русс | укр

Программирование:

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании

Обучение

Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Механизмы безопасности

Дата добавления: 2013-12-23; просмотров: 6576; Нарушение авторских прав

Механизмы безопасности предназначены для реализации услуг безопасности. Выделяют следующие механизмы безопасности:

Механизмы шифрования, которые обеспечивают конфиденциальность передаваемых данных и/или информации о потоках данных.

Различают два способа шифрования: канальное, когда шифруются все передаваемые по каналу данные, и оконечное, при этом шифруются только пользовательские данные, служебная информация остается открытой.

В первом случае вся информация оказывается открытой на промежуточных узлах – ретрансляторах, шлюзах и т. д.; пользователь не принимает участия в выполняемых операциях; для каждой пары узлов требуется свой ключ;

Оконечное шифрование позволяет обеспечивать конфиденциальность данных, передаваемых между двумя прикладными объектами. Другими словами, отправитель зашифровывает данные, получатель – расшифровывает, на промежуточных узлах восстановить информацию невозможно, поэтому маршрут передачи несущественен – в любом канале информация останется защищенной.

Выбор того или иного способа шифрования или их комбинации зависит от результатов анализа риска. Вопрос стоит следующим образом: что более уязвимо – непосредственно отдельный канал связи или содержание сообщения, передаваемое по различным каналам. Канальное шифрование быстрее (применяются другие, более быстрые, алгоритмы), прозрачно для пользователя, требует меньше ключей. Оконечное шифрование более гибко, может использоваться выборочно, однако требует участия пользователя. В каждом конкретном случае вопрос должен решаться индивидуально.

Механизмы цифровой подписи, включают закрытие блоков данных и проверки блока данных на подлинность и авторство.

Механизмы контроля доступаосуществляют проверку полномочий сетевого объекта на доступ к ресурсам. Проверка полномочий производится в соответствии с правилами разработанной политики безопасности.

Механизмы обеспечения целостности передаваемых данных.Эти механизмы обеспечивают как целостность отдельного блока или поля данных, так и потока данных. Целостность блока данных обеспечивается передающим и принимающим объектами. Передающий объект добавляет к блоку данных признак, значение которого является функцией от самих данных. Принимающий объект также вычисляет эту функцию и сравнивает ее с полученной. В случае несовпадения выносится решение о нарушении целостности. Обнаружение изменений может повлечь за собой действия по восстановлению данных. В случае умышленного нарушения целостности может быть соответствующим образом изменено и значение контрольного признака (если алгоритм его формирования известен), в этом случае получатель не сможет установить нарушение целостности. Тогда необходимо использовать алгоритм формирования контрольного признака как функцию данных и секретного ключа. В этом случае правильное изменение контрольного признака без знания ключа будет невозможно, и получатель сможет установить, подвергались ли данные модификации.

Защита целостности потоков данных (от переупорядочивания, добавления, повторов или удаления сообщений) осуществляется с использованием дополнительных формы нумерации (контроль номеров сообщений в потоке), меток времени и т. д.

Механизмы аутентификации объектов сети.Для обеспечения аутентификации используются пароли, проверка характеристик объекта, криптографические методы (аналогичные цифровой подписи).

Механизмы заполнения текстаиспользуются для обеспечения защиты от анализа трафика. В качестве такого механизма может использоваться, например, генерация фиктивных сообщений; в этом случае трафик имеет постоянную интенсивность во времени.

Механизмы управления маршрутом.Маршруты могут выбираться динамически или быть заранее заданы с тем, чтобы использовать физически безопасные подсети, ретрансляторы, каналы. Оконечные системы при установлении попыток навязывания могут потребовать установления соединения по другому маршруту. Кроме того, может использоваться выборочная маршрутизация (то есть часть маршрута задается отправителем явно – в обход опасных участков).

Механизмы освидетельствования.Характеристики данных, передаваемые между двумя и более объектами (целостность, источник, время, получатель) могут подтверждаться с помощью механизма освидетельствования. Подтверждение обеспечивается третьей стороной (арбитром), которой доверяют все заинтересованные стороны и которая обладает необходимой информацией.

Функции защиты протоколов (правил) каждого уровня определяются их назначением:

· Физический уровень – контроль электромагнитных излучений линий связи и устройств, поддержка коммуникационного оборудования в рабочем состоянии. Защита на данном уровне обеспечивается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.

· Канальный уровень – увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, включая служебную информации.

· Сетевой уровень – наиболее уязвимый уровень с точки зрения защиты. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Кроме того, протоколами сетевого уровня пакеты обрабатываются на всех маршрутизаторах, шлюзах и др. промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и др.). Защита от всех подобных угроз осуществляется протоколами сетевого и транспортного уровней (см. ниже) и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация.

· Транспортный уровень – осуществляет контроль за функциями сетевого уровня на приемном и передающем узлах (на промежуточных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдельных пакетов данных, последовательности пакетов, пройденный маршрут, время отправления и доставки, идентификацию и аутентификацию отправителя и получателя и др. функции. Все активные угрозы становятся видимыми на данном уровне. Гарантом целостности передаваемых данных является криптозащита данных и служебной информации. Никто кроме имеющих секретный ключ получателя и/или отправителя не может прочитать или изменить информацию таким образом, чтобы изменение осталось незамеченным. Анализ трафика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как настоящие. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации можно постоянно добиваться равномерного трафика. Однако все эти меры не могут предотвратить угрозу уничтожения, переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям.

· Протоколы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети.

Рассмотренные механизмы защиты распределены по уровням защиты корпоративной сети: рабочего места; системы (сервера); приложения (например, системы управления базой данных); корпоративной сети; телекоммуникаций.

Возрастание уровня защиты (и, следовательно, активация новых механизмов) возникает в процессе развития сети или ее модернизации.

Вопросы для самоконтроля:

1.Назовите три основных вида возможных нарушений информационной системы.

2. Перечислите что относится к основным направлениям (методам) реализации злоумышленником информационных угроз.

3. Что относится к числу основных методов реализации угроз информационной безопасности АС?

4. Что должна обеспечивать система безопасности в соответствии со стандартом ISO?

5. Для чего предназначены механизмы безопасности? Назовите механизмы безопасности.

Список литературы:

1. Михальский, О.О. Теоретические основы компьютерной безопасности: Учеб. Пособие для вузов [Текст] / О.О. Михальский, Д.И. Правиков и др. - М.: Радио и связь, 2000. –212 с.

2. Парошин, А.А. Информационная безопасность: стандартизированные термины и понятия [Текст] /А.А. Парошин. - М.: ИНФРА-М, 2010. – 216 с.

3. Романец, Ю.В. Защита информации в компьютерных системах и сетях [Текст] / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - М.: радио и связь, 2001. – 149 с.

4. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие[Текст] / В.Ф. Шаньгин. - М.: ИД ФОРУМ: ИНФРА-М, 2008. – 416 с.

 


<== предыдущая лекция | следующая лекция ==>
Вопросы лекции | Вопросы лекции

Карта сайта Карта сайта укр

Видео
Уроки php mysql Программирование
Онлайн сервисы
Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские
Полезное

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных

 


Не нашли то, что искали? Google вам в помощь!

  
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.
Генерация страницы за: 0.004 сек.