Тема: Проблемызащиты информации в
компьютерных сетях.
Содержание.
Введение.
1. Проблемы защитыинформации в компьютерных системах.
2. Обеспечение защитыинформации в сетях.
3. Механизмы обеспечениябезопасности:
3.1. Криптография.
3.2. Электроннаяподпись.
3.3. Аутентификация.
3.4. Защита сетей.
4. Требования ксовременным средствам защиты информации.
Заключение.
Литература.
Введение.
В вычислительной техникепонятие безопасности является весьма широким. Оно подразумевает и надёжностьработы компьютера, и сохранность ценных данных, и защиту информации от внесенияв неё изменений неуполномоченными лицами, и сохранение тайны переписки вэлектронной связи. Разумеется, во всех цивилизованных странах на стражебезопасности граждан стоят законы, но в сфере вычислительной техникиправоприменительная практика пока развита недостаточно, а законотворческийпроцесс не успевает за развитием компьютерных систем, во многом опирается намеры самозащиты.
Всегда существуетпроблема выбора между необходимым уровнем защиты и эффективностью работы всети. В некоторых случаях пользователями или потребителями меры по обеспечениюбезопасности могут быть расценены как меры по ограничению доступа иэффективности. Однако такие средства, как, например, криптография, позволяютзначительно усилить степень защиты, не ограничивая доступ пользователей кданным.
1. Проблемы защитыинформации в компьютерных системах.
Широкое применениекомпьютерных технологий в автоматизированных системах обработки информации иуправления привело к обострению проблемы защиты информации, циркулирующей вкомпьютерных системах, от несанкционированного доступа. Защита информации вкомпьютерных системах обладает рядом специфических особенностей, связанных стем, что информация не является жёстко связанной с носителем, может легко ибыстро копироваться и передаваться по каналам связи. Известно очень большоечисло угроз информации, которые могут быть реализованы как со стороны внешнихнарушителей, так и со стороны внутренних нарушителей.
Радикальное решениепроблем защиты электронной информации может быть получено только на базеиспользования криптографических методов, которые позволяют решать важнейшиепроблемы защищённой автоматизированной обработки и передачи данных. При этомсовременные скоростные методы криптографического преобразования позволяютсохранить исходную производительность автоматизированных систем.Криптографические преобразования данных являются наиболее эффективным средствомобеспечения конфиденциальности данных, их целостности и подлинности. Только ихиспользование в совокупности с необходимыми техническими и организационными мероприятиямимогут обеспечить защиту от широкого спектра потенциальных угроз.
Проблемы, возникающие сбезопасностью передачи информации при работе в компьютерных сетях, можноразделить на три основных типа:
· перехват информации – целостностьинформации сохраняется, но её конфиденциальность нарушена;
· модификация информации – исходное сообщение изменяется либо полностью подменяется другим и отсылаетсяадресату;
· подмена авторства информации. Даннаяпроблема может иметь серьёзные последствия. Например, кто-то может послатьписьмо от вашего имени (этот вид обмана принято называть спуфингом) или Web – сервер может притворятьсяэлектронным магазином, принимать заказы, номера кредитных карт, но не высылатьникаких товаров.
Потребности современнойпрактической информатики привели к возникновению нетрадиционных задач защитыэлектронной информации, одной из которых является аутентификация электроннойинформации в условиях, когда обменивающиеся информацией стороны не доверяютдруг другу. Эта проблема связана с созданием систем электронной цифровойподписи. Теоретической базой для решения этой проблемы явилось открытиедвухключевой криптографии американскими исследователями Диффи и Хемиманом всередине 1970-х годов, которое явилось блестящим достижением многовековогоэволюционного развития криптографии. Революционные идеи двухключевойкриптографии привели к резкому росту числа открытых исследований в областикриптографии и показали новые пути развития криптографии, новые её возможностии уникальное значение её методов в современных условиях массового примененияэлектронных информационных технологий.
Технической основойперехода в информационное общество являются современные микроэлектронныетехнологии, которые обеспечивают непрерывный рост качества средств вычислительнойтехники и служат базой для сохранения основных тенденций её развития –миниатюризации, снижения электропотребления, увеличения объёма оперативнойпамяти (ОП) и ёмкости встроенных и съёмных накопителей, ростапроизводительности и надёжности, расширение сфер и масштабов применения. Данныетенденции развития средств вычислительной техники привели к тому, что насовременном этапе защита компьютерных систем от несанкционированного доступахарактеризуется возрастанием роли программных и криптографических механизмовзащиты по сравнению с аппаратными.
Возрастание ролипрограммных и криптографических средств зашит проявляется в том, чтовозникающие новые проблемы в области защиты вычислительных систем отнесанкционированного доступа, требуют использования механизмов и протоколов сосравнительно высокой вычислительной сложностью и могут быть эффективно решеныпутём использования ресурсов ЭВМ.
Одной из важныхсоциально-этических проблем, порождённых всё более расширяющимся применениемметодов криптографической защиты информации, является противоречие междужеланием пользователей защитить свою информацию и передачу сообщений и желаниемспециальных государственных служб иметь возможность доступа к информациинекоторых других организаций и отдельных лиц с целью пресечения незаконнойдеятельности. В развитых странах наблюдается широкий спектр мнений о подходах квопросу о регламентации использования алгоритмов шифрования. Высказываютсяпредложения от полного запрета широкого применения криптографических методов дополной свободы их использования. Некоторые предложения относятся к разрешениюиспользования только ослабленных алгоритмов или к установлению порядкаобязательной регистрации ключей шифрования. Чрезвычайно трудно найтиоптимальное решение этой проблемы. Как оценить соотношение потерьзаконопослушных граждан и организаций от незаконного использования ихинформации и убытков государства от невозможности получения доступа кзашифрованной информации отдельных групп, скрывающих свою незаконнуюдеятельность? Как можно гарантированно не допустить незаконное использованиекриптоалгоритмов лицами, которые нарушают и другие законы? Кроме того, всегдасуществуют способы скрытого хранения и передачи информации. Эти вопросы ещёпредстоит решать социологам, психологам, юристам и политикам.
Возникновение глобальныхинформационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNETсвязана масса компьютерныхпреступлений.
Результатом опытаприменения сети INTERNET являетсявыявленная слабость традиционных механизмов защиты информации и отставания вприменении современных методов. Криптография предоставляет возможностьобеспечить безопасность информации в INTERNET и сейчас активно ведутся работы по внедрению необходимыхкриптографических механизмов в эту сеть. Не отказ от прогресса винформатизации, а использование современных достижений криптографии – вотстратегически правильное решение. Возможность широкого использования глобальныхинформационных сетей и криптографии является достижением и признакомдемократического общества.
Владение основамикриптографии в информационном обществе объективно не может быть привилегиейотдельных государственных служб, а является насущной необходимостью для самихшироких слоёв научно-технических работников, применяющих компьютерную обработкуданных или разрабатывающих информационные системы, сотрудников служббезопасности и руководящего состава организаций и предприятий. Только это можетслужить базой для эффективного внедрения и эксплуатации средств информационнойбезопасности.
Одна отдельно взятаяорганизация не может обеспечить достаточно полный и эффективный контроль заинформационными потоками в пределах всего государства и обеспечить надлежащуюзащиту национального информационного ресурса. Однако, отдельныегосударственные органы могут создать условия для формирования рынкакачественных средств защиты, подготовки достаточного количества специалистов иовладения основами криптографии и защиты информации со стороны массовыхпользователей.
В России и других странахСНГ в начале 1990-х годов отчётливо прослеживалась тенденция опережениярасширения масштабов и областей применения информационных технологий надразвитием систем защиты данных. Такая ситуация в определённой степени являласьи является типичной и для развитых капиталистических стран. Это закономерно:сначала должна возникнуть практическая проблема, а затем будут найдены решения. Начало перестройки в ситуации сильного отставания стран СНГ в областиинформатизации в конце 1980-х годов создало благодатную почву для резкогопреодоления сложившегося разрыва.
Пример развитых стран,возможность приобретения системного программного обеспечения и компьютернойтехники вдохновили отечественных пользователей. Включение массовогопотребителя, заинтересованного в оперативной обработке данных и другихдостоинствах современных информационно-вычислительных систем, в решениипроблемы компьютеризации привело к очень высоким темпам развития этой области вРоссии и других странах СНГ. Однако, естественное совместное развитие средствавтоматизации обработки информации и средств защиты информации в значительнойстепени нарушилось, что стало причиной массовых компьютерных преступлений. Нидля кого не секрет, что компьютерные преступления в настоящее время составляютодну из очень актуальных проблем.
