KẾT THÚC của thế kỷ 20 được đánh dấu bằng sự lan rộng như tuyết lở của Internet: tốc độ truy cập tăng theo cấp số nhân, ngày càng có nhiều lãnh thổ mới được phủ sóng và có thể thiết lập kết nối nhanh qua mạng giữa hầu hết hai điểm bất kỳ trong thế kỷ 20. thế giới. Nhưng việc truyền thông tin không an toàn; kẻ tấn công có thể chặn, đánh cắp hoặc thay đổi thông tin đó. Vào thời điểm này, ý tưởng tổ chức một kênh đáng tin cậy sử dụng thông tin liên lạc có sẵn công khai để liên lạc nhưng sẽ bảo vệ dữ liệu được truyền thông qua việc sử dụng các phương pháp mã hóa, bắt đầu trở nên phổ biến. Chi phí tổ chức một kênh như vậy thấp hơn nhiều lần so với chi phí thiết lập và duy trì một kênh vật lý chuyên dụng. Do đó, việc tổ chức một kênh liên lạc an toàn đã trở nên có sẵn cho các doanh nghiệp vừa và nhỏ và thậm chí cả các cá nhân.

Hệ thống ViPNet

Hệ thống ViPNet cung cấp khả năng bảo vệ minh bạch các luồng thông tin của mọi ứng dụng và mọi giao thức IP cho cả máy trạm riêng lẻ, máy chủ tệp, máy chủ ứng dụng, bộ định tuyến, máy chủ truy cập từ xa, v.v. và các phân đoạn của mạng IP. Đồng thời, nó có chức năng như một tường lửa cá nhân cho mỗi máy tính và một tường lửa cho các phân đoạn mạng IP.

Cấu trúc khóa có tính chất kết hợp, có cả sơ đồ phân phối khóa đối xứng, cho phép hệ thống quản lý tập trung cứng nhắc và hệ thống phân phối khóa mở và được sử dụng làm môi trường đáng tin cậy cho hoạt động PKI. Các chương trình ứng dụng của hệ thống ViPNet còn cung cấp thêm các dịch vụ thời gian thực an toàn cho tin nhắn quảng bá, hội nghị và đàm phán; đối với các dịch vụ đảm bảo chuyển phát thư từ qua đường bưu điện với thủ tục chữ ký điện tử và kiểm soát quyền truy cập vào tài liệu; cho các dịch vụ xử lý tự động để gửi tập tin tự động. Ngoài ra, các chức năng mã hóa được thiết kế riêng biệt của hạt nhân (ký và mã hóa) cũng như hỗ trợ triển khai cho MS Crypto API, nếu cần, có thể được tích hợp trực tiếp vào các hệ thống ứng dụng khác nhau (ví dụ: hệ thống quản lý tài liệu điện tử).

Phần mềm hệ thống ViPNet hoạt động trong môi trường điều hành Windows và Linux.

ViPNet TÙY CHỈNH

Mỗi thành phần ViPNet CUSTOM chứa tường lửa tích hợp và hệ thống giám sát hoạt động mạng ứng dụng, cho phép bạn có được hệ thống tường lửa và tường lửa cá nhân được phân phối đáng tin cậy.

Để giải quyết các xung đột có thể xảy ra về địa chỉ IP trong các mạng cục bộ được bao gồm trong một mạng an toàn duy nhất, ViPNet CUSTOM cung cấp một hệ thống địa chỉ ảo được phát triển. Trong nhiều trường hợp, điều này giúp đơn giản hóa cấu hình phần mềm ứng dụng của người dùng, vì mạng ảo lớp phủ với các địa chỉ ảo của nó sẽ ẩn cấu trúc phức tạp thực sự của mạng. ViPNet CUSTOM hỗ trợ khả năng liên mạng, cho phép bạn thiết lập các kênh liên lạc an toàn cần thiết giữa số lượng mạng bảo mật tùy ý được xây dựng bằng ViPNet CUSTOM. Ngoài ra, hệ thống còn đảm bảo bảo vệ thông tin trong các mạng truyền thông đa dịch vụ hiện đại cung cấp dịch vụ điện thoại IP và dịch vụ hội nghị âm thanh, video. Ưu tiên lưu lượng truy cập và giao thức H.323, Skinny được hỗ trợ.

Bảo vệ các kênh liên lạc

Bảo vệ thông tin trong các kênh truyền thông là vấn đề quan trọng nhất trong việc tổ chức an ninh trong doanh nghiệp. Ngày nay, nhiều phương pháp được sử dụng để bảo vệ thành công thông tin được truyền qua các kênh liên lạc trong nội bộ một công ty hoặc ra thế giới bên ngoài.

Bảo vệ các kênh liên lạc và các phương pháp chính của nó

Việc bảo vệ thông tin liên lạc và thông tin được thực hiện bằng hai phương pháp. Đây là phương pháp bảo vệ dựa trên việc hạn chế vật lý quyền truy cập trực tiếp vào kênh liên lạc, cũng như chuyển đổi tín hiệu (mã hóa), không cho phép kẻ tấn công đọc thông tin được truyền đi mà không có khóa đặc biệt.

Trong phương pháp đầu tiên, việc bảo vệ kênh liên lạc được tổ chức bằng cách hạn chế quyền truy cập vào thiết bị truyền thông tin. Được sử dụng chủ yếu ở các công ty lớn và các cơ quan chính phủ. Phương pháp này chỉ hoạt động nếu thông tin không đến được thế giới bên ngoài.

Trong mọi trường hợp khác, thông tin trong các kênh liên lạc được bảo vệ thông qua mã hóa dữ liệu. Mã hóa thông tin được truyền đi, nếu chúng ta nói về mạng máy tính cổ điển, có thể được thực hiện ở nhiều cấp độ khác nhau của mô hình mạng OSI. Thông thường, việc chuyển đổi dữ liệu xảy ra ở cấp độ mạng hoặc ứng dụng.

Trong trường hợp đầu tiên, việc mã hóa dữ liệu được thực hiện trực tiếp trên thiết bị là người gửi thông tin và việc giải mã được thực hiện trên người nhận. Tùy chọn này sẽ bảo vệ dữ liệu được truyền một cách hiệu quả nhất nhưng việc triển khai nó yêu cầu phần mềm của bên thứ ba hoạt động ở cấp ứng dụng.

Trong trường hợp thứ hai, mã hóa được thực hiện trực tiếp tại các nút của kênh liên lạc trong mạng cục bộ hoặc toàn cầu. Phương pháp bảo vệ thông tin liên lạc này kém hiệu quả hơn phương pháp đầu tiên và để có mức độ bảo vệ thông tin phù hợp, nó đòi hỏi phải thực hiện các thuật toán mã hóa đáng tin cậy.

Việc bảo vệ thông tin trong các kênh liên lạc cũng được tổ chức khi xây dựng các kênh ảo VPN. Công nghệ này cho phép bạn tổ chức kết nối an toàn với mã hóa được chỉ định qua kênh ảo đặc biệt. Công nghệ này đảm bảo tính toàn vẹn và bảo mật của thông tin được truyền qua kênh liên lạc.

Thiết bị bảo vệ kênh truyền thông

Những thiết bị như vậy bao gồm:

• tất cả các loại giảm thanh,
• bộ ức chế truyền thông,
• thuốc chống vi trùng,
• máy dò,

nhờ đó bạn có thể kiểm soát trạng thái không khí bên trong hoặc bên ngoài doanh nghiệp. Đây là một trong những phương pháp hiệu quả để bảo vệ thông tin liên lạc ở giai đoạn đầu nhằm vô hiệu hóa việc truy cập trái phép vào nguồn thông tin.

Giao thức Kerberos

Các giao thức xác thực:

3. Xác thực khóa công khai

Mô tả của DSA

p = số nguyên tố có độ dài L bit, trong đó L là bội số của 64, nằm trong khoảng từ 512 đến 1024.

q= số nguyên tố 160-bit - số nhân p-1

g = , trong đó h là số bất kỳ nhỏ hơn p-1 mà nhiều hơn 1

x = số nhỏ hơn q

Hàm băm một chiều được sử dụng: H(m).

Ba tham số đầu tiên p, q, g là mở và có thể được chia sẻ giữa những người dùng mạng. Khóa riêng là x và khóa chung là y. Để ký tin nhắn, m:

1. A tạo số ngẫu nhiên k, nhỏ hơn q

2. A tạo ra

Chữ ký của anh ấy là tham số r và s, anh ấy gửi cho B

3. B xác minh chữ ký bằng cách tính toán

Nếu v=r thì chữ ký là đúng.

Bản tóm tắt

Hệ thống tiêu chuẩn IPSec kết hợp các kỹ thuật và thành tựu tiến bộ trong lĩnh vực an ninh mạng. Hệ thống IPSec chắc chắn chiếm vị trí hàng đầu trong bộ tiêu chuẩn tạo VPN. Điều này được hỗ trợ bởi cấu trúc mở của nó, có khả năng kết hợp tất cả những tiến bộ mới trong lĩnh vực mật mã. IPsec cho phép bạn bảo vệ mạng của mình khỏi hầu hết các cuộc tấn công mạng bằng cách “thả” các gói tin lạ trước khi chúng đến được lớp IP trên máy tính nhận. Chỉ các gói từ các đối tác liên lạc đã đăng ký mới có thể vào máy tính hoặc mạng được bảo vệ.

IPsec cung cấp:

• xác thực - bằng chứng gửi gói bởi đối tác tương tác của bạn, nghĩa là chủ sở hữu của bí mật chung;
• tính toàn vẹn - không thể thay đổi dữ liệu trong gói;
• bảo mật - không thể tiết lộ dữ liệu được truyền;
• quản lý khóa mạnh - giao thức IKE tính toán bí mật chung mà chỉ người nhận và người gửi gói mới biết;
• đường hầm - che giấu hoàn toàn cấu trúc liên kết mạng cục bộ của doanh nghiệp

Hoạt động trong khuôn khổ tiêu chuẩn IPSec đảm bảo bảo vệ hoàn toàn luồng thông tin dữ liệu từ người gửi đến người nhận, đóng lưu lượng truy cập đối với người quan sát tại các nút mạng trung gian. Các giải pháp VPN dựa trên ngăn xếp giao thức IPSec đảm bảo việc xây dựng các mạng an toàn ảo, hoạt động an toàn và tích hợp với các hệ thống truyền thông mở.

