36237

Цели, функции и задачи защиты информации в сетях ЭВМ

Доклад

Информатика, кибернетика и программирование

Методы цифровой подписи данных передаваемых в сети Механизм цифровой подписи реализуемый также криптографическими методами состоит из формирования подписи блока данных при передаче и проверки подписи в принятом блоке данных. Первый процесс заключается в формировании подписи по определенному алгоритму с использованием секретного ключа второй – в обратном преобразовании. Считается что для реализации цифровой подписи методы шифрования с открытыми ключами предпочтительнее традиционных методов шифрования. При наличии подходящего алгоритма...

Русский

2013-09-21

127 KB

50 чел.

Цели, функции и задачи защиты информации в сетях ЭВМ

Цели ЗИ в сетях ЭВМ общие для всех ЭИС: обеспечение целостности (физической и логической) информации, а также предупреждение несанкционированной ее модификации, несанкционированного получения и размножения. Функции защиты также носят общий для всех ЭИС характер. Задачи ЗИ в сетях ЭВМ определяются теми угрозами, которые потенциально возможны в процессе их функционирования. Для сетей передачи данных реальную опасность представляют следующие угрозы.

  1.  Прослушивание каналов, т.е. запись и последующий анализ всего проходящего потока сообщений. Обычно не замечается легальными участниками информационного обмена.
  2.  Умышленное уничтожение или искажение (фальсификация) проходящих по сети сообщений, включение в поток ложных сообщений, воспринятых получателем как подлинные.
  3.  Присвоение злоумышленником своему узлу или ретранслятору чужого идентификатора, что дает возможность получать или отправлять сообщения от чужого имени.
  4.  Преднамеренный разрыв линии связи, что приводит к полному прекращению доставки всех (или только выбранных злоумышленником) сообщений.
  5.  Внедрение сетевых вирусов, т.е. передача по сети тела вируса с его последующей активизацией пользователем удаленного или локального узла.

В соответствии с этим специфические задачи ЗИ в сетях передачи данных следующие.

  1.  Аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодействующих объектов при обмене информацией между ними.
  2.  Контроль доступа, т.е. защита от несанкционированного использования ресурсов сети.
  3.  Маскировка данных, циркулирующих в сети.
  4.  Контроль и восстановление целостности всех данных.
  5.  Арбитражное обеспечение, т.е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных.

Применительно к различным уровням семиуровневого протокола передачи данных в сети задачи могут быть конкретизированы следующим образом.

  1.  Физический уровень – контроль электромагнитных излучений линий связи и устройств, поддержка коммутационного оборудования в рабочем состоянии. Защита обеспечивается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.
  2.  Канальный уровень – увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, включая служебную информацию.
  3.  Сетевой уровень – наиболее уязвимый уровень с точки зрения ЗИ. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня пакеты обрабатываются на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и др.). ЗИ от подобных угроз осуществляется протоколами сетевого и транспортного уровней (см. ниже) и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация.
  4.  Транспортный уровень – контроль за функциями сетевого уровня на приемном и передающем узлах (на промежуточных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдельных пакетов данных, последовательности пакетов, пройденный маршрут, время отправления и доставки, идентификацию и аутентификацию отправителя и получателя и другие функции. Все активные угрозы становятся видимыми на данном уровне. Гарантом целостности передаваемых данных является криптозащита как самих данных, так и служебной информации. Никто, кроме имеющих секретный ключ получателя и/или отправителя, не может прочитать или изменить информацию таким образом, чтобы изменение осталось незамеченным. Анализ трафика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как реальные сообщения. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации, можно постоянно добиваться равномерного трафика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.
  5.  Протоколы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной ПБ в сети.

Особенности ЗИ в вычислительных сетях обусловлены тем, что сети, обладающие несомненными (по сравнению с локальными ЭВМ) преимуществами обработки информации, усложняют организацию ЗИ. Основные проблемы при этом следующие.

