• Гідрологія і Гідрометрія
• Господарське право
• Економіка будівництва
• Економіка природокористування
• Економічна теорія
• Земельне право
• Історія України
• Кримінально виконавче право
• Медична радіологія
• Методи аналізу
• Міжнародне приватне право
• Міжнародний маркетинг
• Основи екології
• Предмет Політологія
• Соціальне страхування
• Технічні засоби організації дорожнього руху
• Товарознавство продовольчих товарів

СТРУКТУРА СИСТЕМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЇ

Необхідність забезпечення безпеки інформації і вимога сумісності різних служб існуючих інформаційно-обчислювальних мереж (ІВС), що розробляються, визначили напрям в діяльності Міжнародної організації по стандартизації (МОС — ISO) і Міжнародного союзу електрозв'язку (МСЭ), пов'язаних із створенням уніфікованої структури забезпечення безпеки даних. Основною особливістю цього напряму є те, що концепція структури безпеки орієнтується виключно на застосування її в мережах, що використовують міжнародні стандарти, і повністю відповідає еталонній моделі взаємозв'язку відкритих систем (ВОС — OSI).

Відповідно до рекомендацій МОС, безпека інформації при передачі забезпечується службою безпеки, що включає ряд сервісних служб захисту інформації. Кожна з цих служб вирішує задачу захисту від певного типа загрози (або сукупності загроз). Визначено вісім процедур захисту, сумісне використання яких обумовлює організацію 14 служб (табл. 4.2).

Таблиця 4.2 Служби і процедури захисту інформації

Служба секретності даних використовується для захисту передаваних даних від розкриття інформації, що міститься в них, і від можливості проведення аналізу інтенсивності потоків даних між користувачами.

Служба аутентифікації призначена для підтвердження того, що в даний момент зв'язки користувач є дійсно тим, за кого він себе видає.

Служба цілісності даних забезпечує доказ цілісності даних в процесі їх передачі, тобто захист передаваних повідомлень від випадкових і навмисних дій, направлених на зміну, затримку, знищення і переупорядковування повідомлень.

Служба управління доступом захищає від несанкціонованого доступу до інформації, що міститься у видалених банках даних, або від несанкціонованого використання мережі.

Служба збереження інформації забезпечує доказ цілісності повідомлення, що прийнятого від відповідного джерела і знаходиться на зберіганні, наприклад, в терміналі приймача, яке може бути перевірене у будь-який момент арбітром (третьою стороною).

Служба доставки захищає від спроб зловмисника порушити зв'язок або затримати її на час цінності передаваної в повідомленні інформації (служба пов'язана безпосередньо з процесами передачі інформації в мережах зв'язку).

Процедура шифрування забезпечує конфіденційність передаваних даних або інформації про параметри трафіку і може бути використана в деяких інших процедурах забезпечення безпеки. Процедура шифрування має на увазі використання, як правило, механізму управління ключами.

У процедурі аутентифікації основна увага приділяється методам передачі інформації спеціального характеру (паролів, аутентіфікаторов, контрольних сум і т. п.). У разі односторонньої або взаємної аутентифікації забезпечується процес перевірки достовірності користувачів (передавача і приймача повідомлень), що запобігає з'єднанню з логічним об'єктом, освіченим зловмисником.

Забезпечення цілісності даних припускає введення в кожне повідомлення деякої додаткової інформації, яка є функцією від змісту повідомлення. У рекомендаціях МОС розглядаються методи забезпечення цілісності єдиного блоку даних або потоку блоків даних або окремих полів цих блоків.

Ці методи застосовуються при передачі даних по віртуальному з'єднанню і використанні дейтограммной передачі. У першому випадку усуваються неврегульованість, втрати, повтори, вставки або модифікуються дані за допомогою спеціальної нумерації блоків або введенням міток часу. У дейтограммном режимі мітки часу можуть забезпечити тільки обмежений захист цілісності блоків даних і запобігти переадрссацию окремих блоків.

