 |
Защита: действие и противодействие
|
|
|
|
| Возможные НСД | Средства защиты АСУ | Средства защиты СПД |
| Чтение сообщения | Абонентское шифрование | Линейное шифрование |
| Модификация сообщения для навязывания ложной информации | Средства шифрования даты и времени отправления сообщения вместе с его содержимым | - |
| Переупорядочивание сообщения | Средства шифрования даты и времени отправления сообщения вместе с его содержимым | Шифрование и цифровая подпись служебных частей кодограммы |
| Задержка или удаление сообщения | Квитанция о получении сообщения, контроль интервала времени ответа | Дублирование соединения или маршрута |
| Переадресация сообщения | Цифровая подпись адреса получателя, посылаемая вместе с содержимым сообщения | Шифрование и цифровая подпись служебных частей кодограммы |
| Посылка ложного сообщения | Цифровая подпись содержимого сообщения | - |
| Анализ трафика | Специальные средства заполнения потока | Линейное шифрование |
| Анализ идентификаторов получателей сообщений | - | Линейное шифрование |
| Подбор паролей отправителей сообщений | МЭ КСА АСУ, средства идентификации и аутентификации | МЭ КСА СПДЮ, средства идентификации и аутентификации |
| Нарушение законным пользователем своих полномочий | МЭ КСА АСУ, средства разграничения и контроля доступа КСА АСУ | МЭ КСА СПД, средства разграничения и контроля доступа, КСА СПД |
Очевидно, что полнота защиты от перечисленных в таблице НСД будет определять степень защищенности оболочек (как контролирующей, так и превентивной). Их прочность раcсчитывается аналогично защите средств автоматизации. Заметим, что средства защиты от таких нарушений, как отказы законных пользователей от принадлежащих им документов, не должны входить в состав средств оболочки - они выполняют другую задачу. Эти отказы регистрируются в центре управления и контроля за сообщениями. Вполне возможно, что средства защиты сетевых ресурсов от повторов сообщений и информационного <мусора> также будут автономными, - практика покажет.
|
|
|
Объединение функций контроля, подготовки ключей шифрования и создания цифровой подписи в рамках управляющего элемента защиты АСУ и СПД позволит создать в каждой системе единую структуру защиты с гарантированными показателями - автоматизированную систему безопасности информации. Для уменьшения времени, которое требуется системе контроля для реакции на сигнал о НСД, в региональных и глобальных системах предлагается передавать сигнал в первую очередь на средства управления защитой того элемента АСУ (сети), который подвергся нападению, а только затем - на централизованные средства управления. Следовательно, необходимо иметь подобные средства на каждом элементе АСУ и сети. В настоящее время в роли датчиков обнаружения НСД могут выступать МЭ.
В конечном итоге, оценка прочности защиты в системе с распределенной обработкой данных будет состоять из группы показателей, число которых зависит от степени важности защищаемой информации. В общем виде это следующие показатели:
- минимальная прочность контролируемой оболочки (КСА АСУ);
- минимальная прочность превентивной оболочки (КСА АСУ);
- показатель стойкости пароля пользователя (КСА АСУ);
- группа показателей прочности защиты кодограммы;
- группа показателей СПД.
В группу показателей прочности защиты кодограммы войдут показатели прочности контролируемой и превентивной оболочек защиты кодограммы. Группа показателей СПД будет содержать показатели минимальной прочности контролируемой и превентивной защиты, а также показатель стойкости пароля пользователя (КСА СПД).
|
|
|
Если степень важности инфомации, циркулирующей в отдельных КСА и каналах связи, выше среднего показателя, то их показатели защиты задаются дополнительно отдельным перечнем.
От простого к сложному
Предложенный подход построения защиты применим как для простых, так и для сложных систем. В ЛВС системы с централизованной обработкой данных - это серверы или рабочие станции. Перечень возможных несанкционированных действий на линиях связи можно сократить, так как ЛВС размещаются на контролируемой территории.
Одна система безопасности имеет право существовать только в вычислительной системе с централизованной обработкой данных. В системах с распределенной обработкой данных (особенно в региональных и глобальных) их должно быть несколько, в зависимости от количества входящих в АСУ самостоятельных структур, которые выполняют системные и собственные задачи, имеют свои средства администрирования и управления. Если эти структуры входят в АСУ, то их отношения имеют иерархический характер.
Анализ защищенности сетей АТМ
В статье дан анализ вопросов защищенности информации в сетях передачи данных, построенных на основе технических средств технологии АТМ с учетом особенностей взаимодействия различных видов оборудования и архитектуры используемых протоколов
Введение
Рынок телекоммуникаций и средств связи предлагает широкий спектр специализированных технологий, ориентированных на применение в конкретных телематических службах. В настоящее время все большее значение в практике построения распределенных информационных систем получают вопросы интеграции сетевых служб в рамках единых технологий, позволяющих унифицировать средства построения сетей передачи данных применительно к широкому спектру информационных услуг, включающих в себя службы реального времени (телефонная связь), информационный поиск, телеконференции и т.д.
Разработка и внедрение технологии асинхронной передачи, основанной на быстрой пакетной коммутации трафика телематических служб, направлено на повышение эффективности использования существующих высокопроизводительных каналов физической передачи данных. Сети АТМ обеспечивают универсальные средства магистральных сетей передачи данных, позволяющие транспортировать пользовательские сообщения в рамках телеслужб, которые существенно различаются по требованиям семантической, временной и логической прозрачности.
|
|
|
В настоящее время ведущие производители оборудования АТМ — NEWBRIDGE, NORTEL, CISCO и др. — предлагают широкий спектр технических средств, с помощью которых можно создавать гетерогенные корпоративные системы связи с унифицированной средой передачи, коммутации и маршрутизации. Естественно, что вопросы обеспечения защищенности в таких системах имеют комплексный характер и должны рассматриваться как с точки зрения физической взаимосвязи отдельных информационных подсистем, так и с точки зрения конкретных наборов протоколов, используемых для взаимодействия абонентов сети связи.
Основные проблемы современного этапа развития средств автоматизации процессов информационного обмена, включая средства связи и телекоммуникаций, связаны с сущестенным ростом сложности научно-технических разработок в области информационных технологий. Вследствие этого технические средства потенциально содержат в себе большое число ошибок и нерегламентированных возможностей, которые могут быть использованы злоумышленниками. Следовательно, любые программно-аппаратные решения должны тщательно анализироваться на предмет потенциальных угроз безопасности, а адекватный уровень оснащенности средствами защиты — постоянно пересматриваться.
Важное свойство гетерогенных распределенных информационных систем состоит в том, что степень их критичности к внешним и внутренним нарушениям возрастает быстрее, чем функциональность, обеспечиваемая выбранным уровнем сложности и стоимости. Иными словами, возможны ситуации, когда стоимость обеспечения заданного уровня устойчивости системы по отношению к внешним угрозам оказывается соизмеримой или даже выше стоимости самой системы.
Для анализа угроз сетей передачи данных, реализованных с использованием средств технологии АТМ, рассмотрим структуру разветвленной корпоративной сети (КС), интеграция отдельных сегментов которой реализуется с использованием технических средств АТМ-технологии (рис. 1).
Рис. 1. Архитектура объектов защиты в технологии АТМ
|
|
|
