Алгоритмы обеспечения структурной скрытности распределенной информационно-вычислительной сети
Для реализации функций управления передачей данных используются технические и программные средства. Как правило, уровни 1 и 2 реализуются в основном техническими средствами. На уровнях с 3 по 7 используются программные средства. Взаимодействие между уровнями одной системы производится на основе соглашения — интерфейса, определяющего структуру данных и способ (алгоритм) обмена данными между… Читать ещё >
Алгоритмы обеспечения структурной скрытности распределенной информационно-вычислительной сети (реферат, курсовая, диплом, контрольная)
- ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ
- ИВС — информационно-вычислительная сеть
- ИКТ — информационно-коммуникационные технологии
- ИБ — информационная безопасность
- ЭМВОС — эталонная модель взаимодействия открытых систем
- НСД — несанкционированный доступ
- НСВ — несанкционированное воздействие
- ПО — программное обеспечение
- ОС — операционная система
- ЭВМ — электронная вычислительная машина
- ЛВС — локальная вычислительная сеть
- ВЧС — виртуальная частная сеть
- ТКС — телекоммуникационная система
- ССОП — сеть связи общего пользования
- ДЛ — должностное лицо
Развитие почти всех областей жизнедеятельности и отраслей государства невозможно вне информационной сферы как совокупности информационных ресурсов и информационной инфраструктуры.
Внедрение и развитие информационно-коммуникационных технологий оказывает положительное влияние практически на все области жизнедеятельности государства, прежде всего на социальную сферу, государственное управление, ослабляя воздействие многих негативных факторов, особенно связанных с временными затратами и с большими расстояниями, характерными для России.
Информационные технологии имеют важное значение в повышении эффективности механизмов государственного управления, деятельности субъектов здравоохранения, создание информационных сред в сферах образования, культуры, финансов; и объединении их в единое информационное пространство России.
Особое место в становлении единого информационного пространства имеет такая составляющая информационных технологий, как информационно-вычислительные сети (ИВС).
Развитие ИВС имеет важное значение в реализации федеральных целевых программ, концепций и приоритетных национальных проектах.
Внедрение и развитие информационных технологий, создание единого информационного пространства России и вхождение России в единое мировое информационное пространство помимо всех выгод порождает новые, ранее неизвестные проблемы, становится источником новых потенциальных угроз. При не соблюдении должного уровня безопасности эффект от внедрения новых технологий может оказаться отрицательным.
Интересы всех субъектов в информационной сфере заключается в том, чтобы информация, касающаяся их деятельности была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.
Обеспечения ИБ ИВС в условиях появления качественно новых видов информационного воздействия нарушителя требует для своего решения новых подходов к защите информации в ИВС.
1. АНАЛИЗ УСЛОВИЙ ФУНКЦИОНИРОВАНИЯ ЗАЩИЩЕННОЙ ИВС
Под ИВС обычно понимается территориально распределенная система коллективного использования средств связи и вычислительных ресурсов, взаимосвязанных каналами приема и передачи информации, обеспечивающая повышение эффективности функционирования линий передачи информации и вычислительных средств при решении сложных задач обработки информации.
1.1 Структура ИВС
1.1.1 Модели информационно-вычислительных сетей
ИВС в общем случае включает в себя разнообразные типы ЭВМ, сети передачи данных, коммуникационные подсистемы, устройства связи.
Типовая модель ИВС представлена на рисунке 1.1. Ее можно расширить, добавив другие устройства, например локальные терминалы ЭВМ, каналы связи.
Сети могут быть очень сложными и содержать широкий спектр вычислительных ресурсов. Соответственно и типы систем могут изменяться в широких пределах в зависимости от состава ИВС. Однако методы защиты должны быть пригодны для широкого круга применений.
1.1.2 Состав ИВС
В ИВС можно выделить две взаимосвязанные подсети: транспортную сеть и абонентскую сеть.
Транспортная сеть включает в себя: узлы связи и каналы связи.
Узел связи — совокупность средств коммутации и передачи данных в одном пункте — принимает данные, поступающие по каналам связи, и передает данные в каналы, ведущие к абонентам. Канал связи — реализуется на основе линии связи. Включает в себя аппаратуру передачи данных и физическую среду передачи данных.
Рисунок 1.1 — Структурная модель ИВС
Абонентская сеть представляет собой комплекс аппаратурно-программных средств, реализующих как функции содержательной обработки информации, так и функции взаимодействия потребителей информации.
Абонентский пункт состоит из взаимосвязанных устройств ввода-вывода, обеспечивающих ввод и вывод данных в различной форме.
Информационные ресурсы — служат для хранения и обработки информации.
1.2 Задачи ИВС
Основной эффект ИВС — полная доступность ресурсов сети для пользователей. Сети позволяют создавать сложные информационные структуры. Информационные связи между пользователями позволяют решать значительно более сложные задачи.
1.3 Требования к организации ИВС
Организация ИВС должна удовлетворять следующим основным требованиям:
Открытость — возможность включения дополнительных абонентских пунктов, информационных ресурсов, узлов и каналов связи без изменения технических и программных средств действующих компонентов.
Гибкость — сохранение работоспособности при изменении структуры в результате выхода из строя абонентского пункта, информационных ресурсов, узлов и линий связи, допустимость изменения типа вычислительной машины и линий связи.
