Забезпечення конфіденційності, цілісності і автентичності інформації (Слайд 14, 15, 16)

Задача забезпечення конфіденційності інформації полягає в захисті даних, що передаються, від несанкціонованого читання і копіювання. Основним засобом забезпечення конфіденційності інформації є шифрування. Слід зазначити, що шифрування – це криптографічний базис, який лежить в основі всіх сервісів інформаційної безпеки (система автентифікації або авторизації, засіб створення захищеного каналу, спосіб безпечного зберігання даних).

Забезпечення цілісності даних, що передаються, досягається за рахунок перевірки того, що дані в процесі передачі не були спотворені зловмисником або через помилки передачі в мережі. Звичайно контроль цілісності виконується прозорим для додатків чином як частина загальної протокольної обробки.

Автентифікація даних означає доказ їх цілісності, а також того, що вони поступили від конкретної людини, яка оголосила про це. Для здійснення автентифікації даних звичайно використовується криптографічний механізм електронного цифрового підпису.

Необхідно звернути увагу на те, що у комп'ютерної криптографії дві сторони – власне криптографічна і інтерфейсна, що забезпечує сполучення з іншими частинами інформаційної системи. Стандартизація інтерфейсом і їх функціональна різноманітність дозволить розробляти криптографічні компоненти, які можна було б вбудовувати в існуючі і перспективні конфігурації VPN.

Авторизація і управління доступом

Система авторизації має справу з легальними користувачами, які успішно пройшли процедуру автентифікації. Мета системи авторизації полягає в тому, щоб надати конкретному легальному користувачу ті види доступу до мережевих ресурсів, які були визначені для нього адміністратором системи.

Система авторизації надає легальним користувачам не тільки певні права доступу до каталогів, файлів і принтерів, але і регулює доступ до засобів шифрування пакетів, формування цифрового підпису і певним VPN-пристроям.

Процедури авторизації реалізуються програмними засобами, вбудованими в операційну систему або в додаток. При побудові програмних засобів авторизації застосовуються два підходи:

• централізована схема авторизації;

• децентралізована схема авторизації.

Основне призначення централізованої системи авторизації – реалізувати принцип єдиного входу. Управління процесом надання ресурсів користувачу здійснюється сервером. Централізований підхід до процесу авторизації реалізований в системах Kerberos, RADIUS і TAGACS.

При децентралізованому підході до процесу авторизації кожна робоча станція оснащується засобами захисту. В цьому випадку доступ до кожного додатку повинен контролюватися засобами захисту того операційного середовища, в якому працює даний додаток. Адміністратору мережі належить контролювати роботу засобів безпеки, використовуваних всіма типами додатків. При видаленні або додаванні нових користувачів йому доводиться конфігурувати доступ до кожної програми або системи.

У великих мережах звичайно застосовується комбінований підхід в наданні легальним користувачам прав доступу до мережевих ресурсів. Сервер видаленого доступу обмежує доступ користувачів до укрупнених елементів мережі – підмережам, сегментам мережі або корпоративним серверам. Кожен окремий сервер мережі здійснює обмеження доступу користувача до своїх внутрішніх ресурсів – каталогів, додатків або принтерів.

Останнім часом активно розвивається так зване рольове управління доступом. Воно не стільки вирішує проблеми безпеки, скільки покращує керованість систем, Суть рольового управління доступом полягає і тому, що між користувачами і їх привілеями поміщають проміжну суть – ролі. Будь-якому користувачу одночасно може бути призначено декілька ролей, кожна з яких дає йому цілком певні права.

Складність інформаційної системи характеризується, перш за все, числом зв'язків, що є в ній. Оскільки ролей багато менше, ніж користувачів і привілеїв, розподіл ролей сприяє пониженню складності і, отже, поліпшенню керованості системи.

Крім того, на підставі рольової моделі управління доступом можна реалізувати такий важливий принцип, як розділення обов'язків (в результаті, наприклад, стає неможливо поодинці скомпрометувати критично важливий процес). Між ролями можуть бути визначені статичні або динамічні відносини несумісності (припустимо, одному суб'єкту заборонено одночасно виконувати дві ролі).

Висновки

Віртуальна приватна мережа не новий, але, як бачимо, дуже корисний винахід в світі інформаційних технологій, який допоможе безпечно отримати потрібну Вам інформацію.

Слід зазначити, що для реалізації VPN існують цілі апаратні комплекси, однак вони не сягнули широкого поширення в силу своєї спрямованості на обслуговування великих підприємств і, як наслідок, дорожнечі. Обчислювальна потужність апаратних рішень звичайно дуже висока, але не завжди затребувана, тому програмні рішення, а тим більше стандартні, не потребують додаткових витрат на пошук і придбання додаткового програмного забезпечення, здобули таку величезну популярність.

Побудова VPN насправді дуже проста. Побудова інших видів VPN на основі Microsoft 2003 Server принципово нічим не відрізняються, все просто і легко.

На закінчення хотілося б сказати, що насправді способів застосування VPN дійсно дуже багато, і вони не вичерпуються лише випадками, зазначеними в цій лекції, а способи реалізації перерахувати практично неможливо. Мережі VPN, це завжди безпека самого підключення та інформації, що передається.

Окрім забезпечення захисту від сторонніх даних, що передаються, VPN несе з собою і низку інших переваг, у тому числі і економічних. Використання VPN дозволяє знизити багато статей витрат, включаючи закупівлю комунікаційного обладнання, оплату послуг інтернет-провайдера і т.і. Міжнародна Асоціація Комп'ютерної Безпеки (ICSA) зарахувала VPN до десятці найвідоміших технологій, які будуть в першу чергу застосовуватися багатьма компаніями. Це підтверджує і компанія Gartner Group, яка в одному зі своїх звітів передбачила, що засоби побудови VPN будуть застосовуватися майже в усіх компаній. Застосовуючи технологію VPN, можна не тільки заощадити кошти, але і відкрити нові можливості для бізнесу.