Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Программно-аппаратные средства обеспечения ИБ в вычислительных сетях

Читайте также:
  1. I. Решение логических задач средствами алгебры логики
  2. IY. ДИДАКТИЧЕСКИЕ СРЕДСТВА И СОВРЕМЕННЫЕ ФОРМЫ КОНТРОЛЯ
  3. VII. ФОНДЫ УЧРЕЖДЕНИЙ ТРУДА И СОЦИАЛЬНОГО ОБЕСПЕЧЕНИЯ
  4. А) Средства профилактики радиационных поражений при внешнем облучении.
  5. А. Оценочные средства текущего контроля знаний по модулю 1
  6. Автотранспортные средства для железобетонных изделий.
  7. Антибактериальные средства. Антибиотики.

В общем случае средства обеспечения ИБ действуют в ВС как с сосредоточенными, так и с распределенными КС. Распределен­ные компьютерные системы (РКС) представляют собой множе­ство сосредоточенных КС, связанных в единую систему с помо­щью коммуникационной подсистемы.

При этом сосредоточенными КС могут быть отдельные ЭВМ, в том числе и ПЭВМ, вычислительные системы и комплексы, а также локальные вычислительные сети. В настоящее время прак­тически не используются неинтеллектуальные абонентские пунк­ты, не имеющие в своем составе ЭВМ. Поэтому правомочно считать, что наименьшей структурной единицей РКС является ЭВМ. Распределенные КС строятся по сетевым технологиям и представ­ляют собой вычислительные сети. Коммуникационная подсисте­ма включает в себя:

коммуникационные модули (КМ);

каналы связи;

концентраторы;

межсетевые шлюзы (мосты).

Основной функцией коммуникационных модулей является пере­дача полученного пакета к другому КМ или абонентскому пункту в соответствии с маршрутом передачи. Коммуникационный мо­дуль называют также центром коммутации пакетов.

Каналы связи объединяют элементы сети в единую сеть. Каналы свдзи могут иметь различную скорость передачи данных.

Концентраторы используют для уплотнения информации пе­ред передачей ее по высокоскоростным каналам.

Межсетевые шлюзы (мосты) применяют для связи сети с ЛВС или для связи сегментов глобальных сетей.

С помощью мостов связываются сегменты сети с одинаковыми сетевыми протоколами.

В любой РКС в соответствии с функциональным назначением может быть выделено три подсистемы:

пользовательская, или абонентская;

управления;

коммуникационная.

Пользовательская, или абонентская, подсистема включает в себя компьютерные системы пользователей (абонентов) и предназна­чена для удовлетворения потребностей пользователей в хранении, обработке и получении информации.

Подсистема управления позволяет объединить все элементы РКС в единую систему, в которой взаимодействие элементов осуще­ствляется по единым правилам. Подсистема обеспечивает взаимо­действие элементов системы путем сбора и анализа служебной информации и воздействия на элементы в целях создания опти­мальных условий для функционирования всей сети.

Коммуникационная подсистема обеспечивает передачу инфор­мации в сети в интересах пользователей и управления РКС.

Особенностью защиты объектов РКС является необходимость поддержки механизмов аутентификации и разграничения доступа удаленных процессов к ресурсам объекта, а также наличие в сети специальных коммуникационных компьютерных систем. Учиты­вая важность проблемы подтверждения подлинности удаленных процессов (пользователей), механизмы ее решения выделены в отдельную группу.

Все элементы коммуникационной подсистемы, за исключени­ем каналов связи, рассматриваются как специализированные ком­муникационные компьютерные системы. В защищенных корпора­тивных сетях концентраторы, коммуникационные модули (серве­ры), шлюзы и мосты целесообразно размещать на объектах со­вместно с КС пользователей. Особенностью всех коммуникацион­ных КС является информация, которая обрабатывается этими си­стемами. В таких КС осуществляется смысловая обработка только служебной информации. К служебной относится адресная информация, избыточная информация для защиты сообщений от иска­жений, идентификаторы пользователей, метки времени, номера сообщений (пакетов), атрибуты шифрования и др. Информация пользователей, заключенная в сообщениях (рабочая информация), на уровне коммуникационных КС рассматривается как последо­вательность бит, которая должна быть доставлена по коммуника­ционной подсистеме без изменений. Поэтому в таких системах имеется принципиальная возможность не раскрывать содержание рабочей информации. Она не должна быть доступной операторам и другому обслуживающему персоналу коммуникационных ком­пьютерных систем для просмотра на экране монитора, измене­ния, уничтожения, размножения, запоминания в доступной па­мяти, получения твердой копии. Такая информация не должна сохраняться на внешних запоминающих устройствах после успеш­ной передачи сообщения другому элементу коммуникационной подсистемы. В закрытых системах рабочая информация, кроме того, в пределах коммуникационной подсети циркулирует в зашифро­ванном виде.