Использование системзащиты зарубежного производства не может выправить этот перекос, посколькупоступающие на рынок России продукты этого типа не соответствуют требованиямиз-за существующих экспортных ограничений, принятых в США – основномпроизводителе средств защиты информации. Другим аспектом, имеющимпервостепенное значение, является то, что продукция такого типа должна пройтиустановленную процедуру сертифицирования в уполномоченных на проведение такихработ организациях.
Сертификаты иностранныхфирм и организаций, никак не могут быть заменой отечественным. Сам факт использования зарубежного системного и прикладного программного обеспечения создаёт повышенную потенциальную угрозу информационным ресурсам. Применениеиностранных средств защиты без должного анализа соответствия выполняемымфункциям и уровня обеспечиваемой защиты может многократно осложнить ситуацию.
Форсирование процессаинформатизации требует адекватного обеспечения потребителей средствами защиты.Отсутствие на внутреннем рынке достаточного количества средств защитыинформации, циркулирующей в компьютерных системах, значительное время непозволяло в необходимых масштабах осуществлять мероприятия по защите данных.Ситуация усугублялась отсутствием достаточного количества специалистов вобласти защиты информации, поскольку последние, как правило, готовились толькодля специальных организаций. Реструктурирование последних, связанное с изменениями,протекающими в России, привело к образованию независимых организаций,специализирующихся в области защиты информации, поглотивших высвободившиесякадры, и как следствие возникновению духа конкуренции, приведшей к появлению внастоящее время достаточно большого количества сертифицированных средств защитыотечественных разработчиков.
Одной из важныхособенностей массового использования информационных технологий является то, чтодля эффективного решения проблемы защиты государственного информационного ресурсанеобходимо рассредоточение мероприятий по защите данных среди массовыхпользователей. Информация должна быть защищена в первую очередь там, где онасоздаётся, собирается, перерабатывается и теми организациями, которые несутнепосредственный урон при несанкционированном доступе к данным. Этот принцип рационалени эффективен: защита интересов отдельных организаций – это составляющаяреализации защиты интересов государства в целом.
2. Обеспечение защитыинформации в сетях.
В ВС сосредотачиваетсяинформация, исключительное право на пользование которой принадлежитопределённым лицам или группам лиц, действующим в порядке личной инициативы илив соответствии с должностными обязанностями. Такая информация должна бытьзащищена от всех видов постороннего вмешательства: чтения лицами, не имеющимиправа доступа к информации, и преднамеренного изменения информации. К тому же вВС должны приниматься меры по защите вычислительных ресурсов сети от ихнесанкционированного использования, т.е. должен быть исключён доступ к сетилиц, не имеющих на это права. Физическая защита системы и данных можетосуществляться только в отношении рабочих ЭВМ и узлов связи и оказываетсяневозможной для средств передачи, имеющих большую протяжённость. По этойпричине в ВС должны использоваться средства, исключающие несанкционированныйдоступ к данным и обеспечивающие их секретность.
Исследования практикифункционирования систем обработки данных и вычислительных систем показали, чтосуществует достаточно много возможных направлений утечки информации и путейнесанкционированного доступа в системах и сетях. В их числе:
· чтение остаточной информации впамяти системы после выполнения санкционированных запросов;
· копирование носителей информации ифайлов информации с преодолением мер защиты;
· маскировка под зарегистрированногопользователя;
· маскировка под запрос системы;
· использование программных ловушек;
· использование недостатков операционнойсистемы;
· незаконное подключение к аппаратуреи линиям связи;
· злоумышленный вывод из строямеханизмов защиты;
· внедрение и использование компьютерныхвирусов.
Обеспечение безопасностиинформации в ВС и в автономно работающих ПЭВМ достигается комплексоморганизационных, организационно-технических, технических и программных мер.
К организационныммерам защиты информации относятся:
· ограничение доступа в помещения, вкоторых происходит подготовка и обработка информации;
· допуск к обработке и передачеконфиденциальной информации только проверенных должностных лиц;
· хранение магнитных носителей ирегистрационных журналов в закрытых для доступа посторонних лиц сейфах;
· исключение просмотра постороннимилицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
· использование криптографическихкодов при передаче по каналам связи ценной информации;
· уничтожение красящих лент, бумаги ииных материалов, содержащих фрагменты ценной информации.
Организационно-техническиемеры защиты информации включают:
· осуществление питания оборудования,обрабатывающего ценную информацию от независимого источника питания или черезспециальные сетевые фильтры;
· установку на дверях помещенийкодовых замков;
· использование для отображенияинформации при вводе-выводе жидкокристаллических или плазменных дисплеев, а дляполучения твёрдых копий – струйных принтеров и термопринтеров, посколькудисплей даёт такое высокочастотное электромагнитное излучение, что изображениес его экрана можно принимать на расстоянии нескольких сотен километров;
· уничтожение информации, хранящейся вПЗУ и на НЖМД, при списании или отправке ПЭВМ в ремонт;
· установка клавиатуры и принтеров намягкие прокладки с целью снижения возможности снятия информации акустическимспособом;
· ограничение электромагнитногоизлучения путём экранирования помещений, где происходит обработка информации,листами из металла или из специальной пластмассы.
Технические средствазащиты информации –это системы охраны территорий и помещений с помощью экранирования машинныхзалов и организации контрольно-пропускных систем. Защита информации в сетях ивычислительных средствах с помощью технических средств реализуется на основеорганизации доступа к памяти с помощью:
· контроля доступа к различным уровнямпамяти компьютеров;
· блокировки данных и ввода ключей;
· выделение контрольных битов длязаписей с целью идентификации и др.
Архитектурапрограммных средств защиты информации включает:
· контроль безопасности, в том числеконтроль регистрации вхождения в систему, фиксацию в системном журнале,контроль действий пользователя;
· реакцию (в том числе звуковую) нанарушение системы защиты контроля доступа к ресурсам сети;
· контроль мандатов доступа;
· формальный контроль защищённостиоперационных систем (базовой общесистемной и сетевой);
· контроль алгоритмов защиты;
· проверку и подтверждениеправильности функционирования технического и программного обеспечения.
Для надёжной защитыинформации и выявления случаев неправомочных действий проводится регистрацияработы системы: создаются специальные дневники и протоколы, в которыхфиксируются все действия, имеющие отношение к защите информации в системе.Фиксируются время поступления заявки, её тип, имя пользователя и терминала, скоторого инициализируется заявка. При отборе событий, подлежащих регистрации,необходимо иметь в виду, что с ростом количества регистрируемых событийзатрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этомслучае можно применять программный анализ и фиксировать сомнительные события.Используются также специальные программы для тестирования системы защиты.Периодически или в случайно выбранные моменты времени они проверяютработоспособность аппаратных и программных средств защиты.
К отдельной группе мер пообеспечению сохранности информации и выявлению несанкционированных запросовотносятся программы обнаружения нарушений в режиме реального времени. Программыданной группы формируют специальный сигнал при регистрации действий, которыемогут привести к неправомерным действиям по отношению к защищаемой информации.Сигнал может содержать информацию о характере нарушения, месте еговозникновения и другие характеристики. Кроме того, программы могут запретитьдоступ к защищаемой информации или симулировать такой режим работы (например,моментальная загрузка устройств ввода-вывода), который позволит выявитьнарушителя и задержать его соответствующей службой.
Один из распространённыхспособов защиты – явное указание секретности выводимой информации. В системах,поддерживающих несколько уровней секретности, вывод на экран терминала илипечатающего устройства любой единицы информации (например, файла, записи итаблицы) сопровождается специальным грифом с указанием уровня секретности. Этотребование реализуется с помощью соответствующих программных средств.
В отдельную группувыделены средства защиты от несанкционированного использования программногообеспечения. Они приобретают особое значение вследствие широкогораспространения ПК.
3. Механизмы обеспечениябезопасности.
3.1. Криптография.
Для обеспечениясекретности применяется шифрование, или криптография, позволяющаятрансформировать данные в зашифрованную форму, из которой извлечь исходнуюинформацию можно только при наличии ключа.
Системам шифрованиястолько же лет, сколько письменному обмену информацией.
“Криптография” в переводес греческого языка означает “тайнопись”, что вполне отражает её первоначальноепредназначение. Примитивные (с позиций сегодняшнего дня) криптографическиеметоды известны с древнейших времён и очень длительное время онирассматривались скорее как некоторое ухищрение, чем строгая научная дисциплина.Классической задачей криптографии является обратимое преобразование некоторогопонятного исходного текста (открытого текста) в кажущуюся случайнойпоследовательность некоторых знаков, называемую шифртекстом или криптограммой.При этом шифр-пакет может содержать как новые, так и имеющиеся в открытомсообщении знаки. Количество знаков в криптограмме и в исходном тексте в общемслучае может различаться. Непременным требованием является то, что, используянекоторые логические замены символов в шифртексте, можно однозначно и в полномобъёме восстановить исходный текст. Надёжность сохранения информации в тайнеопределялось в далёкие времена тем, что в секрете держался сам методпреобразования.
