Безопасность информации - Лекция, раздел Философия, КУРС ЛЕКЦИЙ ПО ДИСЦИПЛИНЕ ИНФОкоммуникаЦИОННЫЕ системы и СЕТИ Безопасность Данных (Data Security) — Концепция Защиты Программ И Данн...
Безопасность данных (data security) — концепция защиты программ и данных от случайного либо умышленного изменения, уничтожения, разглашения, а также несанкционированного использования.
Интенсивное развитие средств связи и широкое внедрение информационных технологий во все сферы жизни делают все более актуальной проблему защиты информации. Преступления в сфере передачи и обработки информации в ряде стран, по мнению специалистов, превратились в национальное бедствие. Особенно широкий размах получили преступления в системах телекоммуникаций, обслуживающих банковские и торговые учреждения. По официальным источникам, ежегодные потери только делового сектора США от несанкционированного проникновения в информационные базы данных составляют 150-300 млрд. долл.
Средства обеспечения информационной безопасности можно условно разделить на следующие группы:
· системы контроля доступа (управляют правами доступа пользователей, регистрируют обращения к защищаемым данным, осуществляют аутентификацию пользователей и сетевых систем (установление подлинности имени объекта для получения им права использования программ и данных));
· системы шифрования информации (кодируют данные, хранящиеся на локальных дисках пользователей и передаваемые по телекоммуникационным каналам);
· системы электронно-цифровой подписи (обеспечивают аутентификацию получаемой информации и контроль ее целостности);
· системы антивирусной защиты (контролируют состояние памяти вычислительных систем, предотвращают заражение файлов на локальных и сетевых дисках, а также распространение вирусов по сети);
· системы защиты firewall (осуществляют авторизацию входящего и исходящего трафика между локальной компьютерной сетью и Internet);
· системы резервного хранения и восстановления информации (обеспечивают запись информации на резервные носители и, в случае необходимости, ее восстановление на жестких дисках компьютеров предприятия).
Необходимо отметить, что само по себе наличие даже самых совершенных планов обеспечения информационной безопасности не может служить гарантией безопасности данных и надежности работы информационной инфраструктуры.
Система (служба) обеспечения безопасности информации - это совокупность различных мероприятий (правовых, организационных, технических), позволяющих не допустить или существенно затруднить нанесение ущерба интересам поставщиков и потребителей информации. Реализация этих мер должна способствовать:
· обеспечению целостности информации (полноты, точности, достоверности);
· сохранению конфиденциальности информации (конфиденциальной называется информация, не являющаяся общедоступной), предупреждение несанкционированного получения информации;
· обеспечению доступности, т.е. доступа к информации со стороны пользователей, имеющих на то надлежащие полномочия.
В соответствии с рекомендациями МСЭ-Т конфиденциальность, целостность и доступность являются характеристиками безопасности передаваемых данных.
Перечислим наиболее характерные угрозы безопасности информации при ее передаче:
· перехват данных - обзор данных несанкционированным пользователем; эта угроза проявляется в возможностях злоумышленника непосредственно подключаться к линии связи для съема передаваемой информации либо получать информацию "на дистанции", вследствие побочного электромагнитного излучения средств передачи информации по каналам связи;
· анализ трафика - обзор информации, касающейся связи между пользователями (например, наличие/отсутствие, частота, направление, последовательность, тип, объем и т.д.). Даже если подслушивающий не может определить фактического содержания сообщения, он может получить некоторый объем информации, исходя из характера потока трафика (например, непрерывный, пакетный, периодический или отсутствие информации);
· изменение потока сообщений (или одного сообщения) - внесение в него необнаруживаемых искажений, удаление сообщения или нарушение общего порядка следования сообщений;
· повтор процесса установления соединения и передачи сообщения - записывание несанкционированным пользователем с последующим повтором им процесса установления соединения с передачей ранее уже переданного и принятого пользователем сообщения;
· отказ пользователя от сообщения - отрицание передающим пользователем своего авторства в предъявленном ему принимающим пользователем сообщении или отрицание принимающим пользователем факта получения им от передающего пользователя сообщения;
· маскарад - стремление пользователя выдать себя за некоторого другого пользователя с целью получения доступа к дополнительной информации, получения дополнительных привилегий или навязывание другому пользователю системы ложной информации, исходящей якобы от пользователя, имеющего санкции на передачу такого рода информации;
· нарушение связи - недопущение связи или задержка срочных сообщений.
Рекомендациями МОС и МСЭ-Т предусматриваются следующие основные механизмы защиты:
· шифрование данных;
· обеспечение аутентификации;
· обеспечение целостности данных;
· цифровая подпись;
· контроль доступа.
Механизм шифрования может обеспечивать конфиденциальность либо передаваемых данных, либо информации о параметрах трафика и может быть использован в некоторых других механизмах безопасности или дополнять их. Существование механизма шифрования подразумевает использование, как правило, механизма управления ключами.
При рассмотрении механизмов аутентификации основное внимание уделяется методам передачи в сети информации специального характера (паролей, аутентификаторов, контрольных сумм и т.п.). В случае односторонней или взаимной аутентификации обеспечивается процесс проверки подлинности пользователей (передатчика и приемника сообщений), что гарантирует предотвращение соединения с логическим объектом, образованным злоумышленником.
Механизм обеспечения целостности данных предполагает введение в каждое сообщение некоторой дополнительной информации, являющейся функцией от содержания сообщения. Эти методы применяются как при передаче данных по виртуальному соединению, так и при использовании датаграммной передачи. В первом случае гарантируется устранение неупорядоченности, потерь, повторов, вставок или модификации данных при помощи специальной нумерации блоков, либо введением меток времени. В датаграммном режиме метки времени могут обеспечить только ограниченную защиту целостности последовательности блоков данных и предотвратить переадресацию отдельных блоков.
Механизм цифровой подписи, реализующий один из процессов аутентификации пользователей и сообщения, применяется для подтверждения подлинности содержания сообщения и удостоверения того факта, что оно отправлено абонентом, указанным в заголовке в качестве источника данных. Цифровая подпись (ЦП) также необходима для предотвращения возможности отказа передатчика от факта выдачи какого-либо сообщения, а приемника - от его приема.
Механизмом цифровой подписи определяются две процедуры:
· формирование блока данных, добавляемого к передаваемому сообщению;
· подписание блока данных.
Процесс формирования блока данных содержит общедоступные процедуры и в отдельных случаях специальные (секретные) ключи преобразования, известные на приеме.
Процесс подписания блока данных использует информацию, которая является информацией частного использования (т.е. уникальной и конфиденциальной). Этот процесс подразумевает либо шифрование блока данных, либо получение криптографического контрольного значения блока данных с использованием частной информации подписавшего пользователя в качестве ключа шифрования частного пользования. Таким образом, после проверки подписи в последующем третьему лицу (например, арбитру) в любое время может быть доказано, что подпись может выполнить только единственный держатель секретной (частной) информации.
Механизмы контроля доступа могут использовать аутентифицированную идентификацию объекта (отождествление анализируемого объекта с одним из известных объектов) или информацию объекта (например, принадлежность к известному множеству объектов) либо возможности этого объекта для установления и применения прав доступа к нему. Если объект делает попытку использовать несанкционированный или санкционированный с неправильным типом доступа ресурсы, то функция контроля доступа будет отвергать эту попытку и может сообщить о ней для инициирования аварийного сигнала и (или) регистрации его как части данных проверки безопасности. Механизмы контроля доступа могут использоваться на любом конце соединения и (или) в любом промежуточном узле.
Все темы данного раздела:
Возникновение понятия открытости
Развитие систем и средств вычислительной техники, расширенное их внедрение во все сферы науки, техники, сферы обслуживания и быта привели к необходимости объединения конкретных вычислительных устро
Понятие открытой системы
В настоящее время существует множество определений понятия "открытая система". Так, Ассоциация французских пользователей UNIX и открытых систем (AFUU) дает следующее определение: "От
Принципы построения
Основные требования, предъявляемые к информационной инфраструктуре, состоят в обеспечении необходимой функциональности, быстродействия, пропускной способности и безопасности. При этом исходим из то
Тема 2.