Эффективность — обеспечение требуемого качества обслуживания пользователей при минимальных затратах.
1.4 Характеристики ИВС
Основными характеристиками ИВС являются:
Операционные возможности сети — перечень основных действий по обработке и хранению данных.
Время доставки сообщений определяется как статистическое среднее время от момента передачи сообщения в сеть до момента получения сообщения адресатом.
Производительность сети представляет собой суммарную производительность информационных ресурсов и абонентских пунктов.
Цена обработки данных формируется с учетом средств, используемых для ввода-вывода, передачи, хранения и обработки данных. На основе цен рассчитывается стоимость обработки данных, которая зависит от объема используемых ресурсов вычислительной сети.
1.5 Алгоритмы функционирования ИВС
1.5.1 Процессы
Функционирование ИВС представляется в терминах процессов. Процесс — это динамический объект, реализующий собой целенаправленный акт обработки данных. Процессы подразделяются на два класса: прикладные и системные. Прикладной процесс — выполнение прикладной или обрабатывающей программы операционной системы компьютера, а также функционирование терминала, то есть пользователя, работающего на терминале. Системный процесс — выполнение программы (алгоритма), реализующей вспомогательную функцию, связанную с обеспечением прикладных процессов. Примеры системных процессов: активизация терминала для прикладного процесса, организация связи между процессами и др.
Процесс порождается программой или пользователем и связан с данными, поступающими извне в качестве исходных и формируемыми процессом для внешнего пользования. Ввод данных, необходимых процессу, и вывод данных производится в форме сообщений — последовательности данных, имеющих законченное смысловое значение. Ввод сообщений в процесс и вывод сообщений из процесса производится через логические (программно организованные) точки, называемыми портами. Порты подразделяются на входные и выходные. Таким образом, процесс как объект представляется совокупностью портов, через которые он взаимодействует с другими процессами сети.
Взаимодействие процессов сводится к обмену сообщениями, которые передаются по каналам, создаваемым средствами сети. Промежуток времени, в течение которого взаимодействуют процессы, называется сеансом. Важно подчеркнуть, что в компьютерах и вычислительных комплексах взаимодействие процессов обеспечивается за счет доступа к общим для них данным (общей памяти) и обмена сигналами прерывания. В ИВС единственная форма взаимодействия процессов — обмен сообщениями.
Это различие связано с территориальной распределенностью процессов в ИВС, а также с тем, что для физического сопряжения компонентов сети используются каналы связи, которые обеспечивают передачу сообщений, но не отдельных сигналов.
1.5.2 Многоуровневая организация сети
Абстрактно ИВС можно представить как совокупность систем, связанных между собой некоторой передающей средой. В качестве систем выступают абонентские пункты и узлы связи. В каждой из систем сети существует некоторая совокупность процессов. Процессы, распределенные по разным системам, взаимодействуют через передающую среду путем обмена сообщениями.
Для обеспечения открытости, гибкости и эффективности сети управление процессами организуется по многоуровневой схеме, описывающей модель ЭМВОС. В каждой из систем прямоугольниками обозначены программные и аппаратные модули, реализующие определенные функции обработки и передачи данных. Модули распределены по 7 уровням.
Уровень 1 — физический — реализует управление каналом связи, что сводится к подключению и отключению канала связи и формированию сигналов, представляющих передаваемые данные.
Уровень 2 — канальный — обеспечивает надежную передачу данных через канал, организуемый на уровне 1.
Уровень 3 — сетевой — обеспечивает передачу данных через базовую сеть передачи данных. Управление сетью, реализуемое на этом уровне, состоит в выборе маршрута передачи данных по линиям, связывающим узлы сети.
Первые три уровня организуют базовую сеть передачи данных между абонентами сети.
Уровень 4 — транспортный — реализует процедуры сопряжения абонентов сети с базовой сетью передачи данных. На этом уровне возможно стандартное сопряжение различных систем с сетью передачи данных, и тем самым организуется транспортная служба для обмена данными между сетью и системами сети.
Уровень 5 — сеансовый — организует сеансы связи на период взаимодействия процессов. На этом уровне по запросам процессов создаются порты для приема и передачи сообщений и организуются соединения — логические каналы.
Уровень 6 — представления — осуществляет трансляцию различных языков, форматов данных и кодов для взаимодействия разнотипных компьютеров, оснащенных специфичными операционными системами.
Уровень 7 — прикладной — осуществляется передача данных прикладному процессу.
1.5.3 Интерфейсы
Для реализации функций управления передачей данных используются технические и программные средства. Как правило, уровни 1 и 2 реализуются в основном техническими средствами. На уровнях с 3 по 7 используются программные средства. Взаимодействие между уровнями одной системы производится на основе соглашения — интерфейса, определяющего структуру данных и способ (алгоритм) обмена данными между соседними уровнями. Уровни управления 1 и 2 связываются между собой и с уровнем 3 посредством схемных интерфейсов — интерфейсных шин. Порядок взаимодействия между уровнями управления, реализуемыми с помощью программных средств, определяется программными интерфейсами — совокупностью процедур.
1.5.4 Протоколы
Гибкость организации и простота реализации сетей достигаются, в частности, за счет того, что обмен сообщениями допускается только между процессами одного уровня. Это означает, что прикладной процесс может взаимодействовать только с прикладным процессом, а процессы управления передачей сообщения на уровнях 1,2,… — только с процессами одноименных уровней. Эта схема взаимодействия процессов — необходимое условие логической независимости уровней организации сети.
Набор семантических и синтаксических правил, которые определяют поведение систем или устройств, выполняющих определенные логически связанные группы функций при передаче данных называется протоколом.
Протоколы имеют следующие особенности, отличающие их от интерфейсов:
— параллелизм взаимодействующих процессов;
— взаимная неопределенность состояния процессов, связанная с отсутствием у каждого из них полной информации о состоянии другого процесса;
— отсутствие однозначной зависимости между событиями и действиями, выполняемыми при их наступлении;
— отсутствие полной гарантии доставки сообщений.
1.6 Классификация вторжений в ИВС
Злоумышленник при вторжении в ИВС может использовать как пассивные, так и активные методы вторжения.
При пассивном вторжении нарушитель только наблюдает за прохождением информации по линии связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. Как правило, злоумышленник выполняет анализ потока сообщений (трафика), фиксируя пункты назначений и идентификаторы, или только факт прохождения сообщения, его длину и частоту обмена, если содержание сообщения нераспознаваемо.
При активном вторжении нарушитель стремиться подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменять или добавить правильное или неправильное сообщение, удалить, задержать или изменить порядок следования сообщений. Злоумышленник может также аннулировать или задержать все сообщения, передаваемые по сети: такое вторжение равносильно отказу в передачи сообщений.
1.7 Концепция защищенной ИВС
1.7.1 Основные положения
Основу для формирования требований к защите в первую очередь определяет перечень угроз. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты. Определение требований к защите — шаг к построению концепции защищенной ИВС. Для этого необходимо рассмотреть возможные сбои оборудования и ошибочные операции, которые свойственны объектам, ресурсам и операциям в ИВС. В соответствии с этим списком составляются правила использования ресурсов сети и выполнения операций в сети.
Совокупность механизмов защиты, удовлетворяющих этим требованиям и реализующие такие правила, обеспечивает ИВС безопасность и надежность. Именно такая ИВС может быть названа защищенной ИВС. Чем больше требований к защите и соответствующих правил защиты, тем эффективнее механизмы защиты и тем более защищенной оказывается ИВС.
Для создания списка требований может оказаться полезной определенная классификация ресурсов и операций ИВС.
Основным понятием ИВС является понятие объекта, который включает ресурсы и пользователей. В состав ресурсов входят все компоненты ИВС, ее аппаратное и программное обеспечение. Понятие ресурса может быть распространено и на другие компоненты ИВС — процедуры, протоколы, управляющие структуры и т. п.
Пользователи ИВС — это в первую очередь люди, которые используют ресурсы ИВС, имея доступ к ним через терминалы или рабочие ЭВМ. Процессы, выполняемые на различных ресурсах ИВС, также относят к категории пользователя сети, рассматривая их как активные компоненты сети.
1.7.2 Методология
Для того чтобы спроектировать и реализовать интегрированную систему защиты для ИВС, необходимо в первую очередь выявить все угрозы.
Для этого проводится 3 стадии анализа: анализ требований к защите; анализ способов защиты; анализ возможных реализаций функций, процедур и средств защиты.
Первая стадия — выработка требований — включает:
— анализ уязвимых элементов ИВС;
— оценку угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов);
— анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы).
Вторая стадия — определение способов защиты — включает ответы на следующие вопросы:
— какие угрозы должны быть устранены и в какой мере?
— какие ресурсы сети должны быть защищены и в какой степени?
— с помощью каких средств должна быть реализована защита?
— каковы должны быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?
Третья стадия — определение функций, процедур и средств защиты, реализуемых в виде некоторых механизмов защиты. Для того чтобы реализовать и эффективно использовать механизмы защиты, необходимы дополнительные действия по обеспечению их поддержки, относящиеся к специфической функции управления защитой.
Управление защитой — это контроль за распределением информации в открытых системах. Он осуществляется для обеспечения функционирования средств и механизмов защиты фиксации выполняемых функций и состояний механизмов защиты и фиксации событий, связанных с нарушением защиты.
Из этого следует, что интегрированная система защиты ИВС может быть определена в форме списка функций, процедур и средств защиты.
1.8 Функции, процедуры и средства защиты ИВС
Установим множество операций и функций, которые могут быть выполнены над объектами и ресурсами.
Первая группа операций — это операции инициализации объектов при входе в ИВС. К ним относятся: идентификация, подтверждение подлинности и установление сферы действия объекта. После этого объекту разрешается выполнение других операций с включением других объектов. Функции и средства защиты, относящиеся к активным элементам ИВС, целесообразно определить как функции и средства защиты объектов.
Вторая группа операций — операции управления процессами, выполняемыми в ИВС. Средства защиты осуществляют координацию, синхронизацию, обеспечивают целостность и защиту процессов в ИВС. Они могут быть объединены в подсистему управления ИВС.
Третья группа операций — это операции передачи данных и управляющих сообщений по линиям связи. Они также требуют защиты, поскольку линии связи — уязвимый компонент ИВС. Соответствующие функции и средства защиты целесообразно определить как функции и средства защиты каналов передачи данных.
