<<
>>

Криптографическая защита информации

Данные, передаваемые по простым линиям связи, проводным или радиоканалам, могут быть перехвачены злоумышленником. Без всяких трудностей любой может встроиться в передающую линию и просматривать проходящую информацию.
Один из способов избежать этого — шифрование данных так, чтобы их могли дешифровать только те, кому они предназначены.

Криптографические методы обеспечивают действие наиболее мощных механизмов защиты, таких, как:

шифрование, обеспечивающее конфиденциальность, защиту процедур аутентификации, контроль доступа;

имитозащита, поддерживающая обеспечение целостности и подлинности передаваемых документов;

электронная подпись, обеспечивающая выполнение требований по аутентификации, целостности и подлинности, защите от отказов.

Реализация в вычислительных структурах средств криптографической защиты позволит обеспечить выполнение следующих функций:

предотвращение возможности несанкционированного ознакомления с данными даже при условии осуществления доступа к БД;

предотвращение возможности несанкционированного ознакомления с управляющей информацией, требующей защиты (пароли, таблицы разграничения доступа пользователей, ключи шифрования данных);

обнаружение несанкционированных изменений данных и передаваемых сообщений между элементами системы;

защита процессов передачи информации по каналам связи с использованием средств шифрования.

Использование средств криптографической защиты позволяет решить проблему полной безопасности данных сочетанием следующих методов:

шифрование данных; формирование ЭЦП данных;

формирование и использование системы электронных сертификатов открытых ключей.

Решение проблемы аутентификации и установление авторства и истинности принятого сообщения позволяет предотвратить действие таких угроз, как:

несанкционированное изменение, дополнение, коррекция собственно текста данных;

изменение адреса источника информации (или владельца ее); изменение адреса получателя (адреса назначения) данных; изменение последовательности блоков или элементов данных; использование ранее переданных или хранящихся данных повторно;

формирование ложного уведомления о получении сообщения (ложное квотирование информационного обмена).

Конкретной формой реализации средств криптозащиты являются программные или программно-аппаратные изделия, которые обеспечивают шифрование и имитозащиту данных в вычислительной среде и при передаче их по каналам связи. Выпускаемые сейчас серийно устройства позволяют использовать в проектируемой системе следующие возможности:

организовать защиту информации в распределенной БД за счет шифрования фрагментов БД на разных ключах; построить защищенную ЛВС;

защитить информацию, передаваемую по каналам открытой сети связи;

сформировать электронную подпись;

сформировать электронные сертификаты, используемые для процессов аутентификации.

Ключевая система

Ключи шифрования для криптографической защиты изготавливаются ФАПСИ и доставляются способом автоматизированного распределения их по каналам связи, оборудованным аппаратурой гарантированной стойкости. Для шифрования информации, передаваемой между абонентами уровня А, используется ключевая система на основе полной матрицы ключей парной связи.

Для остальных связей наряду с ключевой системой, основанной на полной матрице, допускается применение ключевой системы, основанной на несимметричном алгоритме выработки ключей парной связи.

Ключи электронной подписи изготавливаются на АРМ администратора безопасности, использующих физические датчики случайных чисел. Регистрация АРМ и сертификация открытых ключей подписи осуществляется в ЦУБ.

Управление и администрирование информационной безопасностью

Известно, что управление распределенными системами представляет собой сложную проблему, поскольку требуется управлять множеством ресурсов, заданиями и решениями.

Основная сложность для системных администраторов заключается в уникальности каждой распределенной среды. Эффективное управление должно осуществляться на всех уровнях распределенной системы, включая операционную систему, сеть, механизмы доступа, управление ключами, управление базами данных, программным обеспечением промежуточного уровня и сетевыми операционными системами. И очень трудно найти средства для управления всеми областями. Большинство функций, связанных с этим процессом, могут быть централизованными, но обычно они не интегрированы в общий управляющий модуль.

Администрирование средств информационной безопасности включает в себя распространение информации, необходимой для осуществления функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, ус- тановка значений параметров защиты, ведение регистрационного журнала и т. п.

Концептуальной основой администрирования является информационная база управления безопасностью, которая может и не существовать как единое, распределенное хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для проведения в жизнь избранной политики безопасности.

Усилия администратора средств информационной безопасности должны распределяться по трем направлениям:

администрирование системы в целом;

администрирование функций безопасности;

администрирование механизмов безопасности.

Среди действий, относящихся к системе в целом, отметим поддержание актуальности политики безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.

Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов. Типичный список в ИТКС имеет следующий вид.

Управление ключами (генерация и распределение). Многие аспекты управления ключами, например их доставка, выходят за пределы среды OSI и представляют собой отдельную и сложную проблему.

Управление шифрованием, установка и синхронизация криптографических параметров.

Администрирование механизмов электронной подписи.

Управление целостностью данных и сообщений, обеспечиваемое криптографическими средствами.

Администрирование управления доступом (распределение информации, необходимой для управления, — сценариев доступа с учетом данных, содержащихся в сертификатах открытых ключей и т. п.).

Управление аутентификацией (распределение информации, необходимой для аутентификации, — электронные сертификаты открытых ключей, списки доступа и т. п.).

Управление маршрутизацией (выделение надежных путей) и дополнением трафика (выработка и поддержание правил, зада- ющих характеристики дополняющих сообщений — частоту отправки, размер и т. п.). Характеристики могут варьироваться по заданному закону в зависимости от даты и времени.

Мы видим, что администрирование средств безопасности в распределенной среде имеет много особенностей по сравнению с централизованными системами.

<< | >>
Источник: Никитов В. А.. Информационное обеспечение государственного управления / Авт.: Никитов В. А., Орлов Е. И., Старовойтов А. В., Савин Г. И.; Под ред. Ю. В. Гуляева — М.: Славянский диалог,. — 415 с.. 2000 {original}

Еще по теме Криптографическая защита информации:

  1. Сертифицированные средства криптографической защиты информации (СКЗИ). Назначение и области применения СКЗИ
  2. Бабаш А.В., Баранова Е.К., Ларин Д.А.. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. ИСТОРИЯ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИИ, 2012
  3. 3.1. Защита информации в экономике, внутренней и внешней политике, науке и технике
  4. 2.4. Защита сведений, составляющих государственную и коммерческую тайну, конфиденциальную информацию и интеллектуальную собственность
  5. Л.М. Лыньков, А.М. Прудник, В.Ф. Голиков, Г.В. Давыдов, О.Р. Сушко, В.К. Конопелько. Технические средства защиты информации: Тезисы докладов 1Х Белорусско-российской научно-технической конференции, 28—29 июня 2011 г., 2011
  6. Криптографический дисковый драйвер PTS "DiskGuard".
  7. 6.6. ЗАЩИТА ОТ ЭНЕРГЕТИЧЕСКИХ ВОЗДЕЙСТВИЙ 6.6.1. Обобщенное защитное устройство и методы защиты
  8. Информация
  9. БИОГРАФИЧЕСКАЯ ИНФОРМАЦИЯ
  10. 1. Сущность информации
  11. 42. Понятие информации
  12. 5. ЗНАНИЕ, ПОНИМАНИЕ И ИНФОРМАЦИЯ
  13. Представление графической информации
  14. Последовательная обработка информации
  15. 1.3. Носители информации
  16. 11.5. Поиск информации
  17. 11.2. Каналы информации
  18. Глава 11. ПРОТИВОДЕЙСТВИЕ АГРЕССИВНОЙ ИНФОРМАЦИИ
  19. Качество информации и его оценка
  20. Глава 11. Работа с источниками информации