В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 26
Текст из файла (страница 26)
Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение, будь то данные, речь или графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи по незащищенным каналам связи такое сообщение может быть легко перехвачено или отслежено подслушивающим лицом посредством его умышленных или неумышленных действий.
Для предотвращения несанкционированного доступа к этому сообщению оно зашифровывается и тем самым преобразуется в шифрограмму или закрытый текст. Когда же санкционированный пользователь получает сообщение, он лешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст. Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (или битовой последовательностью), обычно называемым шифрующим ключом. Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом.
Для большинства систем закрытая схема генератора ключа может пред- 113 ставлять собой либо набор инструкций, команд, либо часть (узел) аппаратуры (1загбв аге), либо компьютерную программу (зо(пнаге), либо все это вместе, но в любом случае процесс шифрования/ дешифрования единственным образом определяется выбранным специальным ключом. Поэтому, чтобы обмен зашифрованными сообщениями проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне. Следовательно, стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети для того, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации, поскольку подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом.
В то же время истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации. Шифрование может быть симметричным и асимметричным. Симметричное шифрование основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования — другой, являющийся секретным; при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием используются и другие механизмы безопасности: ° цифровая (электронная) подпись; ° контроль доступа; ° обеспечение целостности данных; ° обеспечение аутентификации; ° постановка трафика; ° управление маршрутизацией„ ° арбитраж, или освидетельствование. Механизмы иифровой нодниси основываются на алгоритмах асимметричного шифрования и включают в себя две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
114 Механизмы контроля доступа осушествляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке. Механизмы обеспечения целостности данных применяются как к отдельному блоку, так и к потоку данных. Целостность блока является необходимым, но недостаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем.
Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свилетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков. Аутентификация может быть односторонней и взаимной. В первом случае олин из взаимодействуюших объектов проверяет подлинность другого, тогла как во втором случае проверка является взаимной. Механизмы постановки трафика, называемые также механизмами заполнения текста, используются для реализации засекречивания потока данных.
Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Этим нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулируюших по каналам связи. Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам.
Механизмы арбитража, или освидетельствования, обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики. В АИТ при организации безопасности данных используется комбинация нескольких механизмов, Методы и средства технологий зашиты от угроз ИБ, представленные на рис. 3.4, подразделяются на три группы: предотврашение, парирование и нейтрализация.
115 о о М и П ~~о о~ М~ а5 $ Л о о а ы й и ы о Я ай И > о а х и Ф Ю 4 о о ~о ~ы Й С' а Я й а ~г, р ~~ ~ Я ои о 1о ай а о л Йф м о~ ~О о о. о Ж о о 3" о о. о И о о Л к и й о М 4 Х К группе технологий предотвращения угроз ИБ относятся технологии, осуществляющие упреждение и предупреждение от планирования проникновения, организации и реализации защиты объекта при начальном этапе нападения.
К группе технологий парирования угроз ИБ относятся методы и приемы, препятствующие или ограничивающие воздействие на защищенный объект. К группе технологий нейтрализации угроз ИБ относятся средства устранения и ликвидации угроз, а также либо частичной, либо полной их нейтрализации в случае проникновения или диверсии с объектом. 3.4.2. Технологии предотвращения угроз ИБ деятельности предприятий Организационные и правовые методы защиты процессов переработки информации в КС. Они стоят на первом месте в технологиях предотвращения угроз ИБ. Надо учитывать, что наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности.
Меры безопасности направлены на предотвращение несанкционированного получения информации, физического уничтожения или модификации защищаемых процессов обработки информации. Сегодня зарождается новая современная технология — технология защиты процессов переработки информации в компьютерных информационных системах и сетях передачи данных, Классификация правовых и организационных методов и средств предотвращения угроз ИБ представлена на рис. 3.5. Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях.
При рассмотрении вопросов безопасности обработки информации такая деятельность относится к организационным методам зашиты процессов переработки информации. Организационные методы защиты процессов переработки ииформации включают в себя меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности обработки информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
