- •Лекція №18 з навчальної дисципліни
- •1. Основні поняття безпеки телекомунікаційних систем
- •Загроза безпеці
- •Служби безпеки
- •Механізми безпеки
- •Оцінка рівня безпеки системи
- •Класифікація криптографічних алгоритмів
- •Симетричні криптоалгоритми des, аes
- •Асиметричний криптоалгоритм rsa
- •1. Пристрої для пошуку і знищення технічних засобів розвідки:
- •2. Пасивні засоби захисту приміщень і апаратури:
- •3. Технічні засоби криптографічного захисту інформації:
- •4. Спеціальні технічні засоби розпізнавання користувачів пк:
- •1. Програмні засоби парольної ідентифікації.
- •2. Програмні засоби шифрування інформації.
- •3. Програми видалення інформації з жорсткого диска.
- •4. Антивіруси.
- •5. Програми видалення spyware.
- •6. Стеганографічні продукти.
Механізми безпеки
Під механізмами безпеки розуміють конкретні методи, що нейтралізують загрозу безпеки.
Методи захисту інформації поділяються на:
Шифрування — зміна початкового вигляду повідомлення шляхом заміни або (і) перестановки символів; використовується для запобігання сприйняттю інформації сторонніми особами, ґрунтується на спеціальних криптографічних алгоритмах (див. п. 2 цього розділу).
Цифровий (електронний) підпис — спеціальна послідовність символів, що ідентифікує користувача і заноситься у створене ним повідомлення, основується на RSA-шифруванні.
Процес підпису документа полягає в наступному:
1. Будується спеціальна функція (аналог контрольної суми) — хеш-функція, що ідентифікує вміст документа (створюється «дайджест» документа). Сам документ при цьому не шифрується і залишається доступним будь-якому користувачу.
2. На другому кроці автор документа шифрує вміст хеш-функції своїм персональним закритим ключем. Зашифрована хеш-функція розміщується в документі.
Верифікуючи електронний підпис, одержувач повідомлення будує власний варіант хеш-функції підписаного документа, після чого розшифровує хеш-функцію, що міститься в повідомленні. Дві отримані хеш-функції порівнюються. Їхній збіг гарантує водночас дійсність вмісту документа і його авторство.
Контроль доступу використовується для ідентифікації користувача, здійснюється найчастіше за паролем. Крім пароля для ідентифікації можуть бути використані біометрія, незмінні характеристики устаткування (наприклад, MAC-адреси) чи спеціальні ідентифікаційні комплекси (Tacacs, Radіus), технічне приладдя, що ідентифікує користувача за певними особистими речами (магнітна картка, Touch Memory). Останнім часом для ідентифікації активно використовуються системи сертифікатів і спеціальних серверів для їхньої перевірки — CA (Certіfіcatіon Authorіtіes). Наприклад, Verіsіgn чи Entrust може обслуговувати сертифікати й ідентифікувати їхніх власників за протоколами HTTP і LDAP (X.509).
Забезпечення цілісності даних реалізується за рахунок приєднання до кожного пакета контрольних сум, нумерації блоків. Для забезпечення виявлення підміни, блоки можуть клеймуватися мітками часу. Найпопулярніші алгоритми перевірки цілісності даних на сьогодні — MD5 і SHA1.
Підстановка трафіка — механізм заповнення тексту, використовується для служби засекречування даних. Об’єкти мережі (спеціальне обладнання) генерують фіктивні блоки і передають їх по каналах (додатковий трафік).
Управління маршрутизацією — визначається маршрут передачі повідомлення таким чином, щоб уникнути використання каналів, де можливі крадіжки секретної інформації.
Арбітраж, чи освідчення, використовується для того, щоб користувач і отримувач інформації не могли відмовитися від факту передачі повідомлення. Для цього в системі створюється спеціальна служба, через яку проходять і реєструються всі повідомлення. Зазвичай реєстрація повідомлень виконується автоматично, а їх аналіз здійснює окремий фахівець (арбітр). Подібна служба може виявити джерело несанкціонованого доступу до системи. Можна зібрати статистику про функціонування системи.
Для служби автентифікації можна використати шифрування, цифровий електронний підпис та контроль доступу; для служби засекречування — шифрування та підстановку трафіка; для служби захисту від відмов — цифровий електронний підпис та арбітраж.