Коды проверки подлинности

Часто криптографические хеш-функции используются в качестве средств контрольного суммирования. Например, для некоторого файла, помещенного для публичного доступа на ftp сервере, может быть приведен его хеш, подсчитанный с использованием некоторого алгоритма (Чаще других применяется алгоритм md5). В этом случае пользователь, скачавший данный файл, может убедиться в его подлинности. Однако, и злоумышленник может подменить файл и привести хеш, соответствующий новому файлу. Выявить подобные манипуляции, используя обычные хеш-функции невозможно. Защита от подобного рода атак обеспечивается путем применения кодов проверки подлинности.

Коды проверки подлинности или MAC-коды, представляют собой криптографические хеш-функции для вычисления которых необходимо знать секретный ключ. Использование ключа позволяет гарантировать невозможность подмены защищаемых объектов аналогично приведенным выше, т.к. злоумышленник, не знающий секретного ключа, не сможет пересчитать хеш для нового файла.

Построение систем защиты от угроз нарушения доступности

В общем случае обеспечение защиты от угроз нарушения доступности информации реализуется путем создания той или иной избыточности.

Структурная схема системы защиты от угроз нарушения доступности.

Дублирование каналов связи может осуществляться как в пределах АС, так и в отношении каналов связывающих АС с внешней средой.

Дублирование шлюзов межсетевых экранов позволяет избежать ситуации, когда *** АС не нарушается из-за неисправности ***, представляющего узкое место – единую точку входа для всего трафика

Резервное копирование информации является первым из важнейших механизмов обеспечивающих ее доступность и целостность. Используются следующие методы копирования:

1. Полное (FULL) в этом случае все без исключения файлы, потенциально подвергаемые резервному копированию, переносятся на резервный носитель.

2. Incremental – резервному копированию подвергаются только файлы, измененные с момента последнего инкрементального копирования.

3. Differential – копируются файлы, измененные с помента полного копирования. Количество копируемых данных в этом случае с каждым разом возрастает

на практике резервное копирование обычно осуществляется образом периодически проводится полное резервное копирование в промежутках инкрементальной или дифференциальной. Выбор между ними осуществляется с учетом требуемых характеристик подсистемы резервного копирования:

Инкрементальная выполняется быстрее, однако в случае дифференциального копирования легче восстановить оригинал по резервной копии.

Использование RAID массивов решает задачу оптимального с точки зрения надежности и производительности распределения данных по дисковым накопителям. Выделяют следующие типы RAID массивов:

1. 0 уровень – в данном случае несколько дисков представляется как 1 виртуальный диск, защита от сбоев никак не обеспечивается.

2. 1 уровень – реализуется зеркалирование т.е. идентичные данные хранятся на нескольких, обычно двух дисках. Данные вариант обеспечивает надлежащую защиту от сбоев носителя, однако чрезвычайно неэффективный.

3. 2 уровень – Биты данных поочередно распределются на нескольких дисках, также имеются выделенные диски, содержащие контрольные суммы. Для контроля ошибок используется код документа. Всего используется 39 дисков. 32 с данными, 7 с контрольными суммами. На практике используется редко.

4. Уровень 3 и 4 – Байты или блоки данных записываются на *** диски. Биты четности на выделенный диск. WTF? 0_о

5. Уровень 5 – Данные и контрольные суммы распределяются по всем дискам. Достоинство данного подхода состоит в том, что возможно одновременное выполнение нескольких операций чтения или записи, что значительно повышает общую производительность системы.

6. Уровень 6 – Функционирование аналогично массивом уровня 5. Дополнительно на аппаратном уровне реализовано представление массива в виде единого виртуального диска.

Иногда на практике используются другие уровни RAID’а, представляющие собой нестандартизованные комбинации перечисленных.