- •«Утверждаю»
- •Конспект лекций
- •Средства обеспечения информационной безопасности в телекоммуникационных системах
- •Литература
- •Основные понятия информационной безопасности (иб)
- •1.1. Постановка задачи сетевой безопасности
- •1.2. Основные понятия информационной безопасности
- •1.3. Классификация угроз безопасности корпоративных сетей
- •Пути реализации угроз безопасности сети
- •1.4. Обеспечение безопасности сетей передачи данных
- •1.4.1. Основные виды политики безопасности
- •1.4.2. Построение системы защиты сети
- •1.5. Базовые технологии безопасности сетей
- •1.5.1. Аутентификация
- •1.5.2. Авторизация доступа
- •1.5.3. Аудит
- •1.5.4. Технология защищенного канала
- •Принципы криптографической защиты информации
- •2.1. Схема симметричной криптосистемы
- •2.2. Схема асимметричной криптосистемы
- •2.3. Аппаратно-программные средства защиты компьютерной информации
- •3. Современные симметричные криптосистемы
- •3.1 Классическая сеть Фейстеля
- •3.2. Американский стандарт шифрования данных des
- •Функция h завершающей обработки ключа
- •3.2.1. Основные режимы работы алгоритма des
- •Режим "Электронная кодовая книга"
- •Режим "Сцепление блоков шифра"
- •Режим "Обратная связь по шифру"
- •Режим "Обратная связь по выходу"
- •3.3. Области применения алгоритма des
- •3.4. Комбинирование блочных алгоритмов
- •3.5. Алгоритм шифрования данных idea
- •Подключи шифрования и расшифрования алгоритма idea
- •3.6. Отечественный стандарт шифрования данных
- •Режим простой замены
- •Режим гаммирования
- •Режим гаммирования с обратной связью
- •Режим выработки имитовставки
- •3.7. Блочные и поточные шифры
- •Основные характеристики криптосистем
- •4. Асимметричные криптосистемы
- •4.1. Концепция криптосистемы с открытым ключом
- •4.2. Однонаправленные функции
- •4.3. Криптосистема шифрования данных rsa
- •4.3.1. Процедуры шифрования и расшифрования в
- •4.3.2. Безопасность и быстродействие криптосистемы
- •Оценки длин ключей для асимметричных криптосистем, бит
- •4.4. Схема шифрования Полига – Хеллмана
- •4.5. Схема шифрования Эль Гамаля
- •Скорости работы схемы Эль Гамаля
- •4.6. Комбинированный метод шифрования
- •Длины ключей для симметричных и асимметричных криптосистем при
- •5. Идентификация и проверка подлинности
- •5.1. Основные понятия и концепции
- •5.2. Идентификация и аутентификация пользователя
- •5.2.1 Типовые схемы идентификации и аутентификации
- •5.2.2. Биометрическая идентификация и
- •5.3. Взаимная проверка подлинности пользователей
- •5.4. Протоколы идентификации с нулевой передачей
- •5.4.1. Упрощенная схема идентификации с нулевой
- •6. Электронная цифровая подпись
- •6.1. Проблема аутентификации данных и электронная
- •6.2. Однонаправленные хэш-функции
- •6.2.1. Однонаправленные хэш-функции на основе
- •Схемы безопасного хэширования, у которых длина хэш-значения
- •6.2.2. Отечественный стандарт хэш-функции
- •6.3. Алгоритмы электронной цифровой подписи
- •6.3.1. Алгоритм цифровой подписи rsa
- •6.3.2. Алгоритм цифровой подписи Эль Гамаля (egsa)
- •6.3.3. Алгоритм цифровой подписи dsa
- •6.3.4. Отечественный стандарт цифровой подписи
- •6.4. Цифровые подписи с дополнительными
- •6.4.1. Схемы слепой подписи
- •6.4.2. Схемы неоспоримой подписи
- •7. Управление криптографическими ключами
- •7.1. Генерация ключей
- •7.2. Хранение ключей
- •7.2.1. Носители ключевой информации
- •7.2.2. Концепция иерархии ключей
- •7.3. Распределение ключей
- •7.3.1. Распределение ключей с участием центра
- •7.3.2. Протокол аутентификации и распределения
- •7.3.3. Протокол для асимметричных криптосистем с
- •7.3.4. Прямой обмен ключами между пользователями
1.5. Базовые технологии безопасности сетей
В разных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения. К таким базовым технологиям безопасности относятся аутентификация, авторизация, аудит и технология защищенного канала.
1.5.1. Аутентификация
Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с латинского означает «установление подлинности». Аутентификацию следует отличать от идентификации. Идентификаторы пользователей используются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредственно с обеспечением безопасности. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация – это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит введенный им идентификатор.
В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона – аутентификатор – проверяет эти доказательства и принимает решение. В качестве доказательства аутентичности используются самые разнообразные приемы:
аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, прозвища человека и т. п.);
аутентифицируемый может продемонстрировать, что он владеет неким уникальным предметом (физическим ключом), в качестве которого может выступать, например, электронная магнитная карта;
аутентифицируемый может доказать свою идентичность, используя собственные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентификатора.
Сетевые службы аутентификации строятся на основе всех этих приемов, по чаще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уровня угрозы от раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства для формирования политики назначения и использования паролей: задание максимального и минимального сроков действия пароля, хранение списка уже использованных паролей, управление поведением системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед передачей в сеть.
1.5.2. Авторизация доступа
Средства авторизации (authorization) контролируют доступ легальных пользователей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа пользователям к каталогам, файлам и принтерам система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание резервных копий данных, выключение сервера и т. п.
Система авторизации наделяет пользователя сети правами выполнять определенные действия над определенными ресурсами.
Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему или в приложение, а также могут поставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем:
□ централизованная схема авторизации, базирующаяся на сервере;
□ децентрализованная схема, базирующаяся на рабочих станциях.
В первой схеме сервер управляет процессом предоставления ресурсов пользователю. Главная цель таких систем – реализовать «принцип единого входа». В соответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети. Система Kerberos с ее сервером безопасности и архитектурой клиент-сервер является наиболее известной системой этого типа. Системы TACACS и RADIUS, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход.
При втором подходе рабочая станция сама является защищенной – средства защиты работают на каждой машине, и сервер не требуется.
В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети: сервер удаленного доступа ограничивает доступ пользователя к подсетям или серверам корпоративной сети, то есть к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам: разделяемым каталогам, принтерам или приложениям.