МОДЕЛИ И СТРУКТУРЫ ИНФОРМАЦИОННЫХ СЕТЕЙ
2.1 Топология
Способ соединения компьютеров в сети называется топологией. При выборе конкретного т
Кольцевая топология
В этом случае все рабочие станции и сервер соединены друг с другом по кольцу, по которому посылаются данные и адрес получателя. Рабочие станции получают соответствующие данные, анализируя адрес пос
Шинная топология
Такая сеть похожа на центральную линию, к которой подключены сервер и отдельные рабочие станции. Шинная топология получила широкое распространение, что, прежде всего, можно объяснить небольшими пот
Смешанные топологии
Сегодня все чаще встречаются смешанные топологии, например, можно соединить с помощью кабеля кластеры машин, находящиеся на удаленном расстоянии друг от друга.
+----------------+ кабель +-
Коаксиальные передающие среды
Коаксиальный кабель является наиболее распространенной средой, используемой для передачи радиочастотных сигналов. Конструкционно он состоит из одножильного или многожильного проводника, окруженного
Передающие среды на основе витой пары проводников
В идеальном случае линия передачи представляет собой, как минимум, два проводника, разделенных диэлектрическим материалом и имеющих равномерный зазор на всем своем протяжении. К двум проводникам пр
Кабельные системы для скоростной передачи данных
С ростом спроса на более быстрые и сложные сети растет и рынок кабельной продукции. Кабели с высокочастотными характеристиками представляют приблизительно 20% рынка и их доля будет расти с повышени
Однородность импеданса
Полезно напомнить еще раз, что грядущие приложения будут, вероятнее всего, работать в дуплексном режиме. Явление неоднородности импеданса в линии передачи аналогично сопротивлению потоку воды на от
Преимущества волокна
Волоконно-оптические коммуникации имеют ряд преимуществ по сравнению с электронными системами, использующими передающие среды на металлической основе.
В волоконно-оптических системах перед
Основные элементы оптического волокна
Ядро. Ядро – светопередающая часть волокна, изготавливаемая либо из стекла, либо из пластика. Чем больше диаметр ядра, тем большее количество света может быть передано по волокну.
Метод доступа и кадры для сетей Token Ring
Адаптеры Token Ring поддерживают метод доступа Token Ring (маркерное кольцо) и обеспечивают скорости передачи 4 Мбит/с или 16 Мбит/с. Ниже перечислены основные положения этого метода:
· ст
Метод доступа и кадры для сетей ARCNet
При подключении устройств в ARCNet применяют топологию шина или звезда. Адаптеры ARCNet поддерживают метод доступа Token Bus (маркерная шина) и обеспечивают производительность 2,5 Мбит/с. Этот мето
Протокол UDP (User Datagram Protocol)
Протокол UDP является одним из основных транспортных протоколов. Он работает непосредственно с IP-пакетами и осуществляет их мультиплексирование между различными программами и процессами. Основным
Протокол IP
Межсетевой протокол IP является базовым протоколом межсетевого взаимодействия при помощи которого осуществляется обмен информацией в глобальной сети. В обычной локальной сети протокол IP по возможн
Протокол TCP (Transmission Control Protocol)
Данный протокол тоже является транспортным протоколом и предназначен для доставки пакетов, называемых сегментами. Он применяется в случаях необходимости гарантированной доставки пакета. Здесь, по с
Протокол RIP (Routing Information Protocol)
Данный протокол предназначен исключительно для управления таблицей маршрутов. Его спецификация определяет то, как и когда будет обновляться таблица маршрутов. Необходимая для этого информация рассы
Протокол RARP (Reverse Adress Resolution Protocol)
При стандартной конфигурации серверов и локальных машин, обычно, IP-адреса компьютеров хранятся на локальных носителях и считываются в память во время загрузки систем. В случае, когда необходимо ин
Протокол BOOTP (BOOT strap Protocol)