Bảo vệ cấp độ ứng dụng

Giao thức SSL

Giao thức SSL (Lớp cổng bảo mật), được phát triển bởi Netscape Communications với sự tham gia của RSA Data Security, được thiết kế để thực hiện trao đổi thông tin an toàn trong các ứng dụng máy khách/máy chủ. Trong thực tế, SSL chỉ được triển khai rộng rãi cùng với giao thức lớp ứng dụng HHTP.

Các tính năng bảo mật được cung cấp bởi giao thức SSL:

• mã hóa dữ liệu để ngăn chặn việc tiết lộ dữ liệu nhạy cảm trong quá trình truyền tải;
• ký dữ liệu để ngăn chặn việc tiết lộ dữ liệu nhạy cảm trong quá trình truyền tải;
• xác thực máy khách và máy chủ.

Giao thức SSL sử dụng các phương thức bảo mật thông tin mật mã để đảm bảo tính bảo mật khi trao đổi thông tin. Giao thức này thực hiện xác thực lẫn nhau và đảm bảo tính bảo mật và tính xác thực của dữ liệu được truyền. Cốt lõi của giao thức SSL là công nghệ sử dụng tích hợp các hệ thống mật mã đối xứng và bất đối xứng. Việc xác thực lẫn nhau của các bên được thực hiện bằng cách trao đổi chứng chỉ kỹ thuật số của khóa công khai của máy khách và máy chủ, được chứng nhận bằng chữ ký số của các trung tâm chứng nhận đặc biệt. Tính bảo mật được đảm bảo bằng cách mã hóa dữ liệu được truyền bằng khóa phiên đối xứng mà các bên trao đổi khi thiết lập kết nối. Tính xác thực và toàn vẹn của thông tin được đảm bảo thông qua việc hình thành và xác minh chữ ký số. Thuật toán RSA và thuật toán Diffie-Hellman được sử dụng làm thuật toán mã hóa bất đối xứng.

Hình 9 Các đường hầm được bảo vệ bằng tiền điện tử được hình thành dựa trên giao thức SSL

Theo giao thức SSL, các đường hầm bảo mật bằng mật mã được tạo giữa các điểm cuối mạng ảo. Máy khách và máy chủ hoạt động trên các máy tính ở điểm cuối của đường hầm (Hình 9)

Giao thức hội thoại SSL có hai giai đoạn chính trong việc hình thành và duy trì kết nối an toàn:

• thiết lập phiên SSL;
• tương tác an toàn.

Giai đoạn đầu tiên được thực hiện trước khi bảo vệ thực sự việc trao đổi thông tin và được thực hiện bằng giao thức chào hỏi ban đầu (Giao thức bắt tay), là một phần của giao thức SSL. Khi kết nối lại được thiết lập, có thể tạo khóa phiên mới dựa trên bí mật chung cũ.

Trong quá trình thiết lập phiên SSL, các tác vụ sau sẽ được giải quyết:

• xác thực của các bên;
• phối hợp các thuật toán mật mã và thuật toán nén sẽ được sử dụng để trao đổi thông tin an toàn;
• tạo khóa chính bí mật dùng chung;
• tạo các khóa phiên bí mật dùng chung để bảo vệ bằng mật mã trao đổi thông tin dựa trên khóa chính được tạo.

Hình 10 Quá trình xác thực client theo máy chủ

Giao thức SSL cung cấp hai loại xác thực:

• xác thực máy chủ bởi khách hàng;
• xác thực ứng dụng khách bằng máy chủ.

Phần mềm máy khách/máy chủ hỗ trợ SSL có thể sử dụng các kỹ thuật mã hóa khóa công khai tiêu chuẩn để xác minh rằng chứng chỉ máy chủ/máy khách và khóa chung là hợp lệ và được cấp bởi cơ quan cấp chứng chỉ đáng tin cậy. Một ví dụ về quá trình xác thực ứng dụng khách của máy chủ được trình bày trong Hình 10.

Sơ đồ ứng dụng giao thức

Trước khi truyền tin nhắn qua liên kết dữ liệu, tin nhắn sẽ trải qua các bước xử lý sau:

1. Tin nhắn được chia thành các khối phù hợp để xử lý;

2.Data được nén (tùy chọn);

3. Khóa MAC được tạo;

4. Dữ liệu được mã hóa bằng khóa;

1.Sử dụng khóa, dữ liệu được giải mã;

2. Khóa MAC được kiểm tra;

3. Quá trình giải nén dữ liệu xảy ra (nếu sử dụng tính năng nén);

4. Tin nhắn được ghép từ các khối và người nhận đọc tin nhắn.

Phân phối khóa xác thực

MỘT, Khách hàng	CA Trung tâm xác minh	B, Máy chủ
Tạo cặp khóa chữ ký số: . Chuyển đến CA	- sơ đồ mã hóa đối xứng; - sơ đồ mã hóa mở; - Mạch CPU; - bất kỳ chức năng nào (tốt nhất là ONF)	Tạo cặp khóa cho sơ đồ mã hóa mở: . Chuyển đến CA
K- khóa phiên ngẫu nhiên.
		Nếu như , Cái đó Kđược chấp nhận như một khóa bí mật được chia sẻ đích thực

Giai đoạn làm việc

MỘT		B
	Sơ đồ mã hóa đối xứng
. . .	vân vân.	. . .

Tấn công vào giao thức SSL

Giống như các giao thức khác, SSL dễ bị tấn công liên quan đến môi trường phần mềm không đáng tin cậy, việc giới thiệu các chương trình đánh dấu trang, v.v.:

• Tấn công đáp trả. Nó bao gồm việc kẻ tấn công ghi lại phiên giao tiếp thành công giữa máy khách và máy chủ. Sau đó, nó thiết lập kết nối với máy chủ bằng cách sử dụng các tin nhắn được ghi lại của máy khách. Nhưng bằng cách sử dụng mã định danh kết nối duy nhất, "nonce", SSL sẽ đánh bại cuộc tấn công này. Mã của các số nhận dạng này dài 128 bit, vì vậy kẻ tấn công cần viết ra 2^64 số nhận dạng để có 50% cơ hội đoán. Số lượng hồ sơ cần thiết và khả năng đoán thấp khiến cuộc tấn công này trở nên vô nghĩa.
• Tấn công giao thức bắt tay. Kẻ tấn công có thể cố gắng tác động đến quá trình bắt tay để các bên chọn các thuật toán mã hóa khác nhau. Bởi vì nhiều triển khai hỗ trợ mã hóa xuất và một số thậm chí còn hỗ trợ thuật toán MAC hoặc mã hóa 0, nên các cuộc tấn công này rất được quan tâm. Để thực hiện một cuộc tấn công như vậy, kẻ tấn công cần giả mạo một hoặc nhiều tin nhắn bắt tay. Nếu điều này xảy ra, máy khách và máy chủ sẽ tính toán các giá trị băm khác nhau cho thông báo bắt tay. Kết quả là các bên sẽ không chấp nhận những tin nhắn “đã hoàn thành” của nhau. Nếu không biết bí mật, kẻ tấn công sẽ không thể sửa được thông báo “đã hoàn thành”, do đó cuộc tấn công có thể bị phát hiện.
• Giải mật mã. SSL phụ thuộc vào một số công nghệ mật mã. Mã hóa khóa công khai RSA được sử dụng để chuyển tiếp khóa phiên và xác thực máy khách/máy chủ. Các thuật toán mã hóa khác nhau được sử dụng làm mật mã phiên. Nếu các thuật toán này bị tấn công thành công, SSL không còn được coi là an toàn nữa. Các cuộc tấn công chống lại các phiên giao tiếp nhất định có thể được thực hiện bằng cách ghi lại phiên và sau đó cố gắng đoán khóa phiên hoặc khóa RSA. Nếu thành công, cơ hội đọc thông tin được truyền đi sẽ mở ra.
• Kẻ tấn công ở giữa. Cuộc tấn công Man-in-the-Middle có sự tham gia của ba bên: máy khách, máy chủ và kẻ tấn công. Kẻ tấn công ở giữa chúng có thể chặn việc trao đổi tin nhắn giữa máy khách và máy chủ. Cuộc tấn công chỉ hiệu quả nếu thuật toán Diffie-Halman được sử dụng để trao đổi khóa, vì tính toàn vẹn của thông tin nhận được và nguồn của nó không thể được xác minh. Trong trường hợp SSL, cuộc tấn công như vậy là không thể do máy chủ sử dụng chứng chỉ được cơ quan cấp chứng chỉ chứng nhận.

Giao thức TLS

Mục đích sáng tạo và lợi thế

Mục đích của việc tạo TLS là tăng tính bảo mật của SSL và xác định chính xác và đầy đủ hơn giao thức:

• Thuật toán MAC đáng tin cậy hơn
• Cảnh báo chi tiết hơn
• Định nghĩa rõ ràng hơn về thông số kỹ thuật vùng xám

TLS cung cấp các cải tiến bảo mật sau:

• Khóa băm để xác thực thư - TLS sử dụng hàm băm trong Mã xác thực thư (HMAC) để ngăn bản ghi bị sửa đổi khi truyền qua mạng không bảo mật, chẳng hạn như Internet. SSL phiên bản 3.0 cũng hỗ trợ xác thực tin nhắn bằng khóa, nhưng HMAC được coi là an toàn hơn tính năng MAC được sử dụng trong SSL phiên bản 3.0.
• Chức năng giả ngẫu nhiên được cải thiện (PRF) PRF được sử dụng để tạo dữ liệu chính. Trong TLS, PRF được xác định bằng HMAC. PRF sử dụng hai thuật toán băm để đảm bảo tính bảo mật của nó. Nếu một trong các thuật toán bị hack, dữ liệu sẽ được bảo vệ bằng thuật toán thứ hai.
• Cải thiện xác minh thông báo "Sẵn sàng" - TLS phiên bản 1.0 và SSL phiên bản 3.0 gửi thông báo "Sẵn sàng" tới cả hai hệ thống cuối, cho biết rằng thông báo đã gửi chưa bị sửa đổi. Tuy nhiên, trong TLS, việc kiểm tra này dựa trên các giá trị PRF và HMAC, cung cấp mức bảo mật cao hơn SSL phiên bản 3.0.
• Xử lý chứng chỉ nhất quán - Không giống như SSL phiên bản 3.0, TLS cố gắng chỉ định loại chứng chỉ có thể được sử dụng bởi các triển khai TLS khác nhau.
• Thông báo cảnh báo cụ thể - TLS cung cấp cảnh báo chính xác và đầy đủ hơn về các sự cố được phát hiện bởi một trong các hệ thống cuối. TLS cũng chứa thông tin về thời điểm gửi thông báo cảnh báo.

Giao thức SSH

Giao thức SSH (Secure Shell) là một tập hợp các giao thức xác thực khóa chung cho phép người dùng phía máy khách đăng nhập an toàn vào máy chủ từ xa.

Ý tưởng chính của giao thức là người dùng ở phía máy khách phải tải xuống khóa chung từ máy chủ từ xa và thiết lập một kênh bảo mật với nó bằng cách sử dụng ủy quyền mật mã. Thông tin xác thực mật mã của người dùng chính là mật khẩu của anh ta: mật khẩu này có thể được mã hóa bằng khóa chung thu được và truyền đến máy chủ.

Tất cả tin nhắn đều được mã hóa bằng IDEA.

Kiến trúc giao thức SSH

SSH được thực hiện giữa hai máy tính không tin cậy chạy trên mạng không bảo mật (máy khách - máy chủ).

Bộ giao thức SSH bao gồm ba thành phần:

• Giao thức lớp vận chuyển SSH cung cấp xác thực máy chủ. Một khóa công khai được sử dụng cho việc này. Thông tin ban đầu cho giao thức này, cả ở phía máy chủ và phía máy khách, là một cặp khóa chung - “khóa máy tính đầu”. Kết quả của giao thức là một kênh bảo mật được xác thực lẫn nhau để đảm bảo tính bí mật và toàn vẹn của dữ liệu.

• Giao thức xác thực người dùng SSH. Được thực hiện qua kênh xác thực một chiều được thiết lập bởi giao thức lớp vận chuyển SSH. Để thực hiện xác thực từ máy khách đến máy chủ, nhiều giao thức xác thực một chiều khác nhau được hỗ trợ. Các giao thức này có thể sử dụng khóa chung hoặc mật khẩu. Ví dụ: chúng có thể được tạo dựa trên giao thức xác thực mật khẩu đơn giản. Kết quả của giao thức là một kênh bảo mật được xác thực lẫn nhau giữa máy chủ và người dùng. Các phương pháp sau đây được sử dụng:

khóa công khai- máy khách được gửi chữ ký điện tử, máy chủ xác minh độ tin cậy đối với khóa chung của máy khách bằng cách sử dụng bản sao của khóa có sẵn trên máy chủ, sau đó xác minh tính xác thực của máy khách bằng Sc.

mật khẩu- khách hàng xác nhận tính xác thực của mình bằng mật khẩu.

dựa trên máy chủ- tương tự như khóa công khai nhưng sử dụng cặp khóa cho máy khách; Bằng cách xác nhận tính xác thực của máy chủ, máy chủ tin cậy tên người dùng.

• Giao thức kết nối SSH chạy trên kênh bảo mật được xác thực lẫn nhau được thiết lập bởi các giao thức trước đó. Giao thức đảm bảo hoạt động của một kênh an toàn trong khi chia nó thành nhiều kênh logic an toàn.

Giao thức phân phối khóa

Giao thức bao gồm 3 giai đoạn. Giai đoạn đầu tiên là giai đoạn "Xin chào", trong đó mã định danh đầu tiên là chuỗi I, được gửi để bắt đầu giao thức, theo sau là danh sách các thuật toán được hỗ trợ, X.

Ở giai đoạn 2, các bên đồng ý về khóa bí mật, s. Để làm điều này, thuật toán Diffie-Hellman được sử dụng. Máy chủ xác nhận danh tính của nó bằng cách gửi cho khách hàng khóa công khai của nó, được xác minh bằng chữ ký số, và chữ ký tóm tắt, h. Sid định danh được đặt thành h.

Ở giai đoạn 3, khóa bí mật, ID phiên và thông báo được sử dụng để tạo 6 "khóa ứng dụng" được tính bằng .

Bản tóm tắt

Ưu điểm của giao thức bao gồm:

• khả năng hoạt động trên cơ sở từ đầu đến cuối với việc triển khai các ngăn xếp TCP/IP và các giao diện lập trình ứng dụng hiện có;
• tăng hiệu quả so với các kênh chậm;
• không có bất kỳ vấn đề nào về phân mảnh, xác định khối lượng khối tối đa được truyền dọc theo một tuyến đường nhất định;
• sự kết hợp giữa nén và mã hóa.

CÔNG TY CỔ PHẦN "ĐẠI HỌC VOLGA ĐẶT THEO THEO V.N. TATISHCHEV"

KHOA THÔNG TIN VÀ VIỄN THÔNG

Khoa Tin học và Hệ thống điều khiển

KHÓA HỌC

trong môn học: “Phương pháp và phương tiện bảo vệ thông tin máy tính”

chủ thể: " Bảo vệ các kênh liên lạc»

Học sinh nhóm IS-506

Utyatnikov A.A.

Giáo viên:

MV Samokhvalova

Tolyatti 2007

Giới thiệu

Bảo vệ thông tin trên các kênh liên lạc và tạo lập hệ thống viễn thông an toàn

Truy cập từ xa vào các nguồn thông tin. Bảo vệ thông tin truyền qua các kênh liên lạc

1 Giải pháp dựa trên các cổng tiền điện tử được chứng nhận

2 Giải pháp dựa trên giao thức IPSec

Công nghệ bảo mật thông tin trong hệ thống thông tin và viễn thông (ITS)

Phần kết luận

Giới thiệu

Bảo vệ (an ninh) thông tin là một bộ phận không thể thiếu trong vấn đề chung về an toàn thông tin, vai trò, tầm quan trọng của nó trong mọi lĩnh vực đời sống, hoạt động của xã hội và nhà nước ngày càng gia tăng trong giai đoạn hiện nay.

Sản xuất và quản lý, quốc phòng và truyền thông, giao thông và năng lượng, ngân hàng, tài chính, khoa học và giáo dục và các phương tiện truyền thông ngày càng phụ thuộc vào cường độ trao đổi thông tin, tính đầy đủ, kịp thời, độ tin cậy và bảo mật của thông tin.

Trong vấn đề này, vấn đề an toàn thông tin đã trở thành chủ đề được người đứng đầu các cơ quan chính phủ, doanh nghiệp, tổ chức, cơ quan quan tâm sâu sắc, bất kể hình thức tổ chức, pháp lý và hình thức sở hữu của họ.

Sự phát triển nhanh chóng của công nghệ máy tính đã mở ra những cơ hội chưa từng có cho nhân loại để tự động hóa công việc trí óc và dẫn đến việc tạo ra một số lượng lớn các loại hệ thống thông tin, viễn thông và điều khiển tự động, đồng thời dẫn đến sự xuất hiện của cái gọi là thông tin mới về cơ bản. công nghệ.

Khi phát triển các phương pháp tiếp cận để giải quyết vấn đề bảo mật máy tính và thông tin, người ta phải luôn xuất phát từ thực tế là việc bảo vệ thông tin và hệ thống máy tính tự nó không phải là mục đích cuối cùng. Mục tiêu cuối cùng của việc tạo ra một hệ thống bảo mật máy tính là bảo vệ tất cả các đối tượng tham gia trực tiếp hoặc gián tiếp vào quá trình tương tác thông tin khỏi gây ra cho họ những thiệt hại đáng kể về vật chất, tinh thần hoặc các thiệt hại khác do các tác động vô tình hoặc cố ý lên thông tin và hệ thống để xử lý và quá trình lây truyền.

1. Bảo vệ thông tin trên các kênh liên lạc và tạo an toàn

hệ thống viễn thông

Trong bối cảnh quá trình tích hợp ngày càng tăng và việc tạo ra một không gian thông tin duy nhất trong nhiều tổ chức, LANIT đề xuất thực hiện công việc tạo ra cơ sở hạ tầng viễn thông an toàn kết nối các văn phòng từ xa của các công ty thành một tổng thể duy nhất, cũng như đảm bảo mức độ bảo mật cao của các luồng thông tin giữa chúng.

Công nghệ được sử dụng cho mạng riêng ảo giúp có thể hợp nhất các mạng phân tán theo địa lý bằng cách sử dụng cả các kênh chuyên dụng an toàn và các kênh ảo đi qua mạng công cộng toàn cầu. Một cách tiếp cận nhất quán và có hệ thống để xây dựng mạng an toàn không chỉ bao gồm việc bảo vệ các kênh liên lạc bên ngoài mà còn bảo vệ hiệu quả các mạng nội bộ bằng cách cách ly các mạch VPN nội bộ khép kín. Do đó, việc sử dụng công nghệ VPN cho phép tổ chức truy cập Internet an toàn cho người dùng, bảo vệ nền tảng máy chủ và giải quyết vấn đề phân đoạn mạng theo cơ cấu tổ chức.

Bảo vệ thông tin trong quá trình truyền giữa các mạng con ảo được triển khai bằng thuật toán khóa bất đối xứng và chữ ký điện tử để bảo vệ thông tin khỏi bị giả mạo. Trên thực tế, dữ liệu được truyền xen kẽ được mã hóa ở đầu ra của một mạng và được giải mã ở đầu vào của mạng khác, trong khi thuật toán quản lý khóa đảm bảo phân phối an toàn giữa các thiết bị đầu cuối. Tất cả các thao tác dữ liệu đều minh bạch đối với các ứng dụng chạy trên mạng.

2. Truy cập từ xa vào các nguồn thông tin. Sự bảo vệ

thông tin được truyền qua các kênh truyền thông

Khi kết nối giữa các đối tượng của công ty ở xa về mặt địa lý, nhiệm vụ đặt ra là đảm bảo an ninh trao đổi thông tin giữa máy khách và máy chủ của các dịch vụ mạng khác nhau. Các vấn đề tương tự xảy ra trong mạng cục bộ không dây (WLAN), cũng như khi các thuê bao từ xa truy cập vào tài nguyên của hệ thống thông tin công ty. Mối đe dọa chính ở đây được coi là kết nối trái phép với các kênh liên lạc và chặn (nghe) thông tin và sửa đổi (thay thế) dữ liệu được truyền qua các kênh (thư, tệp, v.v.).

Để bảo vệ dữ liệu được truyền qua các kênh liên lạc này, cần sử dụng các công cụ bảo vệ mật mã thích hợp. Việc chuyển đổi mật mã có thể được thực hiện cả ở cấp độ ứng dụng (hoặc ở cấp độ giữa các giao thức ứng dụng và giao thức TCP/IP) và ở cấp độ mạng (chuyển đổi các gói IP).

Trong tùy chọn đầu tiên, việc mã hóa thông tin nhằm mục đích vận chuyển qua kênh liên lạc qua lãnh thổ không được kiểm soát phải được thực hiện tại nút gửi (máy trạm - máy khách hoặc máy chủ) và giải mã - tại nút người nhận. Tùy chọn này liên quan đến việc thực hiện các thay đổi đáng kể đối với cấu hình của từng bên tương tác (kết nối các phương tiện bảo vệ bằng mật mã với các chương trình ứng dụng hoặc phần giao tiếp của hệ điều hành), theo quy định, yêu cầu chi phí lớn và cài đặt các phương tiện bảo vệ thích hợp trên mỗi nút của mạng cục bộ. Các giải pháp cho tùy chọn này bao gồm các giao thức SSL, S-HTTP, S/MIME, PGP/MIME, cung cấp mã hóa và chữ ký số của email và tin nhắn được truyền bằng giao thức http.

Tùy chọn thứ hai liên quan đến việc cài đặt các công cụ đặc biệt thực hiện chuyển đổi mật mã tại các điểm kết nối mạng cục bộ và thuê bao từ xa với các kênh liên lạc (mạng công cộng) đi qua lãnh thổ không được kiểm soát. Khi giải quyết vấn đề này, cần phải đảm bảo mức độ bảo vệ dữ liệu mật mã cần thiết và độ trễ bổ sung tối thiểu có thể có trong quá trình truyền dữ liệu, vì các công cụ này tạo đường hầm cho lưu lượng được truyền (thêm tiêu đề IP mới vào gói được tạo đường hầm) và sử dụng thuật toán mã hóa của sức mạnh khác nhau. Do thực tế là các công cụ cung cấp chuyển đổi mật mã ở cấp độ mạng hoàn toàn tương thích với mọi hệ thống con ứng dụng đang chạy trong hệ thống thông tin của công ty (chúng “minh bạch” đối với các ứng dụng) nên chúng thường được sử dụng nhiều nhất. Do đó, trong tương lai chúng ta sẽ tập trung vào các phương tiện bảo vệ thông tin được truyền qua các kênh liên lạc này (bao gồm cả qua các mạng công cộng, chẳng hạn như Internet). Cần phải tính đến rằng nếu các phương tiện bảo vệ thông tin mật mã được lên kế hoạch sử dụng trong các cơ quan chính phủ thì vấn đề lựa chọn chúng phải được quyết định theo hướng có lợi cho các sản phẩm được chứng nhận ở Nga.

.1 Giải pháp dựa trên các cổng tiền điện tử được chứng nhận

Để triển khai tùy chọn thứ hai và đảm bảo tính bảo mật và độ tin cậy của thông tin được truyền giữa các cơ sở của công ty thông qua các kênh liên lạc, bạn có thể sử dụng các cổng mật mã được chứng nhận (cổng VPN). Ví dụ: Continent-K, VIPNet TUNNEL, ZASTAVA-Office của các công ty NIP Informzaschita, Infotex, Elvis+. Các thiết bị này cung cấp mã hóa dữ liệu được truyền (gói IP) theo GOST 28147-89, đồng thời ẩn cấu trúc của mạng cục bộ, bảo vệ khỏi sự xâm nhập từ bên ngoài, lưu lượng tuyến đường và có chứng chỉ từ Ủy ban Kỹ thuật Nhà nước Liên bang Nga và FSB (FAPSI).

Cổng tiền điện tử cho phép người đăng ký từ xa truy cập an toàn vào tài nguyên của hệ thống thông tin công ty (Hình 1). Quyền truy cập được thực hiện bằng phần mềm đặc biệt được cài đặt trên máy tính của người dùng (máy khách VPN) để đảm bảo tương tác an toàn giữa người dùng từ xa và người dùng di động với cổng tiền điện tử. Phần mềm cổng mật mã (máy chủ truy cập) xác định và xác thực người dùng cũng như liên lạc với các tài nguyên của mạng được bảo vệ.

Hình 1. - “Truy cập từ xa qua kênh bảo mật với

sử dụng cổng tiền điện tử"

Sử dụng cổng tiền điện tử, bạn có thể hình thành các kênh bảo mật ảo trong mạng công cộng (ví dụ: Internet), đảm bảo tính bảo mật và độ tin cậy của thông tin và tổ chức các mạng riêng ảo (Mạng riêng ảo - VPN), là một liên kết của các mạng cục bộ hoặc cá nhân các máy tính được kết nối với mạng công cộng sử dụng vào một mạng ảo an toàn duy nhất. Để quản lý mạng như vậy, người ta thường sử dụng phần mềm đặc biệt (trung tâm điều khiển), cung cấp khả năng quản lý tập trung các chính sách bảo mật cục bộ cho máy khách VPN và cổng mật mã, gửi thông tin chính và dữ liệu cấu hình mới cho chúng cũng như duy trì nhật ký hệ thống. Cổng tiền điện tử có thể được cung cấp dưới dạng giải pháp phần mềm hoặc hệ thống phần cứng-phần mềm. Thật không may, hầu hết các cổng tiền điện tử được chứng nhận đều không hỗ trợ giao thức IPSec và do đó, chúng không tương thích về mặt chức năng với các sản phẩm phần cứng và phần mềm của các nhà sản xuất khác.

.2 Giải pháp dựa trên IPSec

Giao thức IP Security (IPSec) là cơ sở để xây dựng các hệ thống bảo mật cấp độ mạng; nó là bộ tiêu chuẩn quốc tế mở và được hầu hết các nhà sản xuất giải pháp bảo vệ cơ sở hạ tầng mạng hỗ trợ. Giao thức IPSec cho phép bạn tổ chức các luồng dữ liệu xác thực và an toàn (gói IP) ở cấp độ mạng giữa các nguyên tắc tương tác khác nhau, bao gồm máy tính, tường lửa, bộ định tuyến và cung cấp:

· xác thực, mã hóa và tính toàn vẹn của dữ liệu được truyền (gói IP);

· Bảo vệ chống lại việc truyền lại các gói tin (tấn công phát lại);

· tạo, cập nhật tự động và phân phối an toàn các khóa mật mã;

· sử dụng nhiều thuật toán mã hóa (DES, 3DES, AES) và cơ chế giám sát tính toàn vẹn dữ liệu (MD5, SHA-1). Có các phần mềm triển khai giao thức IPSec sử dụng thuật toán mã hóa của Nga (GOST 28147-89), băm (GOST R 34.11-94), chữ ký số điện tử (GOST R 34.10-94);

· xác thực các đối tượng tương tác mạng dựa trên chứng chỉ số.

Bộ tiêu chuẩn IPSec hiện tại bao gồm các thông số kỹ thuật cốt lõi được xác định trong RFC (RFC 2401-2412, 2451). Yêu cầu Nhận xét (RFC) là một loạt tài liệu của Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF), bắt đầu từ năm 1969, chứa các mô tả về bộ giao thức Internet. Kiến trúc hệ thống được xác định trong RFC 2401 "Kiến trúc bảo mật cho giao thức Internet" và thông số kỹ thuật của các giao thức chính có trong các RFC sau:

· RFC 2402 “IP Authentication Header” - đặc điểm kỹ thuật của giao thức AH, đảm bảo tính toàn vẹn và xác thực nguồn của các gói IP được truyền đi;

· RFC 2406 “Tải trọng bảo mật đóng gói IP” - Đặc tả giao thức ESP đảm bảo tính bảo mật (mã hóa), tính toàn vẹn và xác thực nguồn của các gói IP được truyền đi;

· RFC 2408 “Hiệp hội bảo mật Internet và Giao thức quản lý khóa” - đặc tả của giao thức ISAKMP, đảm bảo đàm phán tham số, tạo, sửa đổi, phá hủy các kênh ảo an toàn (Hiệp hội bảo mật - SA) và quản lý các khóa cần thiết;

· RFC 2409 "Trao đổi khóa Internet" - một đặc tả của giao thức IKE (bao gồm ISAKMP), cung cấp khả năng đàm phán tham số, tạo, sửa đổi và hủy SA, đàm phán, tạo và phân phối tài liệu chính cần thiết để tạo SA.

Các giao thức AH và ESP có thể được sử dụng cùng nhau và riêng biệt. Giao thức IPSec sử dụng thuật toán mã hóa đối xứng và các khóa tương ứng để đảm bảo giao tiếp mạng an toàn. Cơ chế tạo và phân phối các khóa như vậy được cung cấp bởi giao thức IKE.

