- •«Захист інформації телекомунікаційних систем та мереж»
- •1. Основні поняття галузі захисту інформації. Нормативно-правова база
- •1.1 Основні поняття в галузі технічного захисту інформації
- •1.2 Забезпечення інформаційної безпеки України у загальнодержавних інформаційних та телекомунікаційних системах
- •1.3. Законодавство України
- •1.4. Закордонний досвід у правовій сфері
- •2. Архітектура захисту інформації в мережах телекомунікацій
- •2.1. Архітектура відкритих систем (модель osi)
- •Модель osi
- •Рівні моделі osi
- •Мережозалежні та мережонезалежні рівні
- •Поняття “Відкрита система”
- •2.2. Загрози в архітектурі відкритих мереж
- •2.3 Процедури захисту
- •2.4. Сервісні служби захисту
- •2.5 Технічні канали витоку інформації
- •2.6 Методи та види несанкціонованого доступу до інформації
- •2.7 Особливості захисту інформації від несанкціонованого доступу в локальних обчислювальних мережах
- •3. Захист телекомунікацій з використанням криптографії
- •3.1 Однонапрямлені функції та односпрямовані хеш-функції
- •3.2 Модель криптосистеми з відкритим ключем
- •3.3 Алгоритми Шаміра, rsa та Діффі-Хеллмана
- •3.4 Електронний цифровий підпис. Класифікація атак на ецп
- •3.5 Особливості захисту електронних грошей
- •4. Проблеми безпеки та захист стаціонарного телефонного і стільникового зв’язку
- •4.1 Принципи побудови та класифікація засобів технічної розвідки, які використовуються в телефонних лініях
- •4.2 Класифікація методів виявлення несанкціонованих підключень до абонентських телефонних ліній
- •4.3 Класифікація і характеристика методів забезпечення конфіденційності телефонних повідомлень
- •4.4 Засоби безпеки стільникового зв’язку у мережах gsm та cdma
2.2. Загрози в архітектурі відкритих мереж
В архітектурі відкритих мереж використовуються поняття «категорія загрози». Категорія загрози пов’язана із загрозою безпеці інформації в телекомунікаційних мережах.
Для моделі відкритих систем виділяють п’ять категорій загроз:
Розкриття змісту повідомлень, що передаються;
Аналіз трафіка, що дозволяє визначити належність відправника і одержувача даних до однієї з груп користувачів мережі;
Зміна потоку повідомлень, що може призвести до порушення режиму роботи будь-якого об’єкта, що керується з віддаленої ЕОМ;
Неправомірна відмова в наданні послуг;
Несанкціоноване встановлення з’єднання.
Згідно до визначення терміну «безпека інформації», першу і другу загрозу можна віднести до витоку інформації, третю і п’яту – до її модифікації, а четверту – до порушення процесу обміну інформацією, тобто до її втрати.
На фізичному та канальному рівнях імовірні наступні загрози:
Несанкціоноване підключення;
Помилкова комутація, прослуховування;
Перехоплення;
Фальсифікація інформації;
Імітоатаки;
Фізичне знищення каналу зв’язку.
До мережного рівня характерні наступні загрози:
Аналіз службової інформації, тобто адресної інформації та топології мережі;
Атаки на систему маршрутизації – можлива модифікація маршрутизаційних таблиць через протоколи динамічної маршрутизації та міжмережний протокол керуючих повідомлень (ICMP);
Фальсифікат IP-адрес;
Атаки на систему керування;
Прослуховування;
Перехоплення та фальсифікація інформації;
Імітоатаки.
На транспортному рівні ймовірні загрози
Несанкціоновані з’єднання;
Розвідка прикладних програм;
Атаки на систему керування;
Прослуховування;
Перехоплення та фальсифікація інформації;
Імітоатаки.
На прикладному рівні ймовірні загрози:
Несанкціонований доступ до даних;
Розвідка імені користувачів і паролів;
Маскування під санкціонованого користувача;
Атаки на систему керування;
Атаки через стандартні прикладні протоколи;
Фальсифікація інформації;
Імітоатаки.