Таким образом, все операции: требования к защите, функции, средства и механизмы защиты — могут быть отнесены к одной из следующих трех групп:
— защита объектов ИВС;
— защита подсистем управления ИВС;
— защита линий связи.
1.8.1 Защита объектов ИВС
С каждым объектом ИВС связана некоторая информация, однозначно идентифицирующая его. Это могут быть число, строка символов, алгоритм, подтверждающий подлинность объекта. Определим такую информацию как идентификатор объекта. Процесс верификации этого идентификатора назовем идентификацией объекта. Если объект имеет некоторый идентификатор, зарегистрированный в сети, он называется легальным объектом; остальные объекты относятся к нелегальным.
Идентификация защищенного объекта — одна из функций подсистем защиты, которая выполняется в первую очередь, когда объект делает попытку войти в сеть. Если процедура завершается успешно, объект является легальным для данной сети. Следующий шаг — верификация идентификатора объекта. Соответствующая процедура называется подтверждением подлинности объекта и устанавливает, что предполагаемый легальный объект действительно является таким, каким он себя объявляет.
После того, как объект идентифицирован и верифицирован, должны быть установлены сфера его действия и доступные ресурсы ИВС. Такая процедура называется предоставлением полномочий. Перечисленные три процедуры инициализации относятся к единственному объекту ИВС, и поэтому их следует отнести к средствам защиты самого объекта.
В контексте защиты каналов передачи данных (линий связи) подтверждение подлинности означает установление подлинности объектов, связывающихся между собой по линиям связи, реализуемых с помощью сетевых механизмов защиты. Таким образом, следующая совокупность функций защиты — подтверждение подлинности соединения абонентов по линиям связи. Эти функции называются взаимоподтверждением подлинности соединений объектов. Термин соединение используется для того, чтобы определить двустороннюю логическую связь между двумя взаимосвязанными объектами сети. Процедура подтверждения подлинности выполняется обычно в самом начале сеанса в процессе установления соединения. Цель — обеспечить высокую степень уверенности, что соединение установлено с равноправным объектом и вся информация, предназначенная для объекта, верифицирована и подтверждена.
После того как соединение установлено, необходимы следующие четыре процедуры, чтобы обеспечить защиту при обмене сообщениями:
а) получатель должен быть уверен в истинности источника данных;
б) получатель должен быть уверен в истинности передаваемых данных (подтверждение подлинности идентификатора и самого отправителя);
в) отправитель должен быть уверен в доставке данных получателю;
г) отправитель должен быть уверен в истинности доставляемых данных (расписка в получении).
Основными средствами защиты для подтверждения подлинности отправителя и передаваемых им данных являются электронные цифровые подписи, реализованные в криптографических протоколах.
1.8.2 Защита подсистем управления ИВС
Вторая группа средств защиты — защита процессов, циркулирующих в ИВС. Здесь используется два понятия — объект и среда. Объект — любой активный компонент ИВС (как это определено выше), а среда — операционное окружение этого объекта в тот интервал времени, когда объект активен.
Некоторые функции управления процессами уже упоминались при описании функций, процедур и средств защиты объектов ИВС. Поскольку пользователи являются активными объектами ИВС, то их идентификация и подтверждение подлинности ничем не отличаются от соответствующих процедур для любых других компонентов сети. Среди большого числа реализуемых процедур управления процессами следует выделить следующие пять:
— обеспечение защиты ресурсов сети от воздействия неразрешенных процессов и несанкционированных запросов от разрешенных процессов;
— обеспечение целостности ресурсов при нарушении расписания и синхронизации процессов в сети, ошибочных операциях;
— обеспечение защиты ресурсов сети от несанкционированного контроля, копирования или использования (защита программного обеспечения);
— обеспечение защиты при взаимодействии недружественных программных систем (процессов);
— защита распределенных вычислений.
Первые три процедуры связаны с защитой и обеспечением целостности ресурсов ИВС (включая процессы), в то время как последние две относятся к организации вычислительных процессов в сети и реализации сетевого окружения.
Механизмы защиты ресурсов ИВС должны контролировать доступ к объектам ИВС, особенно информационным. Диапазон требований к этим механизмам защиты включает, с одной стороны, полную изоляцию выполняемой программы от других программ, а с другой — разрешение их взаимодействия и совместного использования.
1.8.3 Защита линий связи ИВС
Линии связи — один из наиболее уязвимых компонентов ИВС. В их составе можно указать большое число потенциально опасных мест, через которые злоумышленники могут проникнуть в ИВС. Действия злоумышленников квалифицируются как активные и пассивные вторжения.
В случае пассивного вторжения злоумышленник только наблюдает за сообщениями, передаваемыми по линии связи, не нарушая их передачу. Такое вторжение называют наблюдением за сообщениями. Даже если непонятны сами данные, злоумышленник может наблюдать за управляющей информацией, которая сопровождает сообщения, и таким образом выявить размещение и идентификаторы объектов ИВС. Наконец, он может определить длину сообщения, время отправления, частоту сеансов связи. Последние два вида пассивных вторжений связывают либо с анализом трафика, либо с нарушением защиты сеансов связи.
Специальной формой защиты каналов передачи является двухуровневая защита линий связи, при которой реализуются следующие уровни защиты: защита процесса передачи сообщения и шифрование текста самого сообщения.
Другое, более жесткое требование, используемое для защиты передаваемых сообщений, состоит в том, что истинные идентификаторы сети (зарегистрированные и используемые в процессе верификации защищенных объектов) должны быть скрыты не только от пассивных вторжений со стороны незарегистрированных пользователей, но также и друг от друга. Такое средство защиты называется цифровым псевдонимом. В этом случае пользователь получает разные идентификаторы для разных соединений, тем самым, скрывая истинные идентификаторы не только от злоумышленников, но также и от равноправных партнеров.
Соответствующие средства защиты ИВС, необходимые для противодействия пассивным вторжениям в подсистемах связи, состоят в следующем:
— защита содержания сообщения;
— предотвращение возможности анализа трафика;
— цифровой псевдоним.
Злоумышленник может организовать активные вторжения, осуществляя различные манипуляции над сообщениями во время соединения. Сообщения могут быть неявно модифицированы, уничтожены, задержаны, скопированы, изменен порядок их следования, введены в сеть через линию связи в более позднее время. Могут быть также синтезированы ложные сообщения и введены в сеть через канал передачи данных.
Целесообразно выделить следующие категории активных вторжений:
— воздействие на поток сообщений: модификация, удаление, задержка, переупорядочение дублирование регулярных и посылка ложных сообщений;
— воспрепятствование передаче сообщений;
— осуществление ложных соединений.
Воздействие на поток сообщений включает угрозы процедурам подтверждения подлинности, целостности и порядку следования сообщений во время соединения. В контексте коммуникационных функций ИВС подтверждение подлинности сообщения означает, что источник сообщения можно надежно определить, то есть указать, что полученное сообщение передано данному объекту некоторым другим объектом в течение времени соединения. Целостность сообщения означает, что сообщение не модифицировалось в процессе передачи, а понятие «порядок следования» означает, что местоположение сообщение в потоке сообщений может быть проверено.
Вторжение в процедуры установления подлинности может быть осуществлено путем модификации управляющей информации, сопровождающей сообщения, и таким образом сообщения будут отосланы в неправильном направлении или включать фиктивные сообщения (специально сформированные или сохраненные из предыдущих соединений). Нарушение целостности может быть вызвано модификацией части данных в сообщении, а нарушение порядка следования — удалением сообщения или изменением информации, управляющей передачей сообщения. Хотя защита от воздействий на поток сообщений поддерживается коммуникационными протоколами, в данном контексте защита направлена на то, чтобы пресечь умышленные вторжения, а не просто защититься от случайных непреднамеренных ошибок элементов сети.
Поэтому процедура защиты, обеспечивающая противодействие угрозам целостности, порядку следования и подлинности отдельных сообщений, может быть определена как обеспечение целостности потока сообщений.
Воспрепятствование передачи сообщения — вторая категория активных вторжений в подсистемах связи. Она объединяет вторжения, в которых злоумышленник либо удаляет все сообщения во время соединения, либо просто задерживает все сообщения, идущие в одном или обоих направлениях. Такое вторжение может быть организовано нелегальным пользователем, который, генерируя интенсивный трафик фиктивных и подставных сообщений, не дает возможности регулярным сообщениям циркулировать по линиям связи.
Трудноуловимое различие между атаками на поток сообщений и воспрепятствованием их передачи зависит от интенсивности атак и состояния соединения. Например, механизмы защиты, обеспечивающие целостность потока сообщений, могут выявить некоторые вторжения, препятствующие передаче сообщений. Но если соединение пассивно, то есть все сообщения разрешаются в любом направлении, то протокол функционирования объекта на одном из концов соединения может оказаться не в состоянии определить, когда следующее сообщение должно поступить от соответствующего объекта. В такой ситуации невозможно определить угрозу с целью воспрепятствовать передаче сообщения, которая полностью прервала бы поток поступающих сообщений. Чтобы защититься от таких вторжений, необходимы другие механизмы защиты.
Соответствующая процедура защиты сети могла бы быть названа процедурой поддержки непрерывности процесса передачи. Она гарантирует взаимодействующим в ИВС объектам невозможность нелегального удаления всех сообщений в процессе соединения без разрушения самого соединения.
Осуществление ложных соединений — третья категория активных вторжений в линии связи. Она объединяет вторжения, в которых злоумышленник либо повторяет записи предшествующих законных соединений, либо делает попытки установить соединение под неправильным идентификатором. Чтобы предупредить такие вторжения, процедура инициализации соединения должна включать некоторые защищенные механизмы, которые верифицируют целостность соединения (то есть определяют, что попытка соединения была выполнена в разрешенное время).
1.8.4 Логическая модель архитектуры защищенной ИВС
Основными логическими компонентами любой ИВС являются сетевые ресурсы, а также объекты, использующие их и называемыми пользователями. Концепция сетевого ресурса фактически относится к любому компоненту сети. Объектами сети являются все ее активные компоненты. Введем понятия легальных и нелегальных объектов.
Легальный объект — такой объект сети, который, будучи зарегистрирован, может использовать ресурсы сети. Это означает следующее:
1. Каждый легальный объект характеризуется уникальной информацией, которая позволяет подтвердить его подлинность. Определим эту информацию как идентификатор объекта.
2. Каждый пользователь ИВС получает статус легального объекта. Эту функцию выполняет вне ИВС специальное лицо, называемое администратором системы защиты.