Мы уже отмечали ранее, что не все сетевые компоненты (компьютеры, маршрутеризаторы, хабы и т.п.) имеют собственные локальные накопители информации, однако, каким-то образом, в них должна быть загру
Протокол ICMP (Internet Control Massage Protocol)
Хотя базовым протоколом межсетевого взаимодействия в Internet является IP, он не контролирует ошибочные состояния сетевой среды. Данную задачу решает специально разработанный протокол контроля сети
Протокол SLIP (Serial Line Internet Protocol)
Данный протокол является одним из старейших Internet-протоколов, используемых для подключения удаленных машин по выделенным или коммутируемым телефонным линиям через COM-порт [и модем]. Основным на
Протокол PPP (Point To Point connection)
Протокол PPP также является протоколом для соединения через последовательные порты. Как и SLIP, он "нарезает" пакеты на более мелкие куски и производит последовательную их отправку и прие
Протокол и сервис DNS (Domain Name Server)
Когда-то, достаточно давно, в Internet было сравнительно немного машин, но даже это небольшое количество трудно идентифицировалось и именовалось пользователями при помощи числовых IP-адресов. Поэто
Сервисы прикладного назначения
Протоколы и сервисы электронной почты (POP, UUCP, SMTP) Если DNS и DHCP были сервисами системного назначения и используются для систем маршрутизации и доставки пакетов (т.е. обычный пользовател
Протокол и сервис удаленного доступа Telnet
Аналогично FTP, Telnet, тоже, когда-то была всего лишь командой OC UNIX, однако, в виду ее популярности и удобства, она распространилась в виде отдельного приложения на все существующие сетевые ОС
Протокол HTTP и сервис WWW
Из всех пользовательских сервисов Internet WWW-технология (World Wide Web) или "Всемирная Паутина" распределенных информационных систем является наиболее развивающейся и прогрессирующей.
Базовая эталонная модель взаимодействия открытых систем
БЭМВОС – это концептуальная основа, определяющая характеристики и средства открытых систем. Она обеспечивает работу в одной сети систем, выпускаемых различными производителями. Разработана I
Передача данных между уровнями МВОС
Пусть, например, приложение обращается с запросом к прикладному уровню, например к файловому сервису. На основании этого запроса программное обеспечение прикладного уровня формирует сообщение станд
Соединения.
Соединение – это ассоциация функциональных блоков, устанавливаемая для передачи данных. В соответствии с семью уровнями области взаимодействия открытых систем, существует 7 видов соединений,
Абонентская система
Это система, которая является поставщиком или потребителем информации.
АС реализуется в виде одного или нескольких устройств:
Ретрансляционная система
Это система, предназначенная для передачи данных или преобразования протоколов. Необходимость объединения нескольких сетей с разными протоколами, поставило задачу создания таких ретрансляционных си
Узел коммутации каналов
Узел коммутации каналов – это ретрансляционная система, устанавливающая по вызову соединение последовательностей каналов между партнерами в течении сеанса. Основная его часть выполняет функции физи
Объединение сетей
Таким образом, ретрансляционные системы реализуют межсетевые, канальные и физические процессы. Задачей является выполнение функций, в том числе преобразований, необходимых для соединения частей сет
Административные системы
Административные системы – это системы, обеспечивающие управление сетью либо её частью. На неё возлагаются следующие функции:
· сбора информации и учёта работы компонентов сети (вре
Тема 5.
МОНОКАНАЛЬНЫЕ ПОДСЕТИ И МОНОКАНАЛ. КОММУНИКАЦИОННЫЕ ПОДСЕТИ. МНОГОКАНАЛЬНЫЕ ПОДСЕТИ. ЦИКЛИЧЕСКИЕ ПОДСЕТИ. УЗЛОВЫЕ ПОДСЕТИ.
Моноканал – это канал, одновременно (с точностью
Моноканальная сеть
Моноканальная сеть – это локальная сеть, ядром которой является моноканал.
Моноканал в соответствии с базовой эталонной моделью взаимодействия открытых систем выполняет в сети роль физичес
Тема 6.
