Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5277 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный авиационный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
БОГУШ,ЮДИН.doc
Скачиваний:
1546
Добавлен:
19.02.2016
Размер:
3.5 Mб
Скачать
►Содержание►

7.3.2 Загрози в архітектурі відкритих мереж

В архітектурі відкритих мереж використовується поняття "кате­горія загрози".

Категорія загрози пов'язана із загрозою безпеці інформації (даних) в телекомунікаційних мережах. Для МВВС виділяють п'ять категорій загроз:

  • розкриття змісту повідомлень, що передаються;

  • аналіз трафіка, що дозволяє визначити належність відправника і одержувача даних до однієї з груп користувачів мережі;

  • зміна потоку повідомлень, що може привести до порушення ре­жиму роботи будь-якого об'єкта, що керується з віддаленої ЕОМ;

  • неправомірна відмова в наданні послуг;

  • несанкціоноване встановлення з'єднання.

Згідно до визначення терміна безпека інформації першу і дру­гу загрозу можна віднести до витоку інформації, третю і п'яту — до її модифікації, а четверту загрозу до порушення процесу обміну інформацією, тобто до її втрати.

На фізичному та канальному рівнях імовірні наступні загрози:

  • несанкціоноване підключення;

  • помилкова комутація; прослуховування;

  • перехоплення;

  • фальсифікація інформації;

  • імітоатаки;

  • фізичне знищення каналу зв'язку.

Для мережаного рівня характерні наступні загрози:

• аналіз службової інформації, тобто адресної інформації та топо­логії мережі;

306

Розділ 7 Основи безпеки інформаційних ресурсів

  • атаки на систему маршрутизації. Можлива модифікація маршру-тизаційних таблиць через протоколи динамічної маршрутизації та міжмережний протокол керуючих повідомлень (ІСМР);

  • фальсифікація ІР-адрес;

  • атаки на систему керування;

  • прослуховування;

  • перехоплення та фальсифікація інформації;

  • імітоатаки.

На транспортному рівні ймовірні загрози:

  • несанкціоновані з'єднання;

  • розвідка додатків;

  • атаки на систему керування;

  • прослуховування;

  • перехоплення та фальсифікації інформації;

  • імітоатаки.

На прикладному рівні ймовірні загрози:

  • несанкціонований доступ до даних;

  • розвідка імен і паролів користувачів;

  • маскування під санкціонованого користувача;

  • атаки на систему керування;

  • атаки через стандартні прикладні протоколи;

  • фальсифікація інформації;

  • імітоатаки.

7.3.3 Процедури захисту

Архітектура захисту інформації в мережах телекомуні­кації — концепція захисту інформації в мережах телекомунікації що використовують міжнародні стандарти, яка розроблена і розвиває­ться Міжнародною організацією зі стандартизації (ISO) (див. реко­мендації МСЕ) у відповідності до ідеології моделі взаємодії відкри­тих систем.

Рекомендації МСЕ для захисту інформації у телекомунікаціях [ITU-T Recommendations] — це процедури, рекомендовані Міжнаро­дною організацією зі стандартизації (ISO) для створення сервісних служб захисту інформації у мережах телекомунікації [84].

Процедура шифрування даних у телекомунікаційних систе­мах призначена для "закриття" всіх даних абонента або декількох по­лів повідомлення. Може мати два рівні: шифрування в каналі зв'язку (лінійне) і міжкінцеве (абонентське) шифрування.

307

Частина II Основи безпеки інформаційних технологій

Процедура цифрового підписув телекомунікаційних систе­мах служить для підтвердження правильності змісту повідомлен­ня. Вона засвідчує факт його відправлення власне тим абонентом, який вказаний у заголовкові як джерело даних. Цифровий підпис є функцією від змісту таємної інформації, відомої тільки абоненту-джерелу, і загальної інформації, відомої всім абонентам системи.

Процедура керування доступом до ресурсів телекомунікацій­ної системи виконується на основі множини правил і формальних моделей, що використовуються як аргумент доступу до інформації інформацію про ресурси (класифікацію) та ідентифікатори абонен­тів. Службова інформація для керування доступом (паролі абонен­тів, списки дозволених операцій, персональні ідентифікатори, часові обмежувачі і т. ін.) містяться в локальних базах даних забезпечення безпеки мережі.

Процедура забезпечення цілісності даних у телекомуніка­ційних системах передбачає введення в кожне повідомлення деякої додаткової інформації, яка є функцією від змісту повідомлення. В рекомендаціях МОС розглядаються методи забезпечення цілісності двох типів: перші забезпечують цілісність поодинокого блока даних, інші — цілісність потоку блоків даних або окремих полів цих бло­ків. При цьому забезпечення цілісності потоку блоків даних не має сенсу без забезпечення цілісності окремих блоків. Ці методи застосо­вуються у двох режимах — при передаванні даних по віртуальному з'єднанню і при використанні дейтаграмного передавання. В першо­му випадку виявляються невпорядкованість, утрати, повтори, встав­ки даних за допомогою спеціальної нумерації блоків або введенням міток часу. У дейтаграмному режимі мітки часу можуть забезпечи­ти тільки обмежений захист цілісності послідовності блоків даних і запобігти переадресації окремих блоків.

Процедура автентифікації у телекомунікаційних системах призначена для захисту при передаванні в мережі паролів, автен-тифікаторів логічних об'єктів і т. ін. Для цього використовуються криптографічні методи і протоколи, засновані, наприклад, на про­цедурі "трикратного рукостискання". Метою таких протоколів є за­хист від установлення з'єднання з логічним об'єктом, утвореним по­рушником або діючим під його керуванням із метою імітації роботи справжнього об'єкта.

Процедура заповнення потоку в телекомунікаційних систе­мах призначена для запобігання аналізу трафіка. Ефективність за­стосування цієї процедури підвищується, якщо одночасно з нею пе-

308

Розділ 7 Основи безпеки інформаційних ресурсів

редбачене лінійне шифрування всього потоку даних, тобто потокиінформації й заповнення стають нерозбірливими.

Процедура керування маршрутом у телекомунікаційній си­стемі призначена для організації передавання тільки маршрутами, утвореними за допомогою надійних і безпечних технічних засобів і систем. При цьому може бути організований контроль із боку одер­жувача, який у випадку виникнення підозри про компрометацію ви­користовуваної системи захисту може вимагати зміну маршруту.

Процедура підтвердження характеристик даних у телеко­мунікаційних системах передбачає наявність арбітра, який є довіре­ною особою взаємодіючих абонентів і може підтвердити цілісність, час передавання документів, а також запобігти можливості відмови джерела від видавання будь-якого повідомлення, а споживача — від його приймання, тобто підтвердження причетності.

Спільне використання процедур захисту дозволяє організувати 14 сервісних служб захисту інформації у мережах телекомунікації (див. рис. 7.14).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности