Появление стандартных технологий локальных сетей
В середине 80-х годов утвердились стандартные технологии объединения компьютеров в сеть — Ethernet, Arcnet, Token Ring, Token Bus, несколько позже — FDDI.
Все стандартные технологии локальных сетей опирались на тот же принцип коммутации, который был с успехом опробован и доказал свои преимущества при передаче трафика данных в глобальных компьютерных сетях — принцип коммутации пакетов.
Стандартные сетевые технологии сделали задачу построения локальной сети почти тривиальной. Для создания сети достаточно было приобрести сетевые адаптеры соответствующего стандарта, например Ethernet, стандартный кабель, присоединить адаптеры к кабелю стандартными разъемами и установить на компьютер одну из популярных сетевых операционных систем, например Novell NetWare. После этого сеть начинала работать, и последующее присоединение каждого нового компьютера не вызывало никаких проблем — естественно, если на нем был установлен сетевой адаптер той же технологии.
В 80-е годы были приняты основные стандарты на коммуникационные технологии для локальных сетей: в 1980 году — Ethernet, в 1985 — Token Ring, в конце 80-х — FDDI. Это позволило обеспечить совместимость сетевых операционных систем на нижних уровнях, а также стандартизировать интерфейс ОС с драйверами сетевых адаптеров.
Конец 90-х выявил явного лидера среди технологий локальных сетей — семейство Ethernet, в которое вошли классическая технология Ethernet 10 Мбит/c, а также Fast Ethernet 100 Мбит/c и Gigabit Ethernet 1000 Мбит/c. Простые алгоритмы работы предопределили низкую стоимость оборудования Ethernet. Широкий диапазон скоростей позволяет рационально строить локальную сеть, применяя ту технологию, которая в наибольшей степени отвечает задачам предприятия и потребностям пользователей. Важно также, что все технологии Ethernet очень близки друг другу по принципам работы, что упрощает обслуживание и интеграцию построенных на их основе сетей. Начало 80-х годов связано с еще одним знаменательным для истории сетей событием — появлением персональных компьютеров.
Эти устройства стали идеальными элементами для построения сетей: с одной стороны, они были достаточно мощными для работы сетевого программного обеспечения, а с другой — явно нуждались в объединении вычислительной мощности для решения сложных задач, а также разделения дорогих периферийных устройств и дисковых массивов. Поэтому персональные компьютеры стали активно использоваться в локальных сетях, причем не только в качестве клиентских компьютеров, но и в качестве центров хранения и обработки данных, то есть сетевых серверов, потеснив с этих ролей мини-компьютеры и мэйнфреймы.
Сетевые операционные системы
В 90-е годы практически все операционные системы, занимающие заметное место на рынке, стали сетевыми. Сетевые функции сегодня встраиваются в ядро ОС и являются его неотъемлемой частью. Операционные системы получили средства для работы со всеми основными технологиями локальных (Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring, FDDI, ATM) и глобальных (X.25, frame relay, ISDN, ATM) сетей, а также средства для создания составных сетей (IP, IPX, AppleTalk, RIP, OSPF, NLSP). Во второй половине 90-х годов все производители операционных систем резко усилили поддержку средств работы с Internet (кроме производителей Unix-систем, в которых эта поддержка всегда была существенной). Кроме самого стека TCP/IP в комплект поставки начали включать утилиты, реализующие такие популярные сервисы Internet как telnet, ftp, DNS и Web. Влияние Internet проявилось и в том, что компьютер превратился из вычислительного устройства в средство коммуникаций с развитыми вычислительными возможностями.
На современном этапе развития операционных систем на передний план вышли средства обеспечения безопасности. Это обусловлено возросшей ценностью информации, обрабатываемой компьютерами, а также повышенным уровнем риска, связанного с передачей данных по сетям, особенно по общедоступным, таким как Internet. Многие операционные системы обладают сегодня развитыми средствами защиты информации, основанными на шифровании данных, аутентификации и авторизации.
Современным операционным системам присуща многоплатформенность, то есть способность работать на компьютерах различного типа.
Типы построения сетей
Локальная сеть Token Ring – метод управления маркерное кольцо, т. е. устройства подключаются по топологии кольцо, все устройства в сети могут передавать данные, только получив разрешение на передачу (маркер).
