Криптографические методы обеспечения конфиденциальности информации
Обычно применяются следующие криптографические примитивы:
Симметричные криптосистемы – для шифровки и расшифровки информации используется один и тот же ключ
Асимметричные криптосистемы – наличие открытого и закрытого ключа
Методы защиты внешнего периметра
Подсистема защиты внешнего периметра АС обычно включает в себя 2 основных механизма: 1) Средство межсетевого экранирования 2) Средство обнаружения вторжений
Межсетевой экран выполняет функции разграничения информационных потоков на границе защищаемой автоматизированной системы. Это позволяет:
Повысить безопасность объектов внутренней среды за счет игнорирования неавторизованных запросов внешней среды
Контролирует информационные потоки во внешнюю среду
Обеспечивает регистрацию процессов информационного обмена
Существуют следующие основные классы межсетевых экранов:
OSI – фильтры пакетов – простейший класс межсетевых экранов, работающих на сетевом и транспортном уровне моделей OSI. Фильтрация пакетов обычно осуществляется по следующим параметрам:
IP адрес получателя
IP адрес источника
Порт получателя
Порт источника
Специфические параметры заголовков сетевых пакетов
Фильтрация осуществляется путем сравнения перечисленных параметров заголовков сетевых пакетов с базой правил фильтрации.
Данные шлюзы работают на сеансовом уровне модели OSI. В отличии от фильтра пакетов, они могут контролировать допустимость сеанса связи, анализируя параметры протоколов сеансового уровня.
Шлюзы прикладного уровня.
Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. С данной целью применяются прокси-серверы – программы специального назначения, управляющие трафиком через межсетевой экран для определенных высокоуровневых протоколов, например ftp, http, telnet.
Межсетевые экраны экспертного уровня
Вместо прокси-серверов в таких экранах используются алгоритмы обработки и распознавания данных на уровне приложений. Данные сетевые экраны являются самыми сложными.
Системы обнаружения вторжений
Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа или его попыток к ресурсам АС.
Системы обнаружения вторжения представляют собой программно-аппаратный комплекс, решающий эту задачу.
Схема системы обнаружения вторжения:
Алгоритм функционирования системы IDS:
Существуют 2 основных категории систем IDS:
IDS уровня сети – в таких системах сенсор функционирует на выделенном для этих целей хосте в защищаемом сегменте сети. Обычно сетевой адаптер данного хоста работает в режиме прослушивания, что позволяет анализировать весь сетевой трафик, проходящий в сегменте.
IDS уровня хоста – в случае, если сенсор функционирует на уровне хоста, для анализа может быть использована следующая информация:
Записи стандартных средств протоколирования операционной системы
Информация об используемых ресурсах
Профили ожидаемого поведения пользователей
Протоколирование и аудит
Протоколирование (регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующий все события, относящиеся к информационной безопасности.
Аудит – анализ протоколируемой информации с целью выявления (оперативного) и предотвращения нарушения режима информационной безопасности.
Назначение механизма протоколирования и аудита:
Обеспечение подотчетности пользователей и администраторов
Обеспечение возможности реконструкции последовательности событий
Обнаружение попыток нарушения информационной безопасности
Предоставление информации для выявления и анализа технических проблем, не связанных напрямую с безопасностью
Протоколируемые данные помещаются в регистрационный журнал, который представляет собой хронологически упорядоченную совокупность записей результатов деятельности субъектов АС, достаточную для восстановления, просмотра и анализа последовательности действий с целью контроля конечного результата.
Типовая запись регистрационного журнала:
Временная мерка |
Тип события |
Инициатор события |
Результат события |