17.1. Общие положения
Интенсивное развитие средств связи и широкое внедрение информационных технологий во все сферы жизни делают все более актуальной проблему защиты информации. Насколько остро стоит проблема обеспечения безопасности информации говорит тот факт, что преступления в сфере передачи и обработки информации в ряде стран, по мнению специалистов, превратились в национальное бед-ствие. Особенно широкий размах получили преступления в системах телекоммуникаций, обслуживающих банковские и торговые учрежде-ния. По официальным источникам, ежегодные потери только делово-го сектора США от несанкционированного проникновения в информа-ционные базы данных составляют 150-300 млрд. долл.
Проблема обеспечения безопасности передаваемой по каналам связи информации является комплексной и характеризуется способ-ностью информации противостоять различного рода воздействиям, наносящим ущерб собственнику информации. Эти воздействия могут носить различный характер. Так, некий злоумышленник (законный пользователь сети или постороннее лицо) может попытаться исказить передаваемую информацию путем воздействия на нее в любой точке тракта передачи, т.е. нарушить ее целостность. Он может попытаться получить из сети конфиденциальные сведения и т.п.
Система (служба) обеспечения безопасности информации - это совокупность различных мероприятий (правовых, организационных, технических), позволяющих проводить или существенно затруднить нанесение ущерба интересам поставщиков и потребителей инсрорма-ции. Реализация этих мер должна способствовать:
- обеспечению целостности информации (полноты, точности, дос-товерности);
- сохранению конфиденциальности информации (конфиденци-альной называется информация, не являющаяся общедоступной), предупреждению несанкционированного получения информации;
- обеспечению доступности, т.е. доступа к информации со сторо-ны пользователей, имеющих на то надлежащие полномочия.
В соответствии с рекомендациями МСЭ-Т конфиденциальность, целостность и доступность являются характеристиками безопасности передаваемых данных.
Следует заметить, что обеспечить защиту информации всех мыс-лимых и немыслимых воздействий со стороны злоумышленников (лиц, способных несанкционированно воздействовать на передавае-мую информацию) нельзя. Поэтому, создавая службу безопасности, следует проанализировать возможные угрозы безопасности и ущерб, который может быть нанесен собственнику информации из-за потери, хищения, искажения или задержки информации вследствие воздейст-вий на процесс передачи информации.
Перечислим наиболее характерные угрозы безопасности инфор-мации при ее передаче [1]:
- перехват данных - обзор данных несанкционированным пользо-вателем; эта угроза проявляется в возможностях злоумышленника непосредственно подключаться к линии связи для съема передавае-мой информации либо получать информацию «на дистанции», вслед-ствие побочного электромагнитного излучения средств передачи ин-формации по каналам связи;
- анализ трафика - обзор информации, касающейся связи между пользователями (например, наличие/отсутствие, частота, направле-ние, последовательность, тип, объем и т.д.); даже если подслуши-вающий не может определить фактического содержания сообщения, он может получить некоторый объем информации, исходя из характе-ра потока трафика (например, непрерывный, пакетный, периодиче-ский или отсутствие информации);
- изменение потока сообщений (или одного сообщения) - внесе-ние в него необнаруживаемых искажений, удаление сообщения или нарушение общего порядка следования сообщений;
- повтор процесса установления соединения и передачи сообще-ния - записывание несанкционированным пользователем с после-дующим повтором им процесса установления соединения с переда-чей ранее уже переданного и принятого пользователем сообщения;
- отказ пользователя от сообщения - отрицание передающим пользователем своего авторства в предъявленном ему принимающим пользователем сообщении или отрицание принимающим пользователем факта получения им от передающего пользователя сообщения;
- маскарад - стремление пользователя выдать себя за некоторого другого пользователя с целью получения доступа к дополнитель-ной информации, получения дополнительных привилегий или навязывание другому пользователю системы ложной информации, исхо-дящей якобы от пользователя, имеющего санкции на передачу такого рода информации;
- нарушение связи - недопущение связи или задержка срочных сообщений.
В телематических службах, содержащих элементы обработки сообщений и их хранения, например в службе обработки сообщений, возможны специфические угрозы [1]:
- угрозы несанкционированного доступа в службу обработки сообщений;
- угрозы хранилищу данных.