Прошли многие века, втечении которых криптография являлась предметом избранных – жрецов, правителей,крупных военачальников и дипломатов. Несмотря на малую распространённостьиспользование криптографических методов и способов преодоления шифровпротивника оказывало существенное воздействие на исход важных историческихсобытий. Известен не один пример того, как переоценка используемых шифровприводила к военным и дипломатическим поражениям. Несмотря на применениекриптографических методов в важных областях, эпизодическое использованиекриптографии не могло даже близко подвести её к той роли и значению, которые онаимеет в современном обществе. Своим превращением в научную дисциплинукриптография обязана потребностям практики, порождённым электроннойинформационной технологией.
Пробуждение значительногоинтереса к криптографии и её развитие началось с XIX века, что связано с зарождением электросвязи. В XX столетии секретные службыбольшинства развитых стран стали относится к этой дисциплине как к обязательному инструменту своей деятельности.
В основе шифрования лежатдва основных понятия: алгоритм и ключ. Алгоритм – это способзакодировать исходный текст, в результате чего получается зашифрованноепослание. Зашифрованное послание может быть интерпретировано только с помощью ключа.
Очевидно, чтобызашифровать послание, достаточно алгоритма.
Голландский криптографКеркхофф (1835 – 1903) впервые сформулировал правило: стойкость шифра, т.е.криптосистемы – набора процедур, управляемых некоторой секретной информациейнебольшого объёма, должна быть обеспечена в том случае, когда криптоаналитикупротивника известен весь механизм шифрования за исключением секретного ключа –информации, управляющей процессом криптографических преобразований. Видимо,одной из задач этого требования было осознание необходимости испытанияразрабатываемых криптосхем в условиях более жёстких по сравнению с условиями, вкоторых мог бы действовать потенциальный нарушитель. Это правило стимулировалопоявление более качественных шифрующих алгоритмов. Можно сказать, что в нёмсодержится первый элемент стандартизации в области криптографии, поскольку предполагаетсяразработка открытых способов преобразований. В настоящее время это правилоинтерпретируется более широко: все долговременные элементы системы защитыдолжны предполагаться известными потенциальному злоумышленнику. В последнююформулировку криптосистемы входят как частный случай систем защиты. В этойформулировке предполагается, что все элементы систем защиты подразделяются надве категории – долговременные и легко сменяемые. К долговременным элементамотносятся те элементы, которые относятся к разработке систем защиты и дляизменения требуют вмешательства специалистов или разработчиков. К легкосменяемым элементам относятся элементы системы, которые предназначены дляпроизвольного модифицирования или модифицирования по заранее заданному правилу,исходя из случайно выбираемых начальных параметров. К легко сменяемым элементамотносятся, например, ключ, пароль, идентификация и т.п. Рассматриваемое правилоотражает тот факт, надлежащий уровень секретности может быть обеспечен толькопо отношению к легко сменяемым элементам.
Несмотря на то, чтосогласно современным требованиям к криптосистемам они должны выдерживатькриптоанализ на основе известного алгоритма, большого объёма известногооткрытого текста и соответствующего ему шифртекста, шифры, используемыеспециальными службами, сохраняются в секрете. Это обусловлено необходимостьюиметь дополнительный запас прочности, поскольку в настоящее время созданиекриптосистем с доказуемой стойкостью является предметом развивающейся теории ипредставляет собой достаточно сложную проблему. Чтобы избежать возможныхслабостей, алгоритм шифрования может быть построен на основе хорошо изученных иапробированных принципах и механизмах преобразования. Ни один серьёзныйсовременный пользователь не будет полагаться только на надёжность сохранения всекрете своего алгоритма, поскольку крайне сложно гарантировать низкуювероятность того, что информация об алгоритме станет известной злоумышленнику.
Секретность информацииобеспечивается введением в алгоритмы специальных ключей (кодов). Использованиеключа при шифровании предоставляет два существенных преимущества. Во-первых,можно использовать один алгоритм с разными ключами для отправки посланий разнымадресатам. Во-вторых, если секретность ключа будет нарушена, его можно легко заменить,не меняя при этом алгоритм шифрования. Таким образом, безопасность системшифрования зависит от секретности используемого ключа, а не от секретностиалгоритма шифрования. Многие алгоритмы шифрования являются общедоступными.