  1.  Разделение совместно используемых ресурсов. В силу совместного использования большого количества ресурсов различными пользователями, возможно разделенных большими расстояниями, сильно повышается риск НСД, его можно осуществить проще и незаметнее.
  2.  Расширение зоны контроля. Администратор или оператор отдельной системы или подсети должен контролировать деятельность пользователей вне пределов его досягаемости, возможно в другой стране. При этом он должен поддерживать рабочий контакт со своими коллегами в других организациях.
  3.  Комбинация различных программно-аппаратных средств. Соединение нескольких подсистем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Подсистема обычно настроена на выполнение своих специфических требований безопасности, которые могут оказаться несовместимы с требованиями на других подсистемах. В случае соединения разнородных систем риск повышается.
  4.  Неизвестный периметр. Легкая расширяемость сетей ведет к тому, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить, сколько пользователей имеют доступ к определенному узлу и кто они.
  5.  Множество точек атаки. В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных узлов, каждый из которых является потенциальным источником угрозы. Естественно, это не может способствовать повышению защищенности сети. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увеличивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наиболее опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т.д.
  6.  Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу – с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной или невозможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер.

7.2. Понятие сервисов безопасности

Для решения перечисленных задач в сетях создаются специальные механизмы защиты (сервисы безопасности).

Идентификация/аутентификация. Современные средства идентификации/аутентификации должны быть устойчивыми к сетевым угрозам (пассивному и активному прослушиванию сети) и поддерживать концепцию единого входа в сеть. Первое требование можно выполнить, используя криптографические методы. Современная криптография есть нечто гораздо большее, чем шифрование; соответственно, разные ветви этой дисциплины нуждаются в дифференцированном подходе с нормативной точки зрения. В настоящее время общепринятыми являются подходы, основанные на системе Kerberos или службе каталогов с сертификатами в стандарте Х.509. Единый вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались. Дополнительные удобства создают биометрические методы аутентификации, основанных на анализе результатов сканирования пальцев. В отличие от специальных карт, пальцы «всегда под рукой» (правда, под рукой должен быть и сканер). И здесь защита от нарушения целостности и перехвата с последующим воспроизведением осуществляется методами криптографии.

Разграничение доступа. Самая исследованная область ИБ. Устарело или не полностью соответствует действительности положение о том, что разграничение доступа направлено исключительно на ЗИ от злоумышленников. Современные информационные системы чрезвычайно сложны и их внутренние ошибки представляют не меньшую опасность. Динамичность современной программной среды в сочетании со сложностью отдельных компонентов существенно сужает применимость самой употребительной дискреционной модели управления доступом (модель с произвольным управлением). При определении допустимости доступа важно не только (и не столько) то, кто обратился к объекту, но и семантика действия. Иначе нельзя выявить троянские программы, противостоять которым произвольное управление доступом не в состоянии.

В последнее время появляются новые модели управления доступом, например модель «песочницы» в Java-технологии. Активно развиваемое ролевое управление доступом решает не столько проблемы ИБ, сколько улучшает управляемость систем (что, конечно, очень важно). Суть его в том, что между пользователями и их привилегиями помещаются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права. Сложность информационной системы характеризуется, прежде всего, числом имеющихся в ней связей. Поскольку ролей много меньше, чем пользователей и привилегий, их (ролей) использование способствует понижению сложности и, следовательно, улучшению управляемости. Кроме того, на основании ролевой модели можно реализовать такие важные принципы, как разделение обязанностей (невозможность в одиночку скомпрометировать критически важный процесс). Между ролями могут быть определены статические или динамические отношения несовместимости (невозможности одному субъекту по очереди или одновременно активизировать обе роли), что и обеспечивает требуемую защиту. Для некоторых употребительных сервисов таких, как Web, ролевое управление доступом может быть реализовано относительно просто (в Web-случае – на основе cgi-процедур).

Протоколирование/аудит традиционно являлись рубежом обороны, обеспечивающим анализ последствий нарушения ИБ и выявление злоумышленников. Такой аудит можно назвать пассивным. Обобщением пассивного аудита для сетевой среды является совместный анализ регистрационных журналов отдельных компонентов на предмет выявления противоречий, что важно в случаях, когда злоумышленнику удалось отключить протоколирование или модифицировать журналы.

В современный арсенал защитных средств несколько лет назад вошел активный аудит, направленный на выявление подозрительных действий в реальном масштабе времени. Он включает два вида действий: выявление нетипичного поведения (пользователей, программ или аппаратуры); выявление начала злоумышленной активности. Нетипичное поведение выявляется статистическими методами, путем сопоставления с предварительно полученными образцами. Начало злоумышленной активности обнаруживается по совпадению с сигнатурами известных атак. За обнаружением следует заранее запрограммированная реакция (как минимум – информирование системного администратора, как максимум – контратака на систему предполагаемого злоумышленника).

Важным элементом современной трактовки протоколирования/аудита является протокол автоматизированного обмена информацией о нарушениях ИБ между корпоративными системами, подключенными к одной внешней сети. В наше время системы не могут считаться изолированными, они не должны жить по закону «каждый за себя»; угрозам следует противостоять сообща.

Экранирование выполняет функции разграничения межсетевого доступа путем фильтрации передаваемых данных и функции преобразования передаваемых данных. Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет, по сравнению с традиционными ОС, реализовывать гораздо более гибкую ПБ. При комплексной фильтрации, охватывающей сетевой, транспортный и прикладной уровни, в правилах могут фигурировать сетевые адреса, количество переданных данных, операции прикладного уровня, параметры окружения (например, время) и т.п. Преобразование передаваемых данных может затрагивать как служебные поля пакетов, так и прикладные данные. В первом случае обычно имеется в виду трансляция адресов, помогающая скрыть топологию защищаемой системы. Это уникальное свойство сервиса экранирования, позволяющее скрывать существование некоторых объектов доступа. Преобразование данных может состоять, например, в их шифровании. Параллельно с фильтрацией может выполняться дополнительный контроль (например, антивирусный). Возможны дополнительные преобразования, наиболее актуальным из которых является исправление заголовков или иной служебной информации, ставшей некорректной после наступления 2000 года. Применение межсетевого экранирования поставщиками Интернет-услуг в соответствии с рекомендациями разработчиков позволило бы существенно снизить шансы злоумышленников и облегчить их прослеживание. Данная мера еще раз показывает, как важно рассматривать каждую информационную систему как часть глобальной инфраструктуры и принимать на себя долю ответственности за общую ИБ.

Туннелирование состоит в «упаковке» передаваемой порции данных, вместе со служебными полями, в новый «конверт» и может применяться на сетевом или прикладном уровне для перехода между сетями с разными протоколами (например, IPv4 и IPv6), а также обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Стандартизовано туннелирование для IP и двойное конвертование для почты Х.400. Комбинация туннелирования и шифрования (с необходимой криптографической инфраструктурой) на выделенных шлюзах позволяет реализовать виртуальные частные сети. Такие сети, наложенные обычно поверх Интернета, существенно дешевле и гораздо безопаснее, чем действительно собственные сети организации, построенные на выделенных каналах. Коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об уязвимости и соответственно обеспечивать защиту. Современные протоколы, направленные на поддержку классов обслуживания, помогут гарантировать для виртуальных частных сетей заданную пропускную способность, величину задержек и т.п., ликвидируя единственное преимущество собственных сетей.

Шифрование – важнейшее средство обеспечения конфиденциальности и одновременно самое конфликтное место ИБ. У компьютерной криптографии две стороны – собственно криптографическая и интерфейсная (сопряжение с другими частями информационной системы). Важно обеспечить функциональное богатство интерфейсов и их стандартизацию. Криптографией, особенно шифрованием, должны заниматься профессионалы. От них требуется разработка защищенных инвариантных компонентов, которые можно было бы свободно (по крайней мере, с технической точки зрения) встраивать в существующие и перспективные конфигурации. У современного шифрования есть и внутренние проблемы как технические (прежде всего проблема производительности), так и нормативные. Программная реализация на универсальных процессорах не является адекватной (аналог – компрессия видеоизображений). Еще одна техническая задача – разработка широкого спектра продуктов, предназначенных для использования во всех видах компьютерного и сетевого оборудования, – от персональных коммуникаторов до мощных шлюзов.

Контроль целостности (КЦ) обязан охватывать распределенные конфигурации, защищать от несанкционированной модификации потоки данных. Существует достаточно решений для КЦ и с системной, и с сетевой направленностью (обычно прозрачно для приложений как часть общей протокольной активности), стандартизован программный интерфейс.