Система, обеспечивающая защиту от этих угроз, может включать следующие службы:
1) служба секретности данных - может быть использована для защиты передаваемых данных от вскрытия содержащейся в них информации и от возможности проведения анализа интенсивности по-тока данных между пользователями;
2) служба аутентификации - предназначается для обеспечения подтверждения того, что в данный момент связи пользователь является действительно тем пользователем, за которого он себя выдает;
3) служба целостности данных - обеспечивает доказательство целостности данных в процессе их передачи, т.е. обеспечивает защи-ту передаваемых сообщений от случайных и преднамеренных воз-действий, направленных на изменение передаваемых сообщений; задержку и уничтожение; а также переупорядочивание их;
4) служба управления доступом - обеспечивает защиту от несанк-ционированного доступа к информации, содержащейся в удаленных банках данных, или от несанкционированного использования ресурсов сети;
5) служба сохранности информации - обеспечивает доказатель-ство целостности сообщения, принятого от соответствующего источ-ника и находящегося на хранении, например в терминале-приемнике, и которое может быть проверено в любой момент времени арбитром (третьей стороной);
6) служба доставки - обеспечивает защиту от попыток злоумыш-ленника нарушить связи или задержать передачу сообщения на вре-мя, превышающее время ценности передаваемой в сообщении ин-формации; эта служба непосредственно связана с процессами передачи информации в сетях связи.
Каждая из служб может самостоятельно решать стоящую перед ней задачу защиты с помощью тех или иных механизмов и средств защиты. При этом один и тот же механизм защиты может быть ис-пользован в интересах разных служб защиты информации.
Рекомендациями МОС и МСЭ-Т предусматриваются следующие основные механизмы защиты [1]:
- шифрование данных;
- обеспечение аутентификации;
- обеспечение целостности данных;
- цифровая подпись;
- контроль доступа.
Механизм шифрования может обеспечивать конфиденциальность либо передаваемых данных, либо информации о параметрах трафика и может быть использован в некоторых других механизмах безопас-ности или дополнять их. Существование механизма шифрования подразумевает использование, как правило, механизма управления ключами.
При рассмотрении механизмов аутентификации основное внимание уделяется методам передачи в сети информации специального характера (паролей, аутентификаторов, контрольных сумм и т.п.). В случае односторонней или взаимной аутентификации обеспечива-ется процесс проверки подлинности пользователей (передатчика и приемника сообщений), что гарантирует предотвращение соединения с логическим объектом, образованным злоумышленником.
Механизм обеспечения целостности данных предполагает введение в каждое сообщение некоторой дополнительной информации, являющейся функцией от содержания сообщения. В рекомендациях МОС рассматриваются методы обеспечения целостности двух типов: первые обеспечивают целостность единственного блока данных, вторые - потока блоков данных или отдельных их полей. Эти методы применяются как при передаче данных по виртуальному соединению, так и при использовании дейтаграммной передачи. В первом случае гарантируется устранение неупорядоченности, потерь, повторов, вставок или модификации данных при помощи специальной нумера-ции блоков, либо введением меток времени. В дейтаграммном режи-ме метки времени могут обеспечить только ограниченную защиту це-лостности последовательности блоков данных и предотвратить пере-адресацию отдельных блоков.
Механизм цифровой подписи, реализующий один из процессов аутентификации пользователей и сообщения, применяется для под-тверждения подлинности содержания сообщения и удостоверения того факта, что оно отправлено абонентом, указанным в заголовке в качестве источника данных. Цифровая подпись (ЦП) также необходи-ма для предотвращения возможности отказа передатчика от факта выдачи какого-либо сообщения, а приемника - от его приема.
Механизмом цифровой подписи определяются две процедуры [1]:
- формирование блока данных, добавляемого к передаваемому сообщению;
- подписание блока данных.
Процесс формирования блока данных содержит общедоступные процедуры и в отдельных случаях специальные (секретные) ключи преобразования, известные на приеме.
Процесс подписания блока данных использует информацию, кото-рая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрова-ние блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации под-писавшего пользователя в качестве ключа шифрования частного пользования. Таким образом, после проверки подписи в последую-щем третьему лицу (например, арбитру) в любое время может быть доказано, что подпись может выполнить только единственный держа-тель секретной (частной) информации.
Механизмы контроля доступа могут использовать аутентифици-рованную идентификацию объекта или информацию объекта (напри-мер, принадлежность к известному множеству объектов) либо воз-можности этого объекта для установления и применения прав досту-па к нему. Если объект делает попытку использовать несанкциониро-ванный или санкционированный с неправильным типом доступа ре-сурсы, то функция контроля доступа будет отвергать эту попытку и может сообщить о ней для инициирования аварийного сигнала и (или) регистрации его как части данных проверки безопасности. Механизмы контроля доступа могут использоваться на любом конце соединения и (или) в любом промежуточном узле.
Механизм заверения обеспечивает гарантию свойств, относящих-ся к данным, которые передаются между двумя или более пользова-телями, например их целостность, источник, время и место назначе-ния. Эта гарантия дается третьим лицом (нотариусом), которому до-веряют вступающие во взаимодействие пользователи и который рас-полагает необходимой информацией для предоставления требуемой гарантии способом, допускающим возможность ее проверки. Каждый процесс установления соединения может использовать цифровую подпись, шифрование и механизмы целостности в зависимости от требований услуги, получающей заверение. Когда задействуется ме-ханизм заверения, сообщения передаются через защищенные соеди-нения и нотариуса.
- Часть I. Способы передачи сообщений
- Глава 1. Спектры
- 1.1 Спектры периодических сигналов
- 1.2. Спектры непериодических сигналов
- 1.3. Сигналы электросвязи и их спектры
- Глава 2. Модуляция
- 2.1. Принципы передачи сигналов электросвязи
- 2.2. Амплитудная модуляция
- 2.3 Угловая модуляция
- 2.4. Импульсная модуляция
- 2.5. Демодуляция сигналов
- Глава 3. Цифровые сигналы
- 3.1. Понятие о цифровых сигналах
- 3.2. Дискретизация аналоговых сигналов
- 3.3. Квантование и кодирование
- 3.4. Восстановление аналоговых сигналов
- Глава 4. Принципы многоканальной передачи
- 4.1. Одновременная передача сообщений
- 4.2. Частотное разделение каналов
- 4.3. Временное разделение каналов
- Глава 5. Цифровые системы передачи
- 5.1. Формирование группового сигнала
- 5.2. Синхронизация
- 6.3. Регенерация цифровых сигналов
- 5.4. Помехоустойчивое кодирование
- Глава 6. Цифровые иерархии
- 6.1. Плезиохронная цифровая иерархия
- 6.2. Синхронная цифровая иерархия
- Глава 7. Линии передачи
- 7.1. Медные кабельные линии
- 7.2. Радиолинии
- 7.3. Волоконно-оптические кабельные линии
- Глава 8. Транспортные сети
- 8.1. Предпосылки создания транспортных сетей
- 8.2. Системы передачи для транспортной сети
- Vc низшего порядка (Low order vc, lovc)
- Vc высшего порядка (High order vc, hovc)
- 8.3. Модели транспортных сетей
- 8.4. Элементы транспортной сети
- 8.5. Архитектура транспортных сетей
- Часть II. Службы электросвязи. Телефонные службы и службы документальной электросвязи
- Глава 9. Основные понятия и определения
- 9.1. Информация, сообщения, сигналы
- 9.2. Системы и сети электросвязи
- 9.3. Эталонная модель взаимосвязи открытых систем
- 9.4. Методы коммутации в сетях электросвязи
- 9.5 Методы маршрутизации в сетях электросвязи
- Т а б л и ц а 9.2. Устройства, реализующие функции маршрутизации
- Глава 10. Телефонные службы
- 10.1. Услуги, предоставляемые общегосударственной системой автоматизированной телефонной связи
- 10.2. Структура городских телефонных сетей (гтс) с низким уровнем цифровизации и перспективы развития
- 10.3. Расчет коммутационного узла с коммутацией каналов 10.3.1. Модель коммутационного узла
- 10.3.1 Модель коммутационного узла
- 10.3.2. Структура коммутационных полей станций и узлов
- 10.3.3. Элементы теории телетрафика
- Глава 11. Телеграфные службы
- 11.1. Сети телеграфной связи
- 11.2. Направления развития телеграфной связи
- Глава 12. Службы пд. Защита от ошибок и преобразование сигналов
- 12.1. Методы защиты от ошибок
- 12.2. Сигналы и виды модуляции, используемые в современных модемах
- Глава 13. Службы пд. Сети пд.
- 13.1. Компьютеры — архитектура и возможности
- 13.2. Принципы построения компьютерных сетей
- 13.3. Международные стандарты на аппаратные и программные средства компьютерных сетей
- 13.4. Сетевые операционные системы
- 13.5. Локальные компьютерные сети
- 13.6. Глобальные компьютерные сети
- 13.7. Телефонная связь по компьютерным сетям
- Глава 14. Факсимильные службы
- 14.1. Основы факсимильной связи
- 14.2. Организация факсимильной связи
- Глава 15. Другие службы документальной электросвязи
- 15.1. Видеотекс
- 15.2. Голосовая почта
- Глава 16. Единая система документальной электросвязи
- 16.1. Интеграция услуг документальной электросвязи [1]
- 16.2. Назначение и основные принципы построения служб обработки сообщений [2]
- 16.3. Многофункциональные терминалы
- Глава 17. Обеспечение информационной безопасности в телекоммуникационных системах
- 17.1. Общие положения
- 17.2. Правовые и организационные аспекты информационной безопасности
- 17.3. Технические аспекты информационной безопасности
- Часть III. Интеграция сетей и служб электросвязи
- Глава 18. Узкополосные цифровые сети интегрального обслуживания (у-цсио)
- 18.1. Пути перехода к узкополосной цифровой сети интегрального обслуживания
- 18.2. Службы и услуги узкополосной цсио
- 18.3. Система управления у-цсио
- Глава 19. Широкополосные и интеллектуальные сети
- 19.1. Условия и этапы перехода к широкополосной сети интегрального обслуживания (ш-цсио)
- 19.2. Услуги ш-цсио
- 19.3. Способы коммутации в ш-цсио
- 19.4. Построение коммутационных полей станций ш-цсио
- 19.5. Причины и условия перехода к интеллектуальной сети (ис)
- 19.6. Услуги ис
- Глава 20. Система межстанционной сигнализации по общему каналу в цсио
- 20.1. Понятие об общем канале сигнализации
- 20.2. Протоколы системы сигнализации № 7 itu-t
- 20.3. Способы защиты от ошибок в окс № 7
- 20.4. Характеристики окс
- 20.5. Способы построения сигнальной сети
- Глава 21. Широкополосные сети и оборудование компании «Huawei Technologies Co, Ltd»
- 21.1. Оптическая сеть абонентского доступа с интеграцией услуг honet
- 21.2. Построение транспортных сетей на базе оборудования компании «Huawei Technologies Co., Ltd»
- 21.3. Цифровая коммутационная система с программным управлением с&с08
- 21.4. Высокоскоростной коммутирующий маршрутизатор Radium 8750
- Часть IV. Современные методы управления в телекоммуникациях
- Глава 22. Общие положения
- 22.1. Многоуровневое представление задач управления телекоммуникациями
- 22.2. Функциональные группы задач управления
- Глава 23. Интегрированные информационные системы управления предприятиями электросвязи
- 23.1. Понятия и определения в области информационных систем управления предприятием
- 23.2. Анализ структуры интегрированной информационной системы управления предприятием регионального оператора связи
- 23.3. Новое системное проектирование как передовая технология на этапе внедрения современных информационных систем
- 23.4. Требования к функциональности интегрированной информационной системы управления предприятием для регионального оператора связи
- 23.5. Требования к используемым информационным технологиям, техническим средствам и программному обеспечению
- Глава 24. Управление услугами. Качество предоставляемых услуг
- 24.1. Система качества услуг электросвязи
- 24.2. Базовые составляющие обеспечения качества услуги
- 24.3. Оценка качества услуг связи с точки зрения пользователя и оператора связи
- Глава 25. Управление услугами.
- 25.1. Общие положения
- 25.2. Классификация аср
- 25.3. Централизованный способ построения системы расчетов
- 25.4. Интеграция аср с системами управления tmn
- 25.5. Основные технические требования для аср
- 25.6. Обзор автоматизированных систем расчетов
- 25.7. Заключение
- Глава 26. Управление сетями и сетевыми элементами
- 26.1. Архитектура систем управления сетями и сетевыми элементами
- 26.2. Системы управления первичными и вторичными сетями
- 26.3. Принципы построения системы управления
- Глава 27. Решения компании strom telecom в области tmn (Foris oss)
- 27.1. Общая характеристика семейства продуктов Foris oss
- 27.2. Автоматизация расчетов. Подсистема TelBill
- 27.3. Многофункциональные подсистемы сбора данных и взаимодействия с атс
- 27.4. Подсистема сбора данных и их биллинговой предобработки TelCharge
- 27.5. Подсистемы TelRes, TelTe, TelRc
- 27.6. Система «Электронный замок»
- 27.7. Подсистема поддержки клиентов tccs (Foris Customer Care Systems)
- 27.8. Подсистема Контакт-центр