Локальная сеть Ethernet – в ней на логическом уровне применяется шинная топология, все устройства равноправны и данные, передаваемые одной станцией доступны всем станциям сети.
Extranet –экстранет – расширенная интрасеть. Это корпоративная сеть, в которой используется технология Интернета для связи с деловыми партнерами.
Сеть Интранет - интрасеть – корпоративная сеть – локальная вычислительная сеть организации, использующая стандарты, технологии и ПО Интернета, в частности протоколы HTTP, FTP. Обычно эта сеть соединена с Интернетом через специальное оборудование (брандмауэр), который защищает ее от несанкционированного доступа, этой сетью обычно пользуются только сотрудники организации
Сеть H.323 – это сеть стандарта Р.323
Интернет. Основные понятия.
Интернет - это Всемирная компьютерная сеть, состоящая из нескольких миллионов компьютеров, связанных друг с другом всевозможными физическими линиями связи. Интернет в более широком смысле - это информационное пространство, внутри которого осуществляется непрерывная циркуляция данных. Днем рождения Интернета стала дата стандартизации основного протокола связи Интернет TCP/IP в 1983 году.
Сетевой протокол – это протокол, определяющий правила взаимодействия между собой отдельных компьютеров компьютерной сети..
Протокол TCP - протокол транспортного уровня. Он управляет тем, как происходит передача информации, предназначен для контроля передачи целостности передаваемой информации. Согласно протоколу TCP, отправляемые данные "нарезаются" на небольшие пакеты, после чего каждый пакет маркируется таким образом, чтобы в нем были данные, необходимые для правильной сборки документа на компьютере.
Протокол IP - адресный. Он принадлежит сетевому уровню и определяет, куда происходит передача, этот протокол описывает формат пакета данных. (где адрес, где служебная информация, где данные).
Суть адресного протокола IP состоит в том, что у каждого участника Всемирной сети должен быть свой уникальный адрес. Без этого нельзя говорить о точной доставке TCP пакетов в нужное место. Этот адрес выражается четырьмя байтами. Каждый компьютер, через который проходит TCP-пакет, может по этим четырем байтам определить, кому из соседей надо переслать пакет, чтобы он оказался ближе к получателю. Каждый компьютер, подключенный к сети, имеет два равноценных уникальных адреса: цифровой IP-адрес и символический доменный адрес. Доменное имя – это уникальный набор символов, который позволяет ассоциировать ресурс, работающий в сети Интернет, с сервером (в частности с его IP-адресом), на котором он расположен. Международная организация Сетевой Информационный Центр выдает группы адресов владельцам локальных сетей, которые распределяют конкретные адреса по своему усмотрению.
В доменной системе имен разбор адреса идет справа налево:
Topsoft.minsk.by
By – указывает на страну - Белоруссия
Minsk – город, в котором находится организация
Topsoft – имя организации, которой принадлежит адрес.
Каждая группа, имеющая домен, может создавать и изменять адреса, находящиеся под ее контролем, например, добавить новое имя Petrov, в описание адресов своего домена. Домен верхнего уровня является самым правым. Домены верхнего уровня называются организационными, они бывают коммерческими, образовательными, военными, географическими - .com .net .org .biz .info .gov .edu .mil .ru .us и т.д.
Адрес электронной почты состоит из двух частей, разделенных символом @. Справа указан адрес компьютера, на котором располагается почтовое отделение абонента, а слева указывается имя абонента, например Petrov@topsoft.minsk.by.
Уникальный номер IP-адреса – это например 192.112.36.42 - эти числа определяют сеть и компьютер, откуда пакет отправлен. При работе в Интернете используют службы Интернета. Разные службы имеют разные протоколы. Они называются прикладными протоколами. Чтобы воспользоваться какой-либо службой Интернета нужно установить на компьютере программу, способную работать по протоколу данной службы. Такие программы называются клиентскими. Для передачи файлов в Интернете используют специальный протокол FTP, т.е., чтобы получить файл из Интернета, нужно иметь на компьютере программу, являющуюся клиентом FTP и установить связь с сервером, предоставляющем услуги FTP.
