Безопасность информации в сетях
В настоящее время существует постоянная опасность злоумышленных несанкционированных действий над циркулирующей в сетях информацией, следствием чего стали всевозрастающие расходы и усилия на ее защиту. В рамках комплексного рассмотрения вопросов обеспечения безопасности информации различают угрозы безопасности, службы безопасности (СБ) и механизмы реализации СБ [ 23 ].
Угрозы безопасности принято делить на случайные, или непреднамеренные (их источники - выход из строя аппаратных средств, ошибки в программном обеспечении, неправильные действия пользователя и т.п.), и умышленные.
К основным умышленным угрозам безопасности относятся;
• раскрытие конфиденциальной информации (главным образом путем несанкционированного доступа к базам данных или прослушивания
каналов связи);
• компрометация информации (реализуется, как правило, посредством внесения несанкционированных изменений в базы данных, внесения и использования компьютерных вирусов);
• несанкционированное использование ресурсов сети (является средством раскрытия или компрометации информации, но имеет и самостоятельное значение);
• несанкционированный обмен информацией между пользователями (может привести к получению одним из них не предназначенных ему
сведений);
• отказ от информации, т.е. непризнание получателем (отправителем) этой информации факта ее получения (отправления), что может привести к различным злоупотреблениям;
• отказ в обслуживании, который может сопровождаться тяжелыми последствиями для пользователя, обратившегося с запросом на предоставление сетевых ресурсов.
Нейтрализация перечисленных и других угроз безопасности осуществляется службами безопасности сети и механизмами реализации функций этих служб. Документами международной организации стандартизации (МОС) определены следующие службы безопасности:
• аутентификация (подтверждение подлинности);
• обеспечение целостности передаваемых данных;
• засекречивание данных;
• контроль доступа;
• защита от отказов.
Первые три службы характеризуются различиями для виртуальных и дейтаграммных сетей, а последние две службы инвариантны по отношению к этим сетям.
В виртуальных сетях используются протоколы информационного обмена типа виртуального соединения. Передача информации между абонентами организуется по виртуальному каналу и происходит в три этапа: создание (установление) канала, собственно передача и уничтожение (разъединение) канала. При этом сообщения разбиваются на одинаковые части (пакеты). Пакеты передаются по виртуальному каналу в порядке их следования в сообщении.
В дейтаграммных сетях реализуются дейтаграммные протоколы информационного обмена. Пакеты, принадлежащие одному и тому же сообщению, передаются от отправителя к получателю в составе дейтаграмм независимо друг от друга и в общем случае по различным маршрутам, т.е. в сети они являются самостоятельными единицами информации. На приемном пункте из пакетов, поступивших по разным маршрутам и в разное время, составляется первоначальное сообщение.
Службы и механизмы безопасности используются на определенных уровнях эталонной модели ВОС.
В табл. 11.1 представлено распределение служб безопасности (СБ) по уровням эталонной модели ВОС, а в табл. 11.2- механизмы реализации служб безопасности.
Служба аутентификации, в виртуальных сетях называемая службой аутентификации одноуровневого объекта, обеспечивает подтверждение (опровержение) того, что объект, предлагающий себя в качестве отправителя сообщения по виртуальному каналу, является именно таким как на этапе установления связи между абонентами, так и на этапе передачи сообщения. В дейтаграммных сетях эта служба называется службой аутентификации источника данных, передаваемых в виде дейтаграмм.
Службы целостности обеспечивают выявление искажений в передаваемых данных, вставок, повторов и уничтожение данных. Они разделяются по виду сетей, в которых они применяются (СБ в виртуальных и дейтаграммных сетях), по действиям, выполняемым при обнаружении аномальных ситуаций (с восстановлением данных или без восстановления), по степени охвата передаваемых данных (сообщение или дейтаграмма в целом либо их части, называемые выборочными полями).
Службы засекречивания обеспечивают секретность передаваемых данных: в виртуальных сетях - всего пересылаемого сообщения или только его выборочных полей, в дейтаграммных - каждой дейтаграммы или только отдельных ее элементов.
Служба засекречивания потока данных (трафика), являющаяся общей для виртуальных и дейтаграммных сетей (как и службы 13-я, 14-я, 15-я, табл. 11.1), предотвращает возможность получения сведений об абонентах сети и характере использования сети.
Служба контроля доступа обеспечивает нейтрализацию попыток несанкционированного использования общесетевых ресурсов.
Службы защиты от отказов нейтрализуют угрозы отказов от информации со стороны ее отправителя и/или получателя.
Таблица 11.1