Количество возможных ключейдля данного алгоритма зависит от числа бит в ключе. Например, 8-битный ключдопускает 256 (28) комбинаций ключей. Чем больше возможныхкомбинаций ключей, тем труднее подобрать ключ, тем надёжнее зашифрованопослание. Так, например, если использовать 128-битный ключ, то необходимо будетперебрать 2128 ключей, что в настоящее время не под силу даже самыммощным компьютерам. Важно отметить, что возрастающая производительность техникиприводит к уменьшению времени, требующегося для вскрытия ключей, и системамобеспечения безопасности приходится использовать всё более длинные ключи, что,в свою очередь, ведёт к увеличению затрат на шифрование.
Поскольку столь важноеместо в системах шифрования уделяется секретности ключа, то основной проблемойподобных систем является генерация и передача ключа. Существуют две основныесхемы шифрования: симметричное шифрование (его также иногда называюттрадиционным или шифрованием с секретным ключом) и шифрование с открытымключом (иногда этот тип шифрования называют асимметричным).
При симметричномшифровании отправитель и получатель владеют одним и тем же ключом(секретным), с помощью которого они могут зашифровывать и расшифровыватьданные.При симметричном шифровании используются ключи небольшой длины, поэтомуможно быстро шифровать большие объёмы данных. Симметричное шифрованиеиспользуется, например, некоторыми банками в сетях банкоматов. Однакосимметричное шифрование обладает несколькими недостатками. Во-первых, оченьсложно найти безопасный механизм, при помощи которого отправитель и получательсмогут тайно от других выбрать ключ. Возникает проблема безопасногораспространения секретных ключей. Во-вторых, для каждого адресата необходимохранить отдельный секретный ключ. В третьих, в схеме симметричного шифрованияневозможно гарантировать личность отправителя, поскольку два пользователявладеют одним ключом.
В схеме шифрования соткрытым ключом для шифрования послания используются два различных ключа.При помощи одного из них послание зашифровывается, а при помощи второго –расшифровывается. Таким образом, требуемой безопасности можно добиваться,сделав первый ключ общедоступным (открытым), а второй ключ хранить только уполучателя (закрытый, личный ключ). В таком случае любой пользователь можетзашифровать послание при помощи открытого ключа, но расшифровать посланиеспособен только обладатель личного ключа. При этом нет необходимости заботитьсяо безопасности передачи открытого ключа, а для того чтобы пользователи моглиобмениваться секретными сообщениями, достаточно наличия у них открытых ключейдруг друга.
Недостаткомасимметричного шифрования является необходимость использования более длинных,чем при симметричном шифровании, ключей для обеспечения эквивалентного уровнябезопасности, что сказывается на вычислительных ресурсах, требуемых дляорганизации процесса шифрования.
3.2. Электроннаяподпись.
Если послание,безопасность которого мы хотим обеспечить, должным образом зашифровано, всёравно остаётся возможность модификации исходного сообщения или подмены этогосообщения другим. Одним из путей решения этой проблемы является передача пользователемполучателю краткого представления передаваемого сообщения. Подобное краткоепредставление называют контрольной суммой, или дайджестом сообщения.
Контрольные суммыиспользуются при создании резюме фиксированной длины для представления длинныхсообщений. Алгоритмы расчёта контрольных сумм разработаны так, чтобы они былипо возможности уникальны для каждого сообщения. Таким образом, устраняетсявозможность подмены одного сообщения другим с сохранением того же самогозначения контрольной суммы.
Однако при использованииконтрольных сумм возникает проблема передачи их получателю. Одним из возможныхпутей её решения является включение контрольной суммы в так называемую электроннуюподпись.
При помощи электроннойподписи получатель может убедиться в том, что полученное им сообщение посланоне сторонним лицом, а имеющим определённые права отправителем. Электронныеподписи создаются шифрованием контрольной суммы и дополнительной информации припомощи личного ключа отправителя. Таким образом, кто угодно может расшифроватьподпись, используя открытый ключ, но корректно создать подпись может тольковладелец личного ключа. Для защиты от перехвата и повторного использованияподпись включает в себя уникальное число – порядковый номер.
3.3. Аутентификация.
