Sfârșitul secolului al XX-lea a fost marcat de o răspândire ca avalanșă a internetului: vitezele de acces au crescut exponențial, tot mai multe teritorii noi au fost acoperite și a fost posibil să se stabilească o conexiune rapidă prin intermediul rețelei între aproape orice două puncte din lume. Dar transferul de informații nu era sigur; atacatorii le puteau intercepta, fura sau schimba. În acest moment, ideea de a organiza un canal de încredere care să folosească comunicațiile disponibile public pentru comunicare, dar să protejeze datele transmise prin utilizarea metodelor criptografice, a început să câștige popularitate. Costul organizării unui astfel de canal a fost de multe ori mai mic decât costul amenajării și întreținerii unui canal fizic dedicat. Astfel, organizarea unui canal de comunicare securizat a devenit disponibilă întreprinderilor mijlocii și mici și chiar persoanelor fizice.

sistem ViPNet

Sistemul ViPNet oferă protecție transparentă a fluxurilor de informații ale oricăror aplicații și oricăror protocoale IP atât pentru stațiile de lucru individuale, servere de fișiere, servere de aplicații, routere, servere de acces la distanță etc., cât și pentru segmente de rețele IP. În același timp, funcționează ca un firewall personal pentru fiecare computer și un firewall pentru segmentele de rețea IP.

Structura cheii este de natură combinată, are atât o schemă de distribuție a cheilor simetrice, care permite un sistem de management centralizat rigid, cât și un sistem de distribuție a cheilor deschise și este folosită ca mediu de încredere pentru operarea PKI. Programele de aplicație ale sistemului ViPNet oferă, în plus, servicii sigure în timp real pentru mesaje transmise, conferințe și negocieri; pentru servicii de livrare garantată a corespondenței poștale cu proceduri de semnătură electronică și control acces la documente; pentru servicii de autoprocesare pentru livrarea automată a fișierelor. În plus, funcțiile criptografice proiectate separat ale nucleului (semnare și criptare) și suportul implementat pentru MS Crypto API, dacă este necesar, pot fi integrate direct în diferite sisteme de aplicații (de exemplu, sisteme electronice de gestionare a documentelor).

Software-ul de sistem ViPNet funcționează în mediile de operare Windows și Linux.

ViPNet CUSTOM

Fiecare componentă ViPNet CUSTOM conține un firewall încorporat și un sistem de monitorizare a activității rețelei aplicației, care vă permite să obțineți un sistem distribuit de firewall și firewall-uri personale.

Pentru a rezolva eventualele conflicte de adrese IP din rețelele locale incluse într-o singură rețea securizată, ViPNet CUSTOM oferă un sistem dezvoltat de adrese virtuale. În multe cazuri, acest lucru face posibilă simplificarea configurației software-ului aplicației utilizatorului, deoarece rețeaua virtuală suprapusă cu adresele sale virtuale va ascunde structura complexă reală a rețelei. ViPNet CUSTOM acceptă capabilități de inter-rețea, ceea ce vă permite să stabiliți canalele de comunicație sigure necesare între un număr arbitrar de rețele securizate construite folosind ViPNet CUSTOM. În plus, sistemul asigură protecția informațiilor în rețelele moderne de comunicații multi-servicii care oferă servicii de telefonie IP și conferințe audio și video. Sunt acceptate prioritizarea traficului și protocoalele H.323, Skinny.

Protecția canalelor de comunicare

Protejarea informațiilor din canalele de comunicare este cea mai importantă problemă în organizarea securității într-o întreprindere. Astăzi, multe metode sunt folosite pentru a proteja cu succes informațiile transmise prin canalele de comunicare în cadrul unei corporații sau către lumea exterioară.

Protecția canalelor de comunicare și principalele sale metode

Protecția comunicațiilor și informațiilor se realizează prin două metode. Aceasta este o metodă de protecție bazată pe restricționarea fizică a accesului direct la canalul de comunicație, precum și conversia semnalului (criptare), care nu va permite unui atacator să citească informațiile transmise fără o cheie specială.

În prima metodă, protecția canalului de comunicație este organizată prin restricționarea accesului la echipamentul prin care sunt transmise informații. Folosit în principal în companii mari și agenții guvernamentale. Această metodă funcționează numai dacă informația nu ajunge în lumea exterioară.

În toate celelalte cazuri, informațiile din canalele de comunicare sunt protejate prin criptarea datelor. Criptarea informațiilor transmise, dacă vorbim despre rețelele clasice de calculatoare, poate fi realizată la diferite niveluri ale modelului de rețea OSI. Cel mai adesea, conversia datelor are loc la nivel de rețea sau de aplicație.

În primul caz, criptarea datelor se realizează direct pe echipament, care este expeditorul informațiilor, iar decriptarea se realizează pe receptor. Această opțiune va proteja cel mai eficient datele transmise, dar implementarea ei necesită software terță parte care ar funcționa la nivel de aplicație.

În al doilea caz, criptarea se realizează direct la nodurile canalului de comunicație într-o rețea locală sau globală. Această metodă de protecție a comunicațiilor este mai puțin eficientă decât prima, iar pentru un nivel adecvat de protecție a informațiilor necesită implementarea unor algoritmi de criptare fiabili.

Protecția informațiilor în canalele de comunicare este, de asemenea, organizată la construirea canalelor virtuale VPN. Această tehnologie vă permite să organizați o conexiune sigură cu criptarea specificată pe un canal virtual special. Această tehnologie asigură integritatea și confidențialitatea informațiilor transmise prin canalul de comunicare.

Dispozitive de protecție a canalelor de comunicație

Astfel de dispozitive includ:

• tot felul de amortizoare,
• supresoare de comunicare,
• anti bug-uri,
• detectoare,

datorită căruia puteți prelua controlul asupra stării aerului din interiorul sau din exteriorul întreprinderii. Aceasta este una dintre metodele eficiente de protejare a comunicațiilor într-un stadiu incipient pentru a neutraliza accesul neautorizat la sursa de informații.

Protocolul Kerberos

Protocoale de autentificare:

3. Autentificare cu cheie publică

Descrierea DSA

p = numărul prim de lungime L biți, unde L este un multiplu de 64, variind de la 512 la 1024.

q= prim de 160 de biți - multiplicator p-1

g = , unde h este orice număr mai mic decât p-1 pentru care mai mult de 1

x = număr mai mic decât q

Se folosește o funcție hash unidirecțională: H(m).

Primii trei parametri, p, q, g, sunt deschiși și pot fi partajați între utilizatorii rețelei. Cheia privată este x și cheia publică este y. Pentru a semna un mesaj, m:

1. A generează un număr aleator k, mai mic decât q

2. A generează

Semnătura lui sunt parametrii r și s, îi trimite lui B

3. B verifică semnătura prin calcul

Dacă v=r, atunci semnătura este corectă.

rezumat

Sistemul de standarde IPSec încorporează tehnici și realizări progresive în domeniul securității rețelei. Sistemul IPSec ocupă ferm o poziție de lider în setul de standarde pentru crearea VPN-urilor. Acest lucru este facilitat de construcția sa deschisă, capabilă să încorporeze toate progresele noi din domeniul criptografiei. IPsec vă permite să vă protejați rețeaua de majoritatea atacurilor de rețea prin „scăparea” pachetelor străine înainte ca acestea să ajungă la nivelul IP de pe computerul receptor. Doar pachetele de la parteneri de comunicare înregistrați pot intra în computerul sau rețeaua protejată.

IPsec oferă:

• autentificare - dovada trimiterii pachetelor de către partenerul dvs. de interacțiune, adică proprietarul secretului partajat;
• integritate - imposibilitatea modificării datelor din pachet;
• confidențialitate - imposibilitatea dezvăluirii datelor transmise;
• management puternic chei - protocolul IKE calculează un secret partajat cunoscut doar de destinatarul și expeditorul pachetului;
• tunelare - mascarea completă a topologiei rețelei locale a întreprinderii

Lucrul în cadrul standardelor IPSec asigură protecția completă a fluxului de informații al datelor de la expeditor la destinatar, închizând traficul către observatori la nodurile intermediare ale rețelei. Soluțiile VPN bazate pe stiva de protocoale IPSec asigură construirea de rețele virtuale securizate, funcționarea lor în siguranță și integrarea cu sisteme de comunicații deschise.

