КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Особенности построения защиты информации в телекоммуникационных вычислительных сетях
Анализируя современную ситуацию с разработкой и созданием защиты информации в телекоммуникационных вычислительных сетях, можно выделить четыре направления работ: • построение защиты на новых самостоятельных (выделенных) сетях, создаваемых с использованием элементов технологии Интернета; • модернизация средств и системы защиты параллельно с доработкой существующих сетей; • разработка методов и средств защиты информации в Интернете; • создание защищенных корпоративных сетей на базе существующих телекоммуникационных сетей общего пользования, в которых применяются открытые протоколы Интернета. Как отмечалось выше, действующий сегодня общий концептуальный подход во всех направлениях работ заключается в попытке создания в указанных сетях для обработки и передачи информации защищенной среды. Данный подход является продолжением общего подхода к реализации информационных технологий в виде вычислительной среды в той или иной предметной области. Современные информационные технологии основаны на применении программных продуктов, обладающих широкими функциональными возможностями и развитым пользовательским интерфейсом. В результате такого подхода создавалась иллюзия возможности решения вопросов защиты информации таким же путем. Далее, несмотря на привлечение к этому вопросу и аппаратной реализации этой технологии, упомянутый подход, к сожалению, сохранился. Подход не учитывает специфику конкретных видов автоматизированных систем. Вместо термина «АСУ» применяется термин «корпоративная вычислительная сеть» термины «виртуальная сеть», «облако» и т.д. Не подвергая сомнению правильность выбора пути развития средств автоматизации процессов приема, хранения, обработки и передачи информации, включая терминологию, в данной работе в интересах обеспечения более высокого уровня безопасности информации предлагается при проектировании ее защиты в вычислительных сетях «спуститься с облаков на землю» и для начала посмотреть, где находятся эти процессы. При разработке вычислительной сети известны состав и размещение технических средств, узлов коммутации пакетов, абонентских комплексов и связей между ними. Далее предлагается выделить в сети объекты автоматизации с территориально-сосредоточенной обработкой данных и каналы связи между ними и затем реализовать методологию построения системы безопасности информации.
Предмет защиты в телекоммуникационной сети вычислительной сети определяется ее техническими и экономическими задачами. К техническим задачам относятся: защита управляющих функций на пункте управления сетью, коммутационных - на узлах коммутации пакетов, кадров кодограммы обмена - в каналах связи. Потенциальные угрозы информации в такой сети, очевидно, будут связаны только с модификацией и утратой. Руководствуясь этим, можно сократить количество возможных каналов НСД на пункте управления и узлах коммутации, а на кадре кодограммы - количество возможных несанкционированных действий. В экономические задачи сети в числе прочих входят предоставляемые услуги, в которые могут войти предоставление информации из базы данных сети и услуги по обмену информацией между ее абонентами. Все услуги оказываются за плату. Это обстоятельство требует регистрации и аутентификации пользователя по паролю и защиты последнего от НСД. Разные услуги имеют разные цены и, следовательно, требуют разграничения доступа. В услугу по обмену может добавиться услуга по обеспечению безопасности информации. Тогда придется строить защиту от НСД, с учетом возможной утечки информации.
Если к создаваемой сети подключаются одна или несколько других сетей, то не следует спешить с созданием единой системы безопасности информации. Такое решение прежде всего зависит от того, кто является собственником сетей и каковы ее задачи. Если собственники разные, то решение отрицательное, потому что возникает вопрос ответственности за безопасность. Один собственник будет против того, чтобы его контролировал другой. Даже если удастся договорится, первый фактически не отвечает за свою сеть и будет халатно относиться к своим обязательствам. В случае, когда у всех сетей один собственник, решение будет зависеть от технических возможностей входящих сетей, масштабов применения и нагрузки, которую возьмет на себя единая служба безопасности. Чаще всего встречается попытка объединения гетерогенных сетей, созданных в разное время на разных аппаратных и программных платформах и с различным уровнем безопасности данных. В этом случае необходимо учитывать, что уровень безопасности информации в тракте «абонент 1 - сеть 1 - сеть 2 - абонент 2» определяется сетью с наименьшим значением этого уровня. Существует еще пара аргументов, влияющих на принятие решения. Средства управления каждой сетью наверняка сохранятся, а управление сетью и управление безопасностью ее информации - вещи неразделимые. Следовательно, целесообразно то и другое сохранить. Кроме того, даже в случае наличия одного собственника у сетей сохраняется коллизия, упомянутая выше для разных собственников, так как в том и другом случае решающую роль играет фактор ответственности должностных лиц. С другой стороны, необходимы координация действий, разрешение конфликтных ситуаций, централизованный контроль функционирования сетей и распределение паролей аутентификации и ключей шифрования. В решении этих вопросов принципиальную роль играет назначение сетей. Если они служат для выполнения задач передачи данных в АСУ или корпоративной сети, их абоненты являются членами одной организации, в которой существует определенная иерархия их отношений. Тогда единая служба необходима. В случае выполнения сетями задач обслуживания независимых абонентов ситуация меняется. Скорее всего абоненты для обмена информацией между собой пожелают пользоваться собственной системой абонентского шифрования или, по крайней мере, собственными ключами шифрования и цифровой подписи (это подтверждается появлением сетей VPN). Для получения открытой информации из баз данных сетей абоненту достаточно будет предъявить пароль сетевой аутентификации (в неявном виде - многоразовый и в явном виде - одноразовый), который (ые) должен(ы) быть выдан ему лично при регистрации в сети. Защиту собственной информации по обеспечению функционирования сети целесообразно оставить за ее собственной службой безопасности. В итоге нетрудно заметить, что в объединенных некорпоративных сетях организация единой службы безопасности информации не актуальна. При этом для реализации взаимодействия достаточно составить и подписать соответствующее соглашение при разработке моста или шлюза.
