1.6.2. Сервисы безопасности в вычислительных сетях
В последнее время с развитием вычислительных сетей и в особенности глобальной сети Интернет вопросы безопасности распределенных систем приобрели особую значимость. Важность этого вопроса косвенно подчеркивается появлением чуть позже «Оранжевой книги» стандарта, получившего название «Рекомендации X.800″, который достаточно полно трактовал вопросы информационной безопасности распределенных систем, т. е. вычислительных сетей.
Рекомендации X.800 выделяют следующие сервисы (функции) безопасности и исполняемые ими роли:
- Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных.Аутентификация партнеров по общениюиспользуется при установлении соединения и периодически во время сеанса. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
- Управление доступомобеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
- Конфиденциальность данныхобеспечивает защиту от несанкционированного получения информации. Отдельно выделяетсяконфиденциальность трафика– это защита информации, которую можно получить, анализируя сетевые потоки данных.
- Целостность данныхподразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
- Неотказуемость(невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки.
55) Сервисы сетевой безопасности
Для защиты данных используются средства, называемые сервисами сетевой безопасности, которые обеспечивают контроль доступа. Средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности. Рассмотрим основные сервисы сетевой безопасности.
Шифрование — процедура, превращающая информацию из обычного «понятного» вида в «непонятный» зашифрованный вид. Для расшифровки зашифрованной информации используется процедура дешифрирования. Пара процедур – шифрование и дешифрирование – называется криптосистемой.
Аутентификация — подтверждение подлинности – предотвращает несанкционированный доступ к сети посторонних лиц и разрешает доступ легальным пользователям. В качестве объектов, требующих аутентификации, могут выступать не только пользователи, но и различные приложения, устройства, данные. Примером аутентификации на уровне приложений может служить взаимная аутентификации клиента и сервера, когда клиент, доказавший серверу свою легальность, также должен убедиться, что ведет диалог действительно со своим сервером. При установлении сеанса связи между двумя устройствами также может быть предусмотрена процедура взаимной аутентификации. Аутентификация данных означает доказательство целостности этих данных, а также факт их поступления именно от того человека, который объявил об этом. Для этого используется механизм электронной подписи.
Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация — это процедура доказательства пользователем того, что он является тем, за кого себя выдает, в частности доказательство того, что именно ему принадлежит введенный им идентификатор. Идентификаторы пользователей применяются в системе с теми же целями, что и идентификаторы любых других объектов, и они не всегда связаны непосредственно с обеспечением безопасности.
Авторизация — процедура контроля доступа легальных пользователей к ресурсам системы с предоставлением каждому из них именно тех прав, которые определены ему администратором. Помимо предоставления пользователям прав доступа к каталогам, файлам и принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.
Аудит — фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Подсистема аудита современных операционных систем позволяет дифференцированно задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью; любые попытки (в том числе и неудачные) создать, получить доступ или удалить системные ресурсы.
Сервисы безопасности в вычислительных сетях
В последнее время с развитием вычислительных сетей и в особенности глобальной сети Интернет вопросы безопасности распределенных систем приобрели особую значимость. Важность этого вопроса косвенно подчеркивается появлением чуть позже «Оранжевой книги» стандарта, получившего название «Рекомендации X. 800″, который достаточно полно трактовал вопросы информационной безопасности распределенных систем, т. е. вычислительных сетей.
Рекомендации X.800 выделяют следующие сервисы (функции) безопасности и исполняемые ими роли:
1. Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и периодически во время сеанса. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
2. Управление доступом обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
3. Конфиденциальность данных обеспечивает защиту от несанкционированного получения информации. Отдельно выделяется конфиденциальность трафика – это защита информации, которую можно получить, анализируя сетевые потоки данных.
4. Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
5. Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки.
Механизмы безопасности
В Х.800 определены следующие сетевые механизмы безопасности:
· электронная цифровая подпись;
· механизм управления доступом;
· механизм контроля целостности данных;
· механизм дополнения трафика;
· механизм управления маршрутизацией;
· механизм нотаризации (заверения).
Следующая таблица иллюстрирует, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
Таблица 1.6.1. Взаимосвязь функций и механизмов безопасности
Функции | Механизмы | |||||||
Шифрование | Электронная подпись | Управление доступом | Целостность | Аутентификация | Дополнение трафика | Управление маршрутизацией | Нотаризация | |
Аутентификация партнеров | + | + | — | — | + | — | — | — |
Аутентификация источника | + | + | — | — | — | — | — | — |
Управление доступом | — | — | + | — | — | — | — | — |
Конфиденциальность | + | — | + | — | — | — | + | — |
Избирательная конфиденциальность | + | — | — | — | — | — | — | — |
Конфиденциальность трафика | + | — | — | — | — | + | + | — |
Целостность соединения | + | — | — | + | — | — | — | — |
Целостность вне соединения | + | + | — | + | — | — | — | — |
Неотказуемость | — | + | — | + | — | — | — | + |
«+» механизм используется для реализации данной функцию безопасности;
«-» механизм не используется для реализации данной функции безопасности.
Так, например, «Конфиденциальность трафика» обеспечивается «Шифрованием», «Дополнением трафика» и «Управлением маршрутизацией».
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
1.6.2. Сервисы безопасности в вычислительных сетях
В последнее время с развитием вычислительных сетей и в особенности глобальной сети Интернет вопросы безопасности распределенных систем приобрели особую значимость. Важность этого вопроса косвенно подчеркивается появлением чуть позже «Оранжевой книги» стандарта, получившего название «Рекомендации X.800″, который достаточно полно трактовал вопросы информационной безопасности распределенных систем, т. е. вычислительных сетей.
Рекомендации X.800 выделяют следующие сервисы (функции) безопасности и исполняемые ими роли:
Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных.Аутентификация партнеров по общениюиспользуется при установлении соединения и периодически во время сеанса. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
Управление доступомобеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
Конфиденциальность данныхобеспечивает защиту от несанкционированного получения информации. Отдельно выделяетсяконфиденциальность трафика– это защита информации, которую можно получить, анализируя сетевые потоки данных.
Целостность данныхподразделяется на подвиды в зависимости от того, какой тип общения используют партнеры – с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.
Неотказуемость(невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки.
1.6.3. Механизмы безопасности
В Х.800 определены следующие сетевые механизмы безопасности:
электронная цифровая подпись;
механизм управления доступом;
механизм контроля целостности данных;
механизм дополнения трафика;
механизм управления маршрутизацией;
механизм нотаризации (заверения).
Следующая таблица иллюстрирует, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
Таблица 1.6.1. Взаимосвязь функций и механизмов безопасности
Управление маршрутизацией