На головну

мережева безпека

  1. III. БЕЗПЕКА І ЗАХИСТ ТУРИСТІВ, туристських ПАМ'ЯТОК І ОБ'ЄКТІВ
  2. БЕЗПЕКА
  3. БЕЗПЕКА
  4. БЕЗПЕКА
  5. БЕЗПЕКА
  6. Безпека - корінна потреба людини
  7. Безпека Blowfish

Проблеми, що виникають з безпекою передачі інформації при роботі в комп'ютерних мережах, Можна розділити на три основні типи:

- Перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена;

- Модифікація інформації - вихідне повідомлення змінюється або повністю підміняється іншим і відсилається адресату;

- Підміна авторства інформації. Дана проблема може мати серйозні наслідки. Наприклад, хтось може надіслати листа від вашого імені (цей вид обману прийнято називати спуфінга) Або Web - сервер може «прикидатися» електронним магазином, приймати замовлення, номери кредитних карт, але не висилати ніяких товарів.

У відповідності з перерахованими проблемами при обговоренні питань безпеки під самим терміном «безпеку»Мається на увазі сукупність 3-х різних характеристик, що забезпечують безпеку системи:

1. Аутентифікація - Це процес розпізнавання користувача системи і надання йому певних прав і повноважень. Кожен раз, коли заходить мова про ступінь або як аутентифікації, під цим слід розуміти ступінь захищеності системи від зазіхань стоять осіб на ці повноваження.

Аутентифікація є одним з найважливіших компонентів організації захисту інформації в мережі. Перш, ніж користувачу буде надано право отримати той чи інший ресурс, необхідно переконатися, що він дійсно той, за кого себе видає.

При отриманні запиту на використання ресурсу від імені будь-якого користувача сервер, що надає даний ресурс, передає управління серверу аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс. При аутентифікації використовується, як правило принцип, який отримав назву «що він знає», - користувач знає деяке секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит.

Для аутентифікації суб'єкта найчастіше використовуються атрибутивні ідентифікатори, Які діляться на наступні категорії:

- Паролі;

- Знімні носії інформації;

- Електронні жетони;

- пластикові картки;

- Механічні ключі.

паролем називають комбінацію символів, яка відома тільки власнику пароля або, можливо, адміністратору системи безпеки. Зазвичай пароль вводиться з клавіатури ПК після включення живлення. Можливе введення пароля з пульта управління або спеціального складального пристрою. При організації парольного захисту необхідно виконувати наступні рекомендації:

1) Обов'язково запишіть ваш пароль запам'ятовувати, а не записувати.

2) Довжина пароля повинна бути не менше дев'яти символів.

3) Паролі повинні періодично змінюватися.

4) У комп'ютерній системі (КС) повинні фіксуватися моменти часу успішного отримання доступу і невдалого введення пароля. Інформація про спроби невірного введення пароля повинні піддаватися статистичній обробці і повідомлятися адміністратору.

5) Паролі повинні зберігатися в КС так, щоб доступ до них був утруднений. Це досягається двома способами:

- Паролі зберігаються в спеціальному ЗУ, запис до якої здійснюється в спеціальному режимі;

- Паролі піддаються криптографічного перетворення (шифрування).

6) При введенні пароля не видавати ніяких відомостей на екран, щоб утруднити підрахунок введених символів.

7) Чи не використовувати як паролі імена і прізвища, дні народження і географічні чи інші назви. Бажано міняти при введенні пароля регістри, використовувати спеціальні символи, набирати російський текст на латинській мові, використовувати парадоксальні поєднання слів.

В даний час апаратура КС підтримує введення пароля до початку завантаження операційної системи. Такий пароль зберігається в незалежній пам'яті і забезпечує запобігання несанкціонованого доступу (НСД) до завантаження будь-яких програмних засобів. Цей пароль вважається ефективним засобом, якщо зловмисник не має доступу до апаратури КС, так як відключення внутрішнього харчування скидає цей пароль.

Інші способи ідентифікації (знімні носії, карти та ін.) Припускають наявність технічних засобів, що зберігають ідентифікаційну інформацію. знімний носій, Що містить таку нормативну інформацію - ім'я користувача і його пароль, знаходиться у користувача КС, яка забезпечена пристроєм для зчитування інформації з носія.

Для ідентифікації і аутентифікації часто використовується стандартний гнучкий диск або флеш-пам'ять. Переваги такого ідентифікатора полягають в тому, що не потрібно використання додаткових апаратних засобів і крім ідентифікаційного коду на носії може зберігатися і інша інформація, наприклад, контролю цілісності інформації, атрибути шифрування та ін.