Аутентификация является одним из самых важныхкомпонентов организации защиты информации в сети. Прежде чем пользователю будетпредоставлено право получить тот или иной ресурс, необходимо убедиться, что ондействительно тот, за кого себя выдаёт.
При получении запроса наиспользование ресурса от имени какого-либо пользователя сервер, предоставляющийданный ресурс, передаёт управление серверу аутентификации. После полученияположительного ответа сервера аутентификации пользователю предоставляетсязапрашиваемый ресурс.
При аутентификациииспользуется, как правило, принцип, получивший название “что он знает”, — пользователь знает некоторое секретное слово, которое он посылает серверуаутентификации в ответ на его запрос. Одной из схем аутентификации являетсяиспользование стандартных паролей. Пароль – совокупность символов,известных подключенному к сети абоненту, — вводится им в начале сеансавзаимодействия с сетью, а иногда и в конце сеанса (в особо ответственныхслучаях пароль нормального выхода из сети может отличаться от входного). Этасхема является наиболее уязвимой с точки зрения безопасности – пароль можетбыть перехвачен и использован другим лицом. Чаще всего используются схемы сприменением одноразовых паролей. Даже будучи перехваченным, этот пароль будетбесполезен при следующей регистрации, а получить следующий пароль изпредыдущего является крайне трудной задачей. Для генерации одноразовых паролейиспользуются как программные, так и аппаратные генераторы, представляющие собойустройства, вставляемые в слот компьютера. Знание секретного слова необходимопользователю для приведения этого устройства в действие.
Одной из наиболее простыхсистем, не требующих дополнительных затрат на оборудование, но в то же времяобеспечивающих хороший уровень защиты, является S/Key, на примерекоторой можно продемонстрировать порядок представления одноразовых паролей.
В процессе аутентификациис использованием S/Key участвуют две стороны – клиент исервер. При регистрации в системе, использующей схему аутентификации S/Key, сервер присылает на клиентскую машину приглашение,содержащее зерно, передаваемое по сети в открытом виде, текущее значениесчётчика итераций и запрос на ввод одноразового пароля, который долженсоответствовать текущему значению счётчика итерации. Получив ответ, серверпроверяет его и передаёт управление серверу требуемого пользователю сервиса.
3.4. Защита сетей.
В последнее времякорпоративные сети всё чаще включаются в Интернет или даже используют его вкачестве своей основы. Учитывая то, какой урон может принести незаконноевторжение в корпоративную сеть, необходимо выработать методы защиты. Для защитыкорпоративных информационных сетей используются брандмауэры. Брандмауэры — это система или комбинация систем, позволяющие разделить сеть на две или болеечастей и реализовать набор правил, определяющих условия прохождения пакетов изодной части в другую. Как правило, эта граница проводится между локальной сетьюпредприятия и INTERNETOM, хотя её можно провести и внутри.Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всюсеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящегопакета принимает решение – пропускать его или отбросить. Для того чтобы брандмауэрмог принимать эти решения, для него определяется набор правил.
Брандмауэр может бытьреализован как аппаратными средствами (то есть как отдельное физическоеустройство), так и в виде специальной программы, запущенной на компьютере.
Как правило, воперационную систему, под управлением которой работает брандмауэр, вносятсяизменения, цель которых – повышение защиты самого брандмауэра. Эти изменениязатрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самомбрандмауэре не разрешается иметь разделов пользователей, а следовательно, ипотенциальных дыр – только раздел администратора. Некоторые брандмауэры работаюттолько в однопользовательском режиме, а многие имеют систему проверкицелостности программных кодов.
Брандмауэр обычно состоитиз нескольких различных компонентов, включая фильтры или экраны, которыеблокируют передачу части трафика.
Все брандмауэры можноразделить на два типа:
· пакетные фильтры, которыеосуществляют фильтрацию IP-пакетовсредствами фильтрующих маршрутизаторов;
· серверы прикладного уровня, которыеблокируют доступ к определённым сервисам в сети.
Таким образом, брандмауэрможно определить как набор компонентов или систему, которая располагается междудвумя сетями и обладает следующими свойствами:
· весь трафик из внутренней сети вовнешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
· только трафик, определённыйлокальной стратегией защиты, может пройти через эту систему;
· система надёжно защищена отпроникновения.
4. Требования к современнымсредствам защиты информации.