Kênh ảo an toàn (SA) là một khái niệm quan trọng trong công nghệ IPSec. SA là kết nối logic có hướng giữa hai hệ thống hỗ trợ giao thức IPSec, được xác định duy nhất bởi ba tham số sau:

· chỉ số kết nối an toàn (Chỉ số tham số bảo mật, SPI - hằng số 32-bit được sử dụng để xác định các SA khác nhau có cùng địa chỉ IP người nhận và giao thức bảo mật);

· Địa chỉ IP của người nhận gói IP (Địa chỉ đích IP);

· Giao thức bảo mật (Security Protocol - một trong các giao thức AH hoặc ESP).

Ví dụ: Hình 2 thể hiện giải pháp truy cập từ xa qua kênh bảo mật từ Hệ thống Cisco dựa trên giao thức IPSec. Phần mềm Cisco VPN Client đặc biệt được cài đặt trên máy tính của người dùng từ xa. Có nhiều phiên bản của phần mềm này dành cho nhiều hệ điều hành khác nhau - MS Windows, Linux, Solaris.

Hình 2. - “Truy cập từ xa qua kênh bảo mật với

sử dụng bộ tập trung VPN"

Máy khách VPN tương tác với Bộ tập trung Cisco VPN Series 3000 và tạo kết nối an toàn, được gọi là đường hầm IPSec, giữa máy tính của người dùng và mạng riêng phía sau bộ tập trung VPN. Bộ tập trung VPN là thiết bị chấm dứt đường hầm IPSec từ người dùng từ xa và quản lý quá trình thiết lập kết nối an toàn với máy khách VPN được cài đặt trên máy tính người dùng. Nhược điểm của giải pháp này bao gồm việc Cisco Systems thiếu hỗ trợ cho các thuật toán mã hóa, băm và chữ ký số điện tử của Nga.

3. Công nghệ an toàn thông tin trong công nghệ thông tin

hệ thống viễn thông (ITS)

viễn thông bảo vệ kênh thông tin liên lạc

Chỉ có thể hỗ trợ hiệu quả các quy trình hành chính công bằng cách sử dụng các công cụ và tài nguyên thông tin (IIR) nếu hệ thống có đặc tính “bảo mật”, được đảm bảo bằng việc triển khai hệ thống bảo mật thông tin toàn diện, bao gồm các thành phần bảo mật cơ bản - hệ thống kiểm soát truy cập cho các cơ sở ITS, một hệ thống giám sát video và an ninh thông tin.

Nền tảng của hệ thống bảo mật tích hợp là một hệ thống bảo mật thông tin, các điều khoản khái niệm nảy sinh từ các đặc điểm thiết kế của hệ thống và các hệ thống con cấu thành của nó cũng như khái niệm về hệ thống “được bảo vệ”, có thể được xây dựng như sau:

ITS an toàn là một hệ thống thông tin và viễn thông đảm bảo thực hiện ổn định chức năng mục tiêu trong khuôn khổ danh sách các mối đe dọa an ninh nhất định và mô hình hành động của kẻ xâm nhập.

Danh sách các mối đe dọa an ninh và mô hình hành động của người vi phạm được xác định bởi nhiều yếu tố, bao gồm quy trình vận hành của ITS, các hành động sai sót và trái phép có thể xảy ra của nhân viên dịch vụ và người dùng, lỗi và trục trặc của thiết bị, các hành động thụ động và chủ động. của những người vi phạm.

Khi xây dựng ITS, các cơ quan công quyền (GBO) nên xem xét ba loại mối đe dọa cơ bản đối với an ninh thông tin có thể dẫn đến sự gián đoạn chức năng mục tiêu chính của hệ thống - hỗ trợ hiệu quả các quy trình hành chính công:

· Lỗi và trục trặc trong phần cứng hệ thống, các tình huống khẩn cấp, v.v. (các sự kiện không có sự tham gia của con người);

· hành động sai trái và hành động trái phép vô ý của nhân viên dịch vụ và thuê bao hệ thống;

Các hành động trái phép của người vi phạm có thể liên quan đến các hành động thụ động (chặn thông tin trong kênh liên lạc, chặn thông tin trong các kênh rò rỉ kỹ thuật) và các hành động chủ động (chặn thông tin từ phương tiện lưu trữ với hành vi vi phạm rõ ràng các quy tắc truy cập tài nguyên thông tin, bóp méo thông tin trong kênh liên lạc, bóp méo, bao gồm cả việc phá hủy thông tin trên phương tiện lưu trữ, vi phạm rõ ràng các quy tắc tiếp cận nguồn thông tin, đưa thông tin sai lệch).

Người vi phạm cũng có thể thực hiện các hành động tích cực nhằm phân tích và khắc phục hệ thống bảo mật thông tin. Nên phân loại loại hành động này thành một nhóm riêng biệt, vì sau khi vượt qua hệ thống bảo mật, kẻ xâm nhập có thể thực hiện các hành động mà không vi phạm rõ ràng các quy tắc truy cập tài nguyên thông tin.

Trong các loại hành động trên, nên nêu bật các hành động khả thi nhằm đưa các thành phần phần cứng và phần mềm vào thiết bị ITS, chủ yếu được quyết định bởi việc sử dụng thiết bị, linh kiện và phần mềm của nước ngoài.

Dựa trên việc phân tích kiến ​​trúc ITS và các mối đe dọa, có thể hình thành kiến ​​trúc chung của hệ thống an toàn thông tin, bao gồm các hệ thống con chính sau:

· Hệ thống con quản lý hệ thống bảo mật thông tin;

· Hệ thống con bảo mật trong hệ thống con thông tin;

· Hệ thống con bảo mật trong hệ thống con viễn thông;

· Hệ thống con bảo mật cho tương tác mạng;

· hệ thống con để xác định và chống lại các hành động tích cực của những người vi phạm;

· một hệ thống con để xác định và chống lại các dấu trang phần cứng và phần mềm có thể có.

Cần lưu ý rằng ba hệ thống con cuối cùng nói chung là thành phần của hệ thống con thứ hai và thứ ba, nhưng có tính đến các đặc điểm được nêu ở trên, nên coi chúng là các hệ thống con riêng biệt.

Cơ sở của hệ thống bảo mật thông tin trong ITS và mỗi hệ thống con của nó là Chính sách bảo mật trong ITS và các hệ thống con của nó, các điều khoản chính trong đó là các yêu cầu đối với việc sử dụng các cơ chế và phương tiện cơ bản sau để đảm bảo an ninh thông tin:

· nhận dạng và xác thực thuê bao ITS, thiết bị ITS, thông tin đã xử lý;

· kiểm soát các luồng thông tin và vòng đời thông tin dựa trên nhãn bảo mật;

· Kiểm soát quyền truy cập vào các tài nguyên ITS dựa trên sự kết hợp giữa các chính sách và tường lửa tùy ý, bắt buộc và dựa trên vai trò;

· bảo vệ thông tin mật mã;

· phương tiện bảo vệ kỹ thuật;

· Các biện pháp về tổ chức và chế độ.

Danh sách các cơ chế bảo vệ nhất định được xác định bởi các mục tiêu của hệ thống an ninh thông tin trong ITS, trong đó chúng tôi sẽ nêu bật 5 cơ chế chính sau:

· kiểm soát truy cập vào tài nguyên thông tin ITS;

· đảm bảo tính bảo mật của thông tin được bảo vệ;

· giám sát tính toàn vẹn của thông tin được bảo vệ;

· không từ chối quyền truy cập vào tài nguyên thông tin;

· Sự sẵn sàng của nguồn thông tin.

Việc thực hiện các cơ chế và phương tiện bảo vệ được chỉ định dựa trên việc tích hợp các phương tiện bảo vệ phần cứng và phần mềm vào phần cứng và phần mềm của ITS và thông tin được xử lý.

Lưu ý rằng thuật ngữ “thông tin” trong ITS đề cập đến các loại thông tin sau:

· thông tin người dùng (thông tin cần thiết cho việc quản lý và ra quyết định);

· thông tin dịch vụ (thông tin cung cấp khả năng điều khiển thiết bị ITS);

· thông tin đặc biệt (thông tin đảm bảo việc quản lý và vận hành thiết bị bảo vệ);

· thông tin công nghệ (thông tin đảm bảo việc triển khai tất cả các công nghệ xử lý thông tin trong ITS).

Trong trường hợp này, tất cả các loại thông tin được liệt kê đều có thể được bảo vệ.

Điều quan trọng cần lưu ý là nếu không sử dụng các công cụ quản lý hệ thống bảo mật thông tin tự động thì không thể đảm bảo hệ thống bảo mật hoạt động ổn định trong hệ thống xử lý thông tin phân tán theo địa lý tương tác với cả hệ thống được bảo vệ và không được bảo vệ trong mạch ITS và xử lý thông tin có mức độ bảo mật khác nhau.

Mục tiêu chính của hệ thống con quản lý bảo mật thông tin là:

· tạo, phân phối và tính toán thông tin đặc biệt được sử dụng trong các hệ thống con bảo mật (thông tin khóa, thông tin mật khẩu, nhãn bảo mật, quyền truy cập vào tài nguyên thông tin, v.v.);

· cấu hình và quản lý các công cụ bảo mật thông tin;

· phối hợp các chính sách bảo mật trong các hệ thống tương tác, bao gồm thông tin đặc biệt;

· giám sát hệ thống an ninh;

· cập nhật Chính sách bảo mật trong ITS có tính đến các giai đoạn hoạt động khác nhau, đưa các công nghệ xử lý thông tin mới vào ITS.

Việc triển khai hệ thống con quản lý an ninh thông tin đòi hỏi phải tạo ra một trung tâm điều khiển duy nhất tương tác với các trung tâm kiểm soát an ninh cục bộ dành cho các hệ thống con thông tin và viễn thông của ITS, các trung tâm kiểm soát an ninh thông tin trong các mạng tương tác và các tác nhân an ninh thông tin tại các cơ sở hệ thống.

Kiến trúc của hệ thống quản lý an ninh thông tin phải gần giống với kiến ​​trúc của chính ITS và từ quan điểm triển khai nó, cần tuân thủ các nguyên tắc sau:

· Trung tâm kiểm soát an toàn thông tin và trung tâm điều khiển cục bộ phải được triển khai trên phần cứng, phần mềm chuyên dụng sử dụng phương tiện trong nước;

· Các tác nhân quản lý an ninh phải được tích hợp vào phần cứng và phần mềm của nơi làm việc trong hệ thống với khả năng kiểm soát độc lập của trung tâm và các trung tâm địa phương.

