13. Криптографические методы обеспечения конфиденциальности информации.
1. Симметричные криптосистемы.
В симметричных криптосистемах для зашифрования и расшифрования информации используется один и тот же общий секретный ключ, которым взаимодействующие стороны предварительно обмениваются по некоторому защищённому каналу
В качестве примеров симметричных криптосистем можно привести отечественный алгоритм ГОСТ 28147-89, а также международные стандарты DES и пришедший ему на смену AES.
2. Асимметричные криптосистемы.
А
симметричные
криптосистемы характерны тем, что в них
используются различные ключи для
зашифрования и расшифрования информации.
Ключ для зашифрования (открытый
ключ) можно
сделать общедоступным, с тем чтобы любой
желающий мог зашифровать сообщение для
некоторого получателя. Получатель же,
являясь единственным обладателем ключа
для расшифрования (секретный
ключ), будет
единственным, кто сможет расшифровать
зашифрованные для него сообщения.
Примеры асимметричных криптосистем – RSA и схема Эль-Гамаля. Симметричные и асимметричные криптосистемы, а также различные их комбинации используются в АС прежде всего для шифрования данных на различных носителях и для шифрования трафика.
14. Защита внешнего периметра. Межсетевое экранирование.
Межсетевой экран (МЭ) выполняет функции разграничения информационных потоков на границе защищаемой АС. Это
позволяет: - повысить безопасность объектов внутренней среды за счёт игнорирования неавторизованных запросов из внешней среды; - контролировать информационные потоки во внешнюю среду; - обеспечить регистрацию процессов информационного обмена.
Контроль информационных потоков производится посредством фильтрации информации, т.е. анализа её по совокупности критериев и принятия решения о распространении в АС или из АС.
В зависимости от принципов функционирования, выделяют несколько классов МЭ.
1. Фильтры пакетов.
Простейший класс межсетевых экранов, работающих на сетевом и транспортном уровнях модели ISO/OSI. Фильтрация пакетов обычно осуществляется по следующим критериям: - IP-адрес источника; - IP-адрес получателя; - порт источника; - порт получателя; - специфические параметры заголовков сетевых пакетов.
Фильтрация реализуется путём сравнения перечисленных параметров заголовков сетевых пакетов с базой правил фильтрации.
2. Шлюзы сеансового уровня
Данные межсетевые экраны работают на сеансовом уровне модели ISO/OSI. В отличие от фильтров пакетов, они могут контролировать допустимость сеанса связи, анализируя параметры протоколов сеансового уровня.
3. Шлюзы прикладного уровня
Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. Для этого используются прокси-сервисы – программы специального назначения, управляющие трафиком через межсетевой экран для определённых высокоуровневых протоколов (http, ftp, telnet и т.д.). Рис. 1.3.6.1. Использование прокси-сервисов
Если без использование прокси-сервисов сетевое соединение устанавливается между взаимодействующими сторонами A и B напрямую, то в случае использования прокси-сервиса появляется посредник – прокси-сервер, который самостоятельно взаимодействует со вторым участником информационного обмена.
Такая схема позволяет контролировать допустимость использования отдельных команд протоколов высокого уровня, а также фильтровать данные, получаемые прокси-сервером извне; при этом прокси-сервер на основании установленных политик может принимать решение о возможности или невозможности передачи этих данных клиенту A.