- •21. Использование защищенных компьютерных сетей. Защита информации в каналах связи.
- •Использование защищенных компьютерных сетей. Межсетевое экранирование.
- •Использование защищенных компьютерных сетей. Подтверждение подлинности информации, полученной по коммуникационной подсети.
- •Матричный и полномочный методы организации разграничения доступа.
- •Методы, затрудняющие копирование информации и препятствующие ее использованию.
- •Защита компьютерных систем от исследования.
- •Методы, препятствующие дизассемблированию информации.
- •Криптографические методы защиты информация. Классификация методов криптографического преобразования информации.
- •Криптографические методы защиты информация. Шифрование информации.
- •Криптографические методы защиты информация. Стеганография информации.
- •Криптографические методы защиты информация. Кодирование информации.
- •Криптографические методы защиты информация. Сжатие информации.
- •Концепция создания комплексных систем защиты информации.
- •Этапы создания комплексных систем защиты информации.
- •Научно-исследовательская разработка комплексных систем защиты информации.
- •Моделирование комплексных систем защиты информации.
- •Особенности защиты информации в базах данных.
- •Законодательный уровень информационной безопасности (на конкретных примерах законодательства рф).
- •Стандарты и спецификации в области информационной безопасности (на конкретных примерах).
- •Политика рф в области безопасности информационных технологий.
21. Использование защищенных компьютерных сетей. Защита информации в каналах связи.
Для ЗИ, передаваемой по каналам связи применятся комплекс методов и средств, позволяющей блокировать возможные угрозы ИБ.
Противодействие ложным соединениям абонентов обеспечивается применением процедуры взаимного подтверждения подлинности абонента. А против передачи дублей сообщения, используется механизм квитирования - передача сигнала от отправителя, при получении которой получатель отсылает обратно подтверждение, что информация дошла целой и невредимой.
Для некоторых ИС важна интенсивность обмена по коммуникационным подсистемам. Эта информация скрывается путем добавления к рабочему трафику обмена спец. сообщений с произвольной или случайной информацией. Дополнительно этот метод позволяет не только поддерживать трафик на одном уровне, но и постоянно тестировать подсистему.
Попыткам блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ в подсистеме управления должны быть созданы распределенные механизмы контроля интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании лимита активности или в случае угрожающего возрастания трафика. Для блокирования угроз физического воздействия на каналы связи (нарушение линий связи или помехи в радиоканалах) необходимо иметь дублирующие каналы с возможностью автоматического перехода на их использование.
Защита информации на уровне управления сетью
В этой подсистеме должны быть созданные распределенные механизмы контроля, интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании или лимита активности, или в случае угрожающего возрастания трафика. Для блокирования угроз физического воздействия предусматривают дублирующие каналы с возможностью автоматического перехода на их использование. Наиболее надежный способ хранения ключей – когда ключи генерируются датчиком случайных чисел и записываются в специальное ассоциативное запоминающее устройство. Тогда все действия с ключами производятся в замкнутом пространстве, а необходимые ключи выбираются из специальной памяти для проверки или отсылки в соответствии с идентификацией администратора или абонента.
Использование защищенных компьютерных сетей. Межсетевое экранирование.
Для блокирования угроз из общедоступной системы, используется специальное программное или аппаратно-программное средство – межсетевой экран. МЭ реализует контроль за информацией, поступающей в защищенную систему и выходящей из нее.
Он выполняет функции:
фильтрации данных;
использования экранирующих агентов;
трансляции адресов;
регистрации событий.
Основной функцией МЭ является фильтрация входного и/или выходного трафика. В зависимости от степени защищенности сети могут задаваться различные правила фильтрации, которые устанавливаются путем выбора последовательности фильтров, разрешающих или запрещающих передачу данных (пакетов) на следующий фильтр или уровень протокола. МЭ осуществляет фильтрацию на канальном, сетевом, транспортном и на прикладном уровнях. Чем большее количество уровней охватывает экран, тем он совершеннее. МЭ, предназначенные для защиты информации высокой степени важности, должны обеспечивать:
фильтрацию по адресам отправителя и получателя;
фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрацию с учетом входного и выходного сетевого интерфейса для проверки подлинности сетевых адресов;
фильтрацию с учетом значимых полей сетевых пакетов или с учетом даты и времени;
фильтрацию на транспортном уровне запросов на установление виртуальных соединений или на прикладном уровне запросов к прикладным сервисам;
возможность сокрытия субъектов доступа защищаемой сети и трансляции адресов.
В МЭ могут использоваться экранирующие агенты (proxy-серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, пересылают информацию, осуществляя контроль и регистрацию. Их основной функцией является сокрытие от субъекта доступа истинного объекта.
Функция трансляции адресов МЭ предназначена для скрытия от внешних абонентов истинных внутренних адресов. МЭ выполняет регистрацию событий в специальных журналах. Анализ записей позволяет зафиксировать попытки нарушения установленных правил обмена информацией в сети и выявить злоумышленника.
МЭ обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды, позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.
МЭ могут использоваться внутри защищенных сетей, если имеются фрагменты сети с различной степенью конфиденциальности информации. В этом случае экраны называют внутренними.
В зависимости от степени конфиденциальности и важности информации установлены пять классов защищенности МЭ. МЭ первого класса устанавливается при обработке информации с грифом «особой важности».