Процедура цифрового (електронної) підпису реалізує один з процесів аутентифікації користувачів і повідомлення. Вона використовується для підтвердження достовірності повідомлення і посвідчення того факту, що воно відправлене тим абонентом, який вказаний як джерело даних. Цифровий підпис необхідний також для запобігання відмові передавача від видачі якого-небудь повідомлення, а приймача — від його прийому.

Використовуються два методи цифрового підпису:

формування блоку даних, що додається до передаваного повідомлення;

підписання блоку даних.

Формування доданого блоку даних використовує загальнодоступні процедури і в окремих випадках — спеціальні (секретні) ключі перетворення, відомі на прийомі.

Підписання блоку даних використовує інформацію приватного використання (унікальну і конфіденційну). Цей процес має на увазі шифрування блоку даних або отримання криптографічного контрольного значення блоку даних з використанням приватної інформації користувача, що підписав, як ключ шифрування. Таким чином, після перевірки в подальшому третій особі (наприклад, арбітру) може бути доведено, що підпис міг виконати єдиний утримувач секретної (приватної) інформації. (Детальніше про цифровий підпис див. §4.3.5).

Процедури контролю доступу можуть використовувати аутентіфіцированную ідентифікацію об'єкта або інформацію про об'єкт (наприклад, приналежність до відомої безлічі об'єктів) або можливість цього об'єкта для встановлення і застосування прав доступу до нього. Якщо об'єкт робить спробу використовувати несанкціонований ресурс або санкціонований з неправильним типом доступу, то контроль доступу відкидатиме цю спробу і повідомляти про неї для ініціації аварійного сигналу і (або) реєстрації його як частини даних перевірки безпеки. Процедури контролю доступу можуть використовуватися на будь-якому кінці з'єднання і (або) в будь-якому проміжному вузлі.

Процедури підтвердження характеристик даних (процедура завірення, арбітражу) забезпечує гарантію властивостей, що відносяться до даних, які передаються між двома і більш користувачами (наприклад, їх цілісність, джерело, час і місце знаходження). Ця гарантія дається третьою особою ("нотаріусом"), якій довіряють вступаючі у взаємодію користувачі і який має в своєму розпорядженні необхідну інформацію для надання необхідної гарантії способом, що допускає можливість її перевірки. Кожен процес встановлення з'єднання може використовувати цифровий підпис, шифрування і процедури забезпечення цілісності залежно від вимог послуги, одержуючої завірення. Коли задіюється механізм завірення, повідомлення передається через захищені з'єднання і "нотаріуса".

Процедури підстановки трафіку, звані також процедурами заповнення потоку, використовуються для реалізації служби засекречування потоку даних. Вони грунтуються на генерації об'єктами ІВС фіктивних блоків, їх шифрування і організації передачі по каналах зв'язку. Тим самим нейтралізується можливість отримання інформації про ІВС і обслуговуваних нею абонентів за допомогою спостереження за зовнішніми характеристиками потоків, цикліруюших по каналах зв'язку.

Процедури управління маршрутизацією використовуються для реалізації служб засекречування. Ці процедури забезпечують вибір маршрутів руху інформації по комунікаційній мережі так, щоб виключити передачу секретних відомостей по скомпрометованих (небезпечним) фізично ненадійних каналах.

Читайте також:

1. Cистеми безпеки торговельних підприємств
2. I. Введення в розробку програмного забезпечення
3. I. Органи і системи, що забезпечують функцію виділення
4. I. Особливості аферентних і еферентних шляхів вегетативного і соматичного відділів нервової системи
5. II. Анатомічний склад лімфатичної системи
6. II. Вимоги безпеки перед початком роботи
7. II. Вимоги безпеки праці перед початком роботи
8. II.1 Програмне забезпечення
9. III. Вимоги безпеки під час виконання роботи
10. III. Вимоги безпеки під час виконання роботи
11. III. Географічна структура світового ринку позичкового капіталу
12. III. Етапи розробки програмного забезпечення

Переглядів: 558