МЕТОДЫ МАРШРУТИЗАЦИИ ИНФОРМАЦИОННЫХ ПОТОКОВ
6.1 Маршрутизаторы
Довольно часто в компьютерной литературе дается следующее обобщенное определение м
СЕТЕВЫЕ СЛУЖБЫ. МОДЕЛЬ РАСПРЕДЕЛЕННОЙ ОБРАБОТКИ ИНФОРМАЦИИ. БЕЗОПАСНОСТЬ ИНФОРМАЦИИ. БАЗОВЫЕ ФУНКЦИОНАЛЬНЫЕ ПРОФИЛИ. ПОЛНЫЕ ФУНКЦИОНАЛЬНЫЕ ПРОФИЛИ.
Сетевая служба — вид сервиса, предоставляемого сетью.
Сервис — процесс обслуживания объектов. Сервис предоставляется пользователям, программам, системам, уровням, функциональ
Сетевая служба EDI
Сетевая служба EDI — сетевая служба обмена электронными данными.
Технология EDI, именуемая также Сервисом электронных писем ELS, представляет собой стандартный и не зависимый от пла
Сетевая служба FTAM
Сетевая служба FTAM - сетевая служба, обеспечивающая управление файлами и доступ к ним.
FTAM расположена на прикладном уровне, определена Международной Организацией Стандартов (МОС)
Сетевая служба JTM
Сетевая служба JTM — сетевая служба передачи заданий и управления их выполнением.
JTM работает в соответствии со стандартами ISO и оперирует с так называемыми виртуальными заданиями
Сетевая служба NMS
Сетевая служба NMS — сетевая служба, выполняющая процессы управления сетью.
NMS разработана Международной Организацией Стандартов (МОС) и располагается на прикладном уровне. Обеспеч
Сетевая служба ODA
Сетевая служба ODA — сетевая служба, обеспечивающая обработку и передачу документов.
ODA располагается на прикладном уровне и определяет обмен документами (письмами, служебными запи
Модель распределенной обработки информации
Распределенная обработка данных — методика выполнения прикладных программ группой систем.
Сущность DDP заключается в том, что пользователь получает возможность работать с сетевыми с
Технологии распределенных вычислений.
Программное обеспечение (ПО) организации распределенных вычислений называют программным обеспечением промежуточного слоя (Middleware). Новое направление организации распределенных вычислений в сетя
Распределенная среда обработки данных
(Distributed Computing Environment (DCE*)) — технология распределенной обработки данных, предложенная фондом открытого программного обеспечения.
Она не противопоставляется другим те
Базовые функциональные профили
Функциональный профиль - иерархия взаимосвязанных протоколов, предназначенная для определенного круга задач обработки и передачи данных.
В документах ISO и ITU определен широкий наб
Коллапсный функциональный профиль
Коллапсный функциональный профиль — псевдо-полный функциональный профиль, в котором отсутствует один либо несколько уровней.
Коллапсным называют профиль, в котором функции отсутству
Открытая сетевая архитектура
Открытая сетевая архитектура — полный функциональный профиль, разработанный фирмой British Telecom.&
British Telecom на всех семи уровнях использует в ONA (Open Network Architec
Тема 8.
Методы коммутации информации. Протоколы реализации
8.1 Коммутация. Коммутация каналов
Когда, сняв телефонную трубку, абонент или компьютер набира
Применяемое оборудование
Маршрутизаторы
Маршрутизатор (router) можно упрощенно рассматривать как некое устройство, обеспечивающее:
· физическое подключение к себе каналов определен
Время реакции
Обычно в качестве временной характеристики производительности сети используется такой показатель как время реакции. Термин «время реакции» может использоваться в очень широком смысле, поэтом
Критерии, отличающиеся единицей измерения передаваемой информации
В качестве единицы измерения передаваемой информации обычно используются пакеты (или кадры, далее эти термины будут использоваться как синонимы) или биты. Соответственно, пропускная способность изм
Критерии, отличающиеся учетом служебной информации
В любом протоколе имеется заголовок, переносящий служебную информацию, и поле данных, в котором переносится информация, считающаяся для данного протокола пользовательской. Например, в кадре протоко
Критерии, отличающиеся количеством и расположением точек измерения
Пропускную способность можно измерять между любыми двумя узлами или точками сети, например, между клиентским компьютером 1 и сервером 3 из примера, приведенного на рисунке 1.2. При этом получаемые
Факторы, определяющие эффективность сетей
В качестве средств коммуникации наиболее часто используются витая пара, коаксиальный кабель, оптоволоконные линии. На каждом компьютере должна быть установлена сетевая плата.
