Цели, функции и задачи защиты информации в сетях ЭВМ.




План

Цели, функции и задачи защиты информации в сетях ЭВМ.

Понятие сервисов безопасности.

Международные стандарты Х.800 и Х.509

Цели, функции и задачи защиты информации в сетях ЭВМ.

Цели защиты информации в сетях ЭВМ общие для всех АСОД, а именно: обеспечение целостности (физической и логической) ин­формации, а также предупреждение несанкционированной ее моди­фикации, несанкционированного получения и размножения.

Функ­ции защиты также носят общий для всех АСОД характер.

Задачи за­щиты информации в сетях ЭВМ определяются теми угрозами, которые потенциально возможны в процессе их функционирования.

Для сетей передачи данных реальную опасность представляют следующие угрозы.

1. Прослушивание каналов, т. е. запись и последующий анализ всего проходящего потока сообщений. Прослушивание в большин­стве случаев не замечается легальными участниками информацион­ного обмена.

2. Умышленное уничтожение или искажение (фальсификация) проходящих по сети сообщений, а также включение в поток ложных сообщений. Ложные сообщения могут быть восприняты получате­лем как подлинные.

3. Присвоение злоумышленником своему узлу или ретранслято­ру чужого идентификатора, что дает возможность получать или от­правлять сообщения от чужого имени.

4. Преднамеренный разрыв линии связи, что приводит к полно­му прекращению доставки всех (или только выбранных злоумыш­ленником) сообщений.

5. Внедрение сетевых вирусов, т. е. передача по сети тела вируса с его последующей активизацией пользователем удаленного или ло­кального узла.

В соответствии с этим специфические задачи защиты в сетях передачи данных состоят в следующем:

1. Аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодейст­вующих объектов при обмене информацией между ними.

2. Контроль доступа, т. е. защита от несанкционированного ис­пользования ресурсов сети.

3. Маскировка данных, циркулирующих в сети.

4. Контроль и восстановление целостности всех находящихся в сети данных.

5 Арбитражное обеспечение, т. е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных.

Применительно к различным уровням семиуровневого протоко­ла передачи данных в сети задачи могут быть конкретизированы следующим образом.

1. Физический уровень — контроль электромагнитных излуче­ний линий связи и устройств, поддержка коммутационного обору­дования в рабочем состоянии. Защита на данном уровне обеспечи­вается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.

2. Канальный уровень — увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, вклю­чая служебную информацию.

3. Сетевой уровень — наиболее уязвимый уровень с точки зре­ния защиты. На нем формируется вся маршрутизирующая инфор­мация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Кроме того, протоколами сетевого уровня па­кеты обрабатываются на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые наруше­ния осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориента­ция отдельных сообщений или потока в целом, маскировка под дру­гой узел и др.).

Защита от подобных угроз осуществляется протоколами сетево­го и транспортного уровней (см. ниже) и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация.

4. Транспортный уровень — осуществляет контроль за функция­ми сетевого уровня на приемном и передающем узлах (на промежу­точных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдель­ных пакетов данных, последовательности пакетов, пройденный мар­шрут, время отправления и доставки, идентификацию и аутентифи­кацию отправителя и получателя и другие функции. Все активные угрозы становятся видимыми на данном уровне. Гарантом целостности передаваемых данных является криптозащита как самих данных, так и служебной информации. Никто, кро­ме имеющих секретный ключ получателя и/или отправителя, не мо­жет прочитать или изменить информацию таким образом, чтобы из­менение осталось незамеченным.

Анализ графика предотвращается передачей сообщений, не со­держащих информацию, которые, однако, выглядят как реальные сообщения. Регулируя интенсивность этих сообщений в зависимо­сти от объема передаваемой информации, можно постоянно доби­ваться равномерного графика. Однако все эти меры не могут предот­вратить угрозу уничтожения, переориентации или задержки сообще­ния. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.

5. Протоколы верхних уровней обеспечивают контроль взаимо­действия принятой или переданной информации с локальной сис­темой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам дан­ных, идентификация и аутентификация определенных пользовате­лей, а также другие функции, определяемые конкретным протоко­лом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети.

Особенности защиты информации в вычислительных сетях обу­словлены тем, что сети, обладающие несомненными (по сравнению с локальными ЭВМ) преимуществами обработки информации, усложняют организацию защиты, причем основные проблемы при этом состоят в следующем.

1) Разделение совместно используемых ресурсов. В силу совме­стного использования большого количества ресурсов различными пользователями сети, возможно находящимися на большом рассто­янии друг от друга, сильно повышается риск НСД — в сети его можно осуществить проще и незаметнее.

2) Расширение зоны контроля. Администратор или оператор от­дельной системы или подсети должен контролировать деятельность пользователей, находящихся вне пределов его досягаемости, воз­можно в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях.

3) Комбинация различных программно-аппаратных средств. Со­единение нескольких подсистем, пусть даже однородных по харак­теристикам, в сеть увеличивает уязвимость всей системы в целом. Подсистема обычно настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других подсистемах. В случае соединения разно­родных систем риск повышается.

4) Неизвестный периметр. Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно; один тот же узел может быть доступен для пользователей различных сетей.

Более того, для многих из них не всегда можно точно опреде­лить сколько пользователей имеют доступ к определенному узлу и кто они.

АС -41 5) Множество точек атаки. В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником уг­розы. Естественно, это не может способствовать повышению защи­щенности сети. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; по­этому он считается одним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды комму­никационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.

6) Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осуществляться без получения физического до­ступа к определенному узлу — с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной, если не невозможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2017-12-12 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: