18. Безопасность информации
Безопасность данных (data security)— концепция защитыпрограммиданныхот случайного либо умышленного изменения, уничтожения, разглашения, а также несанкционированного использования.
Интенсивное развитие средств связи и широкое внедрение информационных технологий во все сферы жизни делают все более актуальной проблему защиты информации. Преступления в сфере передачи и обработки информации в ряде стран, по мнению специалистов, превратились в национальное бедствие. Особенно широкий размах получили преступления в системах телекоммуникаций, обслуживающих банковские и торговые учреждения. По официальным источникам, ежегодные потери только делового сектора США от несанкционированного проникновения в информационные базы данных составляют 150-300 млрд. долл.
Средства обеспечения информационной безопасности можно условно разделить на следующие группы:
системы контроля доступа (управляют правами доступа пользователей, регистрируют обращения к защищаемым данным, осуществляют аутентификацию пользователей и сетевых систем (установление подлинности имениобъектадля получения им права использованияпрограммиданных));
системы шифрования информации (кодируют данные, хранящиеся на локальных дисках пользователей и передаваемые по телекоммуникационным каналам);
системы электронно-цифровой подписи (обеспечивают аутентификацию получаемой информации и контроль ее целостности);
системы антивирусной защиты (контролируют состояние памяти вычислительных систем, предотвращают заражение файлов на локальных и сетевых дисках, а также распространение вирусов по сети);
системы защиты firewall(осуществляют авторизацию входящего и исходящего трафика между локальной компьютерной сетью иInternet);
системы резервного хранения и восстановления информации (обеспечивают запись информации на резервные носители и, в случае необходимости, ее восстановление на жестких дисках компьютеров предприятия).
Необходимо отметить, что само по себе наличие даже самых совершенных планов обеспечения информационной безопасности не может служить гарантией безопасности данных и надежности работы информационной инфраструктуры.
Система (служба) обеспечения безопасности информации - это совокупность различных мероприятий (правовых, организационных, технических), позволяющих не допустить или существенно затруднить нанесение ущерба интересам поставщиков и потребителей информации. Реализация этих мер должна способствовать:
обеспечению целостности информации (полноты, точности, достоверности);
сохранению конфиденциальности информации (конфиденциальной называется информация, не являющаяся общедоступной), предупреждение несанкционированного получения информации;
обеспечению доступности, т.е. доступа к информации со стороны пользователей, имеющих на то надлежащие полномочия.
В соответствии с рекомендациями МСЭ-Т конфиденциальность, целостность и доступность являются характеристиками безопасности передаваемых данных.
Перечислим наиболее характерные угрозы безопасности информации при ее передаче:
перехват данных - обзор данных несанкционированным пользователем; эта угроза проявляется в возможностях злоумышленника непосредственно подключаться к линии связи для съема передаваемой информации либо получать информацию "на дистанции", вследствие побочного электромагнитного излучения средств передачи информации по каналам связи;
анализ трафика - обзор информации, касающейся связи между пользователями (например, наличие/отсутствие, частота, направление, последовательность, тип, объем и т.д.). Даже если подслушивающий не может определить фактического содержания сообщения, он может получить некоторый объем информации, исходя из характера потока трафика (например, непрерывный, пакетный, периодический или отсутствие информации);
изменение потока сообщений (или одного сообщения) - внесение в него необнаруживаемых искажений, удаление сообщения или нарушение общего порядка следования сообщений;
повтор процесса установления соединения и передачи сообщения - записывание несанкционированным пользователем с последующим повтором им процесса установления соединения с передачей ранее уже переданного и принятого пользователем сообщения;
отказ пользователя от сообщения - отрицание передающим пользователем своего авторства в предъявленном ему принимающим пользователем сообщении или отрицание принимающим пользователем факта получения им от передающего пользователя сообщения;
маскарад - стремление пользователя выдать себя за некоторого другого пользователя с целью получения доступа к дополнительной информации, получения дополнительных привилегий или навязывание другому пользователю системы ложной информации, исходящей якобы от пользователя, имеющего санкции на передачу такого рода информации;
нарушение связи - недопущение связи или задержка срочных сообщений.
Рекомендациями МОС и МСЭ-Т предусматриваются следующие основные механизмы защиты:
шифрование данных;
обеспечение аутентификации;
обеспечение целостности данных;
цифровая подпись;
контроль доступа.
Механизм шифрованияможет обеспечивать конфиденциальность либо передаваемых данных, либо информации о параметрах трафика и может быть использован в некоторых других механизмах безопасности или дополнять их. Существование механизма шифрования подразумевает использование, как правило, механизма управления ключами.
При рассмотрении механизмов аутентификацииосновное внимание уделяется методам передачи в сети информации специального характера (паролей, аутентификаторов, контрольных сумм и т.п.). В случае односторонней или взаимной аутентификации обеспечивается процесс проверки подлинности пользователей (передатчика и приемника сообщений), что гарантирует предотвращение соединения с логическим объектом, образованным злоумышленником.
Механизм обеспечения целостности данныхпредполагает введение в каждое сообщение некоторой дополнительной информации, являющейся функцией от содержания сообщения. Эти методы применяются как при передаче данных по виртуальному соединению, так и при использовании датаграммной передачи. В первом случае гарантируется устранение неупорядоченности, потерь, повторов, вставок или модификации данных при помощи специальной нумерации блоков, либо введением меток времени. В датаграммном режиме метки времени могут обеспечить только ограниченную защиту целостности последовательности блоков данных и предотвратить переадресацию отдельных блоков.
Механизм цифровой подписи, реализующий один из процессов аутентификации пользователей и сообщения, применяется для подтверждения подлинности содержания сообщения и удостоверения того факта, что оно отправлено абонентом, указанным в заголовке в качестве источника данных. Цифровая подпись (ЦП) также необходима для предотвращения возможности отказа передатчика от факта выдачи какого-либо сообщения, а приемника - от его приема.
Механизмом цифровой подписи определяются две процедуры:
формирование блока данных, добавляемого к передаваемому сообщению;
подписание блока данных.
Процесс формирования блока данных содержит общедоступные процедуры и в отдельных случаях специальные (секретные) ключи преобразования, известные на приеме.
Процесс подписания блока данных использует информацию, которая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрование блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации подписавшего пользователя в качестве ключа шифрования частного пользования. Таким образом, после проверки подписи в последующем третьему лицу (например, арбитру) в любое время может быть доказано, что подпись может выполнить только единственный держатель секретной (частной) информации.
Механизмы контроля доступамогут использовать аутентифицированную идентификацию объекта (отождествление анализируемогообъектас одним из известных объектов) или информацию объекта (например, принадлежность к известному множеству объектов) либо возможности этого объекта для установления и применения прав доступа к нему. Если объект делает попытку использовать несанкционированный или санкционированный с неправильным типом доступа ресурсы, то функция контроля доступа будет отвергать эту попытку и может сообщить о ней для инициирования аварийного сигнала и (или) регистрации его как части данных проверки безопасности. Механизмы контроля доступа могут использоваться на любом конце соединения и (или) в любом промежуточном узле.
- Информационные сети
- 23. Некоторые типы современных сетей 156
- 1. Основные понятия информационных сетей
- Сообщения
- Пользователь
- Открытая система
- Классификация сетей
- 3. Модели и структуры информационных сетей Локальная сеть (лвс)
- Территориальная сеть
- Классификация территориальных сетей
- Глобальная сеть
- Виртуальная сеть
- 4. Топология и виды информационных сетей Топология сетей
- 5. Информационные ресурсы сетей
- Информационное хранилище
- Информационно-поисковая система
- Базы знаний
- Электронная библиотека
- 6. Теоретические основы современных информационных сетей. Теория очередей.
- Пуассоновский процесс
- Система обслуживания м/м/1
- 7. Базовая эталонная модель взаимодействия открытых систем (бэмвос)
- Передача данных между уровнями мвос
- Соединения.
- Физические средства соединений
- 8. Компоненты информационной сети
- Абонентская система
- Ретрансляционная система
- Ретрансляционные системы, осуществляющие коммутацию имаршрутизацию: Узел коммутации каналов
- Узел коммутации пакетов
- Узел смешанной коммутации
- Узел интегральной коммутации
- Коммутатор
- Ретрансляционные системы, преобразующие протоколы Шлюз
- Маршрутизатор
- Объединение сетей
- Административные системы
- Управление конфигурацией сети и именованием
- Обработка ошибок
- Анализ производительности и надежности
- Управление безопасностью
- Учет работы сети
- 9. Коммуникационная сеть
- Универсальный интерфейс коммуникационной сети
- 10. Моноканальные подсети и моноканал
- Моноканальная сеть
- Множественный доступ
- Множественный доступ с разделением времени (Time Division Multiple Access (tdma))
- Множественный доступ с передачей полномочия (Token Passing Multiple Access (tpma))
- Множественный доступ с контролем передачи и обнаружением столкновений (csma/cd)
- Множественный доступ с разделением частоты (Frequency Division Multiple Access (fdma))
- Множественным доступом с разделением волны (wdma)
- 11. Циклические подсети. Циклическое кольцо
- Типы локальных сетей по методам передачи информации Метод доступа Ethernet
- Метод доступа Token Ring
- Метод доступа ArcNet
- 12. Узловые подсети Сеть с маршрутизацией данных
- 13. Методы маршрутизации информационных потоков
- Rip(Метод рельефов)
- Метод ospf
- 14. Методы коммутации информации Коммутация
- Коммутация Каналов (кк)
- Коммутация Пакетов (кп)
- Коммутация сообщений
- Смешанная коммутация
- Ретрансляция кадров и ячеек
- Ретрансляция кадров
- Ретрансляция ячеек
- Баньяновая сеть
- Матричный коммутатор
- 15. Протокольные реализации Протокол
- Стандарты протоколов физического уровня.
- Стандарты протоколов канального уровня.
- Стандарты протоколов сетевого уровня.
- Протоколы транспортного уровня.
- Протоколы верхних уровней.
- Протокол ipx/spx
- Протокол управления передачей/межсетевой протокол
- 16. Сетевые службы
- Сетевая служба ds*
- Сетевая служба edi
- Сетевая служба ftam
- Сетевая служба jtm
- Сетевая служба mhs/motis
- Сетевая служба nms
- Сетевая служба oda
- Сетевая служба vt
- 17. Модель распределённой обработки информации
- Технологии распределенных вычислений.
- Распределенная среда обработки данных
- 18. Безопасность информации
- Технические аспекты информационной безопасности Криптографические методы и средства защиты.
- Методы и средства аутентификации пользователей и сообщения.
- Методы и средства управления доступом к информационным и вычислительным ресурсам
- 19. Базовые функциональные профили Функциональный профиль
- Базовый функциональный профиль
- Коллапсный функциональный профиль
- 20. Полные функциональные профили
- Открытая сетевая архитектура
- 21. Методы оценки эффективности информационных сетей Эффективность информационной сети
- Показатели целевой эффективности информационной сети.
- Показатели технической эффективности информационной сети.
- Показатели экономической эффективности информационной сети.
- Методы оценки эффективности информационных сетей.
- 22. Сетевые программные и технические средства информационных сетей Сетевые операционные системы
- Требования к сетевым операционным системам.
- Сети с централизованным управлением
- Сети с децентрализованным управлением или одноранговые сети
- Прикладные программы сети
- Специализированные программные средства
- Техническое обеспечение
- 1. Средства коммуникаций
- 2. Сетевые адаптеры
- 3. Концентратор (Hub)
- 4. Приемопередатчики (transceiver) и повторители (repeater)
- 5. Коммутаторы (switch), мосты (bridge) и шлюзы (gateway)
- 6. Маршрутизаторы
- 7. Коммутаторы верхних уровней
- 8. Модемы и факс-модемы (fax-modem)
- 9. Анализаторы лвс
- 10. Сетевые тестеры
- Терминальное оборудование
- 23. Некоторые типы современных сетей
- 1. Сети X.25
- 2. Сети Frame Relay
- 3. Сети, основанные на технологии atm