Развивая далее последнюю тему, заметим, что глобальная сеть Интернет с технической точки зрения - это объединение транснациональных компьютерных сетей, работающих по самым разнообразным протоколам, связывающим всевозможные типы компьютеров, физически передающих данные по телефонным проводам и оптоволокну, через местные, региональные, глобальные сети, радиомодемы и спутники. С административной точки зрения - это не более чем удобная терминологическая условность. Координацию сети осуществляет Центр информационных сетей при Стэнфордском исследовательском институте в Менло парк (Калифорния, США). Принимая во внимание изложенное выше, уровень безопасности информации в Интернете определяется уровнем безопасности информации сетей, входящих в нее, а слабость последних заключается прежде всего в противоречии задач обслуживания абонентов и безопасности информации. Известно, что основной задачей Интернета является автоматизировать обмен информацией как можно большего количества людей, предоставить как можно больше информационных услуг. С позиций безопасности чем больше абонентов, тем больше вероятность появления нарушителя; чем больше услуг, тем сложнее система, больше каналов несанкционированного доступа к информации и сложнее построить защиту. Налицо действие известного закона о переходе количества в качество. По указанным выше причинам централизованную систему безопасности информации создавать сложно, не эффективно и не нужно, а с экономической и политической точек зрения даже опасно. На информационном рынке появится монополист, который будет навязывать свои продукты и политическую волю. Каков же выход из этого положения? - В разумном сочетании децентрализации и централизации управления и контроля, применении последней на уровне входящих в Интернет самостоятельных сетей, совершенствовании в них защиты информации и взаимодействия в этом плане между собой.
Пока реализуются эти предложения, существующие телекоммуникационные вычислительные сети продолжают работать, и было бы неразумно их не использовать. При этом для защиты обмена информацией в открытых сетях целесообразно применить специальные средства защиты трактов передачи данных. Такой метод используется при построении защищенных виртуальных частных сетей (Virtual Privat Network - VPN). Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин «виртуальная» основан на том, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть может служить основой для одновременного сосуществования множества независимых виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи. Виртуальную сеть, использующую в качестве внешней среды передачи информации глобальную сеть Интернет, часто называют еще сетью Extranet. Эффективность использования виртуальных сетей во многом определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Безопасность информационного обмена необходимо обеспечить как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных пользователей. Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крипто-защищенными туннелями, или туннелями VPN. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, используются встроенные возможности стека протоколов TCP/IP. Для защиты от повтора, удаления и задержек на уровне отдельных сообщений в состав каждого сообщения подсистемой защиты прикладного уровня должна добавляться дополнительная информация. В качестве такой дополнительной информации могут использоваться номера, случайные числа, а также отметки времени. С целью защиты от отказа получения сообщений подсистема защиты прикладного уровня должна предусматривать при приеме каждого сообщения передачу отправителю уведомления о получении сообщения. Такое уведомление должно криптографически подписываться получателем сообщения. Защита от отказа отправления сообщения, т.е. защита от непризнания цифровой подписи, может быть обеспечена только правовыми и организационными мерами по приданию цифровой подписи юридической силы. Чтобы предотвратить отказы от открытых ключей, а соответственно и отказы от цифровой подписи, обмен открытыми ключами должен подкрепляться юридической процедурой.
Дата добавления: 2014-01-14; Просмотров: 3325; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |