Особенности информационной безопасности компьютерных систем

Различают следующие функции (сервисы безопасности):
1. Аутентификация - обеспечивает аутентификацию партнеров по общению и аутентификацию источника данных.


Аутентификация партнеров по общению используется при установлении соединения и служит для предотвращения таких угроз, как маскарад и повторение предыдущих сеансов связи.
Аутентификация источника данных - это подтверждение источника отдельной порции данных. Функция не обеспечивает защиты против повторной передачи данных.
2. Управление доступом - гарантирует защиту от несанкционированного использования доступных по сети ресурсов.
3. Конфиденциальность данных - обеспечивает защиту от несанкционированного получения информации.
Различают следующие виды конфиденциальности:
? конфиденциальность данных при общении с установлением соединения;
? конфиденциальность данных при общении без установления соединения (в этих двух случаях защищается вся пользовательская информация).
? конфиденциальность отдельных полей данных;
? конфиденциальность трафика - защищает информацию, которую можно получить, анализируя трафик.
4. Целостность данных - подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры: с установлением соединения или без такового, или ограждаются все данные или только отдельные поля; обеспечивается ли восстановление в случае нарушения целостности.
5. Невозможность отказаться от завершенных действий. Обеспечивает два вида услуг:
? невозможность отказаться от совершенных действий с подтверждением подлинности источников данных;
? невозможность отказаться от совершенных действий с подтверждением доставки.


Различают следующие механизмы безопасности:
1. Шифрование:
а) симметричное с секретным ключом - когда значение ключа шифрования несет значение ключа расшифровки;
б) ассиметричное или с открытым ключом, когда знание ключа шифрования не позволяет узнать ключ расшифровки.
Различают также обратное и бесповоротно шифрования, последнее может использоваться для вычисления криптографических контрольных сумм.
2. Электронный или цифровой подписи.
Механизм электронной подписи включает в себя две процедуры: выработка подписи и проверку подписанного порции данных. Процедура выработки подписи использует информацию, известную только лицу, которое подписывает порцию данных. Процедура проверки подписи является общественным. Она не должна позволять найти секретный ключ лица, подписавшего данные.
3. Механизм управления доступом.
При принятии решения о предоставлении запрашиваемого типа доступа могут использоваться следующие виды и источники информации:
? базы данных управления доступом - в них могут храниться списки управления доступом или структуры аналогичного назначения;
? пароли;
? токены, билеты или другие удостоверения, предъявление которых свидетельствует о наличии прав доступа;
? метки безопасности, ассоциированные с пользователями и объектами доступа
? время запрашиваемого доступа;
? маршрут запрашиваемого доступа
? длительность запрашиваемого доступа.
4. Механизмы контроля целостности данных:
? целостность отдельного сообщения;
? целостность потока сообщений.


Процедура контроля целостности отдельного сообщения включает два процесса на передающей стороне и на приемной. На передающей стороне к сообщению добавляется избыточная информация, которая является функцией от сообщения. На приемной стороне независимо генерируется контрольная сумма полученного сообщения с последующим сравнением результата. Данный механизм не защищает от дублирования сообщений. Для проверки целостности потока сообщений, то есть для защиты от кражи, дублирования и вставки, используются порядковые номера, временные штампы, криптографическое связывание, когда результат шифрования следующего сообщения зависит от предыдущего, или другие аналогичные примеры.
При общении в режиме без установления соединения использование временных штампов может обеспечить ограниченную форму защиты от дублирования сообщений.
5. Механизмы аутентификации.
Аутентификация может достигаться за счет использования паролей, личных карточек или других устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик. Аутентификация бывает односторонней - клиент доказывает свою подлинность серверу и двусторонней (взаимной). Для защиты от дублирования аутентификационные информации могут использоваться временные штампы, а также синхронизация часов в узлах сети.
6. Механизмы дополнения трафика - эффективны только в сочетании со средствами обеспечения конфиденциальности, поскольку в противном случае злоумышленнику будет очевиден фиктивный характер дополнительных сообщений.
7. Механизмы управления маршрутизацией.
Маршруты могут выбираться статически или динамически. Компьютерная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными.
8. Механизмы нотаризации - служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверения обеспечивается надежной третьей стороной, имеющей достаточную информацию, чтобы ее заверениям можно было доверять. Конечно нотаризация опирается на механизм электронной подписи.