Арбитраж или освидетельствование

Управление маршрутизацией

Подстановка трафика

Обеспечение аутентификации

Обеспечение целостности данных

Система регистрации и учета информации

Контроль и разграничение доступа

Цифровая (электронная) подпись

МЕХАНИЗМЫ БЕЗОПАСНОСТИ

 

1. Механизм цифровой (электронной) подписи в информационных технологиях основывается на алгоритмах ассиметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечива­ет шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя.

2. Механизмы контроля доступа осуществляют проверку полномо­чий объектов информационной технологии (программ и пользователей) на доступ к ресурсам сети. В основе контроля доступа к данным лежит система разграничения доступа специалистов информационной техно­логии к защищаемой информации.

Реализация систем разграничения доступа представляет собой программу, которая ложится всем своим телом на операционную сис­тему и должна закрыть при этом все входы в операционную систему, как стандартные, так и всевозможные нестандартные. Запуск систе­мы разграничения доступа осуществляется на стадии загрузки опера­ционной системы, после чего вход в систему и доступ к ресурсам воз­можен только через систему разграничения доступа. Кроме этого, система разграничения доступа содержит ряд автономных утилит, ко­торые позволяют настраивать систему и управлять процессом разгра­ничения доступа.

Утилита — это специальная программа, выполняющая оп­ределенные сервисные функ­ции.

Система разграничения доступа кон­тролирует действия субъектов доступа по отношению к объектам доступа и, на ос­новании правил разграничения доступа, может разрешать и запрещать требуемые действия.

Для успешного функционирования системы разграничения доступа в информационных технологиях решаются следующие задачи:

• невозможность обхода системы разграничения доступа действия­ми, находящимися в рамках выбранной модели;

• гарантированная идентификация специалиста информационной технологии, осуществляющего доступ к данным (аутентификация поль­зователя).

3.Система регистрации и учета информации является одним из эф­фективных методов увеличения безопасности в информационных тех­нологиях. Система регистрации и учета, ответственная за ведение реги­страционного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. В регистрационном журнале фиксируются все осуществленные или не­осуществленные попытки доступа к данным или программам. Содержа­ние регистрационного журнала может анализироваться как периодиче­ски, так и непрерывно.

 

Аутентификация — процедура проверки правильности введенной пользователем регастрационной информации для входа в систему.

В регистрационном журнале ведется список всех контролируемых запросов,

осуществляемых специалистами ИТ, а также учет всех защищаемых носителей информации с помощью их маркировки, с регистрацией их выдачи и приема.

4. Механизмы обеспечения целостности информации применяются как к отдельному блоку, так и к потоку данных. Целостность блока явля­ется необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных про­цедур шифрования и дешифрования отправителем и получателем. От­правитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответст­вующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целост­ности потока данных, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествую­щих блоков.

5. Механизмы аутентификации подразделяются на одностороннюю и взаимную аутентификацию. При использовании односторонней ау­тентификации в ИТ один из взаимодействующих объектов проверяет подлинность другого. Во втором случае — проверка является взаимной.

6. Механизмы подстановки трафика или подстановки текста ис­пользуются для реализации службы засекречивания потока данных. Они основываются на генерации объектами ИТ фиктивных блоков, их шиф­ровании и организации передачи по каналам связи. Тем самым нейтра­лизуется возможность получения информации об информационной тех­нологии и обслуживаемых ее пользователей посредством наблюдения за внешними характеристиками потоков информации, циркулирующих по каналам связи.

7. Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпроме­тированным (небезопасным), физически ненадежным каналам.

8. Механизмы арбитража обеспечивают подтверждение характери­стик данных, передаваемых между объектами информационных техно­логий, третьей стороной (арбитром). Для этого вся информация, от­правляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.