Защита каналов связи
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
В°имодействия на базе цифровых сертификатов.
Текущий набор стандартов IPSec включает в себя базовые спецификации, определенные в документах RFC (RFC 2401-2412, 2451). Request for Comments (RFC) - серия документов группы Internet Engineering Task Force (IETF), начатая в 1969 году и содержащая описания набора протоколов Internet. Архитектура системы определена в RFC 2401 Security Architecture for Internet Protocol, а спецификации основных протоколов в следующих RFC:
RFC 2402 IP Authentication Header - спецификация протокола AH, обеспечивающего целостность и аутентификацию источника передаваемых IP-пакетов;
RFC 2406 IP Encapsulating Security Payload - спецификация протокола ESP, обеспечивающая конфиденциальность (шифрование), целостность и аутентификацию источника передаваемых IP-пакетов;
RFC 2408 Internet Security Association and Key Management Protocol - спецификация протокола ISAKMP, обеспечивающего согласование параметров, создание, изменение, уничтожение защищенных виртуальных каналов (Security Association - SA) и управление необходимыми ключами;
RFC 2409 The Internet Key Exchange - спецификация протокола IKE (включает в себя ISAKMP), обеспечивающего согласование параметров, создание, изменение и уничтожение SA, согласование, генерацию и распространение ключевого материала, необходимого для создания SA.
Протоколы AH и ESP могут использоваться как совместно, так и отдельно. Протокол IPSec для обеспечения безопасного сетевого взаимодействия использует симметричные алгоритмы шифрования и соответствующие ключи. Механизмы генерации и распространения таких ключей предоставляет протокол IKE.
Защищенный виртуальный канал (SA) - важное понятие в технологии IPSec. SA - направленное логическое соединение между двумя системами, поддерживающими протокол IPSec, которое однозначно идентифицируется следующими тремя параметрами:
индексом защищенного соединения (Security Parameter Index, SPI - 32-битная константа, используемая для идентификации различных SA c одинаковыми IP-адресом получателя и протоколом безопасности);
IP-адресом получателя IP-пакетов (IP Destination Address);
протоколом безопасности (Security Protocol - один из AH или ESP протоколов).
В качестве примера, на рисунке 2 приводится решение удаленного доступа по защищенному каналу компании Cisco Systems на базе протокола IPSec. На компьютер удаленного пользователя устанавливается специальное программное обеспечение Cisco VPN Client. Существуют версии данного программного обеспечения для различных операционных систем - MS Windows, Linux, Solaris.
Рисунок 2. - Удаленный доступ по защищенному каналу с
использованием VPN-концентратора
VPN Client взаимодействует с Cisco VPN Series 3000 Concentrator и создает защищенное соединение, которое называется IPSec-туннелем, между компьютером пользователя и частной сетью, находящейся за VPN-концентратором. VPN-концентратор представляет собой устройство, которое терминирует IPSec-туннели от удаленных пользователей и управляет процессами установки защищенных соединений с VPN-клиентами, установленными на компьютерах пользователей. К недостаткам такого решения можно отнести отсутствие поддержки компанией Cisco Systems российских алгоритмов шифрования, хеширования и электронной цифровой подписи.
3. Технологии информационной безопасности в информационно-
телекоммуникационных системах (ИТС)
телекоммуникационный защита информация канал связь
Эффективная поддержка процессов государственного управления с использованием средств и информационных ресурсов (ИИР) возможна только в том случае, если система будет обладать свойством защищенности, которое обеспечивается реализацией комплексной системы защиты информации, включающей базовые компоненты защиты - систему управления доступом на объекты ИТС, систему видеонаблюдения и систему безопасности информации.
Краеугольным камнем комплексной системы защиты является система безопасности информации, концептуальные положения которой вытекают из особенностей построения системы и составляющих ее подсистем и понятия защищенной системы, которое может быть сформулировано следующим образом:
Защищенная ИТС - информационно-телекоммуникационная система, обеспечивающая устойчивое выполнение целевой функции в рамках заданного перечня угроз безопасности и модели действий нарушителя.
Перечень угроз безопасности и модель действий нарушителя определяется широким спектром факторов, включающих эксплуатационный процесс ИТС, возможные ошибочные и несанкционированные действий обслуживающего персонала и пользователей, отказы и сбои оборудования, пассивные и активные действия нарушителей.
При построении ИТС органам государственной власти (ОГВ) целесообразно рассматривать три базовые категории угроз безопасности информации, которые могут привести к нарушению выполнения основной целевой функции системы - эффективная поддержка процессов государственного управления:
отказы и сбои в аппаратных средствах системы, аварийные ситуации и т.п. (события без участия человека);
ошибочные действия и непреднамеренные несанкционированные действия обслуживающего персонала и абонентов системы;
несанкционированные действия (пассивные и активные) нарушителей.
Несанкционированные действия нарушителя могут относиться к пассивным действиям (перехват информации в канале связи, перехват информации в технических каналах утечки) и к активным действиям (перехват информации с носителей информации с явным нарушением правил доступа к информационным ресурсам, искажение информации в канале связи, искажение, ?/p>