Контроль защищенности по сути представляет собой попытку «взлома» информационной системы силами самой организации или уполномоченными лицами, чтобы обнаружить слабости в защите раньше злоумышленников. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий ПО. Средства контроля защищенности позволяют накапливать и многократно использовать знания об известных атаках. Очевидна их схожесть с антивирусными средствами; формально последние можно считать их подмножеством. Очевиден и реактивный, запаздывающий характер подобного контроля (он не защищает от новых атак). Оборона должна быть эшелонированной, и в качестве одного из рубежей контроль защищенности вполне адекватен. Подавляющее большинство атак рутинны и возможны только потому, что известные уязвимости годами не устраняются. Существуют коммерческие и свободно распространяемые продукты контроля защищенности. Важно не просто один раз получить и установить их, но и постоянно обновлять базу данных уязвимостей. Это может оказаться не проще, чем следить за информацией о новых атаках и рекомендуемых способах противодействия.

Обнаружение отказов и оперативное восстановление относятся к числу сервисов, обеспечивающих высокую доступность (готовность). Его работа опирается на существование избыточности в аппаратно-программной конфигурации. Спектр программных и аппаратных средств данного класса вполне сформировался. На программном уровне соответствующие функции берет на себя ПО промежуточного слоя. Среди аппаратно-программных продуктов стандартом стали кластерные конфигурации. Восстановление производится действительно оперативно (десятки секунд, в крайнем случае, минуты), прозрачно для приложений. Данный сервис может играть по отношению к другим средствам безопасности роль инфраструктурного сервиса, обеспечивая высокую готовность последних. Это особенно важно для межсетевых экранов, средств поддержки виртуальных частных сетей, серверов аутентификации, нормальное функционирование которых критически важно для корпоративной информационной системы в целом. Такие комбинированные продукты получают все более широкое распространение.

Управление относится к числу инфраструктурных сервисов, обеспечивающих нормальную работу функционально полезных компонентов и средств безопасности. Сложность современных систем такова, что без правильно организованного управления они постепенно (а иногда и довольно быстро) деградируют как в плане эффективности, так и в плане защищенности. Особенно важен контроль согласованности конфигураций различных компонентов (семантическая согласованность, относящаяся, например, к наборам правил нескольких межсетевых экранов). Процесс администрирования идет постоянно; требуется, однако, чтобы при этом не нарушалась ПБ.

Место сервисов безопасности в архитектуре информационных систем. Как создать эшелонированную оборону из различных сервисов безопасности? На внешнем рубеже располагаются средства выявления злоумышленной активности и контроля защищенности. Далее идут межсетевые экраны, защищающие внешние подключения. Они вместе со средствами поддержки виртуальных частных сетей (обычно объединяемых с межсетевыми экранами) образуют периметр безопасности, отделяющий корпоративную систему от внешнего мира. Сервис активного аудита должен присутствовать во всех критически важных компонентах и, в частности, защитных. Это позволит быстро обнаружить атаку, даже если по каким-либо причинам она окажется успешной. Управление доступом также должно присутствовать на всех сервисах, функционально полезных и инфраструктурных. Доступу должна предшествовать идентификация и аутентификация субъектов. Криптографические средства целесообразно выносить на специальные шлюзы, где им может быть обеспечено квалифицированное администрирование. Масштабы пользовательской криптографии следует минимизировать. Наконец, последний рубеж образуют средства пассивного аудита, помогающие оценить последствия нарушения ИБ, найти виновного, выяснить причину успеха атаки.

Расположение средств обеспечения высокой доступности определяется критичностью соответствующих сервисов или их компонентов. Для обеспечения доступности (непрерывности функционирования) могут применяться следующие меры.

  •  Внесение в конфигурацию избыточности (резервное оборудование, запасные каналы связи и т.п.). Это элемент архитектурной безопасности, рассматриваемой в п. 7.3.
  •  Наличие средств обнаружения отказов. Для постоянной высокой готовности нужен специализированный сервис, иначе достаточно протоколирования/аудита в квазиреальном времени.
  •  Наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность (специализированная функция или одна из функций управления).
  •  Рассредоточенность сетевого управления, отсутствие единой точки отказа. Это, как и следующий пункт, – элементы архитектурной безопасности.
  •  Выделение подсетей и изоляция групп пользователей, что ограничивает зону поражения при возможных нарушениях ИБ.

Каждый компонент, вообще говоря, не обязан поддерживать все перечисленные выше сервисы безопасности. Важно, чтобы он обладал программными и/или протокольными интерфейсами для получения недостающих сервисов от других компонентов и чтобы не существовало возможности обхода основных и дополнительных защитных средств.

7.3. Международные стандарты Х.800 и Х.509

Стандарт Х.800 описывает основы ИБ в привязке к эталонной семиуровневой модели. Это обширный документ. Совсем коротко остановимся на предлагаемых в нем сервисах (функциях) безопасности и на администрировании средств безопасности.

Стандарт предусматривает следующие сервисы безопасности: аутентификация (аутентификация партнеров по общению и аутентификация источника данных); управление доступом (защита от несанкционированного использования ресурсов, доступных по сети); конфиденциальность данных (объединены существенно разные вещи – от защиты отдельной порции данных до конфиденциальности трафика); целостность данных (подразделяется на подвиды в зависимости от объекта контроля – сообщения или поток данных, обеспечивается ли восстановление в случае нарушения целостности); неотказуемость (относится к прикладному уровню, то есть невозможность отказаться от содержательных действий таких, например, как отправка или прочтение письма).

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка прав доступа, анализ регистрационного журнала и т.п. Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждый компонент должен располагать информацией для проведения в жизнь избранной ПБ. В условиях глобальной связности администрирование перестает быть внутренним делом организации. Плохо защищенная система может стать плацдармом для подготовки и проведения злоумышленных действий, а прослеживание нарушителя эффективно лишь при согласованных действиях многих администраторов.

Стандарт Х.509 описывает процедуру аутентификации с использованием службы каталогов. Наиболее ценной в стандарте оказалась не сама процедура, а ее служебный элемент – структура сертификатов, хранящих имя пользователя, криптографические ключи и сопутствующую информацию. Подобные сертификаты – важнейший элемент современных схем аутентификации и КЦ.

7.4. Методы цифровой подписи данных, передаваемых в сети

Механизм цифровой подписи, реализуемый также криптографическими методами, состоит из формирования подписи блока данных при передаче и проверки подписи в принятом блоке данных. Первый процесс заключается в формировании подписи по определенному алгоритму с использованием секретного ключа, второй – в обратном преобразовании.

Цифровая подпись оказывается необходимой во многих практических приложениях. Считается, что для реализации цифровой подписи методы шифрования с открытыми ключами предпочтительнее традиционных методов шифрования. При наличии подходящего алгоритма шифрования с секретным ключом метод реализации цифровой подписи для отправителя состоит в шифровании сообщения секретным ключом и отправке получателю. Получатель, дешифруя сообщение общим с отправителем секретным ключом, убеждается в том, что его автором действительно был отправитель. Обычно эта процедура не требует центрального уполномоченного (нотариуса). Необходимо, однако, отметить два момента. Во-первых, ключ необходим принимающему абоненту для помощи в дешифровании первого сообщения, в процедуре аутентификации. Во-вторых, центральный уполномоченный должен надежным образом поддерживать все старые значения общих ключей, чтобы правильно разрешать возможные конфликты между старыми подписями. Кроме того, приведенный протокол подписи с общим секретным ключом имеет и такой важный недостаток. Автор подписанных сообщений может не признать свою подпись, просто утверждая, что его ключ был скомпрометирован. Если такое происходит преднамеренно или случайно, то все ранее подписанные сообщения данным личным ключом становятся недействительными, т.к. единственное доказательство их подлинности было разрушено. Действительность подписи на сообщении будет полностью определяться защитой личного ключа. Важная задача при реализации цифровой подписи заключается в обеспечении такой ответственности за содержание сообщения и за собственно подпись, чтобы от нее нельзя было отказаться. Очевидно, что для этого должны быть созданы соответствующие механизмы и математически строго показаны их действенность и корректность.

Может быть предложен метод организации цифровой подписи на основе любого достаточно сильного метода традиционного шифрования. Такой метод требует также участия центрального уполномоченного либо явного согласия абонентов на разрешение возникающих вопросов. Для взаимной же аутентификации требуется центральный уполномоченный. Таким образом, этот метод реализации цифровой подписи использует большое число ключей, поэтому, если несколько ключей скомпрометировано, то подписи, основанные на других ключах, продолжают быть действительными. Это не является явным преимуществом по сравнению с методами цифровой подписи в режиме с общим ключом, т.к. не трудно внести аналогичный дополнительный уровень и в протокол цифровой подписи на базе общего ключа, чтобы изменять ключи для каждого сообщения.

Все описанные методы цифровой подписи имеют общий недостаток, связанный с проблемой отказа от подписи при компрометации ключа. В методе, основанном на традиционном шифровании, просто ограничивался возможный ущерб (как отмечалось выше). Эта проблема присуща любому подходу, когда действительность авторской подписи зависит от секретной информации, которая может быть потенциально скомпрометирована либо самим автором, либо злоумышленником. Известен ряд предложений по модификации описанных методов, которые основаны на аналогах удостоверения подлинности, принятых при удостоверении векселей или в процедурах удостоверения скопированных из архива документов, когда используется зависящий от времени механизм удостоверения подлинности, при котором авторы не могут отказаться от ранее подписанной корреспонденции на основании утверждения о возможной компрометации ключа.

Реализация подписи на основе регистрации базируется на расположении некоторого доверенного интерпретирующего уровня: аппаратного или программного средства между автором и его ключами для реализации цифровой подписи. В таком случае можно достаточно просто организовать компоновку этих средств в сеть. Все взаимодействующие компоненты размещаются в регистрирующем журнале (NR). При этом необходим некоторый безопасный коммуникационный протокол между компонентами реестра, причем достаточно канального шифрования.

Если указанные возможности предоставлены, то реализация цифровой подписи, не требующая специализированных протоколов или алгоритмов шифрования, будет выглядеть следующим образом. Во-первых, автор аутентифицируется с локальной компонентой сетевого журнала регистрации, создает сообщение и передает сообщение в сетевой реестр NR вместе с идентификатором получателя и указанием необходимости получения зарегистрированной подписи. Во-вторых, сетевой реестр NR (не обязательно локальная компонента) вычисляет характеристическую функцию для сообщения автора, идентификатора получателя, текущего времени; шифрует результат ключом, известным только NR, и направляет результирующий блок цифровой подписи получателю. Реестр NR при этом сохраняет использованный ключ шифрования. Наконец, получатель при приеме сообщения может запросить сетевой реестр NR о подлинности подписи автора сообщения, предоставляя реестру блок цифровой подписи и сообщение. Необходимы меры предосторожности для гарантирования безопасности ключей шифрования блоков цифровой подписи.

Реализацию безопасной цифровой подписи, основанной на концепции общего нотариуса и архива, можно осуществить с использованием алгоритма шифрования с общим ключом. Один из подходов основан на правилах.нотариального удостоверения подлинности документов. Пусть существует ряд подключенных к сети нотариальных общедоступных машин. Нотариальная машина осуществляет удостоверение сообщения с временной отметкой, подписывается сама с помощью повторного шифрования и возвращает автору. Затем автор может присоединить информацию в виде открытого текста к дважды подписанной корреспонденции и послать ее предполагаемому абоненту. Принимающий абонент проверяет нотариальную подпись посредством расшифровывания ее общедоступным нотариальным ключом, затем расшифровывает сообщение, используя общедоступный авторский ключ. Основополагающим допущением в этом методе является предположение о доверии к нотариусу. Кроме того, в данном случае оказывается еще возможным для кого-нибудь заявить, что его ключ был раскрыт когда-то в прошлом и некоторые сообщения были впоследствии подделаны. От такой ситуации можно защититься путем выдачи под каждый нотариальный вывод копии каждого заверенного сообщения к автору текущего адреса. В силу независимости нотариусов нет необходимости в координации их действий.

Весьма близкий способ получения надежного времени регистрации подписанных сообщений заключается в организации ряда независимых приемных пунктов, куда любой автор или получатель подписанной почты может скопировать корреспонденцию для постоянного хранения с удостоверением времени поступления. При этом достаточно хранения только некоторой характеристической функции сообщения. Вызовы обрабатываются с помощью запрашивания архивов.

Алгоритмы реализации цифровой подписи на основе традиционных алгоритмов шифрования и системах шифрования с общим ключом имеют много общего. В каждый из этих алгоритмов встроены некоторые доверенные механизмы, которые разделяются между всеми участниками связи. Безопасность подписей, как и прежде, будет зависеть от защиты ключей, включаемых в этом случае в сетевую регистрацию доверия общедоступному нотариусу или средствам архива. Однако существует и несколько решающих отличий от предыдущих протоколов цифровой подписи. Во-первых, авторы не имеют возможности по своему желанию отречься от своей подписи. Во-вторых, новые средства цифровой подписи могут быть структурированы так, что только авария или компрометация нескольких компонентов приводит к утере действительности цифровой подписи.

Межсетевые экраны брандмауэры (FireWall) [1]

Гостехкомиссией при Президенте РФ разработан Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» в дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ защищает АС посредством фильтрации информации (как минимум на сетевом уровне), т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, разграничивая доступ субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Выделяются пять классов МЭ, где пятый – низший, а первый – высший. Классифицируемый экран должен фильтровать потоки данных, по крайней мере, на сетевом уровне. При умеренных требованиях по ЗИ можно ограничиться МЭ пятого или четвертого классов, реализованных в виде маршрутизаторов с включенными средствами фильтрации (экранирующих маршрутизаторов).

Для обеспечения контроля доступа к определенным массивам информации во многих точках Intranet-сети наиболее целесообразно применять аппаратные брандмауэры – специализированные компьютеры, обычно встраиваемые в стойку с сетевой ОС, адаптированной под выполняемые функции (загрузка ОС производится с гибкого диска или же из постоянной памяти). Рассмотрим функциональные возможности некоторых аппаратных брандмауэров.

Брандмауэр FireBox производства WatchGuard имеет смешанную архитектуру – динамической фильтрации пакетов и «прозрачного» прокси (proxy) (с глобальной сетью организуется двухсторонняя связь, о proxy-технологии будет сказано далее). Обеспечивается оптимальный баланс между безопасностью и производительностью. Динамическая фильтрация пакетов отслеживает состояние соединения для фильтрации не только пакетов, но и соединений. Наборы правил динамические и могут быть изменены во время работы (в набор входит 28 стандартных правил типа DNS, Telnet и др. и могут определяться пользователями в зависимости от потребностей и угроз ИБ). Прокси анализирует трафик на сетевом уровне. Могут распознаваться подмены сервисов и пакетов. Функция регистрации пользователей позволяет не только повысить ИБ, но и вести мониторинг сети на основе имен пользователей, а не IP-адресов и имен хостов. Обеспечивается поддержка VPN (Virtual Private Network – виртуальная частная сеть), т.е. безопасный доступ в корпоративную сеть через Internet для авторизованных удаленных пользователей по протоколу РРТР (Point-to-Point Tunelling Protocol – туннельный протокол точка-точка), который создает в общей сети безопасный «туннель», через который «прозрачно» проходит весь трафик.

Брандмауэр от компании Bay Network отличается тем, что он входит в состав маршрутизатора BCN. Так как маршрутизатор является устройством, которое выполняет функции передачи пакетов, вычислительные возможности указанного маршрутизатора таковы, что ему можно поручить и решение задачи сортировки пакетов. Маршрутизаторы работают на сетевом уровне модели OSI и поэтому должны иметь высокопроизводительную ОС, а она вполне может одновременно выполнять указанную дополнительную задачу. Брандмауэр от Bay Networks, с одной стороны, представляется чисто программным средством, но, с другой стороны, он не использует никакого компьютера общего назначения (рабочую станцию), устанавливается в стойке и всем остальным похож на другие брандмауэры (кроме заботы о безопасности он выполняет еще и другие функции). Этот маршрутизатор-брандмауэр является специализированным компьютером, но его специализация гораздо шире, чем было изначально задумано.

Как правило, брандмауэры обеспечивают многоуровневую защиту и используют механизмы предупреждения, сообщают сетевым менеджерам о попытках НСД. Некоторые брандмауэры поддерживают VPN (например, между головным и дочерним офисами через общедоступную сеть).

7.7. Прокси (Proxy) серверы

Прокси-сервером (proxy – доверенный) называется ПК со специальной программой, позволяющей остальным ПК ЛВС эмулировать выход в Internet, оставаясь «невидимыми» со стороны глобальной сети. Типичный пример – Microsoft Proxy Server 2.0, являясь кэширующим сервером (сокращает сетевой трафик), выполняет функции брандмауэра и защищает доступ в Internet. Серверный ПК имеет два сетевых адаптера – один для соединения с сетью, другой – с Internet.

Основной функцией IP-протокола (IPInternet Protocol) является передача пакетов между сетями. IP-адрес характеризует одно соединение и является основным типом адресов, на основании которых сетевой уровень передает пакеты между сетями (адрес состоит из четырех байт и разбивается на две части: номер сети и номер узла). Символьные имена в IP-сетях называются доменными и строятся по иерархическому принципу (доменные имена также называют DNS-именами). На сетевом уровне не устанавливаются соединения, поэтому нет гарантий, что пакеты будут доставлены в место назначения целыми, невредимыми и в исходном порядке. Задачи надежной информационной связи между двумя конечными узлами решает транспортный уровень стека TCP/IP, где функционирует протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagramm Protocol). TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет логических соединений.

