Добавлен: 17.06.2023
Просмотров: 92
Скачиваний: 4
СОДЕРЖАНИЕ
Правовой метод защиты информации
Физический метод защиты информации
Аппаратный метод защиты информации
Симметрические криптографические системы
Стандарт шифрования данных DES
Механизм безопасности EPS (Evolved Packet System)
Алгоритм шифрования EEA (EPS Encryption Algorithm)
Можно выделить два основных типа кольцевых сетей, определяемых методом доступа к среде передачи.
Маркерное кольцо. В таких сетях по кольцу передается специальный управляющий маркер, разрешающий передачу сообщений из узла, который им владеет. Если узел получил маркер и у него есть сообщение для передачи, то он захватывает маркер и передает сообщение. Маркер будет передан дальше по кольцу после того, как данный узел примет и поглотит свое собственное сообщение. При отсутствии в узле сообщений, подлежащих передаче, он просто пропускает маркер.
Тактированное кольцо. По кольцевой сети непрерывно вращается замкнутая последовательность тактов — специально закодированных интервалов фиксированной длины. В каждом такте имеется бит-указатель занятости. Свободные такты могут заполняться передаваемыми сообщениями по мере необходимости, либо за каждым узлом закрепляются определенные такты.
Шинная топология
В сетях с шинной топологией (Рисунок 3) все узлы подключаются к одному каналу связи с помощью приемопередатчиков. Канал оканчивается с двух сторон пассивными терминаторами, которые поглощают передаваемые сигналы, поскольку по своей природе передача в такой сети является широковещательной. В большинстве реализаций физическая среда передачи шинной сети может состоять из одной или нескольких секций кабеля, связанных специальными соединителями. В результате образуется так называемый сегмент кабеля.
Каждый узел имеет уникальный идентификатор и принимает сообщение, если в нем адрес узла-получателя либо совпадает с его собственным идентификатором, либо является идентификатором широковещательного или группового сообщения.
Поскольку один общий канал связи (шина) разделяется между всеми абонентами сети, такие сети называются также моноканальными, и необходима некоторая децентрализованная процедура доступа к каналу, обеспечивающая его использование в каждый конкретный момент времени одним абонентом, т.е. временное уплотнение канала. Эта процедура (метод доступа) может быть случайной или детерминированной.
Наибольшее распространение среди методов случайного доступа получил метод множественного доступа с контролем несущей и обнаружением конфликтов, а среди методов детерминированного доступа — маркерный доступ. Соответствующие сети иногда называются случайной и маркерной шинами. В первом случае занятость шины характеризуется наличием в канале несущего сигнала сообщения. Отсутствие несущей означает доступность канала. Все узлы «прослушивают» канал, чтобы обнаружить несущую. Однако из-за конечности времени распространения сигнала в обе стороны от места подключения узла-отправителя к каналу несколько узлов могут посчитать канал свободным и начать передачу сообщений, что ведет к конфликтам (наложению) передач. Узлы, обнаружив конфликт, откладывают свои передачи, а затем через случайное время вновь пытаются повторить их.
Шинные сети имеют довольно ограниченные возможности по наращиванию в силу затухания сигналов в канале. Каждая врезка и каждый соединитель несколько изменяют характеристики физической среды передачи. Поэтому для каждой реализации имеются, как правило, ограничения на общую длину кабеля связи и его сегментов, на расстояние между соседними точками подключения узлов и на количество подключений к кабелю.
Смешанная топология
Сеть со смешанной топологией (Рисунок 4) представляет собой, как правило, неполно связанную сеть узлов коммутации сообщений (пакетов), к которым подсоединяются оконечные системы. Все каналы связи являются выделенными двухточечными. Такого рода связи наиболее часто используются в крупномасштабных и региональных вычислительных сетях, но иногда они применяются и в локальных вычислительных сетях. Смешанную сеть можно рассматривать как звездообразную сеть, в которой центральный узел имеет распределенную архитектуру.