Protecție la nivel de aplicație

Protocolul SSL

Protocolul SSL (Secure Socket Layer), dezvoltat de Netscape Communications cu participarea RSA Data Security, este conceput pentru a implementa schimbul securizat de informații în aplicațiile client/server. În practică, SSL este implementat pe scară largă numai împreună cu protocolul de nivel de aplicație HHTP.

Caracteristici de securitate oferite de protocolul SSL:

• criptarea datelor pentru a preveni dezvăluirea datelor sensibile în timpul transmisiei;
• semnarea datelor pentru a preveni dezvăluirea datelor sensibile în timpul transmiterii;
• autentificarea client și server.

Protocolul SSL utilizează metode de securitate a informațiilor criptografice pentru a asigura securitatea schimbului de informații. Acest protocol realizează autentificarea reciprocă și asigură confidențialitatea și autenticitatea datelor transmise. Nucleul protocolului SSL este o tehnologie pentru utilizarea integrată a criptosistemelor simetrice și asimetrice. Autentificarea reciprocă a părților se realizează prin schimbul de certificate digitale ale cheilor publice de client și server, certificate printr-o semnătură digitală a centrelor speciale de certificare. Confidențialitatea este asigurată prin criptarea datelor transmise folosind chei de sesiune simetrice, pe care părțile le schimbă la stabilirea unei conexiuni. Autenticitatea și integritatea informațiilor este asigurată prin formarea și verificarea unei semnături digitale. Algoritmul RSA și algoritmul Diffie-Hellman sunt utilizați ca algoritmi de criptare asimetrică.

Figura 9 Tuneluri protejate prin cripto-criptare formate pe baza protocolului SSL

Conform protocolului SSL, tunelurile cripto-securizate sunt create între punctele finale ale rețelei virtuale. Clientul și serverul funcționează pe computere la punctele de capăt ale tunelului (Fig. 9)

Protocolul de conversație SSL are două etape principale în formarea și menținerea unei conexiuni sigure:

• stabilirea unei sesiuni SSL;
• interacțiune sigură.

Prima etapă este realizată înainte de protecția efectivă a schimbului de informații și se realizează folosind protocolul de salut inițial (Handshake Protocol), care face parte din protocolul SSL. Când se stabilește o reconectare, este posibil să se genereze noi chei de sesiune pe baza vechiului secret partajat.

În procesul de stabilire a unei sesiuni SSL, sunt rezolvate următoarele sarcini:

• autentificarea părților;
• coordonarea algoritmilor criptografici și a algoritmilor de compresie care vor fi utilizați în schimbul securizat de informații;
• generarea unei chei principale secrete partajate;
• generarea de chei de sesiune secretă partajată pentru criptoprotecția schimbului de informații bazat pe cheia principală generată.

Figura 10 Procesul de autentificare a clientului pe server

Protocolul SSL oferă două tipuri de autentificare:

• autentificare server de către client;
• autentificarea clientului de către server.

Software-ul client/server compatibil SSL poate utiliza tehnici standard de criptare cu cheie publică pentru a verifica dacă certificatul server/client și cheia publică sunt valide și au fost emise de o autoritate de certificare de încredere. Un exemplu de proces de autentificare a clientului de către server este prezentat în Figura 10.

Diagrama de aplicare a protocolului

Înainte de a transmite un mesaj printr-o legătură de date, mesajul trece prin următorii pași de procesare:

1.Mesajul este fragmentat în blocuri adecvate procesării;

2.Datele sunt comprimate (opțional);

3. Se generează o cheie MAC;

4.Datele sunt criptate folosind o cheie;

1. Folosind cheia, datele sunt decriptate;

2. Cheia MAC este verificată;

3.Apare decomprimarea datelor (dacă a fost utilizată compresia);

4.Mesajul este asamblat din blocuri și destinatarul citește mesajul.

Distribuție autentică a cheilor

A, Client	C.A. Centrul de verificare	B, Server
Generarea unei perechi de chei de semnătură digitală: . Transfer la CA	- schema de criptare simetrica; - schema de criptare deschisa; - circuit CPU; - orice funcții (de preferință ONF)	Generarea unei perechi de chei pentru o schemă de criptare deschisă: . Transfer la CA
K- cheie aleatorie de sesiune.
		Dacă , Acea K acceptată ca o cheie secretă partajată autentică

Etapa de lucru

A		B
	Schema de criptare simetrică
. . .	etc.	. . .

Atacuri asupra protocolului SSL

Ca și alte protocoale, SSL este susceptibil la atacuri legate de un mediu software neîncrezat, introducerea de programe de marcaje etc.:

• Atacul de răspuns. Constă în înregistrarea de către atacator a unei sesiuni de comunicare de succes între client și server. Ulterior, stabilește o conexiune la server folosind mesajele înregistrate de client. Dar folosind un identificator unic de conexiune, „nonce”, SSL învinge acest atac. Codurile acestor identificatori au o lungime de 128 de biți, așa că un atacator trebuie să noteze 2^64 de identificatori pentru a avea 50% șanse de a ghici. Numărul de înregistrări necesare și probabilitatea scăzută de a ghici fac acest atac inutil.
• Atacul de protocol de strângere de mână. Un atacator ar putea încerca să influențeze procesul de strângere de mână, astfel încât părțile să aleagă diferiți algoritmi de criptare. Deoarece multe implementări acceptă criptarea exportată, iar unele chiar acceptă criptarea 0 sau algoritmi MAC, aceste atacuri sunt de mare interes. Pentru a efectua un astfel de atac, un atacator trebuie să falsifice unul sau mai multe mesaje de strângere de mână. Dacă se întâmplă acest lucru, clientul și serverul vor calcula diferite valori hash pentru mesajul de strângere de mână. Ca urmare, părțile nu vor accepta mesaje „terminate” una de la cealaltă. Fără a cunoaște secretul, atacatorul nu va putea corecta mesajul „terminat”, astfel încât atacul poate fi detectat.
• Cifre de dezlegare. SSL depinde de mai multe tehnologii criptografice. Criptarea cu chei publice RSA este utilizată pentru a redirecționa cheile de sesiune și autentificarea client/server. Diferiți algoritmi criptografici sunt utilizați ca cifra de sesiune. Dacă acești algoritmi sunt atacați cu succes, SSL nu mai poate fi considerat sigur. Atacuri împotriva anumitor sesiuni de comunicare pot fi efectuate prin înregistrarea sesiunii și apoi încercarea de a ghici cheia de sesiune sau cheia RSA. Dacă reușește, se deschide oportunitatea de a citi informațiile transmise.
• Atacatorul este la mijloc. Un atac Man-in-the-Middle implică trei părți: un client, un server și un atacator. Un atacator, situat între ei, poate intercepta schimbul de mesaje între client și server. Atacul este eficient doar dacă algoritmul Diffie-Halman este utilizat pentru schimbul de chei, deoarece integritatea informațiilor primite și sursa acesteia nu pot fi verificate. În cazul SSL, un astfel de atac este imposibil datorită utilizării de către server a certificatelor certificate de o autoritate de certificare.

Protocolul TLS

Scopul creației și avantaje

Scopul creării TLS este de a crește securitatea SSL și de a defini mai precis și complet protocolul:

• Algoritm MAC mai fiabil
• Avertismente mai detaliate
• Definiții mai clare ale specificațiilor zonei gri

TLS oferă următoarele îmbunătățiri de securitate:

• Chei de hashing pentru autentificarea mesajelor - TLS utilizează hashing în codul de autentificare a mesajelor (HMAC) pentru a preveni modificarea înregistrării atunci când este transmisă printr-o rețea nesecurizată, cum ar fi Internetul. SSL versiunea 3.0 acceptă, de asemenea, autentificarea mesajelor folosind chei, dar HMAC este considerat mai sigur decât caracteristica MAC utilizată în SSL versiunea 3.0.
• Funcție Pseudorandom îmbunătățită (PRF) PRF este utilizat pentru a genera date cheie. În TLS, PRF este definit folosind HMAC. PRF folosește doi algoritmi de hashing pentru a-și asigura securitatea. Dacă unul dintre algoritmi este piratat, datele vor fi protejate de al doilea algoritm.
• Verificare îmbunătățită a mesajului „Gata” - TLS versiunea 1.0 și SSL versiunea 3.0 trimit un mesaj „Gata” la ambele sisteme finale, indicând faptul că mesajul livrat nu a fost modificat. Cu toate acestea, în TLS, această verificare se bazează pe valorile PRF și HMAC, care oferă un nivel mai ridicat de securitate decât versiunea SSL 3.0.
• Procesare consecventă a certificatelor - Spre deosebire de SSL versiunea 3.0, TLS încearcă să specifice un tip de certificat care poate fi utilizat de diferite implementări TLS.
• Mesaje de avertizare specifice - TLS oferă avertismente mai precise și complete despre problemele detectate de unul dintre sistemele finale. TLS conține, de asemenea, informații despre când mesajele de avertizare ar trebui trimise.