Hệ thống con bảo mật thông tin trong hệ thống con thông tin ITS là một trong những hệ thống con phức tạp nhất cả về cơ chế bảo vệ và việc triển khai chúng.

Độ phức tạp của hệ thống con này được xác định bởi thực tế là phần lớn quá trình xử lý thông tin được thực hiện trong hệ thống con này, trong khi các tài nguyên chính để truy cập thông tin của người đăng ký hệ thống tập trung ở đó - người đăng ký trực tiếp có quyền truy cập vào cả thông tin và chức năng xử lý của nó. Đó là lý do tại sao cơ sở của hệ thống con này là một hệ thống kiểm soát quyền truy cập thông tin và các chức năng xử lý thông tin.

Cơ chế cơ bản để thực hiện quyền truy cập thông tin được ủy quyền và các chức năng xử lý thông tin là cơ chế bảo vệ tài nguyên thông tin khỏi các hành động trái phép, các thành phần chính của nó là:

· phương tiện tổ chức và kỹ thuật để kiểm soát quyền truy cập vào các đối tượng, thông tin và chức năng của hệ thống để xử lý nó;

· Hệ thống đăng ký và kế toán vận hành hệ thống và thuê bao hệ thống;

· hệ thống con đảm bảo tính toàn vẹn;

· hệ thống con mật mã.

Cơ sở để thực hiện biện pháp bảo vệ đã lưu ý là việc xây dựng kiến ​​trúc thành phần thông tin của ITS - tạo ra các đối tượng riêng biệt về mặt logic và thông tin của thành phần thông tin của ITS (ngân hàng dữ liệu, tổ hợp thông tin và tham chiếu, trung tâm tình huống). Điều này sẽ giúp có thể triển khai các đối tượng biệt lập độc lập về mặt mật mã hoạt động bằng công nghệ máy khách-máy chủ và không cung cấp quyền truy cập trực tiếp vào các chức năng xử lý và lưu trữ thông tin - mọi quá trình xử lý được thực hiện theo yêu cầu được ủy quyền của người dùng dựa trên quyền hạn được cấp cho họ.

Để cung cấp tài nguyên thông tin được ủy quyền cho người đăng ký, các phương pháp và cơ chế sau được sử dụng:

· nhãn bảo mật thông tin;

· nhận dạng và xác thực thuê bao và thiết bị hệ thống;

· bảo vệ thông tin bằng mật mã trong quá trình lưu trữ;

· Kiểm soát mật mã tính toàn vẹn của thông tin trong quá trình lưu trữ.

Khi triển khai hệ thống con an ninh trong thành phần viễn thông của ITS, cần phải tính đến tính sẵn có của các kênh liên lạc ở cả vùng lãnh thổ được kiểm soát và không được kiểm soát.

Một cách hợp lý để bảo vệ thông tin trong các kênh liên lạc là bảo vệ thông tin bằng mật mã trong các kênh liên lạc trong một lãnh thổ không được kiểm soát kết hợp với các phương tiện tổ chức và kỹ thuật để bảo vệ thông tin trong các kênh liên lạc trong một lãnh thổ được kiểm soát, với triển vọng chuyển đổi sang bảo vệ thông tin mật mã trên toàn bộ Các kênh truyền thông ITS, bao gồm cả việc sử dụng các phương pháp công nghệ VPN. Nguồn lực bảo vệ thông tin trong phân hệ viễn thông (có tính đến sự có mặt của người vi phạm quyền truy cập hợp pháp vào tài nguyên viễn thông) là phân định quyền truy cập tài nguyên viễn thông bằng việc đăng ký luồng thông tin và quy định hoạt động của thuê bao.

Một giải pháp điển hình để bảo vệ thông tin trong các kênh liên lạc là sử dụng các vòng bảo vệ đường dây và thuê bao kết hợp với các phương tiện bảo vệ bằng thuật toán và kỹ thuật, cung cấp (cả trực tiếp và gián tiếp) các cơ chế bảo vệ sau:

· bảo vệ chống rò rỉ thông tin vào các kênh liên lạc và kênh kỹ thuật;

· Kiểm soát an toàn thông tin trong quá trình truyền tải qua các kênh liên lạc;

· bảo vệ khỏi các cuộc tấn công có thể xảy ra bởi kẻ xâm nhập thông qua các kênh liên lạc;

· nhận dạng và xác thực thuê bao;

· kiểm soát quyền truy cập vào tài nguyên hệ thống.

Hệ thống con bảo mật dành cho trao đổi liên mạng trong ITS dựa trên các cơ chế bảo mật sau:

· Kiểm soát truy cập vào các tài nguyên mạng (tường lửa);

· nhận dạng và xác thực thuê bao (bao gồm cả phương pháp xác thực bằng mật mã);

· nhận dạng và xác thực thông tin;

· bảo vệ thông tin bằng mật mã trong các kênh liên lạc trong lãnh thổ không được kiểm soát và trong tương lai - trong tất cả các kênh liên lạc;

· Cách ly mật mã của các hệ thống tương tác.

Tầm quan trọng lớn trong hệ thống con đang được xem xét là việc triển khai công nghệ mạng riêng ảo (VPN), các thuộc tính của nó giải quyết phần lớn các vấn đề vừa bảo vệ thông tin trong các kênh liên lạc vừa chống lại các cuộc tấn công của những kẻ xâm nhập từ các kênh liên lạc.

· một trong những chức năng của ITS là đưa ra các quyết định về quản lý của từng bộ phận, doanh nghiệp và của toàn bộ nhà nước, dựa trên việc xử lý thông tin phân tích;

· Không thể loại trừ sự tồn tại của những kẻ vi phạm trong số các thuê bao tương tác với hệ thống ITS.

Hệ thống con để xác định và chống lại các hành động tích cực của kẻ xâm nhập được triển khai trên hai thành phần chính: phần cứng và phần mềm để xác định và chống lại các cuộc tấn công có thể xảy ra bởi kẻ xâm nhập thông qua các kênh liên lạc và kiến ​​trúc của mạng an toàn.

Thành phần đầu tiên - thành phần để xác định các cuộc tấn công có thể xảy ra, nhằm mục đích bảo vệ trong các hệ thống con ITS trong đó hành động của kẻ xâm nhập về cơ bản là có thể tấn công vào tài nguyên thông tin và thiết bị ITS, thành phần thứ hai nhằm mục đích loại bỏ các hành động đó hoặc làm phức tạp đáng kể các hành động đó. họ.

Phương tiện chính của thành phần thứ hai là phần cứng và phần mềm đảm bảo thực hiện các phương pháp bảo vệ theo công nghệ mạng riêng ảo (VPN), cả trong quá trình tương tác của các đối tượng ITS khác nhau theo cấu trúc của chúng và trong các đối tượng riêng lẻ và mạng con dựa trên trên tường lửa hoặc tường lửa có bảo vệ bằng mật mã tích hợp.

Chúng tôi nhấn mạnh rằng biện pháp chống lại các cuộc tấn công có thể xảy ra hiệu quả nhất được cung cấp bằng phương tiện mật mã của vòng bảo vệ tuyến tính và cổng mật mã liên mạng dành cho những kẻ xâm nhập bên ngoài và phương tiện kiểm soát quyền truy cập vào tài nguyên thông tin cho người dùng hợp pháp thuộc danh mục kẻ xâm nhập.

Hệ thống con để xác định và khắc phục các lỗi phần cứng và phần mềm có thể xảy ra được triển khai bằng một tập hợp các biện pháp tổ chức và kỹ thuật trong quá trình sản xuất và vận hành thiết bị ITS, bao gồm các hoạt động chính sau:

· Kiểm tra đặc biệt các thiết bị và linh kiện sản xuất ở nước ngoài;

· Tiêu chuẩn hóa phần mềm;

· kiểm tra các thuộc tính của phần tử nền có ảnh hưởng đến hiệu quả của hệ thống bảo vệ;

· kiểm tra tính toàn vẹn của phần mềm bằng thuật toán mã hóa.

Cùng với các tác vụ khác, vấn đề chống lại các dấu trang phần cứng và phần mềm có thể xảy ra cũng được cung cấp bởi các phương tiện bảo vệ khác:

· mạch bảo vệ mật mã tuyến tính, cung cấp khả năng bảo vệ chống lại việc kích hoạt các dấu trang phần mềm có thể có thông qua các kênh liên lạc;

· lưu trữ thông tin;

· dự phòng (sao chép phần cứng).

Bằng ITS tại các đối tượng hệ thống khác nhau, người dùng OGV có thể được cung cấp các dịch vụ khác nhau để truyền thông tin và dịch vụ thông tin, bao gồm:

· Hệ thống con luồng tài liệu an toàn;

· trung tâm chứng nhận;

· Hệ thống con an toàn để truyền thông tin điện thoại, dữ liệu và tổ chức hội nghị video;

· một hệ thống con an toàn về thông tin chính thức, bao gồm việc tạo và duy trì các trang web chính thức của các nhà lãnh đạo ở cấp liên bang và khu vực.

Lưu ý rằng hệ thống con luồng tài liệu an toàn được kết nối chặt chẽ với các trung tâm chứng nhận đảm bảo thực hiện cơ chế chữ ký số.

Chúng ta hãy xem xét chi tiết hơn việc tích hợp các công cụ bảo mật thông tin vào hệ thống quản lý tài liệu điện tử, vào hệ thống con truyền thông tin điện thoại, hệ thống con thông tin chính thức và trang web chính thức của các nhà quản lý ở các cấp khác nhau.

Cơ chế cơ bản để bảo vệ thông tin trong hệ thống quản lý tài liệu điện tử là chữ ký điện tử kỹ thuật số, đảm bảo nhận dạng và xác thực tài liệu và người đăng ký cũng như kiểm soát tính toàn vẹn của chúng.