В узлах коммутации смешанной сети обычно реализуется статическая (по фиксированным путям) или динамическая (адаптивная) маршрутизация сообщений, передаваемых в виде дейтаграмм или по виртуальным каналам, что приводит к необходимости строить узлы коммутации на базе электронных вычислительных машин (ЭВМ) с достаточными быстродействием и емкостью оперативной памяти. В результате для одного и того же числа оконечных систем стоимость смешанной сети выше стоимости любой другой сети.
Надежность смешанной сети обеспечивается таким соединением узлов коммутации каналами связи, чтобы между любой парой оконечных систем имелось по меньшей мере два пути передачи сообщений. Введение избыточных каналов между узлами коммутации, т.е. увеличение связности сети, — стандартный способ повышения надежности смешанных сетей. При малом числе оконечных систем иногда допускается полная связанность узлов коммутации.
Древовидная топология
Древовидные сети строятся на базе техники кабельного телевидения, т.е. с использованием таких устройств связи, как оконечные частотные ретрансляторы, расщепители-объединители, двунаправленные усилители, ответвители, радиочастотные модемы, фильтры и др. Основные преимущества таких сетей — относительно большая протяженность и возможность параллельной передачи речи, данных и изображений, что обеспечивается за счет частотного уплотнения каналов (в описанных выше сетях применяется временное уплотнение каналов). Поэтому древовидные сети называются также поликаналъными.
Рисунок Древовидная топология.
Возможности по наращиванию древовидной сети весьма ограничены из-за высокой стоимости ее установки и сложности ее аналоговых компонентов, которые требуют, кроме того, регулярной настройки. Перед развертыванием сети необходима предварительная тщательная проработка трасс кабелей, мест установки ретранслятора, усилителей, ответвителей и т.д., учитывающая перспективы подключения новых оконечных систем.
Методы защиты информации
В данном разделе приводится теоретический материал о подходах и понятиях к защите информации в вычислительных сетях (ВС). Любая конфигурация сети в конечном итоге может иметь общую концепцию построения способов и методов защиты информации. Различия могут быть только в необходимом количестве применяемых способов защиты. В данном контексте все зависит от необходимого уровня защиты, который необходимо достигнуть, а также количества возможных участков вторжения.
В данном вопросе ведется постоянный мониторинг и на сегодняшний день нет однозначного ответа о всех возможных способах утечки информации. А, с продвижением прогресса, и появлением все большего количества оборудования и программного обеспечения уязвимость может появится вместе с ним. С увеличением вычислительных мощностей и миниатюризации появляется риск проникновения в казавшихся ранее недоступных местах. Этому также способствует включение в ВС все большего количества специфического оборудования (дверные замки, автомобильные устройства, системы распознавания, платежное оборудование и т.п.).
Понятие защищенной ВС
Попытаемся ответить на следующий вопрос; что такое защищенная ВС? Многие специалисты считают, что точный ответ на этот вопрос (полный, ясный и исчерпывающий) до сих пор не найден.
В качестве первого приближенного ответа можно принять следующее утверждение: ВС защищена, если все операции выполняются в соответствии со строго определенными правилами, которые обеспечивают непосредственную защиту объектов сети, ее ресурсов и операций.
Это определение достаточно широко в том смысле, что оно не определяет, какие угрозы могут встретиться в ВС, какие компоненты могут оказаться под угрозой, каким способом и при каких обстоятельствах возможны вторжения. На самом деле именно список угроз определяет основу для формирования требований к защите. Когда такие требования известны, могут быть определены соответствующие правила обеспечения защиты. Эти правила, в свою очередь, определяют необходимые функции и средства защиты. Определение требований к защите — шаг к построению концепции защищенной ВС. Для этого необходимо рассмотреть возможные сбои оборудования и ошибочные операции, которые свойственны объектам, ресурсам и операциям в ВС. В соответствии с этим списком составляются правила использования ресурсов сети и выполнения операций в сети.
