Раздел 8. Защита информации в сетях передачи и хранения информации.
Информационная безопасность компьютерной сети (КС) - это ее свойство противодействовать попыткам нанесения ущерба владельцам и пользователям сети при различных умышленных и неумышленных воздействиях на нее. Иначе говоря, это защищенность сети от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения циркулирующей в сети информации.
Определены три базовых принципа информационной безопасности, которая должна обеспечивать:
• конфиденциальность информации, т.е. ее свойство быть известной только допущенным (авторизованным) субъектам сети (пользователям, программам, процессам);
• целостность данных (ресурса) сети, т.е. свойство данных быть в семантическом смысле неизменными при функционировании сети, что достигается защитой данных от сбоев и несанкционированного доступа к ним;
• доступность информации в любое время для всех авторизованных пользователей.
|
|
Различают внешнюю и внутреннюю безопасность КС. Предметом внешней безопасности является обеспечение защиты КС от проникновения злоумышленников извне с целью хищения, доступа к носителям информации, вывода сети из строя, а также защиты от стихийных бедствий. Внутренняя безопасность включает обеспечение надежной работы сети, целостности ее программ и данных.
Нейтрализация угроз безопасности осуществляется службами безопасности(СБ) сети и механизмами реализации функций этих служб.
Документами Международной организации стандартизации (МОС) определены следующие службы безопасности.
1. Аутентификация (подтверждение подлинности) обеспечивай подтверждение или опровержение того, что объект, предлагающий себя в качестве отправителя сообщения (источника данных), является именно таковым как на этапе установления связи между абонентами, так и на этапе передачи сообщения.
2. Обеспечение целостности передаваемых данных осуществляет выявление искажений в передаваемых данных, вставок, повторов, уничтожение данных. Эта служба имеет модификации и отличия в зависимости от того, в каких сетях (виртуальных или дейтаграммных) она применяется, какие действия выполняются при обнаружении аномальных ситуаций (с восстановлением данных или без восстановления), каков охват передаваемых данных (сообщение или дейтаграмма в целом либо их части, называемые выборочными полями).
3. Засекречивание данных обеспечивает секретность передаваемых данных: в виртуальных сетях - всего передаваемого сообщения или только его выборочных полей, в дейтаграммных - каждой дейтаграммы или только отдельных ее элементов. Служба засекречивания потока данных (трафика), являющаяся общей для виртуальных и
дейтаграммных сетей, предотвращает возможность получения сведений об абонентах сети и характере использования сети.
|
|
4. Контроль доступа обеспечивает нейтрализацию попыток несанкционированного использования общесетевых ресурсов.
5. Защита от отказов нейтрализует угрозы отказов от информации со стороны ее отправителя и/или получателя.
Первые три службы характеризуются различиями для виртуальных и дейтаграммных сетей, а последние две службы инвариантны по отношению к этим сетям
Механизмы реализации функций, указанных СБ, представлены соответствующими, преимущественно программными средствами. Выделяются следующие механизмы: шифрование, цифровая подпись, контроль доступа, обеспечение целостности данных, обеспечение аутентификации, подстановка трафика, управление маршрутизацией, арбитраж Некоторые из них используются для реализации не одной, а нескольких СБ. Это относится к шифрованию, цифровой подписи, обеспечении! целостности данных, управлению маршрутизацией.
Использование механизмов шифрования связано с необходимостью специальной службы генерации ключей и их распределения между абонентами сети.
Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования. Они включают процедуры формирования подписи отправителем и ее опознавание (верификацию) получателем.
Механизмы обеспечения целостности данных, реализуя функции одноименных служб, выполняют взаимосвязанные процедуры шифрования и дешифрования, данных отправителя и получателя.
Механизмы обеспечения аутентификации, на практике обычно совмещаемые с шифрованием, цифровой подписью и арбитражем, реализуют одностороннюю или взаимную аутентификацию, когда проверка подписи осуществляется либо одним из взаимодействующих одноуровневых объектов, либо она является взаимной.
Механизмы подстановки трафика, используемые для реализации службы засекречивания потока данных, основываются на генерации фиктивных блоков, их шифрования и передаче по каналам связи. Этим затрудняется и даже нейтрализуется возможность получения информации об абонентах сети и характере потоков информации в ней.
Механизмы управления маршрутизацией обеспечивают выбор безопасных, физически надежных маршрутов для передачи секретных Ведений.
Механизмы арбитража обеспечивают подтверждение третьей стороной (арбитром) характеристик данных, передаваемых между абонентами сети.
Службы безопасности и механизмы реализации их функций распределены по уровням эталонной модели ВОС.