zabika.ru 1

Голосарий на тему:

Информационная безопасность в компьютерных сетях


глоссарий

Межсетевое экранирование. 2

Архитектура распределенных компьютерных систем 3

Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных компьютерных системах. 4

Классификация удаленных угроз в вычислительных сетях. 5

Шифрование 7

Классификация методов криптографического преобразования информации. 8

Подтверждение подлинности взаимодействующих процессов 9

Показатели защищенности от несанкционированного доступа к информации 10

Сервисы безопасности в вычислительных сетях в соответствии с «Рекомендациями Х.800». 11






Межсетевое экранирование.


Подсистема межсетевого экранирования может быть построена на базе таких решений как:

  • Cisco ASA 5500 series, Cisco Firewall Services Module;

  • Check Point Firewall-1 GX, VPN-1;

  • Nortel Switched Firewall 6000/5100 Series;

  • Juniper NetScreen 5000, ISG;

  • ZoneAlarm.

Подсистема межсетевого экранирования это потоки сетевого трафика в рамках как внутреннего, так и внешнего информационно обмена организации, блокируя, тем самым, действия потенциального злоумышленника, направленные на получение несанкционированного доступа к информационным ресурсам организации, блокирование работоспособности систем или на реализацию атак на различные сетевые приложения. Таким образом, подсистема межсетевого экранирования обеспечивает защиту корпоративной сети передачи данных от внешних сетевых атак, а так же защиту критичных внутренних сегментов сети, например сегмента администрирования или серверного сегмента, от действий внутреннего злоумышленника, при этом ограничивая области злонамеренной активности.


Вернуться



Архитектура распределенных компьютерных систем


Определение. Распределенная система – это набор независимых компьютеров, представляющийся их пользователям единой объединенной системой .

Распределенные системы должны иметь возможность поддаваться расширению, или масштабированию. Эта характеристика является прямым следствием наличия независимых компьютеров, но в то же время не указывает, каким образом эти компьютеры на самом деле объединяются в единую систему. Распределенные системы обычно существуют постоянно, однако некоторые их части могут временно выходить из строя. Пользователи и приложения не должны уведомляться о том, что эти части заменены или починены или что добавлены новые части для поддержки дополнительных пользователей или приложений.

Распределенная система должна обладать несколькими важными свойствами, в числе которых прозрачность, открытость, масштабируемость.

Важная задача, выполнение которой обеспечивает прозрачность, состоит в том чтобы нивелировать факт распределения программных и аппаратных ресурсов по множеству компьютеров. Распределенная система представляется пользователям как единая совокупность, т.е. она является прозрачной (transparent) .

Вернуться

Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных компьютерных системах.

Особенности защиты информации в РКС С точки зрения защиты информации в РКС важно разделить вычислительные сети на корпоративные и общедоступные. В корпоративных сетях все элементы принадлежат одному ведомству за исключением, может быть, каналов связи. В таких сетях имеется возможность проводить единую политику обеспечения безопасности информации во всей сети. Примерами таких корпоративных сетей могут служить сети государственного и военного управления, сети авиационных и железнодорожных компаний и др. Противоположностью таким сетям являются общедоступные коммерческие сети, в которых во главу угла ставится распространение информации, а вопросы защиты собственных информационных ресурсов решаются, в основном, на уровне пользователей. В качестве примера такой сети можно привести сеть Internet. Корпоративные сети могут быть связаны с общедоступными сетями. В этом случае администрации (владельцам) корпоративных сетей необходимо предпринимать дополнительные меры предосторожности для блокирования возможных угроз со стороны общедоступных сетей. При построении системы защиты информации в любой распределенной КС необходимо учитывать: * сложность системы, которая определяется как количеством подсистем, так и разнообразием их типов и выполняемых функций; * невозможность обеспечения эффективного контроля за доступом к ресурсам, распределенным на больших расстояниях, возможно за пределами границ страны; * возможность принадлежности ресурсов сети различным владельцам.










Вернуться

Классификация удаленных угроз в вычислительных сетях.


Ключевой термин: класс удаленной атаки.
Класс удаленной атаки определяется характером и целью ее воздействия, условиями расположения субъекта и объекта воздействия, а также условием начала воздействия.


Второстепенные термины


  • пассивная атака;


  • активная атака;


  • атака по запросу;


  • безусловная атака.


При изложении данного материала в некоторых случаях корректнее говорить об удаленных атаках нежели, об удаленных угрозах объектам вычислительных сетей, тем не менее, все возможные удаленные атаки являются в принципе удаленными угрозами информационной безопасности.

Удаленные угрозы можно классифицировать по следующим признакам.


  1. По характеру воздействия:


    • пассивные (класс 1.1);


    • активные (класс 1.2).


Пассивным воздействием на распределенную вычислительную систему называется воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в вычислительных сетях является прослушивание канала связи в сети.

Под активным воздействием на вычислительную сеть понимается воздействие, оказывающее непосредственное влияние на работу сети (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных угроз являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (просмотр чужого сообщения ничего не меняет).





Вернуться

Шифрование


«Все, что необходимо для обеспечения безопасности – это качественное

шифрование».


Шифрование важнейшее средство обеспечения безопасности. Механизмы шифрования помогают защитить конфиденциальность и целостность информации, идентифицировать источник информации. Тем не менее, само по себе шифрование не является решением всех проблем. Оно является только задерживающим действием. Известно, что любая система шифрования может быть взломана.

Основные концепции шифрования. Шифрование представляет собой сокрытие информации от не авторизованных лиц с предоставлением в это же время авторизованным пользователям доступа к ней. Пользователи называются авторизованными, если у них есть соответствующий ключ для дешифрования информации.
Целью любой системы шифрования является максимальное усложнение получения доступа к информации не авторизованными лицами, даже если у них есть зашифрованный текст и известен алгоритм, использованный для шифрования. Пока не авторизованный пользователь не обладает ключом, секретность и целостность информации не нарушается.


Вернуться


Классификация методов криптографического преобразования информации.


Под криптографической защитой информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий.

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы.


Процесс шифрования заключается в проведении обратимых математических, логических, комбинаторных и других преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв, цифр, других символов и двоичных кодов.

Для шифрования информации используются алгоритм преобразования и ключ. Как правило, алгоритм для определенного метода шифрования является неизменным. Исходными данными для алгоритма шифрования служат информация, подлежащая зашифрованию, и ключ шифрования. Ключ содержит управляющую информацию, которая определяет выбор преобразования на определенных шагах алгоритма и величины операндов, используемые при реализации алгоритма шифрования.



Вернуться

Подтверждение подлинности взаимодействующих процессов


Одной из центральных проблем обеспечения безопасности информации в вычислительной сети является проблема взаимоподтверждения подлинности взаимодействующих процессов. Логическую связь взаимодействующих процессов определяют термином соединение. Процедура аутентификации выполняется обычно в начале взаимодействия в процессе установления соединения.

Удаленные процессы до начала взаимодействия должны убедиться в их подлинности. Взаимная проверка подлинности взаимодействующих процессов может осуществляться следующими способами:

  • обмен идентификаторами;

  • процедура "рукопожатия";

  • аутентификация при распределении ключей.

Обмен идентификаторами применим, если в сети используется симметричное шифрование. Зашифрованное сообщение, содержащее идентификатор, однозначно указывает, что сообщение создано пользователем, который знает секретный ключ шифрования и личный идентификатор. Существует единственная возможность для злоумышленника попытаться войти во взаимодействие с нужным процессом - запоминание перехваченного сообщения с последующей выдачей в канал связи. Блокирование такой угрозы осуществляется с помощью указания в сообщении времени отправки сообщения. При проверке сообщения достаточно просмотреть журнал регистрации сеансов в КС получателя сообщения. Вместо времени может использоваться случайное число, которое генерируется перед каждой отправкой.


Процедура установления подлинности осуществляется также при распределении сеансовых ключей. Распределение ключей является одной из процедур управления ключами. Можно выделить следующие процедуры управления ключами: генерация, распределение, хранение и смена ключей.

Обычно выделяют две категории ключей: ключи шифрования данных и ключи шифрования ключей при передаче их по каналам связи и хранении. Многократное использование одного и того же ключа повышает его уязвимость, поэтому ключи шифрования данных должны регулярно сменяться. Как правило, ключи шифрования данных меняются в каждом сеансе работы и поэтому их называют сеансовыми ключами.

В процессе генерации ключи должны получаться случайным образом. Этому требованию в наибольшей степени отвечает генератор псевдослучайной последовательности, использующий в качестве исходных данных показания таймера.

Вернуться

Показатели защищенности от несанкционированного доступа к информации


Принятые сокращения


АС – автоматизированная система
КД – конструкторская документация
КСЗ – комплекс средств защиты
НСД – несанкционированный доступ
ПРД – правила разграничения доступа
СВТ – средства вычислительной техники

содержат требования защищенности СВТ от НСД к информации.

Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).

Конкретные перечни показателей определяют классы защищенности СВТ.

Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.

Каждый показатель описывается совокупностью требований.

Вернуться

Сервисы безопасности в вычислительных сетях в соответствии с «Рекомендациями Х.800».


Политика безопасности. Набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию.
В зависимости от сформулированной политики можно выбрать конкретные механизмы обеспечения безопасности. Можно отметить, что политика безопасности – это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия.
Безопасность распределенных систем. Рекомендации х800
В соответствиями с рекомендациями х800 выделяются следующие сервисы безопасности и их роли:


  • Аутентификация

  • Управление доступом

  • Конфиденциальность данных

  • Целостность данных

  • Неотказуемость (невозможность отказываться от уже совершенных действий)

Для реализации сервисов безопасности могут осуществляться следующие механизмы:

  • Шифрование

  • Электронно-цифровая подпись

  • Механизмы контроля целостности и т.д.

Администрирование средств безопасности включает в себя распространение информации необходимой для работы сервисов и механизмов безопасности, а так же сбор и анализ информации об их функционировании.
Концептуальной основой администрирования является информационная база управления безопасностью.
Согласно рекомендациям х800 усилия администрирования средств безопасности должно распределяться по трем направлениям:

  • Администрирование информационной системы в целом.

  • Администрирование сервисов безопасности.

  • Администрирование механизмов безопасности.

Администрировании сервисов безопасности включает в себя:

  • Определение защищаемых объектов.

  • Выборку правил подбора механизмов безопасности.


  • Комбинирование механизмов для реализации сервисов.

  • Организация взаимодействия для обеспечения согласованной работы.

Вернуться