Do các tính năng của hệ thống luồng tài liệu ITS được xác định bởi sự hiện diện của trao đổi thông tin giữa các đối tượng và bộ phận khác nhau (bao gồm cả khả năng trao đổi thông tin giữa các hệ thống an toàn và không được bảo vệ), cũng như việc sử dụng các công nghệ xử lý tài liệu khác nhau ở các bộ phận khác nhau, nên việc triển khai Để đảm bảo luồng tài liệu an toàn, có tính đến các yếu tố đã nêu, yêu cầu các hoạt động sau:

· thống nhất các định dạng tài liệu ở các phòng ban khác nhau;

· hài hòa hóa các chính sách bảo mật ở các bộ phận khác nhau.

Tất nhiên, các yêu cầu đã lưu ý có thể được giải quyết một phần bằng cách sử dụng các cổng giữa các hệ thống tương tác.

Các trung tâm chứng nhận về cơ bản là một cơ sở dữ liệu phân tán đảm bảo việc triển khai chữ ký số trong hệ thống luồng tài liệu. Việc truy cập trái phép vào tài nguyên thông tin của cơ sở dữ liệu này sẽ phá hủy hoàn toàn các thuộc tính bảo mật của việc quản lý tài liệu điện tử. Điều này dẫn đến những đặc điểm chính của hệ thống an toàn thông tin tại các trung tâm chứng nhận:

· quản lý quyền truy cập vào tài nguyên cơ sở dữ liệu của các trung tâm chứng nhận (bảo vệ khỏi truy cập trái phép vào tài nguyên);

· đảm bảo hoạt động ổn định của các trung tâm chứng nhận trong điều kiện có thể xảy ra sự cố và hư hỏng, các tình huống khẩn cấp (bảo vệ chống phá hủy thông tin cơ sở dữ liệu).

Việc thực hiện các cơ chế này có thể được thực hiện theo hai giai đoạn: ở giai đoạn đầu tiên, các cơ chế bảo vệ được thực hiện bằng cách sử dụng các biện pháp bảo vệ và biện pháp an ninh về mặt tổ chức và kỹ thuật, bao gồm việc sử dụng hệ điều hành được chứng nhận trong nước và ở giai đoạn thứ hai, bảo vệ bằng mật mã. các phương pháp được tích hợp vào phần cứng và phần mềm trong quá trình lưu trữ và xử lý thông tin tại các trung tâm chứng nhận.

Các tính năng bảo vệ các loại lưu lượng khác nhau được truyền tới ITS (lưu lượng điện thoại, dữ liệu và hội nghị truyền hình) có thể được chia thành hai loại:

· các tính năng bảo vệ thiết bị thuê bao, được xác định bởi nhu cầu bảo vệ các loại thông tin khác nhau, bao gồm đồng thời (thông tin video và lời nói, và có thể cả dữ liệu), cũng như nhu cầu bảo vệ các loại thông tin khác nhau khỏi bị rò rỉ vào các kênh kỹ thuật.

· các tính năng bảo vệ thiết bị của một loại hệ thống truyền thông tin nhất định, được xác định bởi nhu cầu bảo vệ chống truy cập trái phép vào các dịch vụ điện thoại, truyền dữ liệu, cuộc gọi hội nghị và tài nguyên của nó.

Đối với các lớp này, các cơ chế bảo vệ cơ bản là:

· phương tiện kỹ thuật bảo vệ thông tin khỏi bị rò rỉ vào các kênh kỹ thuật, được thực hiện bằng các phương tiện tiêu chuẩn;

· kiểm soát truy cập vào các tài nguyên hỗ trợ tổ chức các loại thông tin liên lạc khác nhau, dựa trên việc xác định và xác thực các kết nối có thể có của nhiều người dùng và thiết bị khác nhau với thiết bị liên lạc.

Một đặc điểm của hệ thống con an toàn thông tin chính thức là sự hiện diện của các luồng thông tin theo hai hướng - từ ITS đến các hệ thống bên ngoài, bao gồm cả từng công dân của đất nước, cũng như từ các hệ thống bên ngoài đến ITS (trao đổi thông tin với các đối tượng không được bảo vệ).

Dựa trên thông tin nhận được từ các hệ thống bên ngoài, các quyết định được phát triển vì lợi ích của từng tổ chức, các ban ngành và khu vực cũng như của toàn bang và việc thực thi các quyết định được đưa ra ở tất cả các cấp chính quyền cũng phụ thuộc vào thông tin nhận được từ các hệ thống bên ngoài. hệ thống.

Do đó, trong trường hợp đầu tiên, các yêu cầu chính đối với hoạt động của hệ thống theo quan điểm bảo mật của nó là tính toàn vẹn của thông tin được cung cấp, hiệu quả của việc cung cấp thông tin, bao gồm cả việc cập nhật, độ tin cậy của nguồn thông tin, và kiểm soát việc cung cấp thông tin cho người nhận.

Trong trường hợp thứ hai - độ tin cậy của thông tin được cung cấp, độ tin cậy của nguồn thông tin, hiệu quả cung cấp thông tin cũng như kiểm soát việc cung cấp thông tin đến người nhận. Về cơ bản, các yêu cầu được liệt kê được cung cấp bởi các cơ chế bảo mật tiêu chuẩn (phương pháp mã hóa để giám sát tính toàn vẹn của thông tin, nhận dạng và xác thực thuê bao và thông tin).

Một đặc điểm nổi bật của hệ thống con này là nhu cầu kiểm soát độ tin cậy của thông tin đến từ các hệ thống bên ngoài và là nguồn nguyên liệu để đưa ra quyết định, kể cả vì lợi ích của nhà nước. Vấn đề này được giải quyết bằng các phương pháp phân tích để theo dõi độ tin cậy của thông tin, đảm bảo tính ổn định của các giải pháp được phát triển khi nhận được thông tin không đáng tin cậy cũng như các biện pháp tổ chức và kỹ thuật để đảm bảo xác nhận thông tin đến.

Mục tiêu chính của hệ thống bảo mật thông tin trên trang web của các nhà lãnh đạo liên bang và khu vực là ngăn chặn thông tin xâm nhập vào trang web không nhằm mục đích này, cũng như đảm bảo tính toàn vẹn của thông tin được trình bày trên trang web.

Cơ chế bảo mật cơ bản được triển khai trên trang web phải đảm bảo kiểm soát quyền truy cập vào trang web của hệ thống nội bộ cung cấp thông tin cho trang web, cũng như kiểm soát quyền truy cập của các hệ thống bên ngoài vào tài nguyên của trang web.

Việc thực hiện bảo vệ dựa trên việc tạo ra một khu vực “phi quân sự” dựa trên tường lửa (cổng), cung cấp:

Lọc thông tin theo hướng từ hệ thống nội bộ đến trang web có kiểm soát quyền truy cập vào trang web từ hệ thống nội bộ (xác định và xác thực nguồn thông tin) và lọc thông tin bằng nhãn bảo mật;

Giám sát tính toàn vẹn của tài nguyên thông tin trên trang web và đảm bảo trang web hoạt động ổn định trước những biến dạng thông tin có thể xảy ra;

kiểm soát quyền truy cập từ hệ thống bên ngoài vào tài nguyên trang web;

lọc các yêu cầu đến trang web từ các hệ thống bên ngoài.

Một trong những vấn đề quan trọng nhất khi giải quyết vấn đề đảm bảo an toàn thông tin là hoàn thiện khung pháp lý về an toàn thông tin.

Nhu cầu cải thiện khung pháp lý được xác định bởi hai yếu tố chính - sự hiện diện của việc trao đổi thông tin giữa các bộ phận khác nhau, sự hiện diện của một số lượng lớn các loại và loại thông tin lưu hành trong ITS.

Để đảm bảo an ninh thông tin trong ITS, khung pháp lý phải được cải thiện trong các lĩnh vực sau:

· tạo ra các yêu cầu thống nhất để đảm bảo an ninh thông tin và trên cơ sở đó là một khái niệm an ninh thống nhất, đảm bảo khả năng hài hòa các chính sách an ninh ở các bộ phận khác nhau và ITS nói chung, bao gồm các giai đoạn hoạt động khác nhau;

· tạo ra một tiêu chuẩn thống nhất cho thông tin tài liệu, đảm bảo thực hiện các nhãn bảo mật thống nhất và giảm chi phí truyền tải tài liệu trong quá trình tương tác giữa các bộ phận;

· tạo ra các điều khoản cho sự tương tác giữa các bộ phận nhằm đảm bảo giám sát liên tục về an ninh thông tin trong quá trình tương tác giữa các bộ phận.

Phần kết luận

Trong khóa học này, các nguyên tắc sau đã được xem xét:

· Kiến trúc ITS và các công nghệ xử lý thông tin cơ bản trong ITS cần được tạo ra có tính đến quá trình chuyển đổi tiến hóa sang các phương tiện được phát triển trong nước;

· Các máy trạm tự động của hệ thống an toàn thông tin ITS phải được tạo ra trên nền tảng phần cứng, phần mềm sản xuất trong nước (máy tính lắp ráp trong nước, hệ điều hành, phần mềm trong nước);

· Kiến trúc ITS và các công nghệ xử lý thông tin cơ bản trong ITS cần được tạo ra có tính đến khả năng sử dụng các công cụ bảo mật phần cứng và phần mềm hiện có ở giai đoạn đầu tiên và sau đó sẽ thay thế chúng bằng các công cụ bảo mật thông tin đầy hứa hẹn.

Việc thực hiện đầy đủ các yêu cầu này sẽ đảm bảo tính liên tục và hiệu quả cụ thể của việc bảo vệ thông tin trong giai đoạn chuyển tiếp từ việc sử dụng công nghệ xử lý thông tin trong ITS kết hợp với công nghệ bảo mật thông tin sang sử dụng công nghệ xử lý thông tin an toàn trong ITS.

