оглавление   к библиотеке   РиЭКТ   КС   ОИС   ОСВМ   визуальные среды - 4GL   технологии программирования

Информационные сети и телекоммуникационные каналы

Безопасность информации

  1. Технические аспекты информационной безопасности
  2. Криптографические методы и средства защиты
  3. Методы и средства аутентификации пользователей и сообщения
  4. Методы и средства управления доступом к информационным и вычислительным ресурсам
  5. Хакерский инструментарий ЦРУ

Безопасность данных (data security) — концепция защиты программ и данных от случайного либо умышленного изменения, уничтожения, разглашения, а также несанкционированного использования.

Интенсивное развитие средств связи и широкое внедрение информационных технологий во все сферы жизни делают все более актуальной проблему защиты информации. Преступления в сфере передачи и обработки информации в ряде стран, по мнению специалистов, превратились в национальное бедствие. Особенно широкий размах получили преступления в системах телекоммуникаций, обслуживающих банковские и торговые учреждения. По официальным источникам, ежегодные потери только делового сектора США от несанкционированного проникновения в информационные базы данных составляют 150-300 млрд. долл.

Средства обеспечения информационной безопасности можно условно разделить на следующие группы:

Необходимо отметить, что само по себе наличие даже самых совершенных планов обеспечения информационной безопасности не может служить гарантией безопасности данных и надежности работы информационной инфраструктуры.

Система (служба) обеспечения безопасности информации - это совокупность различных мероприятий (правовых, организационных, технических), позволяющих не допустить или существенно затруднить нанесение ущерба интересам поставщиков и потребителей информации. Реализация этих мер должна способствовать:

В соответствии с рекомендациями МСЭ-Т конфиденциальность, целостность и доступность являются характеристиками безопасности передаваемых данных.

Перечислим наиболее характерные угрозы безопасности информации при ее передаче:

Рекомендациями МОС и МСЭ-Т предусматриваются следующие основные механизмы защиты:

Механизм шифрования может обеспечивать конфиденциальность либо передаваемых данных, либо информации о параметрах трафика и может быть использован в некоторых других механизмах безопасности или дополнять их. Существование механизма шифрования подразумевает использование, как правило, механизма управления ключами.

При рассмотрении механизмов аутентификации основное внимание уделяется методам передачи в сети информации специального характера (паролей, аутентификаторов, контрольных сумм и т.п.). В случае односторонней или взаимной аутентификации обеспечивается процесс проверки подлинности пользователей (передатчика и приемника сообщений), что гарантирует предотвращение соединения с логическим объектом, образованным злоумышленником.

Механизм обеспечения целостности данных предполагает введение в каждое сообщение некоторой дополнительной информации, являющейся функцией от содержания сообщения. Эти методы применяются как при передаче данных по виртуальному соединению, так и при использовании датаграммной передачи. В первом случае гарантируется устранение неупорядоченности, потерь, повторов, вставок или модификации данных при помощи специальной нумерации блоков, либо введением меток времени. В датаграммном режиме метки времени могут обеспечить только ограниченную защиту целостности последовательности блоков данных и предотвратить переадресацию отдельных блоков.

Механизм цифровой подписи, реализующий один из процессов аутентификации пользователей и сообщения, применяется для подтверждения подлинности содержания сообщения и удостоверения того факта, что оно отправлено абонентом, указанным в заголовке в качестве источника данных. Цифровая подпись (ЦП) также необходима для предотвращения возможности отказа передатчика от факта выдачи какого-либо сообщения, а приемника - от его приема.

Механизмом цифровой подписи определяются две процедуры:

Процесс формирования блока данных содержит общедоступные процедуры и в отдельных случаях специальные (секретные) ключи преобразования, известные на приеме.

Процесс подписания блока данных использует информацию, которая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрование блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации подписавшего пользователя в качестве ключа шифрования частного пользования. Таким образом, после проверки подписи в последующем третьему лицу (например, арбитру) в любое время может быть доказано, что подпись может выполнить только единственный держатель секретной (частной) информации.

Механизмы контроля доступа могут использовать аутентифицированную идентификацию объекта (отождествление анализируемого объекта с одним из известных объектов) или информацию объекта (например, принадлежность к известному множеству объектов) либо возможности этого объекта для установления и применения прав доступа к нему. Если объект делает попытку использовать несанкционированный или санкционированный с неправильным типом доступа ресурсы, то функция контроля доступа будет отвергать эту попытку и может сообщить о ней для инициирования аварийного сигнала и (или) регистрации его как части данных проверки безопасности. Механизмы контроля доступа могут использоваться на любом конце соединения и (или) в любом промежуточном узле.

Технические аспекты информационной безопасности

Криптографические методы и средства защиты.