Protocolul SSH

Protocolul SSH (Secure Shell) este un set de protocoale de autentificare cu cheie publică care permite unui utilizator din partea clientului să se conecteze în siguranță la un server la distanță.

Ideea principală a protocolului este că utilizatorul de pe partea clientului trebuie să descarce o cheie publică de pe un server la distanță și să stabilească un canal securizat cu acesta folosind un mandat criptografic. Acreditările criptografice ale utilizatorului sunt parola sa: aceasta poate fi criptată folosind cheia publică rezultată și transmisă serverului.

Toate mesajele sunt criptate folosind IDEA.

Arhitectura protocolului SSH

SSH se realizează între două computere nesigure care rulează pe o rețea nesecurizată (client - server).

Suita de protocoale SSH constă din trei componente:

• Protocolul SSH Transport Layer oferă autentificarea serverului. Pentru aceasta este folosită o cheie publică. Informațiile inițiale pentru acest protocol, atât pe partea serverului, cât și pe partea clientului, sunt o pereche de chei publice - „chei computer cap”. Rezultatul protocolului este un canal securizat, autentificat reciproc, care garantează secretul și integritatea datelor.

• Protocolul de autentificare a utilizatorului SSH. Efectuat pe un canal de autentificare unidirecțională stabilit de protocolul stratului de transport SSH. Pentru a efectua autentificarea de la client la server, sunt acceptate diferite protocoale de autentificare unidirecțională. Aceste protocoale pot folosi fie o cheie publică, fie o parolă. De exemplu, acestea pot fi create pe baza unui protocol simplu de autentificare prin parolă. Rezultatul protocolului este un canal securizat autentificat reciproc între server și utilizator. Se folosesc următoarele metode:

cheie publică- clientului i se trimite o semnătură electronică, serverul verifică încrederea în cheia publică a clientului folosind copia cheii disponibilă pe server, apoi verifică autenticitatea clientului folosind Sc.

parola- clientul își confirmă autenticitatea cu o parolă.

bazat pe gazdă- similar cu publickey, dar folosește o pereche de chei pentru gazda client; După ce a confirmat autenticitatea gazdei, serverul are încredere în numele de utilizator.

• Protocolul de conexiune SSH rulează pe un canal securizat autentificat reciproc, stabilit de protocoalele anterioare. Protocolul asigură funcționarea unui canal securizat în timp ce îl împarte în mai multe canale logice securizate.

Protocolul de distribuire a cheilor

Protocolul include 3 etape. Prima fază este faza „Bună ziua”, unde primul identificator este șirul, I, trimis pentru a porni protocolul, urmat de o listă de algoritmi acceptați, X.

În etapa 2, părțile convin asupra unei chei secrete, art. Pentru aceasta, se folosește algoritmul Diffie-Hellman. Serverul își confirmă identitatea trimițând clienților cheia publică, verificată printr-o semnătură digitală, , și semnătura digerată, h. Identificatorul sid este setat la h.

În etapa 3, cheia secretă, ID-ul sesiunii și rezumatul sunt folosite pentru a crea 6 „chei de aplicație” calculate folosind .

rezumat

Avantajele protocolului includ:

• capacitatea de a acționa end-to-end cu implementarea stivelor TCP/IP și a interfețelor de programare a aplicațiilor existente;
• eficiență crescută în comparație cu canalele lente;
• absența oricăror probleme de fragmentare, determinarea volumului maxim de blocuri transmise de-a lungul unui traseu dat;
• combinație de compresie și criptare.

SA UNIVERSITATEA „VOLGA DENUMITĂ DUPA V.N. TATIȘCHEV"

FACULTATEA DE INFORMAȚIE ȘI TELECOMUNICAȚII

Departamentul de Informatică și Sisteme de Control

LUCRARE DE CURS

la disciplina: „Metode și mijloace de protecție a informațiilor informatice”

subiect: " Protecția canalelor de comunicare»

Student grup IS-506

Utiatnikov A.A.

Profesor:

M.V. Samohvalova

Toliatti 2007

Introducere

Protecția informațiilor în canalele de comunicații și crearea de sisteme de telecomunicații securizate

Acces de la distanță la resursele informaționale. Protecția informațiilor transmise prin canalele de comunicare

1 Soluții bazate pe gateway-uri cripto certificate

2 Soluții bazate pe protocolul IPSec

Tehnologii de securitate a informațiilor în sistemele informaționale și de telecomunicații (ITS)

Concluzie

Introducere

Protecția (securitatea) informațiilor este o parte integrantă a problemei generale a securității informațiilor, al cărei rol și semnificație în toate sferele vieții și activității societății și a statului crește constant în stadiul actual.

Producția și managementul, apărarea și comunicațiile, transportul și energia, banca, finanțele, știința și educația, precum și mass-media depind din ce în ce mai mult de intensitatea schimbului de informații, de exhaustivitate, de promptitudine, de fiabilitatea și de securitatea informațiilor.

În acest sens, problema securității informațiilor a devenit un subiect de îngrijorare acută pentru șefii organismelor guvernamentale, întreprinderilor, organizațiilor și instituțiilor, indiferent de formele lor organizatorice, juridice și de proprietate.

Dezvoltarea rapidă a tehnologiei informatice a deschis omenirii oportunități fără precedent de a automatiza munca mentală și a condus la crearea unui număr mare de diferite tipuri de sisteme automate de informare, telecomunicații și control și la apariția unor așa-numite informații fundamental noi. tehnologii.

Atunci când se dezvoltă abordări pentru rezolvarea problemei securității computerelor și a informațiilor, ar trebui să se pornească întotdeauna de la faptul că protejarea informațiilor și a unui sistem informatic nu este un scop în sine. Scopul final al creării unui sistem de securitate informatică este acela de a proteja toate categoriile de subiecți implicați direct sau indirect în procesele de interacțiune a informațiilor de a le provoca daune materiale, morale sau de altă natură semnificative ca urmare a impacturilor accidentale sau intenționate asupra informațiilor și sistemelor pentru prelucrarea acestora și transmitere.

1. Protecția informațiilor în canalele de comunicare și crearea de securizare

sisteme de telecomunicatii

În contextul creșterii proceselor de integrare și al creării unui spațiu informațional unic în multe organizații, LANIT își propune să desfășoare lucrări pentru crearea unei infrastructuri de telecomunicații securizate care să conecteze birourile la distanță ale companiilor într-un singur întreg, precum și asigurarea unui nivel ridicat de securitate. a fluxurilor de informații între ele.

Tehnologia utilizată pentru rețelele private virtuale face posibilă unirea rețelelor distribuite geografic folosind atât canale dedicate securizate, cât și canale virtuale care trec prin rețele publice globale. O abordare consistentă și sistematică a construirii rețelelor securizate implică nu numai protejarea canalelor de comunicații externe, ci și protejarea eficientă a rețelelor interne prin izolarea circuitelor VPN interne închise. Astfel, utilizarea tehnologiei VPN vă permite să organizați accesul securizat al utilizatorilor la Internet, să protejați platformele de server și să rezolvați problema segmentării rețelei în conformitate cu structura organizatorică.

Protecția informațiilor în timpul transmiterii între subrețele virtuale este implementată folosind algoritmi de cheie asimetrică și semnături electronice care protejează informațiile de falsificare. De fapt, datele care urmează să fie transmise intersegmentar sunt codificate la ieșirea unei rețele și decodificate la intrarea altei rețele, în timp ce algoritmul de gestionare a cheilor asigură distribuția sa sigură între dispozitivele finale. Toate manipulările de date sunt transparente pentru aplicațiile care rulează în rețea.

2. Acces de la distanță la resursele informaționale. Protecţie

informații transmise prin canale de comunicare

La interconectarea între obiectele companiei aflate la distanță geografică, apare sarcina de a asigura securitatea schimbului de informații între clienți și servere ale diferitelor servicii de rețea. Probleme similare apar în rețelele locale fără fir (WLAN), precum și atunci când abonații la distanță accesează resursele unui sistem de informații corporative. Principala amenințare aici este considerată a fi conectarea neautorizată la canalele de comunicare și interceptarea (ascultarea) informațiilor și modificarea (înlocuirea) datelor transmise prin canale (mesaje poștale, fișiere etc.).

Pentru a proteja datele transmise prin aceste canale de comunicare, este necesar să se utilizeze instrumente adecvate de protecție criptografică. Transformările criptografice pot fi efectuate atât la nivel de aplicație (sau la nivelurile dintre protocoalele de aplicație și protocolul TCP/IP), cât și la nivel de rețea (conversia pachetelor IP).

În prima opțiune, criptarea informațiilor destinate transportului printr-un canal de comunicație printr-un teritoriu necontrolat trebuie efectuată la nodul expeditor (stație de lucru - client sau server), iar decriptarea - la nodul destinatar. Această opțiune presupune efectuarea unor modificări semnificative în configurația fiecărei părți care interacționează (conectarea mijloacelor de protecție criptografică la programele aplicației sau la partea de comunicare a sistemului de operare), ceea ce, de regulă, necesită costuri mari și instalarea unor mijloace de protecție adecvate pe fiecare nod. a rețelei locale. Soluțiile pentru această opțiune includ protocoalele SSL, S-HTTP, S/MIME, PGP/MIME, care asigură criptarea și semnătura digitală a mesajelor de e-mail și a mesajelor transmise folosind protocolul http.

A doua opțiune presupune instalarea de instrumente speciale care efectuează cripto-transformări la punctele de conectare a rețelelor locale și a abonaților la distanță la canalele de comunicație (rețele publice) care trec prin teritoriu necontrolat. La rezolvarea acestei probleme, este necesar să se asigure nivelul necesar de protecție a datelor criptografice și minimele întârzieri suplimentare posibile în timpul transmiterii acestora, deoarece aceste instrumente tunelează traficul transmis (adaugă un nou antet IP la pachetul tunelat) și folosesc algoritmi de criptare de puncte forte diferite. Datorită faptului că instrumentele care asigură cripto-transformări la nivel de rețea sunt pe deplin compatibile cu orice subsisteme de aplicații care rulează în sistemul informațional corporativ (sunt „transparente” aplicațiilor), acestea sunt cel mai des folosite. Prin urmare, în viitor ne vom opri asupra acestor mijloace de protejare a informațiilor transmise prin canale de comunicare (inclusiv prin rețele publice, de exemplu, internetul). Este necesar să se țină seama de faptul că, dacă mijloacele de protecție a informațiilor criptografice sunt planificate pentru a fi utilizate în agențiile guvernamentale, atunci problema alegerii lor ar trebui să fie decisă în favoarea produselor certificate în Rusia.

.1 Soluții bazate pe gateway-uri cripto certificate

Pentru a implementa a doua opțiune și pentru a asigura confidențialitatea și fiabilitatea informațiilor transmise între facilitățile companiei prin canale de comunicare, puteți utiliza gateway-uri cripto certificate (gateway-uri VPN). De exemplu, Continent-K, VIPNet TUNNEL, ZASTAVA-Oficiul companiilor NIP Informzaschita, Infotex, Elvis+. Aceste dispozitive oferă criptarea datelor transmise (pachete IP) în conformitate cu GOST 28147-89 și, de asemenea, ascund structura rețelei locale, protejează împotriva pătrunderii externe, rutează traficul și au certificate de la Comisia Tehnică de Stat a Federației Ruse și FSB (FAPSI).

Gateway-urile cripto permit abonaților la distanță să acceseze în siguranță resursele sistemului de informații corporative (Fig. 1). Accesul se face folosind un software special care este instalat pe computerul utilizatorului (client VPN) pentru a asigura interacțiunea securizată între utilizatorii de la distanță și cei mobili cu gateway-ul cripto. Software-ul cripto gateway (server de acces) identifică și autentifică utilizatorul și comunică cu resursele rețelei protejate.

Figura 1. - „Acces de la distanță printr-un canal securizat cu

folosind un gateway cripto”

Folosind gateway-uri cripto, puteți forma canale virtuale securizate în rețelele publice (de exemplu, Internetul), garantând confidențialitatea și fiabilitatea informațiilor și organizați rețele private virtuale (Virtual Private Network - VPN), care sunt o asociație de rețele locale sau individuale. calculatoare conectate la o rețea publică.utilizare într-o singură rețea virtuală securizată. Pentru a gestiona o astfel de rețea, se utilizează de obicei un software special (centrul de control), care asigură gestionarea centralizată a politicilor locale de securitate pentru clienții VPN și gateway-uri cripto, le trimite informații cheie și date de configurare noi și menține jurnalele de sistem. Gateway-urile cripto pot fi furnizate ca soluții software sau ca sisteme hardware-software. Din păcate, majoritatea cripto-gateway-urilor certificate nu acceptă protocolul IPSec și, prin urmare, nu sunt compatibile funcțional cu produsele hardware și software de la alți producători.

.2 Soluții bazate pe IPSec

Protocolul IP Security (IPSec) este baza pentru construirea sistemelor de securitate la nivel de rețea; este un set de standarde internaționale deschise și este susținut de majoritatea producătorilor de soluții de protecție a infrastructurii de rețea. Protocolul IPSec vă permite să organizați fluxuri de date securizate și autentice (pachete IP) la nivel de rețea între diverși principii care interacționează, inclusiv computere, firewall-uri, routere și oferă:

· autentificarea, criptarea și integritatea datelor transmise (pachete IP);

· protectie impotriva retransmiterii pachetelor (atac de reluare);

· crearea, actualizarea automată și distribuirea securizată a cheilor criptografice;

· utilizarea unei game largi de algoritmi de criptare (DES, 3DES, AES) și mecanisme de monitorizare a integrității datelor (MD5, SHA-1). Există implementări software ale protocolului IPSec care utilizează algoritmi de criptare ruși (GOST 28147-89), hashing (GOST R 34.11-94), semnătura digitală electronică (GOST R 34.10-94);

· autentificarea obiectelor de interacțiune în rețea pe baza certificatelor digitale.

Setul actual de standarde IPSec include specificațiile de bază definite în RFC-uri (RFC 2401-2412, 2451). Request for Comments (RFC) este o serie de documente de la Internet Engineering Task Force (IETF), începută în 1969, care conține descrieri ale suitei de protocoale Internet. Arhitectura sistemului este definită în RFC 2401 „Arhitectura de securitate pentru protocolul Internet”, iar specificațiile principalelor protocoale sunt în următoarele RFC:

· RFC 2402 „IP Authentication Header” - specificarea protocolului AH, care asigură integritatea și autentificarea sursei pachetelor IP transmise;

· RFC 2406 „IP Encapsulating Security Payload” - specificația protocolului ESP care asigură confidențialitatea (criptarea), integritatea și autentificarea sursă a pachetelor IP transmise;

· RFC 2408 „Internet Security Association and Key Management Protocol” - specificarea protocolului ISAKMP, care asigură negocierea parametrilor, crearea, modificarea, distrugerea canalelor virtuale securizate (Security Association - SA) și gestionarea cheilor necesare;

· RFC 2409 „The Internet Key Exchange” - o specificație a protocolului IKE (include ISAKMP), care prevede negocierea parametrilor, crearea, modificarea și distrugerea SA-urilor, negocierea, generarea și distribuirea materialului cheie necesar pentru crearea SA.

Protocoalele AH și ESP pot fi utilizate atât împreună, cât și separat. Protocolul IPSec folosește algoritmi de criptare simetrică și cheile corespunzătoare pentru a asigura o comunicare sigură în rețea. Mecanismele de generare și distribuire a unor astfel de chei sunt asigurate de protocolul IKE.