Іноді, для підвищення рівня захищеності, використовуються спеціальні переносні електронні пристрої, що підключаються, наприклад, до стандартних входів КС. До них відноситься електронний жетон-генератор - прилад, що виробляє псевдослучайную символьну послідовність, яка змінюється приблизно раз на хвилину синхронно зі зміною такого ж слова в КС. Жетон використовується для одноразового входу в систему. Існує інший тип жетона, що має клавіатуру і монітор. У процесі ідентифікації КС видає випадкову символьну послідовність, яка набирається на клавіатурі жетона, по ній на моніторі жетона формується нова послідовність, яка вводиться в КС як пароль.

До недоліку способу ідентифікації і аутентифікації за допомогою додаткового знімного пристрою можна віднести можливість його втрати або розкрадання.

Одним з надійних способів аутентифікації є біометричний принцип, Який використовує деякі стабільні біометричні показники користувача, наприклад, відбитки пальців, малюнок кришталика ока, ритм роботи на клавіатурі та ін. Для зняття відбитків пальців і малюнка кришталика потрібні спеціальні пристрої, які встановлюються на КС вищих рівнів захисту. Ритм роботи при введенні інформації перевіряється на штатній клавіатурі КС і, як показують експерименти, є цілком стабільним і надійним. Навіть підглядання за роботою користувача при наборі ключової фрази не дає гарантії ідентифікації зловмисника при його спробі повторити всі дії при наборі фрази.

2. Цілісність- Стан даних, при якому вони зберігають свій інформаційний зміст і однозначність інтерпретацій в умовах різних впливів. Зокрема, в разі передачі даних під цілісністю розуміється ідентичність відправленого і прийнятого.

3. Секретність - Запобігання несанкціонованому доступу до інформації. У разі передачі даних під цим терміном звичайно розуміють запобігання перехоплення інформації.

При роботі в Інтернеті слід мати на увазі, що наскільки ресурси Всесвітньої мережі відкриті кожному клієнту, настільки ж і ресурси його комп'ютерної системи можуть бути за певних умов відкриті всім, хто володіє необхідними засобами.

Для приватного користувача цей факт не грає особливої ??ролі, але знати про нього необхідно, щоб не допускати дій, що порушують законодавства тих країн, на території яких розташовані сервери Інтернету. До таких діям відносяться вільні або мимовільні спроби порушити працездатність комп'ютерних систем, спроби злому захищених систем, використання і поширення програм, що порушують працездатність комп'ютерних систем (зокрема, комп'ютерних вірусів).

Працюючи у Всесвітній мережі, слід пам'ятати про те, що абсолютно всі дії фіксуються і записуються спеціальними програмними засобами, і інформація як про законних, так і про незаконні дії обов'язково десь накопичується. Таким чином, до обміну інформацією в Інтернеті слід підходити як до звичайної листуванні з використанням поштових листівок. Інформація вільно циркулює в обидва боки, але в загальному випадку вона доступна всім учасникам інформаційного процесу. Це стосується всіх служб Інтернету, відкритих для масового використання.

Однак навіть у звичайній поштового зв'язку поряд з листівками існують і поштові конверти. Використання поштових конвертів при листуванні не означає, що партнерам є, що приховувати. Їх застосування відповідає давно сформованій історичній традиції та усталеним морально-етичним нормам спілкування. Потреба в аналогічних «конвертах» для захисту інформації існує і в Інтернеті. Сьогодні Інтернет є не тільки засобом спілкування і універсальної довідкової системою - в ньому циркулюють договірні і фінансові зобов'язання, необхідність захисту яких як від перегляду, так і від фальсифікації очевидна. Починаючи з 1999 року Інтернет стає потужним засобом забезпечення роздрібного торгового обороту, а це вимагає захисту даних кредитних карт і інших електронних платіжних засобів.

Принципи захисту інформації в Інтернеті спираються на визначення інформації, сформульоване нами раніше. інформація - Це продукт взаємодії даних і адекватних їм методів. Якщо в ході комунікаційного процесу дані передаються через відкриті системи (а Інтернет відноситься саме до таких), то виключити доступ до них сторонніх осіб неможливо навіть теоретично. Відповідно, системи захисту зосереджені на другому компоненті інформації - на методах. Їх принцип дії заснований на тому, щоб виключити або, принаймні, ускладнити можливість підбору адекватного методу для перетворення даних в інформацію. Одним із прийомів такого захисту є шифрування даних.

Системам шифрування стільки ж років, скільки письмовою обміну інформацією. Звичайний підхід полягає в тому, що до документа застосовується якийсь метод шифрування, заснований на використанні ключа, Після чого документ стає недоступний для читання звичайними засобами. Його можна прочитати тільки той, хто знає ключ, - тільки він може застосувати адекватний метод читання. Аналогічно відбувається шифрування і відповідного повідомлення. Якщо в процесі обміну інформацією для шифрування і читання користуються одним і тим же ключем, то такий криптографічний процес є симетричним.

Основний недолік симетричного процесу полягає в тому, що, перш ніж почати обмін інформацією, треба виконати передачу ключа, а для цього знову таки потрібна захищена зв'язок, тобто проблема повторюється, хоча і на іншому рівні. Якщо розглянути оплату клієнтом товару або послуги за допомогою кредитної карти, то виходить, що торговельна фірма повинна створити по одному ключу для кожного свого клієнта і якимось чином передати їм ці ключі. Це вкрай незручно.

Тому в даний час в Інтернеті використовують несиметричні криптографічні системи, Засновані на використанні не одного, а двох ключів. Відбувається це таким чином. Компанія для роботи з клієнтами створює два ключі: один відкритий (public - публічний), а інший закритий (private - особистий). Насправді це як би дві «половинки» одного цілого ключа, пов'язані друг. з другом.

Ключі влаштовані так, що повідомлення, зашифроване однією половинкою, можна розшифрувати лише іншою половинкою (не тієї, якою вона була закодовано). Створивши пару ключів, торгова компанія широко поширює публічний ключ (відкриту половинку) і надійно зберігає закритий ключ (свою половинку).

Як публічний, так і закритий ключі являють собою якусь кодову послідовність. Публічний ключ компанії може бути опублікований на її сервері, звідки кожен бажаючий може його отримати. Якщо клієнт хоче зробити фірмі замовлення, він візьме її публічний ключ і з його допомогою закодує своє повідомлення про замовлення і дані про свою кредитну картку. Після кодування це повідомлення може прочитати тільки власник закритого ключа. Ніхто з учасників ланцюжка, по якій пересилається інформація, не в змозі це зробити. Навіть сам відправник не може прочитати власне повідомлення, хоча йому добре відомо зміст. Лише одержувач зможе прочитати повідомлення, оскільки тільки у нього є закритий ключ, що доповнює використаний публічний ключ.

Якщо фірмі треба буде відправити клієнту квитанцію про те, що замовлення прийняте до виконання, вона закодує її своїм закритим ключем. Клієнт зможе прочитати квитанцію, скориставшись наявними у нього публічним ключем даної фірми. Він може бути впевнений, що квитанцію йому відправила саме ця фірма, оскільки ніхто інший доступу до закритого ключа фірми не має.

Принцип достатності захисту.

Захист публічним ключем (втім, як і більшість інших видів захисту інформації) не є абсолютно надійною. Справа в тому, що оскільки кожен бажаючий може отримати і використовувати чийсь публічний ключ, то він може як завгодно детально вивчити алгоритм роботи механізму шифрування і намагатися встановити метод розшифровки повідомлення, тобто реконструювати закритий ключ.

Це настільки справедливо, що алгоритми кодування публічним ключем навіть немає сенсу приховувати. Зазвичай до них є доступ, а часто вони просто широко публікуються. Тонкість полягає в тому, що знання алгоритму ще не означає можливості провести реконструкцію ключа в розумно прийнятні терміни. Так, наприклад, правила гри в шахи відомі всім, і неважко створити алгоритм для перебору всіх можливих шахових партій, але він нікому не потрібен, оскільки навіть найшвидший сучасний суперкомп'ютер буде працювати над цим завданням довше, ніж існує життя на нашій планеті.

Кількість комбінацій, яке треба перевірити при реконструкції закритого ключа, не настільки велика, як кількість можливих шахових партій, однак захист інформації прийнято вважати достатньою, якщо витрати на її подолання перевищують очікувану цінність самої інформації. У цьому полягає принцип достатності захисту, Яким керуються при використанні несиметричних засобів шифрування даних. Він передбачає, що захист не абсолютна і прийоми її зняття відомі, але вона все ж достатня для того, щоб зробити цей захід недоцільним. При появі інших засобів, що дозволяють таки отримати зашифровану інформацію в розумні терміни, змінюють принцип роботи алгоритму, і проблема повторюється на більш високому рівні.

Зрозуміло, не завжди реконструкцію закритого ключа виробляють методами простого перебору комбінацій. Для цього існують спеціальні методи, засновані на дослідженні особливостей взаємодії відкритого ключа з певними структурами даних. Область науки, присвячена цим дослідженням, називається криптоаналізу, А середня тривалість часу, необхідного для реконструкції закритого ключа по його опублікованому відкритому ключу, називається криптостійкості алгоритму шифрування.