Методы криптографии (шифрования) позволяют решить комплекс проблем, связанных с защитой информации. Они направлены на обеспечение скрытия информации, содержащейся в сообщении. Кроме того, они используются в аутентификации пользователей и обеспечении подлинности принимаемых сообщений. Исходное сообщение, над которым производится операция шифрования, называется открытым текстом, а результат шифрования - шифротекстом, или криптограммой.

В криптографии обычно рассматриваются два типа криптографических алгоритмов. Это классические криптографические алгоритмы, основанные на использовании секретных ключей, и новые криптографические алгоритмы с открытым ключом, основанные на использовании ключей двух типов: секретного (закрытого) и открытого, так называемые двухключевые алгоритмы.

В классической криптографии ("криптографии с секретным ключом" или "одноключевой криптографии") используется только одна единица секретной информации - ключ, знание которого позволяет отправителю зашифровать информацию (текстовое, графическое или речевое сообщение), а получателю - расшифровать. Их недостаток в том, что они требуют для передачи ключа получателю информации "защищенного канала", и если число взаимодействующих абонентов велико, то проблема обмена ключами становится весьма затруднительной.

В соответствии с этим в последнее время широко распространились методы шифрования, базирующиеся на двухключевой системе шифрования (ДКСШ). Особенность ее технологии состоит в том, что одновременно генерируется уникальная пара ключей, при этом текст, зашифрованный одним из них, может быть расшифрован только с использованием второго ключа, и наоборот. Каждый пользователь генерирует пару ключей, оставляет один закрытый у себя и никому никогда не передает, а второй открытый передает тем, с кем ему необходима защищенная связь. Если этот пользователь хочет аутентифицировать себя (поставить электронную подпись), то он шифрует текст своим закрытым ключом и передает этот текст своим корреспондентам. Если им удастся расшифровать текст открытым ключом этого пользователя, то становится ясно, что тот, кто его зашифровал, имеет в своем распоряжении парный закрытый ключ. Если пользователь хочет получать секретные сообщения, то его корреспонденты зашифровывают их с помощью открытого ключа этого пользователя. Расшифровать эти сообщения может только сам пользователь с помощью своего закрытого ключа. При необходимости взаимной аутентификации и двунаправленного обмена секретными сообщениями каждая из общающихся сторон генерирует собственную пару ключей и посылает открытый ключ своему корреспонденту.

Важнейшими характеристиками алгоритмов шифрования являются криптостоикость, длина ключа и скорость шифрования.

В настоящее время наиболее часто применяются три основных стандарта шифрования:

DES;

ГОСТ 28147-89 - отечественный метод, отличающийся высокой криптостойкостью;

RSA - система, в которой шифрование и расшифровка осуществляется с помощью разных ключей.

Недостатком RSA является довольно низкая скорость шифрования, зато она обеспечивает персональную электронную подпись, основанную на уникальном для каждого пользователя секретном ключе. Характеристики наиболее популярных методов шифрования приведены в таблице:

Таблица. Характеристики наиболее распространённых методов шифрования

Алгоритм

DES

ГОСТ 28147-89

RSA

Длина ключа

56 бит

256 бит

300-600 бит

Скорость шифрования

10-200Кбайт/с

50-70 Кбайт/с

300-500 бит/с

Криптостойкость операций

1017

1017

1023

Реализация

Программная и аппаратная

В основном аппаратная

Программная и аппаратная

Рассмотрим одну из систем:

PGP - Pretty Good Privacy - (почти полная приватность) - это семейство программных продуктов, которые используют самые стойкие из существующих криптографических алгоритмов. В основу их положен алгоритм RSA. PGP реализует технологию, известную как "криптография с открытыми ключами". Она позволяет как обмениваться зашифрованными сообщениями и файлами по каналам открытой связи без наличия защищенного канала для обмена ключами, так и накладывать на сообщения и файлы цифровую подпись.

PGP была разработана американским программистом и гражданским активистом Филиппом Циммерманном, обеспокоенным эрозией личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих "чёрного хода", используя который, спецслужбы могли бы беспрепятственно читать зашифрованные сообщения. Тогда Циммерманн бесплатно распространил PGP в Интернет. В результате, PGP стал самым популярным криптографическим пакетом в мире, а Циммерманн подвергся трёхлетнему преследованию властей по подозрению в "незаконном экспорте вооружений".

Методы и средства аутентификации пользователей и сообщения.

Обеспечение подлинности взаимодействующих пользователей и сообщения (его целостности) состоит в том, чтобы дать возможность санкционированному терминалу-приемнику, с определенной вероятностью гарантировать:

  1. что принятое им сообщение действительно послано конкретным терминалом - передатчиком;
  2. что оно не является повтором уже принятого сообщения (вставкой);
  3. что информация, содержащаяся в этом сообщении, не заменена и не искажена.

Решение этих задач для удобства рассмотрения последнего материала объединим одним термином - аутентификация.

