Безопасность информации в ЛВС

Общая характеристика угроз, служб и механизмов безопасности

Комплексное рассмотрение вопросов обеспечения безопасности ЛВС нашло свое отражение в так называемой архитектуре безопасности, в рамках которой различают угрозы безопасности, а также услуги (службы) и механизмы ее обеспечения.

Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации ЛВС и т. д. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям (абонентам) ЛВС и, в свою очередь подразделяются на активные и пассивные.

Пассивные уг…

Несанкционированное использование ресурсов ЛВС, с одной стороны, является средством раскрытия или компромитации информации, а с другой — имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам или администрации ЛВС. Этот ущерб может варьироваться в весьма широких пределах — от сокращения поступления финансовых средств, взимаемых за предоставление ресурсов ЛВС, до полного выхода сети из строя.

Ошибочное использование ресурсов ЛВС, будучи санкционированным, тем не менее, может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угрозачаще всего является следствием ошибок, имеющихся в программном обеспечении ЛВС.

Несанкционированный обмен информацией между абонентами ЛВС может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию информации.

Отказ от информации состоит в непризнании получателем или отправителем этой информации, фактов ее получения или отправки соответственно. Это, в частности, помогает одной из сторон расторгать заключенные соглашения (финансовые, торговые, дипломатические и т. п.) «техническим путем, формально не отказываясь от них и нанося тем самым второй стороне значительный урон.

Отказ в обслуживании представляет собой весьма существенную и достаточно распространенную угрозу, источником которой является сама ЛВС. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов сети абоненту может привести к тяжелым для него последствиям. Так, отсутствие у абонента данных, необходимых для принятия решений в течение периода времени, когда это решение еще может быть эффективно реализовано, может стать причиной его нерациональных или даже антиоптимальных действий.

Службы безопасности ЛВС на концептуальном уровне специфицируют направления нейтрализации перечисленных или каких-либо иных угроз. В свою очередь, указанные направления реализуются механизмами безопасности (см. табл.). В рамках идеологии «открытых систем» службы и механизмы безопасности могут использоваться на любом из уровней эталонной модели: физическом — 1, канальном — 2, сетевом — 3, транспортном — 4, сеансов — 5, представительском — 6, прикладном — 7.

Прежде чем перйти к непосредственному рассмотрению служб, обратим внимание на то обстоятельство, что протоколы информационного обмена делятся на две группы: типа виртуального соединения и дейтаграммные. В соответствии с указанными протоколами принято делить сети на виртуфльные и дейтаграммные. В первых передача информации между абонентами организуется по так называемому виртуальному каналу и происходит в три этапа (фазы): создание (установление) виртуального канала, собственно передача и уничтожение виртуального канала (разъединение). Рпи этом сообщения разбиваются на блоки (пакеты), которые передаются в порядке их следования в сообщении. В дейтаграммных сетях блоки сообщения в составе так называемых дейтаграмм передаются от отправителя к получателю независимо друг от друга и в общем случае по различным маршрутам, в связи с чем порядок доставки блоков может не соответствовать порядку их следования в сообщении. Как видно, виртуальная сеть в концептуальном плане наследует принцип организации телефонной связи, тогда как дейтаграммная — почтовой.

Указанные два подхода к реализации информационного обмена ЛВС определяют некоторые различия в составе и особенностях служб безопасности.

Как уже отмечалось, для реализации служб безопасности используются механизмы безопасности. Шифрование обеспечивает реализацию служб засекречивания и используется в ряде других служб. Шифрование может быть симметричным и ассиметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один ключ, а для дешифрования — другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ.

Следует отметить, что для использования механизмов шифрования в ЛВС необходима организация специальной службы генерации ключей и их распределения между абонентами ЛВС.