Secure Virtual Channel (SA) este un concept important în tehnologia IPSec. SA este o conexiune logică direcționată între două sisteme care acceptă protocolul IPSec, care este identificată în mod unic prin următorii trei parametri:

· index de conexiune securizată (Security Parameter Index, SPI - o constantă de 32 de biți utilizată pentru a identifica diferite SA cu aceeași adresă IP de destinatar și protocol de securitate);

· adresa IP a destinatarului pachetelor IP (IP Destination Address);

· protocol de securitate (Security Protocol - unul dintre protocoalele AH sau ESP).

Ca exemplu, Figura 2 prezintă o soluție de acces la distanță pe un canal securizat de la Cisco Systems bazată pe protocolul IPSec. Software-ul special Cisco VPN Client este instalat pe computerul utilizatorului de la distanță. Există versiuni ale acestui software pentru diferite sisteme de operare - MS Windows, Linux, Solaris.

Figura 2. - „Acces la distanță printr-un canal securizat cu

folosind un concentrator VPN"

Clientul VPN interacționează cu concentratorul Cisco VPN Series 3000 și creează o conexiune sigură, numită tunel IPSec, între computerul utilizatorului și rețeaua privată din spatele concentratorului VPN. Un concentrator VPN este un dispozitiv care termină tunelurile IPSec de la utilizatori la distanță și gestionează procesul de stabilire a conexiunilor securizate cu clienții VPN instalați pe computerele utilizatorilor. Dezavantajele acestei soluții includ lipsa de suport din partea Cisco Systems pentru algoritmii de criptare rusă, hashing și semnătură digitală electronică.

3. Tehnologii de securitate a informațiilor în tehnologia informației

sisteme de telecomunicații (ITS)

protecția telecomunicațiilor canal informațional comunicare

Sprijinirea eficientă a proceselor administrației publice folosind instrumente și resurse informaționale (IIR) este posibilă numai dacă sistemul are proprietatea de „securitate”, care este asigurată de implementarea unui sistem cuprinzător de securitate a informațiilor, inclusiv componente de securitate de bază - un sistem de control al accesului pentru instalațiile ITS, un sistem de supraveghere video și de securitate a informațiilor.

Piatra de temelie a unui sistem de securitate integrat este un sistem de securitate a informațiilor, ale cărui prevederi conceptuale decurg din caracteristicile de proiectare ale sistemului și ale subsistemelor sale constitutive și din conceptul de sistem „protejat”, care poate fi formulat după cum urmează:

Un ITS securizat este un sistem de informare și telecomunicații care asigură execuția stabilă a funcției țintă în cadrul unei liste date de amenințări de securitate și a modelului de acțiuni ale intrusului.

Lista amenințărilor de securitate și tiparul de acțiuni ale contravenientului sunt determinate de o gamă largă de factori, inclusiv procesul operațional al ITS, posibile acțiuni eronate și neautorizate ale personalului de service și ale utilizatorilor, defecțiuni și defecțiuni ale echipamentelor, acțiuni pasive și active. a infractorilor.

La construirea unui STI, este recomandabil ca autoritățile publice (GBO) să ia în considerare trei categorii de bază de amenințări la adresa securității informațiilor care pot duce la întreruperea funcției țintă principală a sistemului - sprijinirea eficientă a proceselor administrației publice:

· defecțiuni și defecțiuni în hardware-ul sistemului, situații de urgență etc. (evenimente fără participare umană);

· acțiuni eronate și acțiuni neintenționate neautorizate ale personalului de service și ale abonaților sistemului;

Acțiunile neautorizate ale contravenientului se pot referi la acțiuni pasive (interceptarea informațiilor într-un canal de comunicare, interceptarea informațiilor în canalele de scurgere tehnice) și acțiuni active (interceptarea informațiilor de pe mediile de stocare cu o încălcare clară a regulilor de acces la resursele informaționale, denaturarea informațiilor într-un canal de comunicare, denaturarea, inclusiv distrugerea informațiilor de pe mediile de stocare cu încălcarea clară a regulilor de acces la resursele informaționale, introducerea dezinformarii).

De asemenea, contravenientul poate întreprinde acțiuni active menite să analizeze și să depășească sistemul de securitate a informațiilor. Este recomandabil să clasificați acest tip de acțiune ca un grup separat, deoarece, după ce a depășit sistemul de securitate, intrusul poate efectua acțiuni fără a încălca în mod clar regulile de acces la resursele informaționale.

În tipul de acțiuni de mai sus, este recomandabil să se evidențieze posibile acțiuni care vizează introducerea componentelor hardware și software în echipamentele ITS, care este determinată în primul rând de utilizarea echipamentelor, componentelor și software-ului străin.

Pe baza analizei arhitecturii ITS și a amenințărilor, se poate forma o arhitectură generală a sistemului de securitate a informațiilor, cuprinzând următoarele subsisteme principale:

· subsistemul de management al sistemului de securitate a informațiilor;

· subsistemul de securitate în subsistemul informaţional;

· subsistemul securitate în subsistemul telecomunicații;

· subsistem de securitate pentru interacțiunea interrețelor;

· subsistem de identificare și contracarare a acțiunilor active ale contravenienților;

· un subsistem pentru identificarea și contracararea posibilelor marcaje hardware și software.

De menționat că ultimele trei subsisteme, în cazul general, sunt componente ale celui de-al doilea și al treilea subsistem, dar ținând cont de caracteristicile formulate mai sus, este recomandabil să le considerăm subsisteme separate.

Baza sistemului de securitate a informațiilor din STI și din fiecare subsisteme ale acestuia este Politica de securitate din STI și subsistemele acestuia, ale cărei prevederi cheie sunt cerințele pentru utilizarea următoarelor mecanisme și mijloace de bază de asigurare a securității informațiilor:

· identificarea și autentificarea abonaților ITS, a echipamentelor ITS, a informațiilor prelucrate;

· controlul fluxurilor de informații și al ciclului de viață al informațiilor pe baza etichetelor de securitate;

· controlul accesului la resursele ITS bazat pe o combinație de politici discreționare, obligatorii și bazate pe roluri și firewall;

· protecția informațiilor criptografice;

· mijloace tehnice de protectie;

· măsuri organizatorice şi de regim.

Lista dată de mecanisme de protecție este determinată de obiectivele sistemului de securitate a informațiilor din ITS, dintre care vom evidenția următoarele cinci principale:

· controlul accesului la resursele informaționale ITS;

· asigurarea confidențialității informațiilor protejate;

· monitorizarea integrității informațiilor protejate;

· nenegarea accesului la resursele informaţionale;

· disponibilitatea resurselor informaţionale.

Implementarea mecanismelor și mijloacelor de protecție specificate se bazează pe integrarea mijloacelor hardware și software de protecție în hardware-ul și software-ul STI și în informațiile prelucrate.

Rețineți că termenul „informații” din ITS se referă la următoarele tipuri de informații:

· informații despre utilizator (informații necesare managementului și luării deciziilor);

· informații de serviciu (informații care asigură controlul echipamentelor ITS);

· informații speciale (informații care asigură gestionarea și funcționarea echipamentelor de protecție);

· informații tehnologice (informații care asigură implementarea tuturor tehnologiilor de prelucrare a informațiilor în ITS).

În acest caz, toate tipurile de informații enumerate sunt supuse protecției.

Este important de menționat că, fără utilizarea instrumentelor automate de management al sistemului de securitate a informațiilor, este imposibil să se asigure funcționarea stabilă a sistemului de securitate într-un sistem de procesare a informațiilor distribuite geografic, care interacționează atât cu sistemele protejate, cât și cu cele neprotejate din circuitul ITS și procesează informații cu diferite niveluri de confidențialitate.

Principalele obiective ale subsistemului de management al securității informațiilor sunt:

· generarea, distribuirea și contabilizarea informațiilor speciale utilizate în subsistemele de securitate (informații cheie, informații despre parolă, etichete de securitate, drepturi de acces la resursele informaționale etc.);

· configurarea și gestionarea instrumentelor de securitate a informațiilor;

· coordonarea politicilor de securitate în sistemele care interacționează, inclusiv informații speciale;

· monitorizarea sistemului de securitate;

· actualizarea Politicii de securitate în ITS ținând cont de diferite perioade de funcționare, introducerea de noi tehnologii de prelucrare a informațiilor în ITS.

Implementarea subsistemului de management al securității informațiilor necesită crearea unui singur centru de control care interacționează cu centrele locale de control al securității pentru subsistemele de telecomunicații și informații ale STI, centrele de control al securității informațiilor în rețelele care interacționează și agenții de securitate a informațiilor la instalațiile sistemului.

Arhitectura sistemului de management al securității informațiilor ar trebui să fie practic identică cu arhitectura STI în sine, iar din punctul de vedere al implementării acestuia, trebuie respectate următoarele principii:

· centrul de control al securității informațiilor și centrele locale de control trebuie implementate pe hardware și software dedicat utilizând mijloace interne;

· agenții de management al securității trebuie să fie integrați în hardware-ul și software-ul locurilor de muncă ale sistemului cu posibilitatea de control independent față de aceștia de către centru și centrele locale.

Subsistemul de securitate a informațiilor din subsistemul informațional ITS este unul dintre cele mai complexe subsisteme atât în ​​ceea ce privește mecanismele de protecție, cât și implementarea acestora.

Complexitatea acestui subsistem este determinată de faptul că în acest subsistem se realizează cea mai mare parte a procesării informațiilor, în timp ce principalele resurse de acces la informații ale abonaților sistemului sunt concentrate în el - abonații au direct acces autorizat atât la informații, cât și la funcţiile prelucrării acestuia. De aceea, la baza acestui subsistem se află un sistem de control al accesului la informație și a funcțiilor sale de procesare.

Mecanismul de bază pentru implementarea accesului autorizat la informație și a funcțiilor de prelucrare a acesteia este mecanismul de protecție a resurselor informaționale împotriva acțiunilor neautorizate, ale căror componente principale sunt:

· mijloace organizatorice și tehnice de control al accesului la obiectele sistemului, informațiile și funcțiile pentru prelucrarea acestuia;

· sistemul de înregistrare și contabilitate pentru funcționarea sistemului și a abonaților sistemului;

· subsistemul de asigurare a integrității;

· subsistem criptografic.

Baza pentru implementarea protecției notate este construcția arhitecturală a componentei informaționale a STI - crearea de obiecte separate logic și informațional ale componentei informaționale a STI (bănci de date, complexe de informații și referințe, centre de situație). Acest lucru va face posibilă implementarea unor obiecte izolate criptografic independente care funcționează folosind tehnologia client-server și nu oferă acces direct la funcțiile de stocare și procesare a informațiilor - toată prelucrarea se realizează la cererea autorizată a utilizatorilor în baza puterilor care le sunt acordate.

Pentru furnizarea autorizată a resurselor informaționale către abonați se utilizează următoarele metode și mecanisme:

· etichete de securitate a informațiilor;

· identificarea și autentificarea abonaților și a echipamentelor de sistem;

· protecția criptografică a informațiilor în timpul stocării;

· control criptografic al integrității informațiilor în timpul stocării.

La implementarea unui subsistem de securitate în componenta de telecomunicații a unui ITS, este necesar să se țină cont de disponibilitatea canalelor de comunicații atât în ​​teritoriile controlate, cât și în cele necontrolate.

O modalitate justificată de protejare a informațiilor din canalele de comunicație este protecția criptografică a informațiilor din canalele de comunicații dintr-un teritoriu necontrolat în combinație cu mijloace organizatorice și tehnice de protecție a informațiilor din canalele de comunicații dintr-un teritoriu controlat, cu perspectiva trecerii la protecția informațiilor criptografice în toate Canalele de comunicare ITS, inclusiv utilizarea metodelor tehnologiei VPN. O resursă pentru protejarea informațiilor din subsistemul telecomunicații (ținând cont de prezența contravenienților cu acces legal la resursele de telecomunicații) este delimitarea accesului la resursele de telecomunicații cu înregistrarea fluxurilor de informații și a reglementărilor de funcționare a abonaților.

O soluție tipică pentru protejarea informațiilor din canalele de comunicație este utilizarea buclelor de protecție a abonaților și a liniilor în combinație cu mijloace algoritmice și tehnice de protecție, oferind (atât direct, cât și indirect) următoarele mecanisme de protecție:

· protecția împotriva scurgerilor de informații în canalele de comunicare și canalele tehnice;

· controlul securității informațiilor în timpul transmiterii prin canale de comunicație;

· protecție împotriva posibilelor atacuri ale unui intrus prin canalele de comunicare;

· identificarea și autentificarea abonaților;

· controlează accesul la resursele sistemului.

Subsistemul de securitate pentru schimbul de internetwork în ITS se bazează pe următoarele mecanisme de securitate:

· controlul accesului la resursele internetwork (firewalling);

· identificarea și autentificarea abonaților (inclusiv metode de autentificare criptografică);

· identificarea și autentificarea informațiilor;

· protecția criptografică a informațiilor în canalele de comunicare din teritoriu necontrolat, iar pe viitor - în toate canalele de comunicare;

· izolarea criptografică a sistemelor care interacționează.

De mare importanță în subsistemul luat în considerare este implementarea tehnologiei rețelei private virtuale (VPN), ale cărei proprietăți rezolvă în mare măsură problemele atât de protecție a informațiilor pe canalele de comunicare, cât și de contracarare a atacurilor intrușilor de pe canalele de comunicare.

· una dintre funcțiile ITS este luarea deciziilor privind managementul atât a departamentelor individuale și a întreprinderilor, cât și a statului în ansamblu, pe baza procesării analitice a informațiilor;

· nu poate fi exclusă existența unor infractori în rândul abonaților care interacționează cu sistemele ITS.

Subsistemul de identificare și contracarare a acțiunilor active ale unui intrus este implementat pe două componente principale: hardware și software pentru identificarea și contracararea eventualelor atacuri ale intrușilor prin canale de comunicație și arhitectura unei rețele securizate.

Prima componentă - componenta de identificare a posibilelor atacuri, este destinată protecției în acele subsisteme ITS în care acțiunile intrusului în ceea ce privește atacurile asupra resurselor informaționale și echipamentelor ITS sunt fundamental posibile, a doua componentă este destinată să elimine astfel de acțiuni sau să complice semnificativ. lor.

Principalele mijloace ale celei de-a doua componente sunt hardware și software care asigură implementarea metodelor de protecție în conformitate cu tehnologia rețelei private virtuale (VPN), atât în ​​timpul interacțiunii diferitelor obiecte ITS în conformitate cu structura acestora, cât și în cadrul obiectelor și subrețelelor individuale bazate pe pe firewall-uri sau firewall-uri cu protecție criptografică încorporată.

Subliniem că cea mai eficientă contracarare la posibilele atacuri este asigurată de mijloace criptografice ale unei bucle de protecție liniară și a unui gateway criptografic de internetwork pentru intruși externi și mijloace de control al accesului la resursele informaționale pentru utilizatorii legali aparținând categoriei de intruși.

Subsistemul de identificare și contracarare a eventualelor defecte hardware și software este implementat printr-un set de măsuri organizatorice și tehnice în timpul fabricării și exploatării echipamentelor ITS, incluzând următoarele activități principale:

· inspecție specială a echipamentelor și componentelor de fabricație străină;

· standardizare software;

· verificarea proprietăților bazei elementului care afectează eficacitatea sistemului de protecție;

· verificarea integrității software-ului folosind algoritmi criptografici.

Alături de alte sarcini, problema contracarării posibilelor marcaje hardware și software este asigurată și de alte mijloace de protecție:

· circuit de protecție criptografic liniar, oferind protecție împotriva activării unor posibile marcaje software prin canale de comunicație;

· arhivarea informațiilor;

· redundanţă (duplicare hardware).

Prin intermediul ITS la diferite obiecte de sistem, utilizatorilor OGV li se pot oferi diverse servicii de transfer de informații și servicii de informare, inclusiv:

· subsistem securizat flux de documente;

· centre de certificare;

· subsistem securizat pentru transmiterea informațiilor telefonice, a datelor și organizarea de videoconferințe;

· un subsistem sigur de informații oficiale, inclusiv crearea și întreținerea site-urilor web oficiale ale liderilor la nivel federal și regional.

Rețineți că subsistemul securizat al fluxului de documente este strâns conectat cu centrele de certificare care asigură implementarea mecanismului de semnătură digitală.

Să luăm în considerare mai detaliat integrarea instrumentelor de securitate a informațiilor în sistemul electronic de gestionare a documentelor, în subsistemul de transmitere a informațiilor telefonice, subsistemul informațional oficial și site-ul oficial al managerilor de la diferite niveluri.

Mecanismul de bază pentru protejarea informațiilor într-un sistem electronic de gestionare a documentelor este o semnătură electronică digitală, care asigură identificarea și autentificarea documentelor și abonaților, precum și controlul integrității acestora.

Deoarece caracteristicile sistemului de flux de documente ITS sunt determinate de prezența schimbului de informații între diverse obiecte și departamente (inclusiv posibil schimb de informații între sistemele securizate și neprotejate), precum și utilizarea diferitelor tehnologii de procesare a documentelor în diferite departamente, implementarea a fluxului de documente securizat, ținând cont de factorii menționați, necesită următoarele activități:

· unificarea formatelor de documente în diverse departamente;

· coordonarea politicilor de securitate din diverse departamente.

Desigur, cerințele menționate pot fi parțial rezolvate prin utilizarea gateway-urilor între sistemele care interacționează.

Centrele de certificare sunt în esență o bază de date distribuită care asigură implementarea unei semnături digitale într-un sistem de flux de documente. Accesul neautorizat la resursele informaționale ale acestei baze de date distruge complet proprietățile de securitate ale managementului documentelor electronice. Acest lucru duce la principalele caracteristici ale sistemului de securitate a informațiilor la centrele de certificare:

· gestionarea accesului la resursele bazei de date ale centrelor de certificare (protecția împotriva accesului neautorizat la resurse);

· asigurarea funcționării stabile a centrelor de certificare în condiții de posibile defecțiuni și defecțiuni, situații de urgență (protecția împotriva distrugerii informațiilor bazei de date).

Implementarea acestor mecanisme poate fi realizată în două etape: în prima etapă, mecanismele de protecție sunt implementate folosind măsuri organizatorice și tehnice de protecție și măsuri de securitate, inclusiv utilizarea unui sistem de operare certificat intern, iar în a doua etapă, protecție criptografică. metodele sunt integrate în hardware și software în timpul stocării și procesării informațiilor la centrele de certificare.

Caracteristicile de protecție a diferitelor tipuri de trafic transmis către ITS (trafic telefonic, trafic de date și video conferințe) pot fi împărțite în două clase:

· caracteristici de protecție a echipamentelor abonaților, care sunt determinate de necesitatea de a proteja informații de diferite tipuri, inclusiv simultan (informații video și vorbire și, eventual, date), precum și nevoia de a proteja informațiile de diferite tipuri de scurgeri în canalele tehnice.

· caracteristici de protecție a echipamentelor unui anumit tip de sistem de transmitere a informațiilor, care sunt determinate de necesitatea protejării împotriva accesului neautorizat la serviciile de telefonie, transmisia de date, apelurile conferință și resursele acestuia.

Pentru aceste clase, mecanismele de bază de protecție sunt:

· mijloace tehnice de protejare a informațiilor împotriva scurgerilor în canalele tehnice, implementate prin mijloace standard;

· controlul accesului la resursele care susțin organizarea diverselor tipuri de comunicații, care se bazează pe identificarea și autentificarea posibilelor conexiuni ale diverșilor utilizatori și echipamente la echipamentele de comunicații.

O caracteristică a subsistemului securizat de informații oficiale este prezența fluxurilor de informații în două direcții - de la ITS la sisteme externe, inclusiv cetățeni individuali ai țării, precum și de la sisteme externe la ITS (schimb de informații cu obiecte neprotejate).

Pe baza informațiilor primite de la sistemele externe, deciziile sunt elaborate atât în ​​interesul organizațiilor individuale, departamentelor și regiunilor, cât și al statului în ansamblu, iar executarea deciziilor luate și la toate nivelurile de guvernare depinde de informațiile primite de către extern. sisteme.

Prin urmare, în primul caz, principalele cerințe pentru funcționarea sistemului din punct de vedere al securității acestuia sunt integritatea informațiilor furnizate, eficiența furnizării informațiilor, inclusiv actualizarea acesteia, fiabilitatea sursei de informații, și controlul furnizării informațiilor către destinatar.

În al doilea caz - fiabilitatea informațiilor furnizate, fiabilitatea sursei de informații, eficiența furnizării informațiilor, precum și controlul furnizării informațiilor către destinatar. Practic, cerințele enumerate sunt asigurate de mecanisme standard de securitate (metode criptografice de monitorizare a integrității informațiilor, identificarea și autentificarea abonaților și a informațiilor).

O trăsătură distinctivă caracteristică acestui subsistem este necesitatea de a controla fiabilitatea informațiilor care provin din sisteme externe și care reprezintă materialul sursă pentru luarea deciziilor, inclusiv în interesul statului. Această problemă este rezolvată folosind metode analitice de monitorizare a fiabilității informațiilor, asigurarea stabilității soluțiilor dezvoltate în fața primirii de informații nesigure, precum și măsuri organizatorice și tehnice care asigură confirmarea informațiilor primite.

Principalele obiective ale sistemului de securitate a informațiilor de pe site-ul liderilor federali și regionali sunt de a împiedica intrarea pe site a informațiilor care nu sunt destinate acestui scop, precum și de a asigura integritatea informațiilor prezentate pe site.

Mecanismul de bază de securitate implementat pe site trebuie să asigure controlul accesului la site de către sistemul intern care furnizează informații site-ului, precum și controlul accesului de către sisteme externe la resursele site-ului.

Implementarea protecției se bazează pe crearea unei zone „demilitarizate” bazate pe firewall-uri (gateway), oferind:

Filtrarea informatiilor in directia de la sistemul intern catre site cu controlul accesului la site din sistemul intern (identificarea si autentificarea sursei de informatii) si filtrarea informatiilor folosind etichete de securitate;

Monitorizarea integrității resurselor informaționale de pe site și asigurarea funcționării stabile a site-ului în fața eventualelor distorsiuni informaționale;

controlul accesului de la sistemele externe la resursele site-ului;

filtrarea cererilor care vin pe site din sisteme externe.

Una dintre cele mai importante probleme în rezolvarea problemelor de asigurare a securității informațiilor este îmbunătățirea cadrului de reglementare privind securitatea informațiilor.

Necesitatea îmbunătățirii cadrului de reglementare este determinată de doi factori principali - prezența schimbului de informații între diverse departamente, prezența unui număr mare de tipuri și tipuri de informații care circulă în ITS.

În ceea ce privește asigurarea securității informațiilor în ITS, cadrul de reglementare trebuie îmbunătățit în următoarele domenii:

· crearea unor cerințe uniforme pentru asigurarea securității informațiilor și, pe baza acestora, a unui concept de securitate unificat, asigurând posibilitatea armonizării politicilor de securitate în diferite departamente și ITS în ansamblu, inclusiv diferite perioade de funcționare;

· crearea unui standard unificat pentru informațiile documentare, asigurând implementarea etichetelor de securitate unificate și reducerea costurilor de transmitere a documentelor în timpul interacțiunii interdepartamentale;

· crearea unor prevederi pentru interacțiunea interdepartamentală care să asigure monitorizarea constantă a securității informațiilor în timpul interacțiunii interdepartamentale.

Concluzie

În cadrul acestui curs au fost luate în considerare următoarele principii:

· Arhitectura STI și tehnologiile de bază de procesare a informațiilor în STI ar trebui create ținând cont de tranziția evolutivă la mijloacele dezvoltate pe plan intern;

· stațiile de lucru automatizate ale sistemelor de securitate a informațiilor ITS trebuie să fie create pe o platformă hardware și software produsă intern (calculator asamblat intern, sistem de operare casnic, software casnic);

· Arhitectura STI și tehnologiile de bază de procesare a informațiilor în STI ar trebui create ținând cont de posibilitatea utilizării instrumentelor de securitate hardware și software existente în prima etapă, cu înlocuirea lor ulterioară cu instrumente promițătoare de securitate a informațiilor.

Îndeplinirea acestor cerințe va asigura continuitatea și eficiența specificată a protecției informațiilor în perioada de tranziție de la utilizarea tehnologiilor de prelucrare a informațiilor în STI în combinație cu tehnologiile de securitate a informațiilor la utilizarea tehnologiilor de prelucrare a informațiilor securizate în STI.

