Архитектура механизмов защиты информации в сетях ЭВМ

Архитектуру механизмов защиты информации можно рас-мотреть на примере эталонной модели взаимодействия откры­тых систем - ВОС (см. ранее гл. 6).

Основные концепции применения методов и средств защиты информации на уровне базовой эталонной модели изложены в международном стандарте ISO/I EC 7498-2 «Базовая эталонна модель взаимодействия открытых систем, часть 2 «Архитектура безопасности». В самом наименовании ВОС термин открытые подразумевает, что если вычислительная система соответствует стандартам ВОС, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это естественно относится и к вопросам защиты информации.

В ВОС различают следующие основные активные способы несанкционированного доступа к информации:

• маскировка одного логического объекта под другой, обла­дающий большими полномочиями (ложная аутентификация абонента);

• переадресация сообщений (преднамеренное искажение адресных реквизитов);

• модификация сообщений (преднамеренное искажение информационной части сообщения);

• блокировка логического объекта с целью подавления неко­торых типов сообщений (выборочный или сплошной перехват сообщений определенного абонента, нарушение управ­ляющих последовательностей и т. п.).

Поскольку эталонная модель относится только к взаимосвя­зи открытых систем, то и защита информации рассматривается в том же аспекте. Прежде всего, приведём перечень видов услуг, предоставляемых по защите информации, которые обеспечива­ются с помощью специальных механизмов защиты. В настоящее время определено четырнадцать таких услуг:

1) аутентификация равнозначного логическо­го объекта (удостоверение подлинности удаленного абонен­та-получателя) — обеспечивается во время установления их со­единения или во время нормального обмена данными для гаран­тии того, что равноправный логический объект, с которым осуществляется взаимодействие, является тем, за кого себя вы­дает. Для аутентификации равнозначного логического объекта требуется, чтобы лежащий ниже уровень обеспечивал услуги с установлением соединения;

2) аутентификация источника данных — подтверждение подлинности источника (абонента-отправителя) со­общения. Эта услуга не ориентирована на соединение и не обеспечивает защиту от дублирования («проигрывания» ранее пер хваченного и записанного нарушителем) блока данных;

3) управление доступом (разграничение доступа) — обес­печивает защиту от несанкционированного доступа к ресурсам, потенциально доступным посредством ВОС. Доступ может быть ограничен полностью или частично. Например, для информаци­онного ресурса может быть ограничен доступ по чтению, запи­си, уничтожению информации;

4) засекречивание соединения — обеспечивает конфиденциальность всех сообщений, передаваемых пользовате­лями в рамках данного соединения. Данная услуга направлена на предотвращение возможности ознакомления с содержанием сообщений со стороны любых лиц, не являющихся легальными пользователями соединения. При этом в некоторых случаях нет необходимости в защите срочных данных и данных в запросе на установление соединения;

5) засекречивание в режиме без установления соединения — обеспечивает конфиденциальность всех дан­ных пользователя в сообщении (единственном сервисном блоке данных), передаваемом в режиме без установления соединения;

6) засекречивание поля данных — обеспечивает конфиденциальность отдельных полей данных пользователя на всем соединении или в отдельном сервисном блоке данных;

7) засекречивание трафика — препятствует возмож­ности извлечения информации из наблюдаемого графика;

8) целостность соединения с восстановлени­ем — позволяет обнаружить попытки вставки, удаления, моди­фикации или переадресации в последовательности сервисных блоков данных. При нарушении целостности предпринимается попытка ее восстановления;

9) целостность соединения без восстановле­ния — обеспечивает те же возможности, что и предыдущая услуга, но без попытки восстановления целостности;

10) целостность поля данных в режиме с уста­новлением соединения — обеспечивает целостность от­дельного поля данных пользователя во всем потоке сервисных блоков данных, передаваемых через это соединение, и обнару­живает вставку, удаление, модификацию или переадресацию этого поля;

11)целостность поля данных в режиме без ус­тановления соединения — позволяет обнаружить моди­фикацию выбранного поля в единственном сервисном блоке данных;

12) целостность блока данных в режиме без установления соединения — обеспечивает целостность единственного сервисного блока данных при работе без установления соединения и позволяет обнаружить модификацию и не­которые формы вставки и переадресации;

13) информирование об отправке данных — по­зволяет обнаружить логические объекты, которые посылают ин­формацию о нарушении правил защиты информации. Информирование об отправке предоставляет получателю информацию о факте передачи данных в его адрес, обеспечивает подтвержде­ние подлинности абонента-отправителя. Услуга направлена на предотвращение отрицания отправления, т. е. возможности отказа от факта передачи данного сообщения со стороны отпра­вителя;

14) информирование о доставке — позволяет обна­ружить логические объекты, которые не выполняют требуемых действий после приема информации, предоставляет отправите­лю информацию о факте получения данных адресатом. Услуга направлена на предотвращение отрицания доставки, т. е. обес­печивает защиту от попыток получателя отрицать факт получе­ния данных.

Теоретически доказано, а практика защиты сетей подтверди­ла, что все перечисленные услуги могут быть обеспечены крип­тографическими средствами защиты, в силу чего эти средства и составляют основу всех механизмов защиты информа­ции в ВС. Центральными при этом являются следующие задачи:

• взаимное опознавание (аутентификация) вступающих в связь абонентов сети;

• обеспечение конфиденциальности циркулирующих в сети данных;

• обеспечение юридической ответственности абонентов за передаваемые и принимаемые данные.

Решение последней из названных задач обеспечивается с по­мощью так называемой цифровой (электронной) под­писи.

К настоящему времени разработан ряд протоколов аутенти­фикации, основанных на использовании шифрования, которые обеспечивают надежную взаимную аутентификацию абонентов вычислительной сети без экспозиции любого из абонентов. Эти протоколы являются стойкими по отношению ко всем рассмот­ренным выше угрозам безопасности сети.

Любая СУБД есть полная или частичная реализация некото­рой политики безопасности, которая может содержать или не содержать криптографические механизмы безопасности. Основ­ной проблемой использования криптографических методов для зашиты информации в СУБД является проблема распределения ключей шифрования, управления ключами.

Ключи шифрования для баз данных требуют использования специфических мер защиты. Если база данных разделяется меж­ду многими пользователями (что, как правило, и имеет место на практике), то предпочтительно хранить ключи в самой системе под защитой главного ключа, чем распределять ключи прямо между пользователями. Сама задача управления при этом может возлагаться на пользователя. Вторичные ключи могут храниться либо в самой базе данных, либо в отдельном файле.

Отметим, что любой протокол шифрования должен отвечать на следующие основные вопросы:

1) каким образом устанавливается первоначальный канал связи между отправителем и получателем с операциями «откры­тый текст — шифротекст — открытый текст»?

2) какие предоставляются средства для восстановления про­цесса обмена и восстановления синхронизации протокола?

3) каким образом закрываются каналы?

4) каким образом взаимодействуют протоколы шифрования с остальными протоколами сети?

5) каков объем необходимого математического обеспечения для реализации протоколов шифрования и зависит ли безопас­ность сети от этих программ?

6) каким образом адресация открытого текста, проставляемая отправителем, проходит через средства информации в сети, что­бы предотвратить пути, по которым данные открытого текста могли бы быть намеренно или случайно скомпрометированы?

Желательно иметь протокол, который позволяет производить Динамическое открытие и закрытие канала, обеспечивать защиту от сбоев и все это с минимальными объемами механизма, от ко­торого зависит безопасность сети. Характеристики сети, полу­чающиеся при использовании соответствующего протокола шифрования, должны сравниваться с характеристиками сети без использования протоколов шифрования. Несомненно, что предпочтительней использование общего сетевого протокола, который мог бы встраиваться в сеть с минимальным нарушением су­ществующих механизмов передачи.

Механизм управления доступом, предназначенный для рея лизации соответствующего вида перечисленных выше услуг основан на идентификации логического объекта (или информации о нем) для проверки его полномочий и разграничения доступа.

Если логический объект пытается получить доступ к ресурсу использование которого ему не разрешено, механизм управле­ния доступом (в основе которого также наиболее эффективными средствами являются криптографические) отклонит эту попытку и сформирует запись в специальном системном журнале для по­следующего анализа. Механизмы управления доступом могут быть основаны на:

1) информационных базах управления доступом, где содер­жатся сведения о полномочиях всех логических объектов;

2) системах управления криптографическими ключами, обес­печивающими доступ к соответствующей информации;

3) идентифицирующей информации (такой, как пароли), предъявление которой дает право доступа;

4) специальных режимах и особенностях работы логического объекта, которые дают право доступа к определенным ресурсам;

5) специальных метках, которые будучи ассоциированы с конкретным логическим объектом, дают ему определенные пра­ва доступа;

6) времени, маршруте и продолжительности доступа.

Механизмы удостоверения целостности данных подразделя­ются на два типа: обеспечивающие целостность единственного блока данных и обеспечивающие целостность потока блоков данных или отдельных полей этих блоков. Целостность единст­венного блока данных достигается добавлением к нему при пе­редаче проверочной величины (контрольной суммы, имитов-ставки), которая является секретной функцией самих данных. При приеме генерируется (формируется) такая же величина и сравнивается с принятой. Защита целостности последовательно­сти блоков данных требует явного упорядочения блоков с помощью их последовательной нумерации, криптографического упо­рядочения или отметки времени.

Механизмы аутентификации (взаимного удостоверения под­линности) абонентов, вступающих в связь, используют пароли, криптографические методы, а также характеристики и взаимоот­ношения подчиненности логических объектов. Криптографиче­ские методы могут использоваться в сочетании с протоколами

взаимных ответов («рукопожатия») для защиты от переадреса­ции. Если обмен идентификаторами не даст положительного ре­зультата, то соединение отклоняется или заканчивается с соот­ветствующей записью в системном журнале и выдачей сообще­ния об этом событии.

Механизм заполнения трафика используется для защиты от попыток анализа трафика. Он эффективен только в случае шиф­рования всего трафика, когда нельзя отличить информацию от заполнения.

Механизм управления маршрутизацией позволяет использо­вать только безопасные с точки зрения защиты информации фрагменты сети, участки переприема, коммуникации, звенья. Может быть запрещена передача некоторых данных по опреде­ленным маршрутам, или оконечная система, обнаружив воздей­ствие на ее информацию, может потребовать предоставить ей маршрут доставки данных, обеспечивающий их конфиденциаль­ность и целостность.

Механизм нотариального заверения обеспечивается участием третьей стороны — «нотариуса», позволяет подтвердить целост­ность данных, удостоверить источник и приемник данных, вре­мя сеанса связи и т. п.