Согласно требованиямгостехкомиссии России средства защиты информации от несанкционированногодоступа(СЗИ НСД), отвечающие высокому уровню защиты, должны обеспечивать:
· дискреционный и мандатный принципконтроля доступа;
· очистку памяти;
· изоляцию модулей;
· маркировку документов;
· защиту ввода и вывода на отчуждаемыйфизический носитель информации;
· сопоставление пользователя сустройством;
· идентификацию и аутентификацию;
· гарантии проектирования;
· регистрацию;
· взаимодействие пользователя скомплексом средств защиты;
· надёжное восстановление;
· целостность комплекса средствзащиты;
· контроль модификации;
· контроль дистрибуции;
· гарантии архитектуры;
Комплексные СЗИ НСДдолжны сопровождаться пакетом следующих документов:
· руководство по СЗИ;
· руководство пользователя;
· тестовая документация;
· конструкторская (проектная)документация.
Таким образом, всоответствии с требованиями гостехкомиссии России комплексные СЗИ НСД должнывключать базовый набор подсистем. Конкретные возможности этих подсистем пореализации функций защиты информации определяют уровень защищённости средстввычислительной техники. Реальная эффективность СЗИ НСД определяетсяфункциональными возможностями не только базовых, но и дополнительных подсистем,а также качеством их реализации.
Компьютерные системы исети подвержены широкому спектру потенциальных угроз информации, чтообуславливает необходимость предусмотреть большой перечень функций и подсистемзащиты. Целесообразно в первую очередь обеспечить защиту наиболее информативныхканалов утечки информации, каковыми являются следующие:
· возможность копирования данных смашинных носителей;
· каналы передачи данных;
· хищение ЭВМ или встроенныхнакопителей.
Проблема перекрытия этихканалов усложняется тем, что процедуры защиты данных не должны приводить кзаметному снижению производительности вычислительных систем. Эта задача можетбыть эффективно решена на основе технологии глобального шифрования информации,рассмотренной в предыдущем разделе.
Современная массоваясистема защиты должна быть эргономичной и обладать такими свойствами,благоприятствующими широкому её применению, как:
· комплексность – возможность установкиразнообразных режимов защищённой обработки данных с учётом специфическихтребований различных пользователей и предусматривать широкий перечень возможныхдействий предполагаемого нарушителя;
· совместимость – система должна бытьсовместимой со всеми программами, написанными для данной операционной системы,и должна обеспечивать защищённый режим работы компьютера в вычислительной сети;
· переносимость – возможностьустановки системы на различные типы компьютерных систем, включая портативные;
· удобство в работе – система должнабыть проста в эксплуатации и не должна менять привычную технологию работыпользователей;
· работа в масштабе реального времени– процессы преобразования информации, включая шифрование, должны выполняться сбольшой скоростью;
· высокий уровень защиты информации;
· минимальная стоимость системы.
Заключение.
Вслед за массовымприменением современных информационных технологий криптография вторгается вжизнь современного человека. На криптографических методах основано применениеэлектронных платежей, возможность передачи секретной информации по открытымсетям связи, а также решение большого числа других задач защиты информации вкомпьютерных системах и информационных сетях. Потребности практики привели кнеобходимости массового применения криптографических методов, а следовательно кнеобходимости расширения открытых исследований и разработок в этой области.Владение основами криптографии становится важным для учёных и инженеров,специализирующихся в области разработки современных средств защиты информации,а также в областях эксплуатации и проектирования информационных ителекоммуникационных систем.
Одной из актуальныхпроблем современной прикладной криптографии является разработка скоростныхпрограммных шифров блочного типа, а также скоростных устройств шифрования.
В настоящее время предложенряд способов шифрования, защищённых патентами Российской Федерации и основанныхна идеях использования:
· гибкого расписания выборкиподключений;
· генерирования алгоритма шифрованияпо секретному ключу;
· подстановок, зависящих отпреобразуемых данных.
Литература.
1. Острейковский В.А.Информатика: Учеб. пособие для студ. сред. проф. учеб. заведений. – М.: Высш.шк., 2001. – 319с.: ил.
2. Экономическаяинформатика / под ред. П.В. Конюховского и Д.Н. Колесова. – СПб.: Питер, 2000.– 560с.: ил.
3. Информатика: Базовыйкурс / С.В. Симонович и др. – СПб.: Питер, 2002. – 640с.: ил.
4. Молдовян А.А.,Молдовян Н.А., Советов Б.Я. Криптография. – СПб.: Издательство “Лань”, 2001. –224с., ил. – (Учебники для вузов. Специальная литература).