Средств и методов обеспечения безопасности компьютерной сети

Методы и средства защиты информации в компьютерных сетях

Накопленный опыт технологий защиты информации в компьютерных сетях показывает, что только комплексный подход к защите информации может обеспечить современные требования безопасности.

Комплексный подход подразумевает комплексное развитие всех методов и средств защиты.

Рассмотрим кратко основные методы и средства обеспечения безопасности информации в компьютерных сетях.

Методы защиты информации делятся:

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (компьютеру, сетевому оборудованию)

Управление доступом — метод защиты информации регулированием использования всех ресурсов системы. Управление доступом включает следующие функции защиты:

-идентификация пользователей, персонала и ресурсов системы, путем присвоения каждому объекту персонального идентификатора;

— опознавание объекта или субъекта по предъявляемому им идентификатору;

— проверка полномочий на запрашиваемые ресурсы;

— регистрация обращений к защищаемым ресурсам;

— реагирование при попытках несанкционированных действий

Маскировка — метод защиты информации с помощью ее криптографического закрытия (шифрования). В настоящее время этот метод является наиболее надежным.

Известны три основных алгоритма: алгоритм DES, современный алгоритм Clipper (Capston) и так называемая общественная инициатива — алгоритм PGP.

Алгоритм шифрования DES (Data Encryption Standard) был разработан в начале 70- х годов. Алгоритм шифрования был реализован в виде интегральной схемы с длиной ключа в 64 символа (56 символов используются непосредственно для алгоритма шифрования и 8 для обнаружения ошибок).

Расчет алгоритмов в то время показывал, что ключ шифрования может иметь 72 квадриллиона комбинаций. Алгоритм DES был принят в США в качестве федерального стандарта обработки информации в 1977 году, а в середине 80- х был утвержден как международный стандарт, который каждые пять лет проходит процедуру подтверждения. Для оценки уровня защиты информации аналитики приводят такие факт: современный компьютер стоимостью 1 млн долларов раскроет шифр за 7 часов, стоимостью 10 млн долларов — за 20 минут, 100 млн долларов — за 2 минуты. Агенство национальной безопасности США имеет такой компьютер.

Новый метод шифрования информации — технология Clipper — разработан агентсвом национальной безопасности США для защиты от прослушивания телефонных разговоров.

Для защиты данных этот метод носит название Capston. В основе метода положен принцип двух ключей- микросхем, обеспечивающие шифрование информации со скоростью до 1 гигабита в секунду. Пользователи получают ключи в двух пунктах, управляемых правительственными органами или частными концернами. Система ключей состоит из двух интегральных схем «Clipper chip» и «Capston chip» и алгоритма шифрования SKIPJACK. Алгоритм шифрования шифрует символьные блоки данных с помощью 80 — символьного ключа в 32 прохода. Он в 16 миллионов раз мощнее алгоритма DES и считается, только через несколько десятков лет компьютеры стоимостью 100 млн долларов смогут расшифровывать

Читайте также:  Сетевая модель osi сколько уровней

информацию за 2 минуты. Для сети Интренет разработан специальный протокол шифрования SKIP (Simple Key management for Internet Protocol), управляющий шифрованием потоков информации.

Отметим, что в настоящее время федеральные власти США запрещают экспорт протокола SKIP, поэтому во многих странах предпринимаются попытки создания его аналога.

Криптографические программные средства PGP (Pretty Good Privacy) были разработаны в 1991 году американским программистом Ф. Циммерманном для зашифровки сообщений электронной почты. Программа PGP свободна для доступа в Интернет и может быть установлена на любой компьютер. Принцип работы программы PGP основан на использовании двух программ- ключей: одной у отправителя, а другой у получателя. Программы- ключи защищены не паролями, а шифровальной фразой. Расшифровать сообщение можно, только используя два ключа. Программа PGP использует сложный математический алгоритм, что вместе с принципом использования двух ключей делает дешифрацию практически невозможной. Появление программ PGP вызвало скандал в правоохранительных кругах США, так они лишают возможности контроля за информацией.

Отметим, что криптографические алгоритмы широко используются для защиты электронной цифровой подписи.

Более полную информацию о криптографических методах можно получить на сайте www.cripto.com или www.confident.ru

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного

доступа к ней сводился бы к мимнимуму.

Принуждение — такой метод защиты информации, пр котором пользователи и администраторы сети вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под

угрозой материальной, административной или уголовной ответственности.

Побуждение — метод защиты, который побуждает пользователей и администраторов сети не нарушать установленных за счет соблюдения моральных и этических норм.

Средства защиты информации делятся:

Источник

Планирование безопасности сети и данных.

Высокая степень безопасности может быть достигнута путем использования плана, предусматривающего применение различных мер и средств обеспечения безопасности.

Оценка требований к безопасности сетевых данных является первым этапом разработки плана по принятию мер их защиты. При этом должны быть учтены характер деятельности организации и хранящихся в сети данных, стратегия и стиль управления организацией, которые должен знать сетевой администратор и реализовать его в подведомственной ему сети.

Высокий уровень безопасности данных должен поддерживаться в организациях, располагающих данными, которые являются строго конфиденциальными по своей природе. Примером могут служить коммерческие организации, предоставляющие услуги или выпускающие продукцию в областях с высоким уровнем конкуренции. Некоторые виды данных должны быть защищены независимо от характера деятельности организации. К ним относятся бухгалтерская документация, налоговая информация, промышленные секреты (планы деятельности организаций и коммерческие планы, рецепты, технологии изготовления, тексты программ и т.д.).

Читайте также:  Компьютерные сети называемые также сетями передачи данных являются

Для принятия мер по защите данных в сети нужно выявить главные источники угроз их безопасности.