2.3 Процедури захисту
Архітектура захисту інформації в мережах телекомунікацій – концепція захисту інформації в мережах телекомунікацій, що використовують міжнародні стандарти, яка розроблена і розвивається Міжнародною організацією зі стандартизації (ISO) у відповідності до ідеології моделі взаємодії відкритих систем.
Рекомендації MCE для захисту інформації у телекомунікаціях (ITU-T Reccomendations) – це процедури, рекомендовані Міжнародною організацію зі стандартизації для створення сервісних служб захисту інформації у мережах телекомунікацій.
Процедура шифрування даних у телекомунікаційних системах призначена для «закриття» всіх даних абонента або декількох полів повідомлення. Може мати два рівні: шифрування в каналі зв’язку (лінійне) і міжкінцеве шифрування (абонентське).
Процедура цифрового підпису у телекомунікаційних системах служить для підтвердження правильності змісту повідомлення. Вона засвідчує факт його відправлення власне тим абонентом, який вказаний у заголовку як джерело даних. Цифровий підпис є функцією від змісту таємної інформації, відомої тільки абоненту-джерелу, і загальної інформації, відомої всім абонентам системи.
Процедура керування доступом до ресурсів телекомунікаційної системи виконується на основі множини правил і формальних моделей, що використовують як аргумент доступу до даних інформацію про ресурси та ідентифікатори абонентів. Службова інформація для керування доступом (паролі абонентів, списки дозволених операцій, персональниі ідентифікатори, часові обмежувачі і т.ін.) містяться в локальних базах даних забезпечення безпеки мережі.
Процедура забезпечення цілісності даних у телекомунікаційних системах передбачає введення в кожне повідомлення деякох додаткової інформації, яка є функцією від змісту повідомлення. В рекомендаціях OSI розглядаються методи забезпечення цілісності двох типів: перші забезпечують цілісніть поодинокого блоку даних, інші – цілісніть потоку блоків даних або окремих полів цих блоків. При цьому забезпечення цілісності потоку блоків даних не має сенсу без забезпечення цілісності окремих блоків.
Ці методи застосовуються у двох режимах: при передаванні даних по віртуальному з’єднанню і при використанні дейтаграмного передавання. В першому випадку виявляються невпорядкованість, втрати, повтори, вставки даних за допомогою спеціальної нумерації блоків або зведенням міток часу. У дейтаграмному режимі мітки часу можуть забезпечити тільки обмежений захист цілісності послідовності блоків даних і запобігти переадресації окремих блоків.
Процедура автентифікації в телекомунікаційних системах призначена для захисту при передаванні в мережі паролів, автентифікаторів логічних об’єктів і т.ін. Для цього використовуються криптографічні методи і протоколи, засновані, наприклад, на процедурі «трикратного рукостискання». Метою таких протоколів є захист від встановлення з’єднання з логічним об’єктом, утвореним порушником або діючим під його керуванням із метою імітації роботи справжнього об’єкта.
Процедура заповнення потоку в телекомунікаційних системах призначена для запобігання аналізу трафіку. Ефективність застосування цієї процедури підвищується, якщо одночасно з нею передбачене лінійне шифрування всього потоку даних, тобто потоки інформації й заповнення стають нерозбірливими.
Процедура керування маршрутом в телекомунікаційній системі призначена для організації передавання тільки маршрутами, утвореними за допомогою надійних і безпечних технічних засобів і систем.
При цьому може бути організований контроль з боку одержувача, який у випадку виникнення підозри про компрометацію використовуваної системи захисту може вимагати зміни маршруту.
Процедура підтвердження характеристик даних у телекомунікаційних системах передбачає наявність арбітра, який є довіреною особою взаємодіючих абонентів і може підтвердити цілісність, час передавання документів, а також запобігти можливості відмови джерела від видачі будь-якого повідомлення, а споживача – від його приймання, тобто підтвердження причетності.
Спільне використання процедур захисту дозволяє організувати 14 сервісних служб захисту інформації у мережах телекомунікацій.