|
Оглавление1. Топология и угрозы безопасности локальной сети 2. Основные пути обеспечения информационной безопасности корпоративной сети 3. Уязвимости и защита в INTERNET. Заключение Методические указания к лабораторным работам Контрольно-измерительные материалы Для бесплатного чтения доступна только часть главы! Для чтения полной версии необходимо приобрести книгу2. ОСНОВНЫЕ ПУТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИКорпоративная информационная система (сеть) – информационная система, участником которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об электронно-цифровой подписи). Корпоративные сети относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности корпоративной сети предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, т.е. защиту всех компонентов корпоративной сети – аппаратных средств, программного обеспечения, данных и персонала. 2.1. Аппаратные методы защитыК аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие: – специальные регистры для хранения реквизитов защиты – паролей, идентифицирующих кодов, грифов или уровней секретности; – генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства; – устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации; – специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты; – схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных. Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). 2.1.1. Криптографические методы защиты информацииКодирование и шифрование — основные методы криптографической защиты. Наряду с ними к криптографическим методам относят методы рассечения (разнесения) и сжатия (расширения) информации. Рассечение (разнесение) информации заключается в том, что массив защищенных данных делится на части, каждая из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Эти фрагменты можно передавать по нескольким источникам, разносить по времени и по месту записи на дискете или любом другом запоминающем устройстве. Сжатие (расширение) информации представляет собой замену часто встречающихся одинаковых последовательностей символов некоторыми заранее выбранными символами или же подмешивание дополнительной информации. В основе криптографической защиты информации лежит ее шифрование, т.е. преобразование данных к такому виду, что они становятся нечитабельными для тех, для кого не предназначены. Чтобы обеспечить нечитабельность для одних и доступность информации для других, необходимо соблюдать 4 основных правила обеспечения безопасности: • конфиденциальность; • аутентификацию; • целостность; • контроль участников взаимодействия. Для контроля целостности используется построение так называемого дайджеста сообщения или электронной подписи. При построении этой подписи используется специальная функция, схожая с известной функцией CRC (Control Cyclic Code). Результаты работы этой функции шифруются. Получателю остается только выполнить эту функцию для принятого сообщения и сравнить результат с расшифрованным. Основные направления использования криптографических методов — это передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде. Криптографический алгоритм, называемый алгоритмом шифрования, представляет собой некоторую математическую функцию, используемую для шифрования и расшифровки. Точнее таких функций две: одна применяется для шифрования, а другая — для расшифрования. Различается шифрование двух типов: • симметричное (с секретным ключом); • несимметричное (с открытым ключом). При симметричном шифровании (рис. 2.1) создается ключ, файл совместно с этим ключом пропускается через программу шифрования и полученный результат пересылается адресату, а сам ключ передается адресату отдельно, используя другой (защищенный или очень надежный) канал связи. Адресат, запустив ту же самую шифровальную программу с полученным ключом, сможет прочитать сообщение. Симметричное шифрование не так надежно, как несимметричное, поскольку ключ может быть перехвачен, но из-за высокой скорости обмена информацией оно широко используется, например, в операциях электронной торговли. Рис. 2.1. Симметричное шифрование Несимметричное шифрование сложнее, но и надежнее. Для его реализации (рис. 2.2) нужны два взаимосвязанных ключа: открытый и закрытый. Получатель сообщает всем желающим свой открытый ключ, позволяющий шифровать для него сообщения. Закрытый ключ известен только получателю сообщения. Когда кому-то нужно послать зашифрованное сообщение, он выполняет шифрование, используя открытый ключ получателя. Получив сообщение, последний расшифровывает его с помощью своего закрытого ключа. За повышенную надежность несимметричного шифрования приходится платить: поскольку вычисления в этом случае сложнее, то процедура расшифровки отнимает больше времени. Рис. 2.2. Несимметричное шифрование В современной криптографии указанные выше проблемы решаются с помощью использования ключа, который нужно выбирать среди значений, принадлежащих множеству, называемому ключевым пространством. Функции шифрования и расшифровки зависят от этого ключа. Некоторые алгоритмы шифрования используют различные ключи для шифрования и расшифрования. Это означает, что ключ шифрования отличается от ключа расшифрования. Надежность алгоритма шифрования с использованием ключей достигается за счет их надлежащего выбора и последующего хранения в строжайшем секрете. Это означает, что такой алгоритм не требуется держать в тайне. Можно организовать массовое производство криптографических средств, в основу функционирования которых положен данный алгоритм. Даже зная криптографический алгоритм, злоумышленник все равно не сможет прочесть зашифрованные сообщения, поскольку он не знает секретный ключ, использованный для их зашифрования. В большинстве симметричных алгоритмов применяют всего один ключ. Такие алгоритмы именуются одно ключевыми, или алгоритмами с секретным ключом, и требуют, чтобы отправитель сообщений и их получатель заранее условились о том, каким ключом они будут пользоваться. Надежность одно ключевого алгоритма определяется выбором ключа, поскольку его знание дает возможность злоумышленнику без помех расшифровывать все перехваченные сообщения, поэтому выбранный ключ следует хранить в тайне от посторонних. Симметричные алгоритмы шифрования подразделяются на: • потоковые (поточные); • блочные. Алгоритмы, в которых открытый текст обрабатывается побитно, называются потоковыми алгоритмами или потоковыми шифрами. В других алгоритмах открытый текст разбивается на блоки, состоящие из нескольких бит. Такие алгоритмы называются блочными, или блочными шифрами. В современных компьютерных алгоритмах блочного шифрования длина блока обычно составляет 64 бита. Основное преимущество несимметричных алгоритмов перед симметричными состоит в том, что секретный ключ, позволяющий расшифровывать всю получаемую информацию, известен только получателю сообщения. Кроме того, первоначальное распределение ключей в системе не требует передачи секретного ключа, который может быть перехвачен нарушителем. Несимметричные алгоритмы получили новое качество — на их основе строятся протоколы цифровой подписи. Для аутентификации с использованием симметричных алгоритмов часто требуется участие доверенной третьей стороны, которая, как, например, в схеме Kerberos, хранит копии секретных ключей всех пользователей. Компрометация третьей стороны может привести к компрометации всей системы аутентификации. В системах с открытым ключом эта проблема устранена потому, что каждый пользователь отвечает за безопасность только своего секретного ключа. Симметричные алгоритмы при обнаружении в них каких-либо слабостей могут быть доработаны путем внесения небольших изменений, а для несимметричных такая возможность отсутствует. Симметричные алгоритмы работают значительно быстрее, чем алгоритмы с открытым ключом. На практике несимметричные алгоритмы шифрования часто применяются в совокупности с симметричными алгоритмами: открытый текст зашифровывается симметричным алгоритмом, а секретный ключ этого симметричного алгоритма зашифровывается на открытом ключе несимметричного алгоритма. Такой механизм называют цифровым конвертом (digital envelope). Наиболее широко в настоящее время применяются следующие алгоритмы шифрования: • DES (Data Encryption Standard); • Blowfish; • IDEA (International Decryption-Encryption Algorithm); • ГОСТ 28147-89; • RSA (авторы: Rivest, Shamir и Alderman); • PGP. В симметричных криптоалгоритмах (DES, ГОСТ, Blowfish, RC5, IDEA) для шифрования и расшифрования информации используется один и тот же секретный ключ. Достоинствами таких алгоритмов являются: • простота программной и аппаратной реализации; • высокая скорость работы в прямом и обратном направлениях; • обеспечение необходимого уровня защиты информации при использовании коротких ключей. К основным недостаткам этих криптоалгоритмов следует отнести увеличение затрат по обеспечению дополнительных мер секретности при распространении ключей, а также то, что алгоритм с секретным ключом выполняет свою задачу только в условиях полного доверия корреспондентов друг другу. В несимметричных криптоалгоритмах (RSA, PGP, ECC) прямое и обратное преобразования выполняются с использованием открытого и секретного ключей, которые не имеют взаимосвязи, позволяющей по одному ключу вычислить другой. С помощью открытого ключа практически любой пользователь может зашифровать свое сообщение или проверить электронно-цифровую подпись. Расшифровать такое сообщение или поставить подпись может только владелец секретного ключа. Такие алгоритмы позволяют реализовать протоколы типа цифровой подписи, обеспечивают открытое распространение ключей и надежную аутентификацию в сети, устойчивую даже к полному перехвату трафика. Внимание! Авторские права на книгу "Защита информационных процессов в компьютерных сетях. Учебно-методический комплекс" (Варлатая С.К., Шаханова М.В.) охраняются законодательством! |