Механизмы реализации услуг безопасности

date image 2018-03-09
views image 771
Поделись с друзьями: 
1234567

Для реализации услуг безопасности могут использоваться следующие механизмы и их ком­бинации.

Шифрование. Шифрование подразделяется на симметричное (один и тот же секретный ключ для шифрования и дешифрования) и асимметричное (различные ключи для шиф­рования и дешифрования).

Электронная цифровая подпись. Механизм электронной подписи включает в себя две процедуры:

Ø выработку (вычисление) подписи;

Ø проверку подписанных сообщений.

Процедура выработки подписи использует информацию, известную только подписыва­ющему. Процедура проверки подписи является общедоступной, при этом, однако, она не позволяет раскрывать секретную информацию подписывающего.

Механизмы управления доступом. В ходе принятия решения о предоставлении запра­шиваемого доступа могут использоваться следующие виды и источники информации:

Ø базы данных управления доступом. В такой базе, поддерживаемой централизован­но или на оконечных системах, могут храниться списки управления доступом или структуры аналогичного назначения;

Ø пароли или иная аутентификационная информация;

Ø различные удостоверения, предъявление которых свидетельствует о наличии прав доступа;

Ø метки безопасности, ассоциированные с субъектами и объектами доступа;

Ø время запрашиваемого доступа;

Ø маршрут запрашиваемого доступа;

Ø длительность запрашиваемого доступа.

Механизмы управления доступом могут находиться у любой из вза­имодействующих сторон или в промежуточной точке. В промежуточных точках целесообразно проверять права доступа к коммуникационным ресурсам. Требования механизма, расположенного на приемном конце, должны быть известны заранее, до начала взаимодействия.

Механизмы контроля целостности. Различают два аспекта цело­стности: целостность сообщения или отдельных его полей и целостность потока сообщений.

Процедура контроля целостности отдельного сообщения (или по­ля) включает в себя два процесса — один на передающей стороне, другой — на приемной. На передающей сто­роне к сообщению добавляется избы­точность (та или иная разновидность контрольной суммы), которая являет­ся функцией сообщения. Полученное приемной стороной сооб­щение также используется для вычисления контрольной суммы. Решение принимается по результатам сравнения принятой и вычисленной контрольных сумм. Отметим, что данный механизм не защищает от несанкционированного воспроизведения (например, дублирования) сообщений.

Для проверки целостности потока сообщений (то есть для защиты от изъятия, переупо­рядочивания и вставки сообщений) используются порядковые 30номера, временные метки, криптографичес­кие методы (в виде различных режимов шифрова­ния) или иные анало­гичные приемы.

При взаимодействии без установления соединения использование временных меток мо­жет обеспечить частичную защиту от несанкцио­нирован­ного воспроизведения сообще­ний.

Механизмы аутентификации. Аутентификация может достигаться за счет использова­ния паролей, персональных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрической инфор­мации.

Аутентификация бывает односторонней (например, клиент доказывает свою подлин­ность серверу) и двусторонней (взаимной). Пример односторонней аутентификации — вход пользователя в систему.

Для защиты от несанкционированного воспроизведения аутентифи­ка­ционной инфор­мации могут использоваться временные метки и система единого времени, а также различные методы на основе хэш-функций.

Механизмы дополнения («набивки») трафика. Механизмы «на­бив­ки» трафика эф­фективны только в сочетании с мерами по обеспе­чению конфиденциальности; в против­ном случае злоумышленник сможет выде­лить полезные сообщения из общего потока, содержащего шумовую «набивку».

Механизмы нотаризации. Механизм нотаризации служит для заверения подлинности. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, для того чтобы ее заверениям можно было доверять. Как правило, но­таризация опирается на механизм электронной цифровой подписи.

Администрирование

Администрирование включает в себя управление информацией, необходимой для реализации услуг безопасности и их механизмов, а также сбор и анализ информации об их функциониро­вании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

Как правило, все объекты администрирования сводятся в единую ин­формационную базу управления безопасностью. База может не сущест­вовать как единое распределенное храни­лище, однако каждая из конечных систем должна располагать информацией, необходимой для реализации функций администрирования.

Основные задачи администратора средств безопасности сводятся к администрированию:

Ø системы в целом;

Ø услуг безопасности;

Ø механизмов реализации услуг безопасности.

Администрирование системы в целом заключается в проведении адекватной политики безопасности, во взаимодействии с другими службами, в реагировании на происходящие со­бытия, аудит и безопасном и надежном восстановлении.

Администрирование услуг безопасности включает в себя определе­ние защищаемых объ­ектов, выбор и комбинирование механизмов реализа­ции услуг безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.

Администрирование механизмов реализации услуг безопасности заключается в выборе и своевременной смене параметров в случае возник­новения угрозы.

Обязанности администратора определяются перечнем задейство­ванных механизмов реализации услуг безопасности. Как правило, адми­нистрирование включает следующие направления:

1) управление ключами (генерация и распределение). К данному виду управления можно отнести и администрирование механизмов электронной цифровой подписи, а также управление целостностью, если целостность обеспечивается криптографическими сред­ствами;

2) администрирование управления доступом (распределение инфор­мации, необходимой для управления, — паролей, списков доступа);

3) администрирование аутентификации (распределение информации, необходимой для ау­тентификации, — паролей, ключей и т.п.);

4) управление «набивкой» трафика — выработка правил, задающих характеристики «шумовых» сообщений. Характеристики могут варьи­роваться в зависимости от даты и времени суток;

5) управление нотаризацией (распространение информации о нотариальных службах и их администрирование).

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

1234567

double arrow
Сейчас читают про:
article image
Расчет нормальной концентрации
article image
Соучастие в преступлении: понятие и признаки. Виды соучастников и формы соучастия
article image
НЭП: ПРИЧИНЫ, СУЩНОСТЬ И ПРОТИВОРЕЧИЯ
article image
Среднее квадратическое отклонение
article image
Основные теории происхождения государства
article image
Гражданская война в России. Причины, ход, итоги и последствия
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Теория – командир, практика – солдаты. © Леонардо да Винчи ==> читать все изречения...
like icon 6398
like icon 6132
Понравился сайт? Поделись им с друзьями: