Характеристики и протоколы транспортной сети ИВС. Стек TCP/IP Защита вычислительных сетей. Стандарт криптозащиты

Информационные сети Протоколы, архитектура, защита

В стандарте ISO/DIS 8473/DADI определены полный протокол и два его подмножества: - неактивное подмножество - это подмножество нулевой функциональности, которое может быть использовано, когда абонентские системы связаны одной подсетью и ни одна из функций полного протокола не нужна для обеспечения сервиса между любой парой абонентских систем;

Управление защитой - это контроль за распределением информации в открытых системах, осуществляемый для обеспечения функционирования средств и механизмов защиты, фиксации выполняемых функций и состояний механизмов защиты и фиксации событий, связанных с нарушением защиты.

Защита объектов ВС. С каждым объектом ВС связана некоторая информация, однозначно идентифицирующаяся ею.

Защита линий связи ВС. Линии связи - один из наиболее уязвимых компонентов ВС.

Защита баз данных (БД) ВС. Защита БД означает защиту самих данных и их контролируемое использование на рабочих ЭВМ сети, а также защиту любой сопутствующей информации, которая может быть извлечена или сгенерирована из этих данных. Функции, процедуры и средства защиты, которые обеспечивают защиту данных на рабочих ЭВМ, могут быть описаны следующим образом: Защита содержания данных - предупреждает несанкционированное раскрытие конфиденциальных данных и информации из БД.

Защита подсистемы управления процессами в ВС. Среди большого числа различных процедур защиты подсистемы управления процессами в ВС следует выделить следующие шесть:

Транспортная сеть. Специальные уровни управления передачей ( уровни защиты информации).

Межконцевые методы защиты. Точки применения межконцевых методов защиты: (ЭВМ-ЭВМ), (терминал-терминал),  (терминал-ЭВМ).

Криптозащита (шифрование) данных. Общие замечания. Шифрование служит как в качестве контрмеры против пассивного перехвата, так и в качестве основы, на которой построены контрмеры против активного перехвата.

Блочные шифры. Блочное шифрование под управлением единственного ключа - это определение одной из 2n перестановок в наборе n-битных блоков.

Алгоритм Ривеста.Применяется блочный шифр с общим ключом.

Особенности реализации методов криптозащиты. Канальные методы защиты: при канальном шифровании обычно применяются поточные шифры; данные шифруются только в каналах, а не в узлах коммутации.

Обеспечение целостности информации в сетях. Имитозащита данных и соединений.

Защита от навязывания ложных сообщений в каналы связи вычислительной сети, в том числе и от ранее переданных сообщений источника.

DES - алгоритм в режиме 8- битового шифрования с обратной связью обладает теми же свойствами, что и в режиме побитового шифрования.

Поблочное шифрование потока с обратной связью (ОС). Область размножения (распространения) ошибки составляет по меньшей мере следующий блок, а во многих системах (см. рис.15.10) и значительно больше.

Системы, использующие в обратной связи исходный текст, могут вызывать эффект неограниченного распространения ошибки, и следовательно, применение контроля избыточности целесообразно для всех методов.

Защита вычислительных сетей.

Архитектура системы защиты вычислительных сетей.

Классификация вторжений в вычислительную сеть (ВС).

Под специальными свойствами информации обрабатываемой и передаваемой в сетях ЭВМ понимается способность этой информации в результате специальных преобразований, проводимых в вычислительной сети, противостоять различного рода вторжениям, несанкционированным операциям, воздействиям и влияниям нарушителя (“злоумышленника”). Стандарты и протоколы представительного уровня.

Безопасность информации обеспечивается, а вычислительная сеть считается защищенной, если все операции в вычислительной сети выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов сети, ее ресурсов и операций.

Злоумышленник при вторжении в ВС может использовать как пассивные, так и активные методы вторжения. На рис.15.1 показаны возможные угрозы для ВС. 

Рис. 15.1. Конфигурация ИВС с распределенными ресурсами с указанием возможных угроз.

При пассивном вторжении нарушитель только наблюдает за прохождением информации по линии связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. Как правило “злоумышленник” выполняет анализ потока сообщений (трафика), фиксируя пункты назначений и идентификаторы, или только факт прохождения информации, ее длину и частоту обмена, если содержимое сообщения нераспознаваемо.

