Щащита информации при использовании интернет технологий

ОГЛАВЛЕНИЕ

Введение 3

Проблема  информационной безопасности 4

Особенности защиты информации в РКС 6

Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных КС 9

Защита  информации на уровне подсистемы управления РКС 12

Защита  информации в каналах связи 14

Межсетевое  экранирование 15

Подтверждение подлинности взаимодействующих  процессов 16

Подтверждение подлинности информации, получаемой по коммуникационной подсети 19

Вывод 21

Список  литературы: 22

 

Введение

В современном мире проблема информационной безопасности компьютерных систем и сетей обрела статус глобальной проблемы. 
Особую актуальность проблеме информационной безопасности придает глобальная компьютерная сеть Internet, возникшая первоначально в образовательных и научных целях, в настоящее время предоставляет коммерческим структурам и рядовым пользователям возможность обмениваться информацией и вести бизнес в ее каналах.  
Сегодня около 25000 компаний мира используют сеть Internet в коммерческих целях, и 60% всех передаваемых по сети Internet сообщений имеет коммерческий характер.  
Темпы роста российского сегмента Internet в последние 2 - 3 года не уступают и даже превосходят среднеевропейские. В то же время используемые "средства защиты информации" не удовлетворяют сегодняшним потребностям в первую очередь по организационно-технологическим причинам. Платой за пользование Internet  - всеобщее снижение информационной безопасности.  
Важнейшей особенностью защиты информации в глобальной сети является то, что защита информации возлагается полностью на программно-аппаратные средства, и не может быть решена путем физического ограничения доступа пользователей к компьютерам или к оборудованию, В глобальной сети потенциальную возможность доступа к ресурсам имеет любой пользователь сети, находящийся в любой точке Земного шара, и момент доступа к той или иной информации не может быть предсказан заранее.  
Другая проблема заключается в том, что новые технологии преодоления систем защиты информации появляются очень часто, и арсенал используемых атакующими средств может меняться постоянно.

 

Проблема  информационной безопасности

Возможность перемещения  больших массивов информации через  границы государств сегодня превратилась в объективную реальность. Наряду с очевидными преимуществами, которые  получило человечество от развития информационных технологий, на лицо и новые проблемы, ранее нам неизвестные. Существующие сегодня в мире информационные сети позволяют не только обмениваться посланиями, но и проникать в информационные массивы, охраняемые государством. Поэтому понятие "национальная безопасность" пополнилось новым элементом - информационной безопасностью.

История показывает, что  наибольшего прогресса в информационной безопасности добились те страны, которые сумели опередить других, в первую очередь, в научно-технической сфере. Любое крупное открытие или изобретение со временем превращалось в ценнейший коммерческий продукт либо обеспечивало преимущество в военно-технической области. Однако оно утрачивало свое значение, если становилось достоянием других государств. Рано или поздно это неизбежно произойдет. Но каждое государство принимало и принимает необходимые меры для того, чтобы защитить свою интеллектуальную собственность, оставаться как можно дольше ее единственным владельцем. До тех пор, пока материальным носителем являлась обычная бумага, проблем с защитой информации практически не возникало. Задача сводилась к обычной физической защите от несанкционированного доступа. Сегодня мы живём в мире, которым правит информация. Она обрабатывается, накапливается, хранится и передается с помощью электронных средств связи. Скандал, прокатившийся в последнее время в связи с проникновением в защищенные информационные сети США нашего российского хакера¹, лишний раз подтвердил уязвимость защиты информационных систем. И это в государстве, где этому вопросу придают исключительное значение.

До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной  секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

Существуют, так называемые, правовые меры обеспечения информационной безопасности.  К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

 

 

 

Особенности защиты информации в РКС

С точки зрения защиты информации в РКС важно разделить вычислительные сети на корпоративные и общедоступные. В корпоративных сетях все элементы принадлежат одному ведомству за исключением, может быть, каналов связи. В таких сетях имеется возможность проводить единую политику обеспечения безопасности информации во всей сети. Примерами таких корпоративных сетей могут служить сети государственного и военного управления, сети авиационных и железнодорожных компаний и др. Противоположностью таким сетям являются общедоступные коммерческие сети, в которых во главу угла ставится распространение информации, а вопросы защиты собственных информационных ресурсов решаются, в основном, на уровне пользователей. В качестве примера такой сети можно привести сеть Internet. Корпоративные сети могут быть связаны с общедоступными сетями. В этом случае администрации (владельцам) корпоративных сетей необходимо предпринимать дополнительные меры предосторожности для блокирования возможных угроз со стороны общедоступных сетей.

При построении системы защиты информации в любой распределенной КС необходимо учитывать:

• сложность системы, которая определяется как количеством подсистем, так и разнообразием их типов и выполняемых функций;
• невозможность обеспечения эффективного контроля за доступом к ресурсам, распределенным на больших расстояниях, возможно за пределами границ страны;
• возможность принадлежности ресурсов сети различным владельцам.

Особенностью защиты информации от непреднамеренных угроз в РКС  по сравнению с сосредоточенными сетями является необходимость обеспечения  гарантированной передачи информации по коммуникационной подсети. Для этого  в РКС должны быть предусмотрены  дублирующие маршруты доставки сообщений, предприняты меры против искажения  и потери информации в каналах  связи. Такие сложные системы  должны строиться как адаптивные, в которых обеспечивается постоянный контроль работоспособности элементов  системы и возможность продолжения  функционирования даже в условиях отказов отдельных подсистем. Искажения информации в каналах связи фиксируются и частично исправляются с помощью помехоустойчивого кодирования. Потери информации исключаются за счет использования контроля и учета принятых сообщений, а также за счет применения протоколов обмена с подтверждением о приеме информации.

В РКС все потенциальные  преднамеренные угрозы безопасности информации делят на две группы: пассивные  и активные.

К пассивным относятся угрозы, целью реализации которых является получение информации о системе путем прослушивания каналов связи. Подключившись к каналам связи или являясь пользователем системы, злоумышленник может:

• получить информацию путем перехвата незашифрованных сообщений;
• анализировать трафик (поток сообщений), накапливая информацию об интенсивности обмена отдельных абонентов, о структуре сообщений, о маршрутах доставки сообщений и т. п.

Активные угрозы предусматривают воздействие на передаваемые сообщения в сети и несанкционированную передачу фальсифицированных сообщений с целью воздействия на информационные ресурсы объектов РКС и дестабилизацию функционирования системы. Возможно также непосредственное воздействие на коммуникационную подсистему с целью повреждения аппаратных средств передачи информации.

Передаваемые в РКС  сообщения могут не санкционированно модифицироваться или уничтожаться. Злоумышленник может размножать перехваченные сообщения, нарушать их очередность следования, изменять маршрут доставки, подменять сообщения. Злоумышленник может предпринять попытки несанкционированного доступа к информационным ресурсам удаленного объекта КС, осуществления несанкционированного изменения программной структуры КС путем внедрения вредительских программ.

Анализируя приведенные  особенности потенциальных угроз  безопасности информации в РКС, можно  сделать вывод, что все они  связаны с передачей информации по каналам связи, с территориальной  разобщенностью объектов системы. Таким  образом, в РКС наряду с мерами, предпринимаемыми для обеспечения  безопасности информации в сосредоточенных  КС, реализуется ряд механизмов для  защиты информации при передаче ее по каналам связи, а также для  защиты от несанкционированного воздействия  на информацию КС с использованием каналов связи.

Все методы и средства, обеспечивающие безопасность информации в защищенной вычислительной сети, могут быть распределены по группам:

• обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных КС;
• защита информации на уровне подсистемы управления сетью;
• защита информации в каналах связи;
• обеспечение контроля подлинности взаимодействующих процессов.

 

 

Обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных КС

Обеспечение безопасности информации на объектах РКС практически не отличается от решения такой задачи для сосредоточенных  систем. Особенностью защиты объектов РКС является необходимость поддержки  механизмов аутентификации и разграничения  доступа удаленных процессов  к ресурсам объекта, а также наличие  в сети специальных коммуникационных компьютерных систем. Учитывая важность проблемы подтверждения подлинности  удаленных процессов (пользователей), механизмы ее решения выделены в  отдельную группу. 
Все элементы коммуникационной подсистемы, за исключением каналов связи, рассматриваются как специализированные коммуникационные компьютерные системы. В защищенных корпоративных сетях концентраторы, коммуникационные модули (серверы), шлюзы и мосты целесообразно размещать на объектах совместно с КС пользователей. Особенностью всех коммуникационных КС является информация, которая обрабатывается этими системами. В таких КС осуществляется смысловая обработка только служебной информации. К служебной относится адресная информация, избыточная информация для защиты сообщений от искажений, идентификаторы пользователей, метки времени, номера сообщений (пакетов), атрибуты шифрования и другая информация. Информация пользователей, заключенная в сообщениях (рабочая информация), на уровне коммуникационных КС рассматривается как последовательность бит, которая должна быть доставлена по коммуникационной подсистеме без изменений. Поэтому в таких системах имеется принципиальная возможность не раскрывать содержание рабочей информации. Она не должна быть доступной операторам и другому обслуживающему персоналу коммуникационных компьютерных систем для просмотра на экране монитора, изменения, уничтожения, размножения, запоминания в доступной памяти, получения твердой копии. Такая информация не должна сохраняться на внешних запоминающих устройствах после успешной передачи сообщения другому элементу коммуникационной подсистемы. В закрытых системах рабочая информация, кроме того, в пределах коммуникационной подсети циркулирует в зашифрованном виде. 
Различают два вида шифрования в КС: шифрование в коммуникационной подсистеме - линейное - и межконцевое шифрование - абонентское [37]. Абонент перед отправкой осуществляет зашифрование сообщения с помощью симметричного или открытого ключа. На входе в коммуникационную подсистему сообщение подвергается линейному зашифрованию, даже если абонентское шифрование и не выполнялось. При линейном шифровании сообщение зашифровывается полностью, включая все служебные данные. Причем линейное шифрование может осуществляться в сети с разными ключами. В этом случае злоумышленник, имея один ключ, может получить доступ к информации, передаваемой в ограниченном количестве каналов. Если используются различные ключи, то в коммуникационных модулях осуществляется расшифрование не только служебной информации, а всего сообщения полностью (рабочая информация остается зашифрованной на абонентском уровне). По открытой служебной информации осуществляется проверка целостности сообщения, выбор дальнейшего маршрута и передача «квитанции» отправителю. Сообщение подвергается зашифрованию с новым ключом и передается по соответствующему каналу связи. 
Особые меры защиты должны предприниматься в отношении центра управления сетью. Учитывая концентрацию информации, критичной для работы всей сети, необходимо использовать самые совершенные средства защиты информации специализированной КС администратора сети как от непреднамеренных, так и преднамеренных угроз. Особое внимание должно обращаться на защиту процедур и средств, связанных с хранением и работой с ключами. 
Администратор сети как и все операторы коммуникационной подсети, работает только со служебной информацией. Если в сети ключи для абонентского шифрования распределяются из центра управления сетью, то администратор может получить доступ ко всем ключам сети, а, следовательно, и ко всей передаваемой и хранимой в сети информации. Поэтому в специализированной КС администратора сети должны быть предусмотрены механизмы, блокирующие возможность работы с информационной частью сообщений, которые не предназначаются администратору. 
Более надежным является способ управления ключами, когда они неизвестны ни администратору, ни абонентам. Ключ генерируется датчиком случайных чисел и записывается в специальное ассоциативное запоминающее устройство, и все действия с ним производятся в замкнутом пространстве, в которое оператор КС не может попасть с целью ознакомления с содержимым памяти. Нужные ключи выбираются из специальной памяти для отсылки или проверки в соответствии с идентификатором абонента или администратора. 
При рассылке ключей вне РКС их можно записывать, например, на смарт-карты. Считывание ключа с таких карт возможно только при положительном результате аутентификации КС и владельца ключа.

 

 

Защита  информации на уровне подсистемы управления РКС

Управление передачей  сообщений осуществляется по определенным правилам, которые называются протоколами. В настоящее время в распределенных вычислительных сетях реализуются  два международных стандарта  взаимодействия удаленных элементов  сети: протокол TCP/IP и протокол Х.25. 
Протокол TCP/IP был разработан в 70-е годы и с тех пор завоевал признание во всем мире. На основе протокола TCP/IP построена сеть Internet. Протокол Х.25 явился дальнейшим развитием технологии передачи данных, построенной на основе коммутации пакетов. Протокол Х.25 создан в соответствии с моделью взаимодействия открытых сетей (OSI), разработанной Международной организацией стандартизации (ISO). В соответствии с моделью все функции сети разбиваются на 7 уровней, а в модели TCP/IP насчитывается 5 уровней (рис. 1). 
Протокол Х.25 позволяет обеспечить более надежное взаимодействие удаленных процессов. Достоинствами протокола TCP/IP являются сравнительно низкая стоимость и простота подключения к сети. 
Задачи обеспечения безопасности информации в сети решаются на всех уровнях. Выполнение протоколов организуется с помощью подсистемы управления. Наряду с другими на уровне подсистемы управления решаются следующие проблемы защиты информации в РКС. 
1. Создание единого центра управления сетью, в котором решались бы и вопросы обеспечения безопасности информации. Администратор и его аппарат проводят единую политику безопасности во всей защищенной сети. 
2. Регистрация всех объектов сети и обеспечение их защиты. Выдача идентификаторов и учет всех пользователей сети. 
3.Управление доступом к ресурсам сети. 
4. Генерация и рассылка ключей шифрования абонентам компьютерной сети. 
5. Мониторинг трафика (потока сообщений в сети), контроль соблюдения правил работы абонентами, оперативное реагирование на нарушения. 
6. Организация восстановления работоспособности элементов сети при нарушении процесса их функционирования.

Рисунок 1.

 

Защита  информации в каналах связи

Для защиты информации, передаваемой по каналам связи, применяется комплекс методов и средств защиты, позволяющих  блокировать возможные угрозы безопасности информации. Наиболее надежным и универсальным  методом защиты информации в каналах  связи является шифрование. Шифрование на абонентском уровне позволяет  защитить рабочую информацию от утраты конфиденциальности и навязывания  ложной информации. Линейное шифрование позволяет, кроме того, защитить служебную  информацию. Не имея доступа к служебной  информации, злоумышленник не может  фиксировать факт передачи между  конкретными абонентами сети, изменить адресную часть сообщения с целью  его переадресации. 
Противодействие ложным соединениям абонентов (процессов) обеспечивается применением целого ряда процедур взаимного подтверждения подлинности абонентов или процессов. Против удаления, явного искажения, переупорядочивания, передачи дублей сообщений используется механизм квитирования, нумерации сообщений или использования информации о времени отправки сообщения. Эти служебные данные должны быть зашифрованы. Для некоторых РКС важной информацией о работе системы, подлежащей защите, является интенсивность обмена по коммуникационной подсети. Интенсивность обмена может быть скрыта путем добавления к рабочему трафику обмена специальными сообщениями. Такие сообщения могут содержать произвольную случайную информацию. Дополнительный эффект такой организации обмена заключается в тестировании коммуникационной подсети. Общий трафик с учетом рабочих и специальных сообщений поддерживается примерно на одном уровне. 
Попыткам блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ типа «червь», в подсистеме управления РКС должны быть созданы распределенные механизмы контроля интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании ими лимита активности или в случае угрожающего возрастания трафика. Для блокирования угроз физического воздействия на каналы связи необходимо иметь дублирующие каналы с возможностью автоматического перехода на их использование.