При этом в коммуникационной подсистеме осуществляется линейное шифрование, а в абонентской — межконцевое. Абонент перед отправкой осуществляет шифрование сообщения с помо­щью симметричного или открытого ключа. На входе в коммуникационную подсистему сообщение подвергается линейному шиф­рованию, даже если абонентское шифрование не выполнялось. При линейном шифровании сообщение зашифровывается полно­стью, включая все служебные данные, причем оно может осуще­ствляться в сети с разными ключами. В этом случае злоумышлен­ник, имея один ключ, может получить доступ к информации, передаваемой в ограниченном числе каналов. Если используются различные ключи, то в коммуникационных модулях расшифро­вывается не только служебная информация, но и все сообщение полностью (рабочая информация остается зашифрованной на або­нентском уровне).

По открытой служебной информации осуществляется провер­ка целостности сообщения, выбор дальнейшего маршрута и пере­дача «квитанции» отправителю. Сообщение подвергается зашифрованию с новым ключом и передается по соответствующему ка­налу связи.

Особые меры защиты должны предприниматься в отношении центра управления сетью. Учитывая концентрацию информации, критичной для работы всей сети, необходимо использовать самые совершенные средства защиты процессов переработки информа­ции специализированной КС администратора сети как от непред­намеренных, так и от преднамеренных угроз. Особое внимание должно обращаться на защиту процедур и средств, связанных с хранением и работой с ключами.

Администратор сети, как и все операторы коммуникационной подсети, работает только со служебной информацией. Если в сети ключи для абонентского шифрования распределяются из центра управления сетью, то администратор может получить доступ ко всем ключам сети, а следовательно, и ко всей передаваемой и хранимой в сети информации. Поэтому в специализированной КС администратора сети должны быть предусмотрены механизмы, блокирующие возможность работы с информационной частью сообщений, которые не предназначаются администратору.

Более надежным является способ управления ключами, когда они не известны ни администратору, ни абонентам. Ключ генери­руется датчиком случайных чисел и записывается в специальное ассоциативное запоминающее устройство, и все действия с ним производятся в замкнутом пространстве, в которое оператор КС не может попасть для ознакомления с содержимым памяти. Нуж­ные ключи выбираются из специальной памяти для отсылки или проверки в соответствии с идентификатором абонента или адми­нистратора.

При рассылке ключей вне РКС их можно записывать, напри­мер, на смарт-карты. Считывание ключа с таких карт возможно только при положительном результате аутентификации КС и вла­дельца ключа.

В подсистеме управления передача сообщений осуществляет­ся по определенным правилам, которые называются протокола­ми. В настоящее время в распределенных вычислительных сетях реализуются два международных стандарта взаимодействия удаленных элементов сети: протокол TCP/IP и протокол Х.25.

Протокол TCP/IP был разработан в 1970-е гг. и с тех пор завоевал признание во всем мире. На его основе построена сеть Internet. Протокол Х.25 явился дальнейшим развитием техноло­гии передачи данных, использующей коммутацию пакетов. Он создан в соответствии с моделью взаимодействия открытых се­тей (OSI), разработанной Международной организацией стан­дартизации (ISO).

В моделях выделяют следующие уровни функций:

OSI — прикладной, представительный, сеансовый, транспор­тный, сетевой, канальный, физический;

TCP/IP — прикладной, транспортный, сетевой, канальный, физический.

Протокол Х.25 позволяет обеспечить более надежное взаимо­действие удаленных процессов. Достоинствами протокола TCP/IP являются сравнительно низкая стоимость и простота подключе­ния к сети.

Задачи обеспечения безопасности процессов переработки ин­формации в сети решаются на всех уровнях. Выполнение протоко­лов организуется с помощью подсистемы управления. Наряду с другими на уровне подсистемы управления решаются следующие проблемы защиты процессов переработки информации в РКС:

создание единого центра управления сетью, в котором реша­лись бы и вопросы обеспечения безопасности процессов перера­ботки информации. Администратор и его аппарат проводят еди­ную политику безопасности во всей защищенной сети;

регистрация всех объектов сети и обеспечение их защиты, вы­дача идентификаторов и учет всех пользователей сети;

управление доступом к ресурсам сети;

генерация и рассылка ключей шифрования абонентам компь­ютерной сети;

мониторинг трафика (потока сообщений в сети), контроль со­блюдения правил работы абонентами, оперативное реагирование на нарушения;

организация восстановления работоспособности элементов сети при нарушении процесса их функционирования.

Наиболее надежным и универсальным методом защиты про­цессов переработки информации в каналах связи является шиф­рование. Шифрование на абонентском уровне позволяет защитить рабочую информацию от утраты конфиденциальности и навязы­вания ложной информации и тем самым блокировать возможные угрозы безопасности. Линейное шифрование позволяет, кроме того, защитить служебную информацию. Не имея доступа к служебной информации, злоумышленник не может фиксировать факт пере­дачи между конкретными абонентами сети, изменить адресную часть сообщения для его переадресации.

Противодействие ложным соединениям абонентов (процессов) обеспечивается с помощью процедур взаимного подтверждения подлинности абонентов или процессов. Против удаления, явного искажения, переупорядочивания, передачи дублей сообщений применяется механизм квитирования, нумерации сообщений или информации о времени отправки сообщения. Эти служебные дан­ные должны быть зашифрованы. Для некоторых РКС важной ин­формацией о работе системы, подлежащей защите, является ин­тенсивность обмена по коммуникационной подсети. Интенсивность обмена может быть скрыта путем добавления к рабочему трафику специальных сообщений, которые могут содержать произвольную случайную информацию. Дополнительный эффект такой органи­зации обмена заключается в тестировании коммуникационной подсети. Общий трафик с учетом рабочих и специальных сообще­ний поддерживается примерно на одном уровне.

В случае попыток блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ типа «червь» в подси­стеме управления РКС должны быть созданы распределенные ме­ханизмы защиты. Они должны контролировать интенсивность об­мена и блокировать доступ абонентов в сеть при исчерпании ими лимита активности или в случае угрожающего возрастания тра­фика. Для блокирования угроз физического воздействия на кана­лы связи (нарушение линий связи или постановка помех в радио­каналах) необходимо иметь дублирующие каналы с возможно­стью автоматического перехода на их использование.

На практике часто закрытые корпоративные распределенные и сосредоточенные КС связаны с общедоступными сетями типа Internet. Режимы взаимодействия пользователей закрытой РКС с общедоступной системой могут быть различны:

с помощью общедоступной РКС связываются в единую систе­му закрытые сегменты корпоративной системы или удаленные абоненты;

пользователи закрытой РКС взаимодействуют с абонентами общедоступной сети.

В первом режиме задача подтверждения подлинности взаимо­действующих абонентов (процессов) решается гораздо эффектив­нее, чем во втором. Это объясняется возможностью использова­ния абонентского шифрования при взаимодействии КС одной корпоративной сети.

Если абоненты общедоступной сети не используют абонент­ское шифрование, то практически невозможно обеспечить надежную аутентификацию процессов, конфиденциальность информа­ции, защиту от подмены и несанкционированной модификации сообщений.

Для блокирования угроз, исходящих из общедоступной систе­мы, используется специальное программное или аппаратно-про­граммное средство, которое получило название межсетевой экран {Firewall). Как правило, межсетевой экран реализуется на выде­ленной ЭВМ, через которую защищенная РКС (ее фрагмент) подключается к общедоступной сети.

Межсетевой экран реализует контроль за информацией, по­ступающей в защищенную РКС и (или) выходящей из защищен­ной системы.

Межсетевой экран выполняет четыре функции:

фильтрация трафика;

использование экран ирующих агентов;

трансляция адресов;

Дата добавления: 2015-12-08; просмотров: 102 | Нарушение авторских прав

mybiblioteka.su - 2015-2024 год. (0.009 сек.)