Существуют следующие виды угроз:

■ непреднамеренные, к которым относятся ошибочные действия лояльных сотрудников, стихийные бедствия, ненадежность работы программно-аппаратных средств и др.;

■ преднамеренные, которые явно направлены на причинение ущерба информационной безопасности;

■ внешние, которые проявляются в таких формах, как несанкционированное использование паролей и ключей; атаки DoS (Denial of Service — отказ в обслуживании), направленные на разрыв сетевого соединения или приведение его в неработоспособное состояние; подмена адреса; компьютерные вирусы и черви;

■ внутренние, к которым можно отнести промышленный шпионаж, интриги и недовольство служащих, случайные нарушения и т.п.

В плане безопасности должны быть самым детальным образом перечислить процедуры, выполнение которых предписывается политикой безопасности. Каждый сотрудник, отвечающий за выполнение конкретной процедуры, должен быть предупрежден о возможных последствиях в случае отступления от предписанного способа выполнения процедуры. Рекомендуется взять с сотрудника письменное подтверждение того, что он понимает смысл стратегии безопасности, согласен с ней и обязуется ей следовать, а так¬же регулярно обновлять план, т.е. пересматривать аспекты безопасности, пытаясь определить новые потенциально уязвимые компоненты, угрозы и контрмеры для борьбы с ними, и отражать изменения в плане.

Средства обеспечения безопасности

Для безопасности сети используется широкий набор различных средств и технологий. Рассмотрим некоторые из них.

Базовые технологии безопасности.

В разных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения, которые в совокупности образуют технологию безопасности.

Криптозащита. Разработкой методов преобразования информации в целях ее защиты занимается криптография.

Преобразование общедоступных (понятных для всех) данных к виду, затрудняющему их распознавание, называется шифрованием (Encryption), а обратное преобразование — дешифрованием (Decryption). Шифрование является доступным средством для администраторов и пользователей и одним из эффективных средств обеспечения конфиденциальности информации. Следует выделить два основных способа шифрования данных: перестановку (Transposition), когда в исходных данных изменяют последовательность символов, и замену (Substitution), при которой с помощью некоторого шаблона производят замену всех символов используемого алфавита, например буквы заменяют цифрами.

Операции шифрования и дешифрования данных (информации) осуществляются с помощью ключей, которые создаются с привлечением математических формул.

Метод, при котором для обеих операций используется один ключ, называется симметричной криптографией (Symmetric Cryptography). При асимметричной криптографии (Asymmetric Cryptography) каждый пользователь сети должен располагать двумя ключами: общим (Public key) и частным (Private key). Оба ключа связаны друг с другом с помощью некоторой математической функции. Общий ключ известен каждому пользователю. Зашифрованное с помощью общего ключа сообщение может быть прочитано только с помощью частного ключа. Поскольку предполагается, что пользователь, которому адресуется сообщение, не разглашает свой ключ, он является единственным человеком, который может прочитать сообщение.

Читайте также:  Принцип построения компьютерной сети линия

Популярны два алгоритма шифрования: симметричный DES (Data Encryption Standard — стандарт шифрования данных, который является официальным стандартом правительства США) и не¬симметричный RSA, разработанный учеными Rivest, Shamir, Adle- man и названный по начальным буквам их фамилий.

Для шифрования, аутентификации и проверки целостности передаваемых по сети пакетов разработан протокол IPSec (IP Securi¬ty), включающий в себя протокол АН (Authentication Header), позволяющий проверять идентичность отправителя, и протокол ESP (Encapsulating Security Payloads), обеспечивающий конфиденциальность самих данных. Протокол IPSec поддерживают маршрутизаторы компании Cisco Systems и ОС Windows 2000/ХР.

Для передачи через Internet зашифрованных, аутентифицированных сообщений используется протокол SSL (Secure Sockets Layer — уровень защищенных сокетов, или гнезд). В этом протоколе криптографическая система с открытым ключом комбинируется с блочным шифрованием данных.

Это процедура установления подлинности пользователя при запросе доступа к ресурсам системы (компьютеру или сети). Аутентификация предотвращает доступ нежелательных лиц и разрешает доступ всем легальным пользователям. В процедуре аутентификации участвуют две стороны, одна из которых доказывает свое право на доступ (аутентичность), предъявляя некоторые аргументы, другая — проверяет эти аргументы и принимает решение. Для доказательства аутентичности может использоваться некоторое известное для обеих сторон слово (пароль) или уникальный физический предмет (ключ), а также собственные биохарактеристики (отпечатки пальцев или рисунок радужной оболочки глаза).

Наиболее часто при аутентификации используют вводимые с клавиатуры пароли.

Пароль представляет собой зашифрованную последовательность символов, которая держится в секрете и предъявляется при обращении к информационной системе.

Объектами аутентификации могут быть не только пользователи, но и различные устройства, приложения, текстовая и другая информация.

Идентификация субъектов и объектов доступа.

Идентификация предусматривает закрепление за каждым субъектом доступа уникального имени в виде номера, шифра или кода, например, персональный идентификационный номер (Personal Identification Number — PIN), социальный безопасный номер (So¬cial Security Number — SSN) и т. п. Идентификаторы пользователей должны быть зарегистрированы в информационной системе администратором службы безопасности.

При регистрации в базу данных системы защиты для каждого пользователя заносятся такие данные, как фамилия, имя, отчество и уникальный идентификатор пользователя, имя процедуры для установления подлинности и пароль пользователя, полномочия пользователя по доступу к системным ресурсам и др. Идентификацию следует отличать от аутентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация является процедурой доказательства пользователем того, что именно ему принадлежит введенный им идентификатор.

Источник

Оцените статью
Adblock
detector