Так как ЛВС «не видна» из Internet, легальный IP-адрес должен иметь только внешний сетевой интерфейс. IP-адреса внутри сети можно выдавать из пула, зарезервированного для изолированных сетей. Шлюз по умолчанию должен быть указан только для внешнего сетевого интерфейса. Надо установить Microsoft IIP 2.0 и сервис WWW, если нет других намерений по использованию ПК, так как WWW использует Web Proxy для аутентификации пользователей. Для Web Proxy при количестве клиентов до 300 рекомендуется не менее 32 Мбайт оперативной памяти. Кроме того, для кэширования запросов необходимо выделить оперативной памяти 100 Мбайт постоянно и 0.5 Мбайт для каждого клиента. Дополнительно для Web Proxy требуется    10 Мбайт свободного дискового пространства. Если клиентов более 2000, рекомендуется использовать массив прокси-серверов. Естественно, имеются средства для регулирования доступа пользователей к Internet и возможность записи протокола использования сервисов (для учета действий пользователей в Internet). Необходимо сформировать таблицу локальных адресов в соответствии с конфигурацией сети.


 

А также другие работы, которые могут Вас заинтересовать

58960. Аналіз поеми М. Гоголя «Мертві душі». Чичиков герой нашого часу? 57 KB
  Мета: проаналізувати образ Чичикова; вдосконалювати вміння висловлювати та доводити свої думки аргументувати свої вислови узагальнювати; розкривати творчі здібності учнів; прищеплювати звичку з повагою ставитися до думок інших людей...
58961. «Я є рушниця, радістю набита, якою вистрілю на честь життя» (до 100-річчя з дня народження Богдана-Ігоря Антонича) 151.5 KB
  Моя країно верховинна ні не забуть твоїх черемх коли над ними місяць лине вівсяним калачем 3 учень: Так це БогданІгор Антонич який в горах де ближче сонця перший раз приглянувся небу дописує черговий вірш до збірки Книга Лева.
58962. Особові займенники 371 KB
  Мета: Вчити розпізнавати особові займенники; визначати особу число відмінок займенників; формувати вміння користуватись відмінковими формами займенників в усному й писемному мовленні та влучно використовувати особові займенники; розвивати увагу мислення...
58963. Інтерактивний розвиток фантазії учнів 60 KB
  Освітні - спрямовані на активацію уяви та фантазії. Передбачають формування практичної діяльності, уміння аналізувати та інтерпретувати мистецькі твори та дитячі малюнки, навчатися споглядати їх різними способами: статичний - сприймати їх через внутрішній світ...
58964. Їде панна осінь на золотому коні 42 KB
  Організація класу до уроку Гайда діти у садок Любо там та мило Подивіться все навколо Осінь як змінила. Осінь. Осінь завітала до нас у гості.
58965. Матеріали до вивчення роману Габріеля Гарсіа Маркеса "Сто років самотності" 31.5 KB
  Довести до свідомості учнів задум письменника який полягає в осудженні індивідуалізму що зумовлює замкненість відірваність людини від реального часу отруює її життя гіркотою самотності. Актуалізація опорних знань Як ви розумієте слово самотність Звідки вона береться Чому виникає...
58966. Англомовні країни. Велика Британія 55.5 KB
  Respected quests! Our todays lesson is devoted to Great Britain. Its our final lesson on the topic. We are going to review the material we have already learnt and try to learn something new. Hope you will enjoy every minute of the lesson.
58967. Архітектурні споруди в казці 45.5 KB
  Завдання до уроку 1. Структура уроку І. Повідомлення теми завдань уроку й мотивація навчання 1 хв. Уведення до теми уроку методом створення ігрової ситуації уявної мандрівки у країну казок 8 хв.
58968. Біблія - памятка світової писемності 53 KB
  Мета: познайомити старшокласників з історією виникнення Біблії її історичним шляхом. Довести вічну цінність Біблії для всіх людей. Перші 39 книг близько три чверті Біблії складають Старий Заповіт визнаються за Святе Письмо іудаїзмом і християнством.