ЭВМ оборачиваются немалыми сложностями при организации их защиты. Отметим следующие основные проблемы:
Разделение совместно используемых ресурсов.
В силу совместного использования большого количества ресурсов различными пользователями сети, возможно находящимися на большом расстоянии друг от друга, сильно повышается риск НСД - в сети его можно осуществить проще и незаметнее.
Расширение зоны контроля.
Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости, возможно, в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях.
Комбинация различных программно-аппаратных средств.
Соединение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других системах. В случае соединения разнородных систем риск повышается.
Неизвестный периметр.
Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить сколько пользователей имеют доступ к определенному узлу и кто они.
Множество точек атаки.
В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником угрозы. Естественно, это не может способствовать повышению защищенности сети. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т.д.
Сложность управления и контроля доступа к системе.
Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу - с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной, если не невозможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер.
По своей сути проблемы защиты сетей обусловлены двойственным характером последних: об этом мы говорили выше. С одной стороны, сеть есть единая система с едиными правилами обработки информации, а с другой, - совокупность обособленных систем, каждая из которых имеет свои собственные правила обработки информации. В частности, эта двойственность относится и к проблемам защиты. Атака на сеть может осуществляться с двух уровней (возможна их комбинация):
. Верхнего - злоумышленник использует свойства сети для проникновения на другой узел и выполнения определенных несанкционированных действий. Предпринимаемые меры защиты определяются потенциальными возможностями злоумышленника и надежностью средств защиты отдельных узлов.
. Нижнего - злоумышленник использует свойства сетевых протоколов для нарушения конфиденциальности или целостности отдельных сообщений или потока в целом. Нарушение потока сообщений может привести к утечке информации и даже потере контроля за сетью. Используемые протоколы должны обеспечивать защиту сообщений и их потока в целом.
Как и для АСОИБ, защита сети должна планироваться как единый комплекс мер, охватывающий все особенности обработки информации. В этом смысле организация защиты сети, разработка политики безопасности, ее реализация и управление защитой подчиняются общим правилам, которые были рассмотрены выше. Однако необходимо учитывать, что каждый узел сети должен иметь индивидуальную защиту в зависимости от выполняемых функций и от возможностей сети. При этом защита отдельного узла должна являться частью общей защиты. На каждом отдельном узле необходимо организовать:
контроль доступа ко всем файлам и другим наборам данных, доступным из локальной сети и других сетей;
контроль процессов, активизированных с удаленных узлов;
контроль сетевого графика;
эффективную идентификацию и аутентификацию пользователей, получающих доступ к данному узлу из сети;
контроль доступа к ресурсам локального узла, доступным для использования пользователями сети;
контроль за распространением информации в пределах локальной сети и связанных с нею других сетей.
Необходимость функций защиты протоколов передачи данных опять же обуславливается двойственным характером сети: она представляет собой совокупность обособленных систем, обменивающихся между собой информацией с помощью сообщений. На пути от одной системы к другой эти сообщения преобразуются протоколами всех уровней. А поскольку они являются наиболее уязвимым элементом сети, протоколы должны предусматривать обеспечение их безопасности для поддержки конфиденциальности, целостности и доступности информации, передаваемой в сети.
Оконечное (абонентское) шифрование позволяет обеспечивать конфиденциальность данных, передаваемых между двумя прикладными объектами. Другими словами, отправитель зашифровывает данные, получатель - расшифровывает. Такой способ имеет следующие особенности (сравните с канальным шифрованием):
защищенным оказывается только содержание сообщения; вся служебная информация остается открытой;
никто кроме отправителя и получателя восстановить информацию не может (если используемый алгоритм шифрования достаточно стоек);
маршрут передачи несущественен - в любом канале информация останется защищенной;
для каждой пары пользователей требуется уникальный ключ;
пользователь должен знать процедуры шифрования и распределения ключей.
Выбор того или иного способа шифрования или их комбинации зависит от результатов анализа риска. Вопрос стоит следующим образом: что более уязвимо - непосредственно отдельный канал связи или содержание сообщения, передаваемое по различным каналам. Канальное шифрование быстрее (применяются другие, более быстрые, алгоритмы), прозрачно для пользователя, требует меньше ключей. Оконечное шифрование более гибко, может использоваться выборочно, однако требует участия пользователя. В каждом конкретном случае вопрос должен решаться индивидуально.
Механизмы цифровой подписи, которые включают процедуры закрытия блоков данных и проверки закрытого блока данных. Первый процесс использует секретную ключевую информацию, второй - открытую, не позволяющую восстановить секретные данные. С помощью секретной информации отправитель формирует служебный блок данных (например, на основе односторонней функции), получатель на основе общедоступной информации проверяет принятый блок и определяет подлинность отправителя. Сформировать подлинный блок может только пользователь, имеющий соответствующий ключ.
Механизмы контроля доступа.
Осуществляют проверку полномочий сетевого объекта на доступ к ресурсам. Проверка полномочий производится в соответствии с правилами разработанной политики безопасности (избирательной, полномочной или любой другой) и реализующих ее механизмов.
Механизмы обеспечения целостности передаваемых данных.
Эти механизмы обеспечивают как целостность отдельного блока или поля данных, так и потока данных. Целостность блока данных обеспечивается передающим и принимающим объектами. Передающий объект добавляет к блоку данных признак, значение которого является функцией от самих данных. Принимающий объект также вычисляет эту функцию и сравнивает ее с полученной. В случае несовпадения выносится решение о нарушении целостности. Обнаружение изменений может повлечь за собой действия по восстановлению данных. В случае умышленного нарушения целостности может быть соответствующим образом изменено и значение контрольного признака (если алгоритм его формирования известен), в этом случае получатель не сможет установить нарушение целостности. Тогда необходимо использовать алгоритм формирования контрольного признака как функцию данных и секретного ключа. В этом случае правильное изменение контрольного признака без знания ключа будет невозможно и получатель сможет установить, подвергались ли данные модификации.
Защита целостности потоков данных (от переупорядочивания, добавления, повторов или удаления сообщений) осуществляется с использованием дополнительных формы нумерации (контроль номеров сообщений в потоке), меток времени и т.д.
Анализ графика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как настоящие. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации можно постоянно добиваться равномерного графика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.
. Протоколы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети.