русс | укр

Программирование:

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании

Обучение

Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Цели, функции и задачи защиты информации в сетях ЭВМ.

Дата добавления: 2014-09-02; просмотров: 4187; Нарушение авторских прав

 

Цели зашиты информации в сетях ЭВМ предполагает:

  • обеспечение целостности физической и логической информации;
  • предупреждение несанкционированной ее модификации;
  • предупреждение несанкционированного ее получения и размножения.
  • Для сетей передачи данных реальную опасность представляют следующие угрозы:

v Прослушивание каналов, т. е. запись и последующий анализ всего проходящего потока сообщений;

v Умышленное уничтожение или искажение всего проходящих потока сообщений, а также включение в поток ложных сообщений;

v Присвоение злоумышленником своему узлу чужого идентификатора, что дает возможность получать или от­правлять сообщения от чужого имени;

v Преднамеренный разрыв линии связи, что приводит к полно­му прекращению доставки всех сообщений;

v Внедрение сетевых вирусов, т. е. передача по сети тела вируса с его последующей активизацией пользователем удаленного или ло­кального узла.

В соответствии с этим специфические задачи защиты в сетях передачи данных состоят в следующем:

ü Аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодейст­вующих объектов при обмене информацией между ними.

ü Контроль доступа, т. е. защита от несанкционированного ис­пользования ресурсов сети.

ü Маскировка данных, циркулирующих в сети.

ü Контроль и восстановление целостности всех находящихся в сети данных.

ü Арбитражное обеспечение, т. е. защита от возможных отказов от фактов отправки, приема или содержания отправленных или принятых данных.

 

Применительно к различным уровням семиуровневого протоко­ла передачи данных в сети задачи могут быть конкретизированы следующим образом:

  1. Физический уровень — контроль электромагнитных излуче­ний линий связи и устройств, поддержка коммутационного обору­дования в рабочем состоянии. Защита на данном уровне обеспечи­вается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды.
  2. Канальный уровень — увеличение надежности защиты, с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, вклю­чая служебную информацию.
  3. Сетевой уровень — наиболее уязвимый уровень с точки зре­ния защиты. На нем формируется вся маршрутизирующая инфор­мация, отправитель и получатель фигурируют явно, осуществляется управление потоком передачи данных. Кроме того, протоколами сетевого уровня па­кеты обрабатываются на всех маршрутизаторах, шлюзах идругих промежуточных узлах. Почти все специфические сетевые наруше­ния осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориента­ция отдельных сообщений или потока в целом, маскировка под дру­гой узел и др.).

Защита от подобных угроз осуществляется протоколами сетево­го и транспортного уровней и с помощью средств криптозащиты.
  1. Транспортный уровень — осуществляет контроль за функция­ми сетевого уровня на приемном и передающем узлах (на промежу­точных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдель­ных пакетов данных, последовательности пакетов, пройденный мар­шрут, время отправления и доставки, идентификацию и аутентифи­кацию отправителя и получателя и другие функции. Все активные угрозы становятся видимыми на данном уровне.

Гарантом целостности передаваемых данных является криптозащита, как самих данных, так и служебной информации. Никто, кро­ме имеющих секретный ключ получателя и/или отправителя, не мо­жет прочитать или изменить информацию таким образом, чтобы из­менение осталось незамеченным.

5. Протоколы верхних уровней обеспечивают контроль взаимо­действия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей и другие функции, определяемые конкретным протоколом.

 

 

23.2.Понятие сервисов безопасности.

Для решения перечисленных задач в ВС создаются специальные механизмы защиты (или сервисы безопасности.

Сервисы безопасности классифицируются следующим образом:

  • Идентификация/ аутентификация, котораядолжна удовлетворять двум условиям:

a) быть устойчивыми к сетевым угрозам (пассивному и активно­му прослушиванию сети);

b) поддерживать концепцию единого входа в сеть. Первое требование можно обеспечивать, используя криптографи­ческие методы (стандар­т Х.509). Второе требование это требование удоб­ства для пользователей сети, т.к. если в корпоративной сети много инфор­мационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слиш­ком обременительной.

  • Разграничение доступа, которое является самой исследованной областью информационной безопасности. В настоящее время появляются новые модели управление доступом. Суть его заключается в том, что между пользователями и их привилегиями помешаются промежуточные сущно­сти — роли. Для каждого пользователя одновременно могут быть ак­тивными несколько ролей, каждая из которых дает ему определен­ные права. Поскольку ролей намного меньше, чем пользователей и привилегий и их привилегий, это ведет к понижению сложности и улучшению управляемости. Кроме того, на основании ролевой модели можно реализовать разделение обязанностей, что приводит к невозможность в одиночку скомпрометировать критически важный вычислительный процесс. Между ролями могут быть определены статические или динамические отношения несовместимости, т.е. невозможности одному субъекту по очереди или одновременно активизировать обе роли, что и обеспечивает требуемую защиту.
  • Протоколирование/аудит являются рубежом обороны, обеспечивающим анализ послед­ствий нарушения информационной безопасности и выявление зло­умышленников. Аудит относится к пассивным методам защиты. В последнее время получает развитие активный аудит, направленный на выявление подозритель­ных действий в реальном масштабе времени. Активный аудит вклю­чает два вида действий:

Ø выявление нетипичного поведения пользователя, программ
или аппаратуры;

Ø выявление начала злоумышленной активности.

Нетипичное поведение выявляется статистическими методами, путем сопоставления с предварительно полученными образцами. Начало злоумышленной активности обнаруживается по совпадению с сигнатурами известных атак. За обнаружением следует заранее за­программированная реакция, как минимум информирование си­стемного администратора, как максимум — контратака на систему предполагаемого злоумышленника.

  • Экранирование. Экранирование как сервис безопасности выпол­няет следующие функции:

Ø разграничение межсетевого доступа путем фильтрации переда­ваемых данных;

Ø преобразование передаваемых данных.

Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет реализовывать гораздо более гибкую политику безопасности. Преобразование данных может состоять, например, в их шифрации.

В процессе фильтрации может вы­полняться параллельный антивирусный контроль. Еще одним уникальным свойством сервиса экранирования является возможность скрывать существование важных объектов доступа, т.е. делать их невидимыми для злоумышленников (стелс-технология)

  • Туннелирование. Его суть состоит в том, чтобы «упаковать» пере­даваемую порцию данных, вместе со служебными полями, в новый «конверт». Данный сервис может применяться для :

Ø перехода между сетями с разными протокола­ми передачи данных;

Ø обеспечение конфиденциальности и целостности всей переда­ваемой порции, включая служебные поля.

Туннелирование может применяться как на сетевом, так и при­кладном уровнях. (Например, двойное конвертирование для почты X.400).

Этот сервис по­зволяет реализовать такое защит­ное средство, как виртуальные частные сети, которые будучи наложенными, поверх Интернета, существенно дешевле и гораздо безопаснее, чем действительно собственные сети, построенные на выделенных каналах связи.

Выше были перечислены сервисы безопасности. Как объединить их для создания эшелонированной обороны, каково их место в общей архитектуре информационных систем?

На внешнем рубеже располагаются средства выявления зло­умышленной активности и контроля защищенности. Далее идут межсетевые экраны, защищающие внешние подключения. Они вместе со средствами поддержки виртуальных частных сетей образуют периметр бе­зопасности, отделяющий корпоративную систему от внешнего мира.

Сервис активного аудита должен присутствовать во всех крити­чески важных компонентах и, в частности, в защитных. Это позво­лит быстро обнаружить атаку.

Управление доступом также должно присутствовать на всех сер­висах. Доступу дол­жна предшествовать идентификация и аутентификация субъектов.

Криптографические средства целесообразно выносить на специ­альные шлюзы, где им может быть обеспечено квалифицированное администрирование. Масштабы пользовательской криптографии следует минимизировать.

Наконец, последний рубеж образуют средства пассивного ауди­та, помогающие оценить последствия нарушения безопасности, найти виновного, выяснить, почему успех атаки стал возможным.

 


<== предыдущая лекция | следующая лекция ==>
Лекция 23. Защита информации в компьютерных сетях | Международные стандарты Х.800 и Х.509

Карта сайта Карта сайта укр

Видео
Уроки php mysql Программирование
Онлайн сервисы
Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские
Полезное

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных

 


Не нашли то, что искали? Google вам в помощь!

  
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.
Генерация страницы за: 0.162 сек.