Совокупность механизмов защиты, удовлетворяющих этим требованиям и реализующих такие правила, обеспечивает ВС безопасность и надежность. Именно такая ВС может быть названа защищенной ВС. Чем больше требований к защите и соответствующих правил защиты, тем эффективнее механизмы защиты и тем более защищенной оказывается ВС. Таким образом, становится понятным подход, изложенный в этом разделе. Для того чтобы определить защищенную ВС, составляется список требований к защите информации, правил организации непосредственной защиты и целостности. Вычислительные сети, механизмы защиты которых реализуют все перечисленные функции и средства защиты, могут быть названы защищенными ВС.
Рисунок Конфигурация вычислительной системы с распределенными ресурсами с указанием возможных угроз и проблем защиты.
Классификация вторжений в ВС
Злоумышленник при вторжении в ВС может использовать как пассивные, так и активные методы вторжения.
При пассивном вторжении нарушитель только наблюдает за прохождением информации по линии связи, не вторгаясь ни в информационный поток, ни в содержание передаваемой информации. Как правило, злоумышленник выполняет анализ потока сообщений (трафика), фиксируя пункты назначений и идентификаторы, или только факт прохождения сообщения, его длину и частоту обмена, если содержимое сообщения нераспознаваемо.
При активном вторжении нарушитель стремится подменить информацию, передаваемую в сообщении. Он может выборочно модифицировать, изменить или добавить правильное, или неправильное сообщение, удалить, задержать или изменить порядок следования сообщений. Злоумышленник может также аннулировать или задержать все сообщения, передаваемые по сети: такое вторжение равносильно отказу в передаче сообщений.
Все виды вторжений предполагают, что существует связь между двумя объектами. Первоначальное соединение устанавливается с соблюдением всех правил защиты, проверкой подлинности участников и контролем продолжительности соединения. Вторжение в процедуру инициализации соединения предполагает подмену текущей процедуры установления связи другой, предварительно скопированной. Такое вторжение называется ложной инициализацией соединения.
В общем случае пассивные вторжения невозможно выявить, но их легко предотвратить, в то время как активные вторжения легко выявить, но невозможно предотвратить.
Правовой метод защиты информации
Базовым методом защиты информации, пожалуй, является правовой метод. Именно правовые отношения на предприятии формируют первичный уровень доступа к служебной информации. Должностные инструкции обязывают соблюдать регламент и правила использования информации для профессиональной деятельности. Соответственно, нарушения таковых может повлечь за собой, как административную, так и уголовную ответственность.
На многих предприятиях не ограничиваются общегосударственными законодательными актами и часто дополняют их внутренними договорами, расписками, инструкциями, которые уточняют ответственность сотрудников. Подобные документы служат достаточно хорошим барьером в желании сотрудника получить выгоду от использования защищаемой информации.
Данный метод в первую очередь направлен на добросовестное соблюдение правил всеми лицами, работающими с информацией.
Физический метод защиты информации
Самый старый и самый простой способ защиты —это ограничение физического доступа к информации. Находящиеся под охраной закрытые помещения, сейфы, шкафы и другие затрудняющие доступ средства к хранимой информации. Данный метод на протяжении многих лет уже имеет хорошо «отшлифованную» технологию защиты и с успехом используется по сегодняшний день для хранения различного рода ценных предметов. Для хранения информации в контексте ВС данный метод применим только если таковая находится на единственном носителе и не имеет дубликата, как правило используется для:
- хранения единичных экземпляров ключей доступа;
- ограничения доступа к сетевым устройствам;
- предотвращения различного рода повреждений и воровства.
При определенном соблюдении правил данный метод также может предотвращать несанкционированное считывание информации средствами улавливания излучений сетевых и конечных пользовательских устройств.
Аппаратный метод защиты информации
Пожалуй, самый дорогостоящий метод защиты. Основным случаем в контексте ВС является включение специализированного оборудования защиты и сетевых устройств с повышенной степенью защищенности. Примером такого оборудования может служить оборудование для шифрования сигнала, оборудование для постановки помех, специализированные защищенные от излучений и помех кабели, устройства и т.п.