При активном вторжении предполагают, что существует связь между двумя объектами. Нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильное или неправильное сообщение, удалить, задержать или изменить порядок следования сообщений. “Злоумышленник” может также аннулировать или задержать все сообщения, передаваемые по сети: такое вторжение равносильно отказу в передаче сообщений.

Необходимо исходить из того, что существует угроза искажения информации в любой точке вычислительной сети, на любом уровне ее физической и программной структуры, начиная от места ввода сообщения в сеть до места назначения. В частности, информация наиболее подвержена угрозе при передачи по линиям связи. Поэтому защита информации необходима на всех стадиях обработки и передачи по сети.

Для того, чтобы реализовать такую интегрированную систему защиты для ВС, необходимо в первую очередь выявить все угрозы и пути их устранения, проведя три стадии анализа:

 анализ требований к защите (анализ угроз);

 анализ способов защиты;

 анализ возможных реализаций функций, процедур и средств защиты.

Первая стадия включает:

  анализ уязвимых элементов ВС;

 оценку угроз;

 анализ риска.

Вторая стадия включает ответы на следующие вопросы:

  какие угрозы должны быть устранены и в какой мере;

 какие ресурсы сети должны быть защищены и в какой мере;

 с помощью каких средств должна быть реализована защита;

  каковы должны быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз.

Третья стадия - определение функций, процедур и средств защиты, реализуемых в виде некоторых механизмов защиты. Для того, чтобы реализовать и эффективно использовать механизмы защиты, необходимы дополнительные действия по обеспечению их поддержки, относящиеся к специфической функции управления защитой.

Управление защитой - это контроль за распределением информации в открытых системах, осуществляемый для обеспечения функционирования средств и механизмов защиты, фиксации выполняемых функций и состояний механизмов защиты и фиксации событий, связанных с нарушением защиты.

Защита объектов ВС. С каждым объектом ВС связана некоторая информация, однозначно идентифицирующаяся ею.

Защита линий связи ВС. Линии связи - один из наиболее уязвимых компонентов ВС.

Защита баз данных (БД) ВС. Защита БД означает защиту самих данных и их контролируемое использование на рабочих ЭВМ сети, а также защиту любой сопутствующей информации, которая может быть извлечена или сгенерирована из этих данных. Функции, процедуры и средства защиты, которые обеспечивают защиту данных на рабочих ЭВМ, могут быть описаны следующим образом: Защита содержания данных - предупреждает несанкционированное раскрытие конфиденциальных данных и информации из БД.

Защита подсистемы управления процессами в ВС. Среди большого числа различных процедур защиты подсистемы управления процессами в ВС следует выделить следующие шесть:

Транспортная сеть. Специальные уровни управления передачей (уровни защиты информации).

Межконцевые методы защиты.Точки применения межконцевых методов защиты: (ЭВМ-ЭВМ), (терминал-терминал),  (терминал-ЭВМ).

Криптозащита (шифрование) данных. Общие замечания. Шифрование служит как в качестве контрмеры против пассивного перехвата, так и в качестве основы, на которой построены контрмеры против активного перехвата.

Блочные шифры. Блочное шифрование под управлением единственного ключа - это определение одной из 2n перестановок в наборе n-битных блоков.

Алгоритм Ривеста.Применяется блочный шифр с общим ключом.

Особенности реализации методов криптозащиты. Канальные методы защиты: при канальном шифровании обычно применяются поточные шифры; данные шифруются только в каналах, а не в узлах коммутации.

Обеспечение целостности информации в сетях. Имитозащита данных и соединений.

Защита от навязывания ложных сообщений в каналы связи вычислительной сети, в том числе и от ранее переданных сообщений источника.

DES - алгоритм в режиме 8- битового шифрования с обратной связью обладает теми же свойствами, что и в режиме побитового шифрования.

Поблочное шифрование потока с обратной связью (ОС). Область размножения (распространения) ошибки составляет по меньшей мере следующий блок, а во многих системах (см. рис.15.10) и значительно больше.

Системы, использующие в обратной связи исходный текст, могут вызывать эффект неограниченного распространения ошибки, и следовательно, применение контроля избыточности целесообразно для всех методов.


Информационные сети уровень управления передачей