Аппаратно-программные средства, обеспечивающие повышенный уровень защиты, можно разбить на пять основных групп:
• системы идентификации и аутентификации пользователей;
• системы шифрования дисковых данных;
• системы шифрования данных, передаваемых по сетям;
• системы аутентификации электронных данных;
· средства управления ключевой информацией.
Системы идентификации и аутентификации пользователей применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. При построении подобных систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователей. Можно выделить следующие типы такой информации:
1)секретная информация, которой обладает пользователь (пароль, персональный идентификатор, секретный ключ и т.п.);
2)физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.).
Системы идентификации, основанные на первом типе информации, принято считать традиционными, системы идентификации второго типа называются биометрическими.
|
|
Системы шифрования дисковых данных обеспечивают конфиденциальность данных, располагаемых на магнитных носителях. Системы шифрования данных могут осуществлять криптографические преобразования данных на уровне файлов (защищаются отдельные файлы) и на уровне дисков (защищаются диски целиком).
К программам первого типа можно отнести архиваторы тина Arj, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities.
Системы шифрования данных, передаваемых по компьютерным сетям, предоставляют дна способа шифрования: канальное и оконечное (абонентское) шифрование. В случае канального шифрования защищается вся передаваемая по каналу связи информация, включая служебную. Соответствующие процедуры шифрования реализуются с помощью протокола канального уровня взаимодействия открытых систем OSI.
Оконечное (абонентское) шифрование реализуется с помощью протокола прикладного и представительного уровня эталонной модели OSI. В данном случае защищенным оказывается только содержание сообщения, вся служебная информация остается открытой.
Данный способ позволяет избежать проблем, связанных с шифрованием служебной информации, но при этом возникают другие осложнения. В частности злоумышленник, имеющий доступ к каналам связи компьютерной сети, получает возможность анализировать информацию о структуре обмена сообщениями, например, об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.
|
|
Системы аутентификации электронных данных устанавливают подлинность автора документа и проверяют отсутствие изменений в полученном документе.
Средства управлении ключевой информацией защищают совокупность всех криптографических ключей, используемых и компьютерной системе или сети. Различают следующие функции управления ключами: генерация ключей, хранение ключей и распределение ключей.
Способы генерации ключей различаются для симметричных и асимметричных криптосистем. Хранение ключей предполагает организацию безопасного хранения, учета и удаления ключей.
Для обеспечения безопасного хранения и передачи ключей применяют их шифрование с помощью других ключей. Такой подход приводит к иерархии ключей, в которую обычно входит главный ключ, ключ шифрования ключей и ключ шифрования данных.
Распределение ключей является самым ответственным процессом в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также оперативность и точность их распределения.