При выборе ти
Еthernet- кабель
Ethernet-кабель также является коаксиальным кабелем с волновым сопротивлением 50 Ом. Его называют еще толстый Ethernet (thick) или желтый кабель (yellow cable). Он использует 15-контактное стандарт
Показатели трех типовых сред для передачи.
Показатели
Среда передачи данных
Двух жильный кабель - витая пара
Коаксиальный кабель
Ошибки в кадрах, связанные с коллизиями
Ниже приведены типичные ошибки, вызванные коллизиями, для кадров протокола Ethernet:
- Локальная коллизия (LocalCollision). Является результатом одновременной передачи двух или более узлов
Диагностика коллизий
Средняя интенсивность коллизий в нормально работающей сети должна быть меньше 5%. Большие всплески (более 20%) могут быть индикатором кабельных проблем. Если интенсивность коллизий больше 10%, то у
Ошибки кадров Ethernet, связанные с длиной и неправильной контрольной суммой
- Укороченные кадры (Shortframes). Это кадры, имеющие длину, меньше допустимой, то есть меньше 64 байт. Иногда этот тип кадров дифференцируют на два класса - просто короткие кадры (short), у которы
Ошибки кадров Ethernet в стандарте RMON
Стандарт RMON определяет следующие типы ошибок кадров Ethernet:
etherStatsCRCAlignErrors -общее число полученных пакетов, которые имели длину (исключая преамбулу) между 64
Типичные ошибки при работе протоколов
Кроме явных ошибок в работе сети, проявляющихся в появлении кадров с некорректными значениями полей, существуют ошибочные ситуации, являющиеся следствием несогласованной установки параметров проток
Несоответствие форматов кадров Ethernet
Ethernet - одна из самых старых технологий локальных сетей, имеющая длительную историю развития, в которую внесли свой вклад различные компании и организации. В результате этого существует нескольк
Потери пакетов
Регулярные потери пакетов или кадров могут иметь очень тяжелые последствия для локальных сетей, так как протоколы нижнего уровня (канальные протоколы) рассчитаны на качественные кабельные каналы св
Несуществующий адрес и дублирование адресов
Отправка пакета по несуществующему адресу естественно не может привести к нормальному взаимодействию узлов в сети. Несуществующие адреса могут появиться в сети только в том случае, когда они хранят
Превышение значений тайм-аута и несогласованные значения тайм-аутов
Тайм-ауты - очень важные параметры многих протоколов, так как их непредвиденное превышение обычно приводит к серьезным последствиям. Например, превышение тайм-аута может привести к разрыву логическ
Сетевые операционные системы
Системные программные средства, управляющие процессами в компьютерных сетях, объединенные общей архитектурой, определенными коммуникационными протоколами и механизмами взаимодействия вычислительных
Требования к сетевым операционным системам.
Различают следующие системные требования:
единая системная архитектура. обеспечение требуемого высокого уровня прозрачности. высокоуровневая и высоконадежная файлов
Сети с централизованным управлением
В таких сетях сетевая операционная система, называемая также ОС сервера, обеспечивает выполнение базовых функций, таких, как поддержка файловой системы, планирование задач, управление памятью. Сете
Сети с децентрализованным управлением или одноранговые сети
В сети с децентрализованным управлением объединяются компьютеры, каждый из которых может быть и сервером, и клиентом. В такой сети любой компьютер работает под управлением обычной дисковой ОС, а дл
Прикладные программы сети
Важным требованием к большинству современных пакетов прикладных программ (ППП) является их способность работать в условиях локальных сетей, то есть выполнять функции прикладных программ сети (ППС).
Специализированные программные средства
В эпоху internet требуется огромное количество специализированных программных средств, выполняющих конкретные задачи. В качестве примеров можно привести:
· браузеры (Internet Explorer, Op
Терминальное оборудование
Терминальное оборудование ¾ основная часть абонентской системы, выполняющая прикладные процессы и, возможно, часть функций области взаимодействия.
Главной задачей терминально
Новости и инфо для студентов