Шляхи витоку інформації і несанкціонованого доступу в каналах охоронних пристроїв
Несанкціонований доступ у телекомунікаційні системи призводить до значних матеріальних втрат для успішної боротьби з порушеннями інформаційної безпеки користувач повинен знати всі канали витоку інформації.
Аналіз показує, що шляхи несанкціонованого одержання інформації дуже різноманітні і багаточисленні:
1) несанкціоноване підключення до апаратури і ліній зв'язку;
2) перехоплення електромагнітних випромінювань;
3) примусове електромагнітне опромінення (підсвічування) ліній зв'язку з метою одержання паразитної модуляції несучої;
4) застосування пристроїв, що підслухують, (закладань);
5) перехоплення акустичних випромінювань;
6) дистанційне фотографування;
7) розкрадання носіїв інформації і виробничих відходів;
8) зчитування даних у масивах інших користувачів;
9) читання залишкової інформації в пам'яті системи після виконання санкціонованих запитів;
10) копіювання носіїв інформації з подоланням заходів захисту;
11) маскування під зареєстрованого користувача;
12) використання програмних пасток,
13) використання недоліків мов програмування й операційних систем;
14) вмикання в бібліотеки програм спеціальних блоків типу "троянський кінь";
15) злочинне виведення з ладу механізмів захисту;
16) впровадження і використання комп'ютерних вірусів.
Близьким по характеру є і перелік загроз безпеки інформації.
Перехоплення даних огляд даних несанкціонованим користувачем. Ця погроза виявляється в можливості порушника безпосередньо підключатися до лінії зв'язку для знімання переданої інформації або одержувати інформацію на відстані з використанням побічного електромагнітного випромінювання при передачі інформації з ліній зв'язку.
|
|
|
Аналіз трафіка огляд інформації, що стосується зв'язку між користувачами (наприклад, наявність/відсутність, частота, напрямок, послідовність, тип, обсяг обміну і т.д.). Навіть якщо підслухуючий не може визначити фактичного утримання повідомлень, він може одержати деякий об’єм інформації, виходячи з характеру потоку інформації (наприклад, безупинний, пакетний, або відсутність інформації).
Зміна потоку повідомлень внесення не знаходить перекручувань у повідомленні, видалення повідомлень або порушення загального порядку повідомлень у потоку.
Відмова користувача від повідомлення, заперечення відправником свого авторства в пред'явленому йому одержувачем повідомленні або заперечення одержувачем факту одержання їм повідомлення.
Маскарад - прагнення порушника видати себе за деякого іншого користувача з метою одержання доступу до додаткової інформації, одержання додаткових привілеїв або нав'язування іншому користувачу помилкової інформації.
|
|
|
Порушення зв'язку недопущення зв'язку або затримка термінових повідомлень.
Аналізуючи шлях несанкціонованого доступу, можна зробити припущення, що для побудови сучасних систем охоронних сигналізацій, обов'язковим буде наявність радіоканалу, а також використання ШСС сигналів для безпечної передачі даних по цьому каналі.
Архітектура системи безпеки інформації
Необхідність забезпечення безпеки і вимоги сумісності різноманітних служб існуючих і розроблювальних інформаційно-обчислювальних мереж визначили напрямок у діяльності Міжнародної організації по стандартизації і Міжнародній спілці електрозв'язку. Концепція архітектури безпеки орієнтується на застосуванні в мережах, що використовують міжнародні стандарти і цілком відповідає еталонній моделі взаємозв'язку відкритих систем. Забезпечення безпеки інформації при її передачі здійснюється спеціальним підрозділом, що включає в себе ряд служб, кожна з яких вирішує задачу захисту інформації від визначеної погрози (сукупності погроз).
У загальному випадку в систему забезпечення безпеки інформації можуть бути включені:
|
|
|
1) Служба таємності даних – може бути використана для захисту переданих даних від скресання інформації, що утримується в них, і від можливості проведення аналізу інтенсивності потоків даних між користувачами
2) Служба аутентифікації – призначена для підтвердження того, що в даний момент зв'язку користувач є дійсно тим користувачем, за якого він себе видає;
3) Служба цілісності даних – забезпечує доказ цілісності даних у процесі їхньої передачі, тобто забезпечує захист переданих повідомлень від випадкових і навмисних впливів, спрямованих на зміну переданих повідомлень, затримку і знищення повідомлень або переупорядочення повідомлень;
4) Служба керування доступом – забезпечує захист від несанкціонованого доступу до інформації, що утримується в віддалених банках даних, або від несанкціонованого використання мережі;
5) Служба цілосності інформації – забезпечує доказ цілісності повідомлення, прийнятого від відповідного джерела і знаходиться на збереженні, наприклад, у терміналі-приймачі, і яке може бути перевірене в будь-який момент часу арбітром (третьою стороною);
6) Служба доставки – забезпечує захист від спроб зловмисника порушити зв'язок або затримати передачу повідомлення на час, що перевищує час цінності переданої в повідомленні інформації; ця служба безпосередньо пов'язана з процесами передачі інформації в мережах зв'язку.
|
|
|
Механізм шифрування може забезпечувати конфіденціальність або переданих даних, або інформації про параметри трафіка і може бути використаний у деяких інших механізмах безпеки або доповнювати їх. Існування механізму шифрування припускає використання, як правило, механізму керування ключами.
У механізмі аутентифікації основна увага приділяється методам передачі в мережі інформації спеціального характеру (полей аутентифікаторів, контрольних сум і т.п.). У випадку односторонньої або взаємної аутентифікації забезпечується процес перевірки істинності користувачів (передавача і приймача повідомлень), що гарантує запобігання з'єднання з логічним об'єктом, утвореним зловмисником.
Механізм забезпечення цілісності даних припускає введення в кожне повідомлення деякої додаткової інформації, що є функцією від змісту повідомлення. У рекомендаціях МОС розглядаються методи забезпечення цілісності двох типів:
- перші забезпечують цілісність єдиного блока даних;
- другі потоку блоків даних або окремих полів цих блоків.
Ці методи застосовуються як при передачі даних по віртуальному з'єднанню, так і при використанні дейтаграмної передачі. У першому випадку гарантується усунення повторів, вставок або модифікацій даних за допомогою спеціальної нумерації блоків або введенням міток часу. У дейтаграмному режимі мітки часу можуть забезпечити тільки обмежений захист цілісності послідовності блоків даних і запобігти переадресації окремих блоків.
Таблиця 1.1. Служби і процедури захисту
| Найменування служби | Номер служби | Процедура захисту | Номер рівня |
| Аутентифікація: | |||
| Однорівневих об'єктів | 1 | Шифрування, цифровий підпис, забезпечення аутентифікації. | 3, 4,7 |
| Джерела даних | 2 | Шифрування, цифровий підпис | 3,4,7 |
| Контроль доступу | 3 | Керування доступом | 3,4,7 |
| З а с е к р е ч у в а н н я: | |||
| З'єднання | 4 | Шифрування | 14, 6 |
| Керування маршрутом | 7 | ||
| В режимі без з'єднання | 5 | Шифрування | 24, 6 |
| Керування маршрутом | 7 | ||
| Вибіркових полей | 6 | Шифрування | 6,7 |
| Потоку даних | 7 | Шифрування | 1,6 |
| Заповнення потоку | 3,7 | ||
| Керування маршрутом | 3 | ||
| З а б е з п е ч е н н я ц і л о с н о с т і: | |||
| З'єднання з відновленням | 8 | Шифрування, забезпечення цілосності даних | 4,7 |
| З'єднання без відновлення | 9 | Шифрування, забезпечення цілосності даних | 3,4,7 |
| Вибіркових полей даних | 10 | Шифрування, забезпечення цілосності даних | 7 |
| Без установлення з'єднання | 11 | Шифрування | 3,4,7 |
| Цифровий підпис | 4 | ||
| Забезпечення цілосності даних | 3,4,7 | ||
| Вибіркових полей без з'єднання | 12 | Шифрування | 7 |
| Цифровий підпис | 4,7 | ||
| Забезпечення цілосності даних | 7 | ||
| І н ф о р м у в а н н я: | |||
| Про відправку | 13 | Цифровий підпис, забезпечення цілосності даних, підтвердження характеристик даних | 7 |
| Про доставку | 14 | Цифровий підпис, забезпечення цілосності даних, підтвердження характеристик даних | 7 |
Механізм цифрового електронного підпису, що регламентує один із процесів аутентифікації користувачів і повідомлень, використовується для підтвердження істинності змісту повідомлення і посвідчення того факту, що воно відправлено тим абонентом, що зазначений в заголовку якості джерела даних. Цифровий підпис також необхідний для запобігання можливості відмови передавача від видачі якогось повідомлення, а приймача від його прийому.
Процес підписання блоку даних використовує інформацію, що є інформацією приватного використання (тобто унікальної і конфіденційної). Цей процес припускає або шифрування блоку даних, або одержання криптографічного контрольного значення блоку даних із використанням приватної інформації користувача, що підписав, у якості ключа шифрування приватного користування. Таким чином, після перевірки підпису в наступній третій особі (наприклад, арбітру) у будь-який час може бути доведено, що підпис міг виконати тільки єдиний тримач секретної (приватної) інформації.
Механізми контролю доступу можуть використовувати аутентифікаційну ідентифікацію об'єкта або інформацію об'єкта (наприклад, приналежність до відомої множини об'єктів) або можливості цього об'єкта для встановлення і застосування прав доступу до цього об'єкта. Якщо об'єкт робить спробу використовувати несанкціонований ресурс або санкціонований ресурс із неправильним типом доступу, то функція контролю доступу буде відхиляти цю спробу і може повідомити про цю спробу для ініціювання аварійного сигналу і (або) реєстрації його як частини даних перевірки безпеки. Механізми контролю доступу можуть використовуватися на будь-якому кінці з'єднання і (або) у будь-якому проміжному вузлі.
Механізми підстановки трафіка, названого також механізмами заповнення потоку, використовується для реалізації служби засекречування потоку даних. Вони грунтуються на генерації фіктивних блоків, їх шифрування й організації передачі по каналах зв'язку. Тим самим нейтралізується можливість одержання інформації про мережу і абонентах, що обслуговуються нею, за допомогою спостереження за зовнішніми характеристиками потоків, що циркулюють по каналах зв'язку.
Дата добавления: 2019-07-15; просмотров: 217; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!