К настоящему времени разработано множество методов аутентификации, включая различные схемы паролей, использование признаков и ключей, а также физических характеристик (например, отпечатки пальцев и образцы голоса). За исключением использования ключей шифрования для целей аутентификации все эти методы в условиях телекоммуникационной системы связи в конечном счете сводятся к передаче идентификационных признаков приемнику, выполняющему аутентификацию. Поэтому механизм аутентификации зависит от методов защиты информации, предотвращающих раскрытие информации для аутентификации и обеспечивающих подлинность, целостность и упорядоченность сообщений.

Существует несколько возможных подходов к решению задачи аутентификации, которые в зависимости от используемой при этом системы шифрования могут быть разделены на две группы:

  1. аутентификация с одноключевой системой шифрования;
  2. аутентификация с двухключевой системой шифрования.

В условиях использования одноключевой системы шифрования приемник, передатчик и служба формирования и распределения ключей должны доверять друг другу, так как в данном случае приемник и передатчик владеют одними и теми же ключами шифрования и расшифрования и, следовательно, каждый будет иметь возможность делать все, что может делать другой.

Одним из перспективных направлений развития средств защиты информации считается использование способов защиты, базирующихся на двухключевой системе шифрования. Основным доводом "за" использование указанной системы является то, что секретные ключи шифрования в этой системе формируются и хранятся лично пользователем, что, во-первых, органично соответствует пользовательскому восприятию своих собственных требований к формированию ключа шифрования и снимает проблему организации оперативной смены ключа шифрования вплоть до оптимальной: каждому сообщению новый ключ.

Разделение (на основе формирования ключей) процедур шифрования дает возможность абонентам системы связи записывать свои открытые ключи в периодически издаваемый (как один из возможных вариантов распределения открытых ключей) службой безопасности системы справочник. В результате вышеуказанные проблемы могут быть решены при помощи следующих простых протоколов:

  1. один абонент может послать секретное сообщение другому абоненту, шифруя сообщение с помощью выбранного в справочнике открытого ключа абонента получателя. Тогда только обладатель соответствующего секретного ключа сможет правильно расшифровать полученное зашифрованное сообщение;
  2. передающий абонент (передатчик) может зашифровать сообщение на своем секретном ключе. Тогда любой приемный абонент, имеющий доступ к открытому ключу передающего абонента (передатчика), может расшифровать полученное зашифрованное сообщение и убедиться, что это сообщение действительно было зашифровано тем передающим абонентом, который указан в идентификаторе адреса передатчика.

В качестве примера рассмотрим аутентификацию пользователей на основе сертификатов. Сертификат представляет собой электронную форму, в которой имеются такие поля, как имя владельца, наименование организации, выдавшей сертификат, открытый ключ владельца. Кроме того, сертификат содержит электронную подпись выдавшей организации - все поля сертификата зашифрованы закрытым ключом этой организации. Когда нужно удостоверить личность пользователя, он предъявляет свой сертификат в двух формах - открытой, т.е. такой, в которой он получил его в сертифицирующей организации, и закрытой, зашифрованной с применением собственного закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и с его помощью расшифровывает закрытый сертификат. Совпадение результата с данными открытого сертификата подтверждает тот факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым. Затем с помощью известного открытого ключа выдавшей сертификат организацией производится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат – значит, пользователь действительно прошел регистрацию в этой сертифицирующей организации, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.

В заключение заметим, что как в одноключевой, так и двухключевой системах шифрования могут быть использованы алгоритмы избыточного кодирования с последующим обнаружением или исправлением ошибок при декодировании. Это позволяет ослабить последствия воздействия злоумышленником на передаваемое сообщение. Так, применение алгоритмов декодирования с обнаружением ошибок позволяет эффектно обнаруживать факты преднамеренного или случайного искажения, а алгоритмов декодирования с исправлением ошибок с достаточно большой вероятностью ликвидировать без перекосов последствия воздействия. Эти меры, как и нумерация передаваемых сообщений, направлены на обеспечение целостности сообщения.

Методы и средства управления доступом к информационным и вычислительным ресурсам

В современных телекоммуникационных системах используется широкий спектр программных и аппаратных средств разграничения доступа, которые основаны на различных подходах и методах, в том числе и на применении криптографии. В общем случае функции разграничения доступа выполняются после установления подлинности пользователя (аутентификации пользователя). Поэтому для более полного анализа возникающих при управлении доступом проблем целесообразно рассматривать аутентификацию пользователя как элемент механизма разграничения доступа.

Если сеть должна обеспечить управляемый доступ к своим ресурсам, то устройства управления, связанные с этими ресурсами, должны некоторым образом определять и проверять подлинность пользователя, выставившего запрос. При этом основное внимание уделяется следующим вопросам:

Аутентификация пользователей может основываться на:

Для большей надежности могут применяться комбинации нескольких способов аутентификации пользователя.

