Научная литература
booksshare.net -> Добавить материал -> Электротехника -> Мельников В.П. -> "Информационная безопасность и защита информации" -> 120

Информационная безопасность и защита информации - Мельников В.П.

Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов — М.: Академия, 2008. — 336 c.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка): infbezopas2008.djvu
Предыдущая << 1 .. 114 115 116 117 118 119 < 120 > 121 122 123 124 125 126 .. 143 >> Следующая

Противодействие ложным соединениям абонентов (процессов) обеспечивается применением целого ряда процедур взаимного подтверждения подлинности абонентов или процессов. Против удаления, явного искажения, переупорядочивания, передачи дублей сообщений используется механизм квитирования, нумерации сообщений или использования информации о времени отправки сообщения. Эти служебные данные должны быть зашифрованы. Для некоторых PKC важной информацией о работе системы, подлежащей защите, является интенсивность обмена по коммуникационной подсети. Интенсивность обмена может быть скрыта путем добавления к рабочему трафику обмена специальными сообще-
281
ниями. Такие сообщения могут содержать произвольную случайную информацию. Дополнительный эффект такой организации обмена заключается в тестировании коммуникационной подсети. Общий трафик с учетом рабочих и специальных сообщений поддерживается примерно на одном уровне.
В случае попыток блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ типа «червь» в подсистеме управления PKC должны быть созданы распределенные механизмы контроля интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании ими лимита активности или в случае угрожающего возрастания трафика. Для блокирования угроз физического воздействия на каналы связи (нарушение линий связи или постановка помех в радиоканалах) необходимо иметь дублирующие каналы с возможностью автоматического перехода на их использование.
На практике часто закрытые корпоративные распределенные и сосредоточенные КС связаны с общедоступными сетями типа Интернет. Режимы взаимодействия пользователей закрытой PKC с общедоступной системой могут быть различны:
• с помощью общедоступной PKC связываются в единую систему закрытые сегменты корпоративной системы или удаленные абоненты;
• пользователи закрытой PKC взаимодействуют с абонентами общедоступной сети.
В первом режиме задача подтверждения подлинности взаимодействующих абонентов (процессов) решается гораздо эффективнее, чем во втором режиме. Это объясняется возможностью использования абонентского шифрования при взаимодействии КС одной корпоративной сети.
Если абоненты общедоступной сети не используют абонентское шифрование, то практически невозможно обеспечить надежную аутентификацию процессов, конфиденциальность информации, защиту от подмены и несанкционированной модификации сообщений.
Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название «межсетевой экран» (Firewall). Как правило, межсетевой экран реализуется на выделенной ЭВМ, через которую защищенная PKC (ее фрагмент) подключается к общедоступной сети.
Межсетевой экран реализует контроль за информацией, поступающей в защищенную PKC и (или) выходящей из защищенной системы.
Межсетевой экран выполняет четыре функции:
• фильтрация данных;
• использование экранирующих агентов;
282
• трансляция адресов;
• регистрация событий.
Основной функцией межсетевого экрана является фильтрация трафика (входного или выходного). В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и прикладном уровнях. Чем большее число уровней охватывает экран, тем он совершеннее. Межсетевые экраны, предназначенные для защиты информации высокой степени важности, должны обеспечивать фильтрацию:
• по адресам отправителя и получателя (или по другим эквивалентным атрибутам);
• по пакетам служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
• с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
• с учетом любых значимых полей сетевых пакетов;
• на транспортном уровне запросов при установлении виртуальных соединений;
• на прикладном уровне запросов к прикладным сервисам;
• с учетом даты и времени;
• при возможности сокрытия субъектов доступа защищаемой компьютерной сети;
• при возможности трансляции адресов.
В межсетевом экране применяют использование экранирующих агентов (proxy-серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию. Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта. Действия экранирующего агента являются прозрачными для участников взаимодействия.
Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных внутренних адресов. Это позволяет скрыть топологию сети и использовать большее число адресов, если их выделено недостаточно для защищенной сети.
Предыдущая << 1 .. 114 115 116 117 118 119 < 120 > 121 122 123 124 125 126 .. 143 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed