Защита информации на уровне подсистем управления распределенной компьютерной системой
Управление передачей сообщений осуществляется по определенным правилам, которые называются протоколами. Задачей обеспечения безопасности информации в сети решаются на всех уровнях. Выполнение протоколов организуется при помощи подсистемы управления. На ряду с другими проблемами на уровне подсистемы управления решаются следующие проблемы защиты информации:
1) Создание единого центра управления сетью, в котором решались бы вопросы обеспечения безопасности информации. Администратор и его аппарат проводит единую политику безопасности во всей защищенной сети.
2) Регистрация всех объектов в сети и обеспечение их защиты.
3) Управление доступом к ресурсам сети.
4) Генерация и рассылка ключей шифрования абонентам.
5) Мониторинг траффика, контроль соблюдений правил работы абонентами, оперативное реагирование на нарушение.
6) Организация восстановления работоспособности элементов сети при нарушении их функционирования.
Защита информации в каналах связи.
Для защиты информации, передаваемой по каналам связи применяется комплекс методов и средств, позволяющий блокировать возможные угрозы безопасности. Наиболее надежным и универсальным методом защиты информации в каналах связи является шифрование. Шифрование на абонентском уровне позволяет защитить рабочую информацию от утраты конфиденциальности и навязывания ложной информации. Линейное шифрование кроме того позволяет защитить служебную информацию. Противодействие ложным соединениям абонентов или процессов обеспечивается применением целого ряда процедур взаимного подтверждения подлинности абонентов или процессов. Против удаления явного искажения переупорядочивания передачи дублей используются механизмы квитирования, нумерации сообщений, использование временных характеристик. Эти служебные данные должны быть зашифрованы. Для некоторых распределенных компьютерных систем важной информацией о работе системы, подлежащей защите является интенсивность обмена по коммуникационной подсистеме. Интенсивность обмена может быть скрыта путем добавления к рабочему траффику обмена специальными сообщениями. Общий траффик с учетом рабочих или специальных сообщений поддерживается на одном уровне. Попытки блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или путем распространения вредительских программ в подсистеме управления распределенной компьютерной системой должны быть созданы распределенные механизмы контроля интенсивности обмена и блокировки доступа в сеть абонентам. Для блокирования угроз физического воздействия на каналы связи необходимо иметь дублирующие каналы с возможностью автоматического переключения на их использование.
Межсетевое экранирование
На практике часто закрытые корпоративные компьютерные системы связаны с общедоступными сетями(с Интернетом). Режимы взаимодействия пользователей с закрытой компьютерной системы с общедоступной могут быть различными.
Первый вариант – это с помощью общедоступной распределённой компьютерной системы связываются в единое целое закрытые сегменты корпоративной системы или распределенный сегменты. Второй вариант это когда пользователи закрытой компьютерной системы взаимодействуют с пользователями распределенной сети. В первом случае задача подтверждения подлинности абонентов или процессов решается гораздо эффективнее. Это объясняется возможностью использования абонентского шифрования. Для блокировки угроз, исходящих из общедоступной системы используется специальная программно-аппаратное средство, называемое межсетевой экран или фаерволл.
Как правило межсетевой экран реализуется на выделенном компьютере, через который распределенная компьютерная система подключается к общедоступной сети. Межсетевой экран выполняет 4 основные функции:
1) Фильтрация данных
2) Использование экранирующих агентов
3) Трансляция адресов
4) Регистрация событий.
Основной функцией межсетевого экрана является фильтрация траффика входного и выходного. В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных на следующий фильтр или уровень. Межсетевой экран осуществляет экран на сетевом, канальном, транспортном и прикладном уровнях. Межсетевые экраны, предназначенные для защиты информации высокой степени важности должны обеспечивать:
1) Фильтрацию по адресам отправителя и получателя или по эквивалентным атрибутам.
2) Фильтрацию пакетов служебных протоколов.
3) Фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов.
4) Фильтрацию с учетом любых значимых полей сетевых пакетов.
5) Фильтрацию на транспортном уровне запросов на установление виртуальных соединений.
6) Фильтрацию на прикладном уровне запросов к прикладным сервисам.
7) Фильтрацию с учетом даты и времени.
8) Возможность сокрытия объектов доступа к защищаемой компьютерной сети.
9) Возможность трансляции адресов.
В межсетевом экране могут использоваться межэкранирующие агенты, которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию. Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта. Действие экранирующего агента являются прозрачными для участников взаимодействия. Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных ip адресов. Межсетевой экран выполняет регистрацию событий в специальных журналах. Предусматривается возможность настройки экрана на ведение журнала с требуемой для конкретного применения полнотой. Экран не является симметричным, то есть он различает понятие снаружи и внутри. Помимо защиты внутренней области от потенциально-враждебной внешней среды экран позволяет разграничить доступ к объектам общедоступной среды со стороны субъектов защищенной сети. При нарушении полномочий доступ блокируется и необходимая информация записывается в журнал. Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей, когда имеются сегменты с различной степенью конфиденциальности информации. В этом случае экраны называют внутренними. В зависимости от степени конфиденциальности и важности информации установлены 5 классов защищенности межсетевых экранов. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности – 5й. Самый высокий – 1й. Межсетевые экраны целесообразно выполнять в виде специализированных систем. Это должно повысить производительность таких систем и повысить безопасность информации. Обеспечивают работу межсетевых экранов администраторы.
В сетях с большой интенсивностью обмена межсетевой экран может быть размещен на нескольких компьютерах, которые целесообразно размещать на одном объекте. Кроме того функции межсетевого экрана совмещаются с фукнциями моста…