное сочетание программных, организационных, физических и аппаратных свойств, применяемых на всех этапах обработки информации.

Принцип постоянного совершенствования системы. Современная защита информации предполагает постоянное совершенствование системы в связи с быстрым ростом рисков кражи информации. Это неизбежно, а данный процесс непрерывен и заключается в реализации новых методов и путей совершенствования систем информационной безопасности, постоянном контроле, обнаружении и устранении её слабых мест и потенциальных каналов утечки информации. Непрерывное совершенствование систем обусловлено увеличением количества способов доступа к информации извне.

Обеспечение надежности систем информационной защиты, т. е. контроль уровня надежности при отказе системы, возникновении сбоев, несчастных случаев, взлома и ошибок.

...