3. Идентификаторы легальных объектов должны быть определены с помощью системы назначения полномочий и записаны в специализированной защищенной базе данных, называемой информационной базой системы защиты.
На практике ИВС включает группы объектов, совместно использующие ресурсы рабочих ЭВМ, узлов сети или других сетей. Каждая группа должна иметь собственную защищенную среду для организации объектов сети и их защиты. Для сети с группами взаимосвязанных объектов следует уточнить понятие управляющего блока подсистемы защиты, который представляет собой специальный процессор защиты, реализованный в виде модулей программного обеспечения, специальных технических средств, программных подсистем и их комбинаций.
Управляющий блок должен иметь доступ к информационной базе подсистемы защиты. Такой доступ реализуется на основе протокола, называемого протоколом доступа к информационной базе подсистемы защиты, который строго контролируется, постоянно тестируется и верифицируется.
При использовании криптографии большинство проблем, связанных с защитой объекта и линии связи, могут быть решены. Но эти методы, когда речь заходит о программах и базах данных, эффективны только для защиты содержания информации. Тем не менее, не все требования защиты могут быть в полной мере решены только с помощью криптографии. Так, например, чтобы обеспечить управление взаимосвязанными объектами и совместное использование данных, требуются более совершенные механизмы.
Одним из таких механизмов является механизм контроля доступа. Главными компонентами этого механизма являются субъекты (активные компоненты сети), объекты (сетевые ресурсы), права доступа (привилегии объекта), а также условия использования ресурсов и кооперации объектов. Структура этого механизма может быть описана в форме матрицы, бинарного дерева или более общей иерархической структуры с криптографическими свойствами. В любом случае механизм контроля доступа должен иметь собственную защищенную базу данных, называемую базой данных подсистемы контроля доступа и содержащую всю необходимую информацию для обеспечения контролируемого доступа к сетевым ресурсам.
В итоге, можно сгруппировать все компоненты логической модели архитектуры сетевой защиты в соответствии с информацией по контролю защиты, которую они содержат и используют, функциями защиты, которую они выполняют, и их взаимодействиями с другими компонентами механизма сетевой защиты.
1.9 Защита данных при передаче по каналам связи ИВС
1.9.1 Обеспечение целостности и конфиденциальности сообщений
Обеспечение конфиденциальности сообщения — одна из функций защиты от несанкционированного просмотра содержимого сообщения, гарантирующая его скрытность. Обеспечение целостности — функция защиты от несанкционированных или случайных модификаций, гарантирующая правильность передачи содержимого сообщения.
Для защиты отдельных сообщений эти функции можно использовать раздельно и совместно. Ниже описаны различные способы их реализации.
1.9.2 Защищенные протоколы передачи сообщений
Рассмотрим более общие аспекты защиты каналов передачи, чем просто защита сообщений, а именно протоколы для защищенных каналов передачи. Эти протоколы основаны на методах защиты содержимого и обеспечения целостности отдельных сообщений, описанных выше. Здесь эти подходы развиты с целью обеспечить целостность всего процесса передачи информации по каналам связи, а также предотвратить попытки злоумышленников выполнить несанкционированный анализ трафика сообщений в ИВС.
В контексте обеспечения целостности связи процесс связи охватывает все множество операций, которые должны быть выполнены для обеспечения связи между двумя объектами сети. Процесс может быть поделен на три основные стадии:
— установление связи;
— передача данных;
— завершение связи.
Существенно, что каждая из стадий процесса организации связи должна предусматривать защиту информации и процедур передачи от возможных вторжений, чтобы обеспечить целостность передаваемого сообщения и гарантировать, что источник и приемник сообщений в каждый момент времени являются достоверными. Система связи должна обеспечивать высокую скорость доставки сообщений и их правильную последовательность независимо от ошибок оборудования, шумов, системных сбоев и активных действий со стороны злоумышленников.
Вторжение может произойти в любой точке системы, в узле переключений, линиях связи, на терминале или других уровнях вычислительной сети. Рассмотрим процесс связи на уровне примитивов ИВС и функций транспортировки сообщений.
На стадии установления связи возможны два типа вторжений:
— соединение с применением ложного идентификатора;
— повтор предыдущего соединения.
Для предотвращения такого вторжения необходимо использовать идентификацию объекта, а подтверждение подлинности должно быть секретно сообщено удаленному объекту прежде чем соединение будет полностью установлено. Возможность объекта шифровать сообщения специальным секретным ключом позволяет применить методы подтверждения подлинности, так что проблема сводится к созданию защищенной процедуры распределения и защиты секретных ключей между объектами.
На стадии передачи данных целостность сообщения обеспечивается соответствующим способом шифрования. Механизмы обеспечения целостности тесно связаны с обеспечением конфиденциальности данных, подтверждением подлинности и упорядочением сообщений. Цепочки шифров и обратные связи необходимы, чтобы гарантировать невозможность перехвата и удаления пакетов данных, и их выборочной модификации или переупорядочивания информации в рамках сообщения и чтобы защитить отдельные пакеты от искажения специальными криптографическими полями.
Для выявления такой угрозы следует использовать протоколы типа «запрос — ответ». Каждый участник соединения периодически передает нумерованный, свободный от ошибок шифрованный запрос и ожидает ответа от второго участника. Предельный интервал ожидания и частоты использования протокола могут быть определены из оценок интервалов прохождения команд установления соединения. Если достигнут предельный интервал ожидания, информация передается в центр распределения ключей или управления защитой. Если отдельные или последовательные пакеты сообщений задерживаются преднамеренно нарушителем в течение интервала, превышающего предельный интервал ожидания, то вторжение будет выявлено.
На стадии завершения связи вторжение может быть направлено на удаление протокола завершения, продление соединения и добавление запрещенных данных к сообщению. Приемы защиты, направленные на обеспечение целостности данных, позволяют предотвратить такое вторжение.
1.9.3 Технология виртуальных частных сетей
Виртуальная частная сеть — система и способ организации безопасного пространства между локальными сетями и отдельными абонентскими пунктами, объединенными сетями связи общего пользования.
Термин «виртуальная» — указывает на то, что между двумя узлами ИВС на время прохождения трафика создается туннель, по которому передаются данные.
Термин «частная» — указывает на то, что передаваемая информация доступна только участникам обмена.
Организация безопасного информационного пространства достигается созданием защищенных туннелей между отправителем и получателем, а также использованием механизмов защиты, обеспечивающих целостность, доступность и конфиденциальность информации в ИВС.
Технология виртуальных частных сетей, с входящими в нее протоколами, обеспечивающими целостность, доступность и конфиденциальность информации, является лучшим решением для защиты данных при передачи по каналам связи ИВС.
1.10 Наблюдение за потоком в вычислительных сетях
Вторжение в виде наблюдения за потоком сообщений означает извлечение и накопление существенной информации о назначении и содержании конкретного соединения в защищенной сети в результате перехвата сетевых сообщений. Такой информацией могут быть идентификаторы партнеров, частота их вызовов, факты обмена существенными данными при всех соединениях или только избранных; механизм распознавания важного соединения — по конфигурации, длине или числу сообщений; события, которые следует ожидать после специальных переговоров между конкретными партнерами и т. д.
Несмотря на то, что сообщения могут быть зашифрованы, а некоторые меры защиты от активных вторжений могут быть включены в протокол защиты, проблема несанкционированного наблюдения за потоком сообщений актуальна. Такое несанкционированное наблюдение представляет собой один из видов пассивного вторжения. Какие бы контрмеры не применялись при передаче данных, всегда можно подобрать изощренный метод несанкционированного наблюдения даже без знания легальных пользователей сети.
Конфиденциальность потока сообщений означает, что никто даже при наличии доступа к каналам передачи и узлам коммутации сети не должен иметь возможности установить, какого типа данные передаются пользователю или поступают от пользователя, а также объем обмениваемых данных.
1.11 Направления совершенствования технических решений, постановка задачи на поиск новых технических решений
Исходя из анализа структуры типовой, анализа угроз информации в ИВС, основанных на технологиях виртуальных частных сетей можно сделать вывод, что наличие большого количества угроз информационному обмену распределенной ИВС по каналам передачи данных в сетях связи общего пользования позволяет злоумышленнику осуществлять угрозы ИБ ИВС, несмотря на использование современных средств защиты.
Следовательно, одной из задач в защите информации в распределенных ИВС, которые необходимо решить, является задача по защите канала передачи данных. В общем случае, необходимо разработать механизмы обеспечения структурной скрытности распределенных ИВС, т.к. в них передача информации осуществляется в неконтролируемой телекоммуникационной системе. Следовательно, структурная скрытность распределенной ИВС может быть обеспечена путем обеспечения скрытности ее информационного обмена.
За основу для решения этой задачи с учетом существующих технологий целесообразно взять технологию виртуальных частных сетей, т.к. она изначально обеспечивает скрытие внутренней структуры локальных сегментов распределенной ИВС и криптографическую защиту информации, передаваемой по каналу связи.
Таким образом, результаты анализа, проведенного в первом разделе работы, позволили сформулировать задачи на дипломное проектирование:
1. Разработать модель распределенной ИВС, основанной на технологии виртуальных частных сетей.
2. Провести анализ характерных признаков распределенных ИВС на основе технологии виртуальных частных сетей.
3. Разработать модель обеспечения скрытности информационного обмена распределенных ИВС.
4. Разработать алгоритмы обеспечения структурной скрытности распределенных ИВС.
Выводы по первому разделу
1. Рассмотрена структура типовой ИВС;
2. Множество операций, которое может быть выполнено над объектами и ресурсами ИВС, поделено на 3 группы: защита объектов ИВС, защита подсистем управления ИВС и защита линий связи.
3. Рассмотрены угрозы и механизмы защиты для каждой из групп.
4. Определено, что такие механизмы и средства защиты, как системы разграничения прав доступа, межсетевые экраны и т. п. не могут обеспечить защиту информационного обмена ИВС по каналам сетей связи общего пользования.
5. Выявлено, что технология виртуальных частных сетей обеспечивает защиту информационной составляющей передаваемых данных и является хорошей базой для построения системы защиты, решающего проблему защиты информационного обмена.
2. МОДЕЛЬ ОБЕСПЕЧЕНИЯ СКРЫТНОСТИ ИНФОРМАЦИОННОГО ОБМЕНА РАСПРЕДЕЛЕННЫХ ИВС
Из анализа современной технической литературы [4, 5, 7] в области защиты информации в информационно-вычислительных сетях ясно, что в настоящее время не существует достаточно полных моделей обеспечения скрытности информационного обмена ИВС.
На этапе предшествующем созданию моделей обеспечения скрытности информационного обмена распределенных ИВС целесообразно разработать модель распределенной ИВС на основе технологии виртуальных частных сетей, под которой понимается совокупность принципов построения и структура такой ИВС, а также описать характерные признаки такой ИВС и ее информационного обмена.
Модель - физическая или абстрактная система, адекватно представляющая объект исследования. В теории вычислительных систем используются преимущественно абстрактные модели - описания объекта исследования на некотором языке. Абстрактность модели проявляется в том, что компонентами модели являются не физические элементы, а понятия, в качестве которых наиболее широко используются математические.
Модель любой системы представляется в виде совокупности подсистем (элементов) и связей между ними. Декомпозицию системы целесообразно производить в иерархическом порядке.
2.1 Модель распределенной ИВС на основе технологии виртуальных частных сетей
Основой распределенных ИВС (рисунок 2.1) являются локальные вычислительные сети. Локальная вычислительная сеть представляет собой локальный сегмент распределенной ИВС, под которым понимается множество элементов ИВС, выделяемое по следующим признакам:
— по признаку группирования в одно подмножество элементов с возможностью непосредственного управления ими;
— по признаку локализации некоторого подмножества элементов в рамках некоторой технической компоненты ИВС;
— по признаку присвоения элементам локального сегмента ИВС некоторой идентификационной информации, однозначно характеризующей локальный сегмент как часть ИВС, и называемой адресом или сетевым адресом локального сегмента ИВС.
Все множество элементов распределенной ИВС состоит из множества элементов удаленных локальных сегментов ИВС.
Рисунок 2.1 — Пример распределенной ИВС На практике, как правило, локальный сегмент включает в себя одну ЭВМ либо сегмент ЛВС.
Удаленным локальным сегментом ИВС будем называть локальный сегмент, принадлежащий множеству элементов внешнего сегмента ИВС. Очевидно, что множества элементов удаленных локальных сегментов ИВС не пересекаются.
Объединение удаленных локальных сегментов ИВС происходит посредством образования между ними канала связи, в основу которого входят каналы связи сети общего пользования и граничные устройства (программные модули, установленные на граничные устройства) сегментов, реализующие механизмы виртуальных частных сетей В обобщенном виде можно представить модель ИВС состоящей из двух элементов, представляющих собой ЛВС (вырожденная ЛВС — отдельная ПЭВМ), и модулей технологии виртуальных частных сетей (ВЧС-модули), представляющих собой программный или программно-аппаратный модуль и объединяющих элементы ИВС посредством криптозащищенного туннеля в канале связи (рисунок 2.2).
Рисунок 2.2 — Модель ИВС на основе ВЧС-технологии В упрощенном виде функционирование такой системы заключается в выполнении следующих действий. Элемент ИВС 1 формирует исходный пакет данных и передает его на ВЧС-модуль.
Программный ВЧС-модуль установленный на ПЭВМ кодирует информационную составляющую и передает пакет через канал связи ВЧС-модулю элемента ИВС 2. Программный ВЧС-модуль элемента ИВС 2 принимает пакет, выделяет кодированную часть и декодирует ее, после чего передает ее элементу ИВС 2.
Разработанная модель инвариантна к выбору конкретной реализации ВЧС, что упрощает ее применение в дальнейших исследованиях.
Дальнейшая декомпозиция модели не требуется, т.к. учтены все ее элементы, участвующие в информационном обмене.
2.2 Характерные признаки распределенных ИВС на основе технологии виртуальных частных сетей
Из анализа литературы известно [4, 5, 7], что основную информацию об объекте (защиты) злоумышленник получает при анализе трафика из каналов связи. Устойчивые особенности работы элементов ИВС, позволяющие делать выводы о функционировании объекта, проявляют себя через совокупность характерных признаков.
Признак — характеристика свойства, позволяющая полно или частично идентифицировать объект в том или ином отношении.
Характерные признаки — это признаки, которые могут быть использованы для опознавания объекта злоумышленником. Они позволяют сделать определенные выводы о составе, структуре и алгоритмах функционирования ИВС. В частности, характерные признаки раскрывают сведения о количестве корреспондентов, изменении интенсивности трафика.
Информация о составе, структуре и алгоритмах функционирования объектов защиты является решающей для злоумышленника при принятии решения о преднамеренном воздействии. Достаточно развитая система технического анализа и подсистема обработки данных позволит злоумышленнику с большой достоверностью сформировать такую информацию по характерным признакам. Поэтому для скрытия информационного обмена ИВС необходимо скрывать характерные признаки.
В частном случае разделим характерные признаки распределенной ИВС на основе технологии ВЧС на признаки алгоритмов функционирования и признаки состава и структуры распределенной ИВС (рисунок 2.3).
Рисунок 2.3 - Частные характерные признаки ИВС
К характерным признакам алгоритмов функционирования распределенной ИВС на основе технологии ВЧС отнесем: наличие информационного потока в канале связи между элементами ИВС; протоколы взаимодействия, определяющие информационный поток (криптографически защищенный трафик является характерным признаком применения технологии ВЧС); время, в которое обнаруживаются информационные потоки (обычно отображает график работы ИВС); интенсивность информационного обмена при определенных условиях или в определенное время.