Thư mục

1. Konstantin Kuzovkin. Truy cập từ xa vào các nguồn thông tin. Xác thực. // Giám đốc dịch vụ thông tin - 2003 - Số 9.

2. Konstantin Kuzovkin. Nền tảng an toàn cho các ứng dụng Web. // Hệ thống mở - 2001 - Số 4.

Alexey Lukatsky. VPN không xác định. // Máy tính-Báo chí - 2001 - Số 10.

Tài nguyên Internet: http://www.niia.ru/document/Buk_1, www.i-teco.ru/article37.html.

Nhiệm vụ triển khai mạng công ty của công ty trong một tòa nhà có thể được giải quyết tương đối dễ dàng. Tuy nhiên, ngày nay cơ sở hạ tầng của các công ty có các bộ phận của chính công ty được phân bổ theo địa lý. Triển khai một mạng công ty an toàn trong trường hợp này là một nhiệm vụ phức tạp hơn. Trong những trường hợp như vậy, máy chủ VPN an toàn thường được sử dụng.

Khái niệm xây dựng mạng VPN ảo an toàn

Khái niệm tạo mạng ảo VPN dựa trên một ý tưởng đơn giản - nếu có 2 nút trên mạng toàn cầu cần trao đổi dữ liệu thì giữa chúng cần tạo một đường hầm bảo mật ảo để đảm bảo tính toàn vẹn và bảo mật của dữ liệu được truyền qua các mạng mở.

Khái niệm và chức năng cơ bản của mạng VPN

Khi có kết nối giữa mạng cục bộ của công ty và Internet, có hai loại phát sinh:

• truy cập trái phép vào tài nguyên mạng cục bộ thông qua đăng nhập
• truy cập trái phép vào thông tin khi truyền qua Internet mở

Bảo vệ dữ liệu trong quá trình truyền qua các kênh mở dựa trên việc triển khai mạng VPN an toàn ảo. VPN mạng an toàn ảo là kết nối giữa mạng cục bộ và các PC riêng lẻ thông qua mạng mở thành một mạng công ty ảo duy nhất. Mạng VPN cho phép sử dụng các đường hầm VPN để tạo kết nối giữa các văn phòng, chi nhánh và người dùng từ xa, đồng thời truyền tải dữ liệu một cách an toàn (Hình 1).

Bức tranh 1

Đường hầm VPN là một kết nối đi qua một mạng mở, nơi các gói dữ liệu được bảo vệ bằng mật mã được vận chuyển. Việc bảo vệ dữ liệu trong quá trình truyền qua đường hầm VPN được thực hiện dựa trên các tác vụ sau:

• mã hóa mật mã của dữ liệu được vận chuyển
• xác thực người dùng mạng ảo
• kiểm tra tính toàn vẹn và xác thực của dữ liệu được truyền

Máy khách VPN là một tổ hợp phần mềm hoặc phần cứng chạy trên máy tính cá nhân. Phần mềm mạng của nó được sửa đổi để thực hiện mã hóa và xác thực lưu lượng.

Máy chủ VPN- cũng có thể là một tổ hợp phần mềm hoặc phần cứng thực hiện các chức năng của máy chủ. Nó bảo vệ máy chủ khỏi sự truy cập trái phép từ các mạng khác, cũng như tổ chức một mạng ảo giữa máy khách, máy chủ và cổng.

Cổng bảo mật VPN- một thiết bị mạng kết nối với 2 mạng và thực hiện các chức năng xác thực và mã hóa cho nhiều máy chủ đằng sau nó.

Bản chất của đường hầm là đóng gói (đóng gói) dữ liệu vào một gói mới. Gói giao thức cấp thấp hơn được đặt trong trường dữ liệu của gói giao thức cấp cao hơn hoặc cùng cấp (Hình 2). Bản thân quá trình đóng gói không bảo vệ khỏi sự giả mạo hoặc truy cập trái phép; nó bảo vệ tính bảo mật của dữ liệu được đóng gói.

Hình 2

Khi một gói đến điểm cuối của kênh ảo, gói nguồn bên trong sẽ được trích xuất từ ​​gói đó, được giải mã và sử dụng tiếp dọc theo mạng nội bộ (Hình 3).

Hình - 3

Đóng gói cũng giải quyết được vấn đề xung đột giữa hai địa chỉ giữa các mạng cục bộ.

Tùy chọn tạo kênh bảo mật ảo

Khi tạo VPN, có hai phương pháp phổ biến (Hình 4):

• kênh bảo mật ảo giữa các mạng cục bộ (kênh LAN-LAN)
• kênh bảo mật ảo giữa mạng cục bộ và máy chủ (kênh client-LAN)

Hinh 4

Phương thức kết nối đầu tiên cho phép bạn thay thế các kênh chuyên dụng đắt tiền giữa các nút riêng lẻ và tạo các kênh an toàn luôn bật giữa chúng. Ở đây, cổng bảo mật đóng vai trò là giao diện giữa mạng cục bộ và đường hầm. Nhiều doanh nghiệp triển khai loại VPN này để thay thế hoặc bổ sung cho .

Mạch thứ hai cần thiết để kết nối với người dùng di động hoặc từ xa. Việc tạo đường hầm được khởi tạo bởi khách hàng.

Từ quan điểm bảo mật thông tin, tùy chọn tốt nhất là tạo đường hầm an toàn giữa các điểm cuối kết nối. Tuy nhiên, tùy chọn này dẫn đến việc phân quyền quản lý và dư thừa tài nguyên, vì bạn cần cài đặt VPN trên mọi máy tính trên mạng. Nếu bảo vệ lưu lượng trong mạng cục bộ là một phần của mạng ảo không yêu cầu bảo vệ thì bộ định tuyến của cùng mạng có thể hoạt động như một điểm cuối ở phía mạng cục bộ.

Phương pháp triển khai bảo mật VPN

Khi tạo mạng ảo an toàn, VPN hàm ý thông tin truyền đi sẽ có tiêu chí thông tin được bảo vệ cụ thể là: tính bảo mật, tính toàn vẹn, tính sẵn sàng. Tính bảo mật đạt được bằng cách sử dụng các phương pháp mã hóa bất đối xứng và đối xứng. Tính toàn vẹn của dữ liệu được vận chuyển đạt được bằng cách sử dụng . Việc xác thực được thực hiện bằng cách sử dụng mật khẩu, chứng chỉ, thẻ thông minh, giao thức dùng một lần/có thể tái sử dụng.

Để thực hiện bảo mật thông tin được vận chuyển trong mạng bảo mật ảo, cần giải quyết các vấn đề bảo mật mạng sau:

• xác thực lẫn nhau của người dùng khi kết nối
• thực hiện tính bảo mật, tính xác thực và tính toàn vẹn của dữ liệu được vận chuyển
• kiểm soát truy cập
• an ninh chu vi mạng và
• quản lý an ninh mạng

Giải pháp VPN để tạo mạng an toàn

Phân loại mạng VPN

Hầu hết tất cả các loại lưu lượng truy cập đều có thể được thực hiện trên cơ sở Internet toàn cầu. Có nhiều sơ đồ phân loại VPN khác nhau. Sơ đồ phổ biến nhất có 3 tiêu chí phân loại:

• Lớp vận hành của mô hình OSI
• Kiến trúc giải pháp kỹ thuật VPN
• Phương pháp triển khai kỹ thuật VPN

Kênh an toàn- một kênh giữa hai nút mạng, dọc theo một đường dẫn ảo cụ thể. Một kênh như vậy có thể được tạo bằng các phương thức hệ thống dựa trên các lớp khác nhau của mô hình OSI (Hình 5).

Hình - 5

Bạn có thể nhận thấy rằng VPN được tạo ở mức khá thấp. Lý do là các phương thức kênh bảo mật được triển khai ở càng thấp trong ngăn xếp thì càng dễ triển khai chúng một cách minh bạch cho các ứng dụng. Tại lớp liên kết dữ liệu và lớp mạng, các ứng dụng không còn phụ thuộc vào các giao thức bảo mật. Nếu một giao thức từ các cấp trên được triển khai để bảo vệ thông tin thì phương pháp bảo vệ không phụ thuộc vào công nghệ mạng, đây có thể coi là một điểm cộng. Tuy nhiên, ứng dụng trở nên phụ thuộc vào một giao thức bảo mật cụ thể.

VPN lớp liên kết. Các phương thức ở cấp độ này cho phép bạn đóng gói lưu lượng truy cập cấp ba (và cao hơn) và tạo các đường hầm ảo điểm-điểm. Chúng bao gồm các sản phẩm VPN dựa trên .

VPN lớp mạng. Các sản phẩm VPN ở cấp độ này triển khai tính năng đóng gói IP-to-IP. Ví dụ, họ sử dụng giao thức.

VPN cấp phiên. Một số VPN triển khai phương pháp "nhà môi giới kênh", hoạt động phía trên lớp truyền tải và chuyển tiếp lưu lượng truy cập từ mạng an toàn sang Internet công cộng trên cơ sở từng ổ cắm.

Phân loại VPN theo kiến ​​trúc giải pháp kỹ thuật

Chia thành:

• VPN nội bộ - cần thiết để thực hiện công việc an toàn giữa các phòng ban trong công ty
• VPN có quyền truy cập từ xa - cần thiết để triển khai quyền truy cập từ xa an toàn vào tài nguyên thông tin của công ty
• VPN liên công ty - cần thiết giữa các bộ phận riêng biệt của một doanh nghiệp được tách biệt về mặt địa lý

Phân loại VPN theo phương pháp triển khai kỹ thuật

Chia thành:

• VPN dựa trên bộ định tuyến - nhiệm vụ bảo vệ thuộc về thiết bị bộ định tuyến
• VPN dựa trên tường lửa - nhiệm vụ bảo vệ thuộc về thiết bị tường lửa
• VPN dựa trên các giải pháp phần mềm - phần mềm được sử dụng có ưu thế về tính linh hoạt và khả năng tùy chỉnh nhưng lại thua về thông lượng
• VPN dựa trên các thiết bị phần cứng đặc biệt - các thiết bị được mã hóa bằng các chip riêng biệt đặc biệt mang lại hiệu suất cao với số tiền rất lớn