Стандартизація в галузі безпеки телекомунікаційних систем
Питання безпеки телекомунікаційних систем стають дедалі гост-рішими. В Internet і глобальних мережах хазяюють хакери, абонен-тів стільникових мереж непокоять фрекери, а з банків із допомогою засобів комп’ютерних комунікацій викрадається вчетверо більше, ніж за озброєних пограбувань. Серед основних способів несанкціонованого отримання інфор-мації можна назвати: 1) перехоплення електронних випромінювань у каналах зв’язку; 2) застосування підслуховуючих пристроїв; 3) дистанційне фотографування (наприклад, екрана); 4) перехоплення акустичних випромінювань і відновлення тексту принтера; 5) крадіжка носіїв інформації та виробничих відходів; 6) зчитування даних у масивах інших користувачів; 7) читання залишкової інформації в пам’яті системи після вико-нання санкціонованих запитів; 8) маскування під зареєстрованого користувача; 9) маскування під запит системи (містифікація); 10) незаконне підключення до апаратури і ліній зв’язку. У зв’язку з цим існує необхідність у розробці ефективних технологій захисту інформації. Технологія забезпечення безпеки інформаційних систем пройшла 3 фази в своєму розвитку: 1) захист даних (пов’язаний з кодуванням даних), орієнтований на запобігання несанкціонованому доступові до інформації; 2) захист системи (пов’язаний із захистом системи від руйнувань і внесення змін). В окремих випадках система захищається від неса-нкціонованого використання ресурсів. До руйнування і спотворення можуть призвести також збої технічних і програмних засобів, пере-шкоди в каналах зв’язку. 3) перевірка системи (призначена для виявлення спроб несанкціонованого використання або спотворення даних). Передбачає реєстрацію дій користувачів, визначення їхніх повноважень і відповідності їх виконаним діям. На основі перевірки системи можна робити висновки про несанкціонований доступ, можливі порушення ціліс-ності даних і т. ін. Для забезпечення безпеки інформаційних систем розробляються різні заходи, які знаходять відображення в стандартах і законодав-чих актах. Так, одним із основних стандартів у цій сфері є Стандарт з орга-нізації захисту (МККТТ) — Х.800. У ньому вирізняються такі по-няття, як загроза безпеці, служби безпеки, механізми безпеки, з до-помогою яких описується технологія забезпечення безпеки в мережах передачі даних. Так, загроза безпеці — це дія чи подія, яка може призвести до руйнування, спотворення або несанкціонованого доступу до ресур-сів мережі. Загрози поділяються на: • випадкові (наприклад, користувач ввів не той пароль, але він спрацював); • ненавмисні (випадково видалили інформацію); • навмисні (активні, скажімо, порушення функціонування систе-ми через вплив на її програмні, технічні, інформаційні ресурси; па-сивні — несанкціоноване використання ресурсів). Найбільші загрози безпеці: 1) відкриття конфіденційної інформації; 2) компрометація інформації; 3) несанкціоноване використання ресурсів; 4) помилкове використання ресурсів; 5) несанкціонований обмін інформацією; 6) відмова від інформації; 7) відмова від обслуговування. Поняття «служби безпеки» передбачає специфікацію на концеп-туальному рівні напрямків нейтралізації загроз безпеці. Ці напрямки реалізуються механізмами безпеки. Служби безпеки передбачають тактичний і стратегічний рівень захисту інформації. Тактичний рівень призначений для захисту інформації від несан-кціонованого використання впродовж декількох хвилин або днів. Наприклад, для недопущення підслуховування роботи принтера, введення паролів. Стратегічний рівень використовується в ситуаціях, коли перед-бачається, що висококваліфіковані, технічно добре оснащені спеці-алісти витратять на дешифрування перехоплених повідомлень від декількох місяців до декількох днів. Наприклад, зміна паролів сис-теми Novell Netware, зміна алгоритмів шифрування повідомлень. ISO визначає такі служби безпеки: 1. Автентифікація — підтвердження чи заперечення того, що відправник інформації саме той, якого вказано. 2. Забезпечення цілісності — виявлення спотворень, вставок, по-вторів знищених даних; може бути з відновленням даних. 3. Засекречування даних. Ця служба призначена для перетворення інформації у вигляд, недоступний для безпосереднього використання (забезпечує різноманітні перетворення даних до передачі їх у канал). 4. Контроль доступу. Призначений для запобігання несанкціонованому доступові до ресурсів мережі. Може бути: повним (до ре-сурсу в цілому, незалежно від способу його використання); вибірко-вим (поширюється на окремі види доступу до ресурсів, наприклад, на модифікацію бази даних). 5. Захист від відмови. Спрямований на нейтралізацію загрози відмови від інформації з боку її відправника чи отримувача. Буває з підтвердженням джерела і підтвердженням доставки. Перший варі-ант забезпечує отримувача інформації доказами (у вигляді даних), які виключають спроби відправника заперечувати факт передачі ін-формації або її зміст. Другий варіант забезпечує відправника дока-зами, що виключають спроби отримувача заперечувати факт її отримання або зміст. Збирається статистика про проходження по-відомлень, щоб мати можливості підтвердити пересилання чи отри-мання повідомлення. Під механізмами безпеки розуміють конкретні методи, що нейт-ралізують загрозу безпеки. Методи захисту інформації поділяються на: 1) шифрування даних, 2) цифровий (електронний) підпис, 3) контроль доступу, 4) забезпечення цілісності даних, 5) підстановки трафіка, 6) управління маршрутизацією, 7) арбітраж чи освідчення. Для служби автентифікації можна використати 1) —3); для служби забезпечення цілісності — 4), частково 6); для служби засекречування — 1) і 5); для служби контролю доступу — 3); для служби за-хисту від відмов — 2) і 7). 