У міру розширення діяльності підприємств, зростання чисельності персоналу і появи нових філій, виникає необхідність доступу віддалених користувачів (або груп користувачів) до обчислювальних і інформаційних ресурсів головного офісу компанії. Найчастіше для організації віддаленого доступу використовуються кабельні лінії (звичайні телефонні або виділені) і радіоканали. У зв'язку з цим захист інформації, що передається по каналах віддаленого доступу,вимагає особливого підходу.

Зокрема, в мостах і маршрутизаторах віддаленого доступу застосовується сегментація пакетів - Їх поділ і передача паралельно по двох лініях, що робить неможливим "перехоплення" даних при незаконному підключенні «хакера» до однієї з ліній. До того ж використовується при передачі даних процедура стиснення переданих пакетів гарантує неможливість розшифровки «перехоплених" даних. Крім того, мости і маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддалені користувачі будуть обмежені в доступі до окремих ресурсів мережі головного терміналу.

Метод автоматичного зворотного виклику.Може забезпечувати більш надійний захист системи від несанкціонованого доступу, ніж прості програмні паролі. В даному випадку користувачеві не потрібно запам'ятовувати паролі і стежити за дотриманням їх секретності. Ідея системи зі зворотним викликом досить проста. Віддалені від центральної бази користувачі не можуть безпосередньо з нею поводитися. Спочатку вони отримують доступ до спеціальної програми, яку повідомляють відповідні ідентифікаційні коди. Після цього розривається зв'язок і проводиться перевірка ідентифікаційних кодів. У разі якщо код, посланий по каналу зв'язку, правильний, то проводиться зворотний виклик користувача з одночасною фіксацією дати, часу і номера телефону. До недоліку розглянутого методу слід віднести низьку швидкість обміну - середній час затримки може обчислюватися десятками секунд.

Вкомпьютерних мережах при організації контролю доступу та розмежування повноважень користувачів найчастіше використовуються вбудовані засоби мережевих операційних систем (ОС). Використання захищених операційних систем є одним з найважливіших умов побудови сучасних інформаційних систем. Наприклад, ОС UNIX дозволяє власнику файлів надавати права іншим користувачам - тільки читати або записувати, для кожного зі своїх файлів. Найбільшого поширення в нашій країні отримує ОС Windows NT, в якій з'являється все більше можливостей для побудови мережі, справді захищеною від несанкціонованого доступу до інформації. ОС NetWare, крім стандартних засобів обмеження доступу, таких, як система паролів та розмежування повноважень, має ряд нових можливостей, які забезпечують перший клас захисту даних, передбачає, можливість кодування даних за принципом «відкритого ключа» (алгоритм RSA) з формуванням електронного підпису для переданих по мережі пакетів.

Поняття про електронний підпис

Ми розглянули, як клієнт може переслати організації свої конфіденційні дані (наприклад, номер електронного рахунку). Точно також він може спілкуватися з банком, віддаючи йому розпорядження про перерахування своїх коштів на рахунки інших осіб і організацій. Йому не треба їздити в банк і стояти в черзі - все можна зробити, не відходячи від комп'ютера. Однак тут виникає проблема: як банк дізнається, що розпорядження надійшло саме відданого особи, а не від зловмисника, який видає себе за нього? Ця проблема вирішується за допомогою так званої електронного підпису.

Принцип її створення той же, що і розглянутий вище. Якщо нам треба створити собі електронний підпис, слід за допомогою спеціальної програми (отриманої від банку) створити ті ж два ключа: закритий і публічний. Публічний ключ передається банку. Якщо тепер треба відправити доручення банку на операцію з розрахунковим рахунком, воно кодується публічним ключем банку, а свій підпис під ним кодується власним закритим ключем. Банк чинить навпаки. Він читає доручення за допомогою свого закритого ключа, а підпис - за допомогою публічного ключа поручителя. Якщо підпис читана, банк може бути впевнений, що доручення йому відправили саме ми, а не хтось інший.

 




Теоретичні основи Internet | Інтернет (Internet). | служби Internet | Ієрархія графічного програмного забезпечення. Графічні комунікації. Графічні системи. | Функції графічних систем | Блок-схема графічної системи | Системи растрової і векторної графіки | Редактори растрової графіки | Редактори, які використовуються для створення тривимірних зображень. | Інформаційна безпека та її складові |

© um.co.ua - учбові матеріали та реферати