Bibliografie

1. Konstantin Kuzovkin. Acces de la distanță la resursele informaționale. Autentificare. // Director serviciu informare - 2003 - Nr.9.

2. Konstantin Kuzovkin. Platformă sigură pentru aplicații web. // Sisteme deschise - 2001 - Nr. 4.

Alexei Lukatsky. VPN necunoscut. // Computer-Press - 2001 - Nr. 10.

Resurse de internet: http://www.niia.ru/document/Buk_1, www.i-teco.ru/article37.html.

Sarcina de implementare a rețelei corporative a unei companii într-o singură clădire poate fi rezolvată relativ ușor. Cu toate acestea, astăzi infrastructura companiilor are departamente distribuite geografic ale companiei în sine. Implementarea unei rețele corporative securizate în acest caz este o sarcină mai complexă. În astfel de cazuri, sunt adesea folosite servere VPN securizate.

Conceptul de construire a rețelelor VPN virtuale securizate

Conceptul de creare a rețelelor virtuale VPN se bazează pe o idee simplă - dacă într-o rețea globală există 2 noduri care trebuie să facă schimb de date, atunci între ele trebuie să creați un tunel virtual securizat pentru a asigura integritatea și confidențialitatea datelor transmise prin rețele deschise.

Conceptul de bază și funcțiile unei rețele VPN

Când există o conexiune între o rețea locală corporativă și Internet, apar două tipuri:

• acces neautorizat la resursele rețelei locale prin autentificare
• acces neautorizat la informații atunci când sunt transmise prin internet deschis

Protecția datelor în timpul transmisiei pe canale deschise se bazează pe implementarea rețelelor VPN virtuale securizate. O rețea virtuală securizată VPN este o conexiune între rețelele locale și computerele individuale printr-o rețea deschisă într-o singură rețea virtuală corporativă. Rețeaua VPN permite utilizarea tunelurilor VPN pentru a crea conexiuni între birouri, sucursale și utilizatori la distanță, transportând în același timp datele în siguranță (Fig. 1).

Poza 1

Un tunel VPN este o conexiune care trece printr-o rețea deschisă în care sunt transportate pachete de date protejate criptografic. Protecția datelor în timpul transmiterii prin tunelul VPN este implementată pe baza următoarelor sarcini:

• criptarea criptografică a datelor transportate
• autentificarea utilizatorilor rețelei virtuale
• verificarea integrității și autenticității datelor transmise

Client VPN este un complex software sau hardware care rulează pe un computer personal. Software-ul său de rețea este modificat pentru a implementa criptarea și autentificarea traficului.

server VPN- poate fi și un complex software sau hardware care implementează funcții server. Protejează serverele de accesul neautorizat din alte rețele, precum și organizează o rețea virtuală între clienți, servere și gateway-uri.

Gateway de securitate VPN- un dispozitiv de rețea care se conectează la 2 rețele și implementează funcții de autentificare și criptare pentru multe gazde din spatele acestuia.

Esența tunelului este încapsularea (pachetarea) datelor într-un nou pachet. Un pachet de protocol de nivel inferior este plasat în câmpul de date al unui pachet de protocol de nivel superior sau de același nivel (Fig. 2). Procesul de încapsulare în sine nu protejează împotriva falsificării sau accesului neautorizat; protejează confidențialitatea datelor încapsulate.

Figura - 2

Când un pachet ajunge la punctul final al canalului virtual, pachetul sursă intern este extras din acesta, decriptat și utilizat mai departe de-a lungul rețelei interne (Fig. 3).

Figura - 3

Încapsularea rezolvă și problema conflictului dintre două adrese între rețelele locale.

Opțiuni pentru crearea de canale virtuale securizate

Când creați un VPN, există două metode populare (Fig. 4):

• canal virtual securizat între rețelele locale (canal LAN-LAN)
• canal virtual securizat între rețeaua locală și gazdă (canal client-LAN)

Figura - 4

Prima metodă de conectare vă permite să înlocuiți canalele costisitoare dedicate între nodurile individuale și să creați canale sigure permanent între ele. Aici, gateway-ul de securitate servește ca interfață între rețeaua locală și tunel. Multe companii implementează acest tip de VPN pentru a înlocui sau completa.

Al doilea circuit este necesar pentru conectarea la utilizatorii mobili sau la distanță. Crearea tunelului este inițiată de client.

Din punct de vedere al securității informațiilor, cea mai bună opțiune este un tunel securizat între punctele finale ale conexiunii. Cu toate acestea, această opțiune duce la descentralizarea managementului și la redundanța resurselor, deoarece trebuie să instalați un VPN pe fiecare computer din rețea. Dacă rețeaua locală care face parte din rețeaua virtuală nu necesită protecție de trafic, atunci punctul final din partea rețelei locale poate fi un router al aceleiași rețele.

Metode de implementare a securității VPN

Atunci când se creează o rețea virtuală securizată, VPN implică faptul că informațiile transmise vor avea criterii informatii protejate, și anume: confidențialitate, integritate, disponibilitate. Confidențialitatea se realizează folosind metode de criptare asimetrice și simetrice. Integritatea datelor transportate se realizează folosind . Autentificarea se realizează folosind parole unice/reutilizabile, certificate, carduri inteligente, protocoale.

Pentru a implementa securitatea informațiilor transportate în rețele virtuale securizate, este necesar să se rezolve următoarele probleme de securitate a rețelei:

• autentificarea reciprocă a utilizatorilor la conectare
• implementarea confidențialității, autenticității și integrității datelor transportate
• controlul accesului
• securitatea perimetrului rețelei și
• managementul securității rețelei

Soluții VPN pentru crearea de rețele securizate

Clasificarea rețelelor VPN

Aproape toate tipurile de trafic pot fi implementate pe baza internetului global. Există diferite scheme de clasificare VPN. Cea mai comună schemă are 3 criterii de clasificare:

• stratul de operare al modelului OSI
• Arhitectura soluției tehnice VPN
• Metoda de implementare tehnică VPN

Canal securizat- un canal între două noduri de rețea, de-a lungul unei anumite căi virtuale. Un astfel de canal poate fi creat folosind metode de sistem bazate pe diferite straturi ale modelului OSI (Fig. 5).

Figura - 5

Este posibil să observați că VPN-urile sunt create la niveluri destul de scăzute. Motivul este că, cu cât sunt implementate mai jos în stiva metodele de canal securizat, cu atât este mai ușor să le implementați în mod transparent pentru aplicații. La nivelul conexiunii de date și al rețelei, aplicațiile nu mai depind de protocoalele de securitate. Dacă se implementează un protocol de la nivelurile superioare pentru a proteja informațiile, atunci metoda de protecție nu depinde de tehnologia rețelei, ceea ce poate fi considerat un plus. Cu toate acestea, aplicația devine dependentă de un protocol de securitate specific.

Link Layer VPN. Metodele de la acest nivel vă permit să încapsulați traficul de nivel al treilea (și mai mare) și să creați tuneluri virtuale punct la punct. Acestea includ produse VPN bazate pe .

VPN la nivel de rețea. Produsele VPN de acest nivel implementează încapsularea IP-la-IP. De exemplu, ei folosesc protocolul.

VPN la nivel de sesiune. Unele VPN-uri implementează o abordare „broker de canal”, care funcționează deasupra stratului de transport și transmite traficul de la rețeaua securizată la internetul public, de la socket la socket.

Clasificarea VPN după arhitectura soluției tehnice

Divizat in:

• VPN-uri intracorporate - necesare pentru a implementa lucrul securizat între departamentele din cadrul companiei
• VPN cu acces de la distanță - necesar pentru implementarea accesului de la distanță securizat la resursele de informații corporative
• VPN-uri inter-corporate - necesare între părți separate ale unei afaceri care sunt separate geografic

Clasificarea VPN după metoda de implementare tehnică

Divizat in:

• VPN bazat pe router - sarcinile de protecție cad pe dispozitivul router
• VPN bazat pe firewall - sarcinile de protecție cad pe dispozitivul firewall
• VPN bazat pe soluții software - este folosit software care câștigă în flexibilitate și personalizare, dar pierde în debit
• VPN bazată pe dispozitive hardware speciale - dispozitivele în care criptarea este implementată de cipuri speciale separate oferă performanțe ridicate pentru mulți bani