1) Шифрування даних використовується для того, щоб утруд-нити сприйняття інформації сторонніми особами. Існує декілька методів шифрування. Шифрування даних вхідного повідомлення базується на спеціальних криптографічних алгоритмах. Шифру-вання може бути симетричним (із закритим ключем) чи асиметри-чним (із відкритим ключем). Для симетричного шифрування вико-ристовується один секретний ключ (його мають і джерело, і отримувач). Він же використовується для розшифровування повід-омлень. У разі асиметричного шифрування використовується один ключ (загальнодоступний), для дешифрування — інший (секретний). Мо-же бути навпаки. Знання загальнодоступного ключа не дає можли-вості визначити секретний. Для шифрування і дешифрування вико-ристовуються різні алгоритми на обернених функціях. Один із найбільш відомих методів асиметричного шифрування — метод RSA (за першими буквами прізвищ авторів, які запропонували фун-кцію шифрування в 1978 р., — Ріверст, Шамір, Адлеман). 2) Електронний підпис (спеціальна послідовність символів) ос-новується на RSA-шифруванні. Представлення електронного підпису зазвичай передбачає дві дії: 1) складання підпису і занесення його в повідомлення (для скла-дання підпису використовується алгоритм RSA); 2) розпізнавання отримувачем — спеціальні дискети дозволяють знімати електронний підпис, знищити вже надісланий, але непотрібний файл. Приклад — Промінвестбанк, пакет Exellence. Електронний підпис може використовуватися для реалізації служб автентифікації та захисту від відмов. 3) Контроль доступу здійснюється найчастіше за паролем. Крім пароля, може бути спеціальне технічне приладдя для ідентифікації користувача (типу магнітних карт). Механізм паролів дозволяє пе-ревірити повноваження на доступ до ресурсів мережі. Автентифікація буває односторонньою та взаємною. Вона забез-печується механізмом шифрування, цифровим підписом. Автентифікація змушує користувача підтверджувати свою істин-ність. Можуть застосовуватися такі методи: 1. Вимога, аби суб’єкт надав речовий доказ, що підтверджує осо-бистість. Приміром, магнітна картка. 2. Вимога, щоби суб’єкт сповістив дещо, відоме лише йому. Скажімо, пароль, фразу, число. 3. Вимога, щоб суб’єкт надав дещо, властиве лише йому. Напри-клад, голос, відбиток пальця, малюнок сітківки ока. 4) Механізм цілісності реалізується через приєднання до кожно-го пакета контрольних сум, нумерації блоків. Для забезпечення ви-явлення підміни блоки можуть позначатися мітками часу. 5) Підстановка трафіка, коли механізм заповнення тексту вико-ристовується для служби засекречування потоку даних. Об’єкти ме-режі (спеціальне обладнання) генерують фіктивні блоки і передають їх каналами (додатковий трафік). 6) Управління маршрутизацією повинне визначити маршрут передачі повідомлення таким чином, щоб виключити використання каналів, де можлива крадіжка, для секретної інформації. 7) Арбітраж чи освідчення використовується для того, щоб ко-ристувач і отримувач інформації не могли відмовитися від факту передачі повідомлення. Для цього в системі створюється спеціальна служба, через яку проходять і реєструються всі повідомлення. За-звичай реєстрація повідомлень виконується автоматично, а їх аналіз здійснює окремий спеціаліст (арбітр). Подібна служба може сприя-ти виявленню джерела несанкціонованого доступу до системи. Можна зібрати статистику про роботу системи. Розробці стандартів з безпеки приділяється величезна увага в ба-гатьох країнах. У США є центр національної безпеки ЕОМ МО. Він видає спеціальні стандарти: 1. Оранжева книга — оцінка захищеності автономних ЕОМ. 2. Жовта книга — керівництво щодо середовища, захист від зо-внішніх впливів. 3. Червона книга — оцінка захищеності комп’ютерних мереж. 4. Зелена книга — керівництво з розробки адміністративних си-стем інформації та документів із засекречування інформації в ба-зах даних. В Україні створено Державний комітет з питань державних сек-ретів і технічного захисту інформації, яким розроблено ряд норма-тивних документів щодо захисту інформації, зокрема: Концепцію технічного захисту інформації в Україні, Положення про технічний захист інформації в Україні. Прийнято Закон України «Про захист інформації в автоматизованих системах». Основними стандартами в галузі безпеки телекомунікаційних систем є: перевірка оригінальності (автентифікація) — ISO 8730-90, ISO/IES 9594-90, ITU X.509; цілісність — ГОСТ 28147-89, ISO8731-90; цифровий підпис — ISO7498, P 34.10—94 (Росія), DSS (Digital Signature Standard, США). Існують також стандарти фірм для захисту різноманітних теле-комунікаційних систем: SKIP (Simple Key Management for Internet Protocol) — стандарт компанії Sun Microsystems для захисту корпоративної мережі; SET (Secure Electronic Transaction) — стандарт Visa MasterCard для шифрування платіжних операцій в Internet; IPSec (Internet Protocol Security) — стандарт на засоби забезпе-чення безпеки в Internet. Запропонований групою інженерної під-тримки.
Ви переглядаєте статтю (реферат): «Стандартизація в галузі безпеки телекомунікаційних систем» з дисципліни «Телекомунікації в бізнесі»