Парольные схемы являются наиболее простыми с точки зрения реализации, так как не требуют специальной аппаратуры и выполняются с помощью программного обеспечения небольшого объема. В простейшем случае все пользователи одной категории используют один и тот же пароль. Если необходимо более строгое установление подлинности, то каждый пользователь должен иметь индивидуальный секретный код. В этом случае в информационный профиль пользователя включаются:

Недостаток метода паролей и секретных кодов - возможность их использования без признаков того, что безопасность нарушена.

Системы аутентификации на базе карточек с магнитной записью или индивидуальных характеристик пользователей являются более надежными, однако требуют дополнительного оборудования, которое подключается к сетевым устройствам. Сравнительные характеристики аутентификации пользователей приведены в таблице. Во всех рассмотренных методах аутентификации пользователя предполагается, что известны подлинная личность пользователя и информация, идентифицирующая его.

Таблица. Сравнение методов аутентификации

Параметр

Характеристика абонента

магнитная карточка

отпечаток пальцев

отпечаток ладони

голос

подпись

Удобство в пользовании

Хорошее

Среднее

Среднее

Отличное

Хорошее

Идентификация нарушения

Средняя

Отличная

Хорошая

Хорошая

Отличная

Идентификация законности абонента

Хорошая

Средняя

Отличная

Отличная

Хорошая

Стоимость одного устройства, дол.

100

9000

3000

5000

1000

Время распознавания, с

5

10

5

20

5

Надежность

Хорошая

Средняя

Отличная

Хорошая

Хорошая

Аутентификация обеспечивает контроль несанкционированного доступа, определяет права на использование программ и данных. Особенно это относится к местам стыка локальных сетей и территориальных сетей, в которых для обеспечения безопасности данных размещаются брандмауэры.

Брандмауэр (firewall)устройство, обеспечивающее контроль доступа в защищаемую локальную сеть.

Брандмауэры защищают сеть от несанкционированного доступа из других сетей, с которыми первая соединена. Брандмауэры выполняют сложные функции фильтрации потоков данных в точках соединения сетей. Для этого они просматривают все проходящие через них блоки данных, прерывают подозрительные связи, проверяют полномочия на доступ к ресурсам.

В качестве брандмауэров применяются маршрутизаторы и шлюзы, которые дополняются функциями фильтрации блоков данных и другими возможностями защиты данных.

оглавление   к библиотеке   РиЭКТ   КС   ОИС   ОСВМ   визуальные среды - 4GL   технологии программирования

Знаете ли Вы, что, как ни тужатся релятивисты, CMB (космическое микроволновое излучение) - прямое доказательство существования эфира, системы абсолютного отсчета в космосе, и, следовательно, опровержение Пуанкаре-эйнштейновского релятивизма, утверждающего, что все ИСО равноправны, а эфира нет. Это фоновое излучение пространства имеет свою абсолютную систему отсчета, а значит никакого релятивизма быть не может. Подробнее читайте в FAQ по эфирной физике.

НОВОСТИ ФОРУМА

Форум Рыцари теории эфира


Рыцари теории эфира
 10.11.2021 - 12:37: ПЕРСОНАЛИИ - Personalias -> WHO IS WHO - КТО ЕСТЬ КТО - Карим_Хайдаров.
10.11.2021 - 12:36: СОВЕСТЬ - Conscience -> РАСЧЕЛОВЕЧИВАНИЕ ЧЕЛОВЕКА. КОМУ ЭТО НАДО? - Карим_Хайдаров.
10.11.2021 - 12:36: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от д.м.н. Александра Алексеевича Редько - Карим_Хайдаров.
10.11.2021 - 12:35: ЭКОЛОГИЯ - Ecology -> Биологическая безопасность населения - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ПРАВОСУДИЯ.НЕТ - Карим_Хайдаров.
10.11.2021 - 12:34: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вадима Глогера, США - Карим_Хайдаров.
10.11.2021 - 09:18: НОВЫЕ ТЕХНОЛОГИИ - New Technologies -> Волновая генетика Петра Гаряева, 5G-контроль и управление - Карим_Хайдаров.
10.11.2021 - 09:18: ЭКОЛОГИЯ - Ecology -> ЭКОЛОГИЯ ДЛЯ ВСЕХ - Карим_Хайдаров.
10.11.2021 - 09:16: ЭКОЛОГИЯ - Ecology -> ПРОБЛЕМЫ МЕДИЦИНЫ - Карим_Хайдаров.
10.11.2021 - 09:15: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Екатерины Коваленко - Карим_Хайдаров.
10.11.2021 - 09:13: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вильгельма Варкентина - Карим_Хайдаров.
Bourabai Research - Технологии XXI века Bourabai Research Institution