Сервисы сетевой безопасности

В разных программных и аппаратных продуктах, предназначенных для защиты данных; часто используются одинаковые подходы, приемы и технические реше­ния. Такие средства, называемые также сервисами сетевой безопасности, решают самые разнообразные задачи по защите системы, обеспечивая, например, контроль доступа, включающий процедуры аутентификации и авторизации, аудит, шиф­рование информации, антивирусную защиту, контроль сетевого трафика и пр. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуни­кационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности. Опреде­лим основные из них.

Шифрование — это краеугольный камень всех систем информационной безопас­ности, будь то система аутентификации или авторизации, защищенный канал или система безопасного хранения данных. Любая процедура шифрования, превра­щающая информацию из обычного «понятного» вида в «нечитабельный» зашиф­рованный вид, естественно должна быть дополнена процедурой дешифрирования, которая после применения к зашифрованному тексту снова делает его «понят­ным». Пара процедур — шифрование и дешифрирование — называется крипто­системой.

Аутентификация предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с ла­тинского означает «установление подлинности». В качестве объектов, требую­щих аутентификации, могут выступать не только пользователи, но и различные устройства, приложения, текстовая и другая информация. Так, пользователь, об­ращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений. При установлении сеанса связи между двумя устройст­вами также часто предусматриваются процедуры взаимной аутентификации на более низком, канальном уровне. Аутентификация данных означает доказатель­ство целостности этих данных, а также факт их поступления именно от того че­ловека, который объявил об этом. Для этого используется механизм электрон­ной подписи. Аутентификацию следует отличать от идентификации.

Идентификация заключается в сообщении пользователем системе своего иден­тификатора, в то время как аутентификация — это процедура доказательства пользо­вателем того, что он является тем, за кого себя выдает, в частности доказательство того, что именно ему принадлежит введенный им идентификатор. Идентифика­торы пользователей применяются в системе с теми же целями, что и идентифи­каторы любых других объектов (файлов, процессов, структур данных), и они не всегда связаны непосредственно с обеспечением безопасности.

Авторизация — процедура контроля доступа легальных пользователей к ресурсам системы с предоставлением каждому из них именно тех прав, которые определе­ны ему администратором. Помимо предоставления пользователям прав доступа к каталогам, файлам и принтерам, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резерв­ных копий данных, выключение сервера и т. п.

Аудит — фиксация в системном журнале событий, связанных с доступом к защи­щаемым системным ресурсам. Подсистема аудита современных ОС позволяет дифференцированно задавать перечень интересующих администратора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, свя­занные с безопасностью; любые попытки (в том числе и неудачные) создать, по­лучить доступ или удалить системные ресурсы.

Технология защищенного канала обеспечивает безопасность передачи данных по открытой транспортной сети, например по Интернету, за счет:

□ взаимной аутентификации абонентов при установлении соединения;

□ защиты передаваемых по каналу сообщений от несанкционированного до­ступа;

□ обеспечения целостности поступающих по каналу сообщений.