К службам (сервисам) Интернета относятся:
служба удаленного управления компьютером Telnet;
электронная почта (E-Mail);
списки рассылки;
служба телеконференций Usenet;
служба World Wide Web (WWW), самая популярная служба современного Интернета, которую часто отождествляют с Интернетом;
служба передачи файлов FTP;
служба IRC общения нескольких человек в реальном времени;
служба ICQ для поиска сетевого IP-адреса человека, подключенного в данный момент к Интернету. (IRC ICQ общение в реальном времени)
Служба World Wide Web - это единое информационное пространство, состоящее из сотен миллионов взаимосвязанных электронных документов, хранящихся на Web-серверах. Отдельные документы, составляющие пространство Web, называют Web-страницами. Группы тематически объединенных Web-страниц называют Web-узлами. От обычных текстовых документов Web-страницы отличаются тем, что они оформлены без привязки к конкретному носителю. Поэтому Web-документы не могут иметь "жесткого" форматирования. Программы для просмотра Web-страниц называют браузерами.
Виды поисковых систем:
Yandex, Rambler, Ay, Yahoo,Google, MSN, Апорт – предметные каталоги, Alta Vista – автоматическая поисковая система.
Для работы в Интернете необходимо:
1 физически подключить компьютер к одному из узлов Всемирной сети;
2 получить IP-адрес на постоянной или временной основе;
3 установить и настроить программное обеспечение – программы-клиенты тех служб Интернета, услугами которых предполагается пользоваться.
Краткие определения
Унифицированный указатель ресурса URL
Адрес любого файла во всемирном масштабе определяется URl, который состоит из трех частей:
1 указание службы, которая осуществляет доступ к данному ресурсу, обычно это имя протокола, соответствующего службе http://
2 указание доменного имени ПК, на котором хранится данный ресурс
www.abcd.com
3 указание полного пути доступа к файлу на данном ПК (разделитель /)
/Files/New/abcdf/zip
Итак, получаем
http:// www.abcd.com/Files/New/abcdf.zip
Прокси-сервер – (почти сервер), программа, которая принимает запросы от клиентов и передает их во внешнюю сеть. ПК локальной сети имеют внутренние адреса, а прокси-сервер имеет внешний адрес и ограниченные возможности сервера. Через прокси-сервер работать быстрее, т.к. часто используемые программы лежат на прокси-сервере, прокси-сервер защищает от незаконного проникновения в сеть и вирусов.
Провайдер – человек, который владеет частью локальной сети, имеет необходимое аппаратное и программное обеспечение, IP-адреса.
Модератор – человек, имеющий более широкие права по сравнению с пользователями на общественных сетевых ресурсах.
Администратор ВС – сотрудник, отвечающий за работу сети на предприятии, проектирует сеть, проверяет эффективность ее использования и продумывает и обеспечивает политику защиты информации.
Хостинг – услуга по предоставлению дискового пространства для физического размещения информации на сервере.
Хеширование – преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины таким образом, что изменение входных данных приводит к непредсказуемому изменению входных данных.
Кэширование – сохранение информации.
DNS (Domain Name System) – служба, которая соотносит доменное имя с IP-адресом.
RFC (Request for Comments) – документ, содержащий технические спецификации и стандарты Интернета.
Гипер-куб – сетевая технология (Интернета), в которой узлы являются вершинами графа многомерного куба: 0-куб-точка, 1-куб – отрезок, 2- куб –квадрат, 3-куб – куб, 4-куб – октахарон и т.д.
Поисковая система – web-сайт, дающий возможность поиска информации в Интернете. Yandex, Rambler, Ay, Yahoo, Google, MSN, Апорт.
Поисковая машина – комплекс программ, который обеспечивает функциональность поисковой машины.
Поисковые системы можно сравнить со справочной службой, агенты которой обходят предприятия, собирая информацию в базу данных. При обращении в службу информация выдается из этой базы. Данные в базе устаревают, поэтому агенты их периодически обновляют. Некоторые предприятия сами присылают данные о себе, и к ним агентам приезжать не приходится. Иными словами, справочная служба имеет две функции: создание и постоянное обновление данных в базе и поиск информации в базе по запросу клиента.
Аналогично, поисковая машина состоит из двух частей: так называемого робота (или паука), который обходит серверы Сети и формирует базу данных поискового механизма.
База робота в основном формируется им самим (робот сам находит ссылки на новые ресурсы) и в гораздо меньшей степени - владельцами ресурсов, которые регистрируют свои сайты в поисковой машине. Помимо робота (сетевого агента, паука, червяка), формирующего базу данных, существует программа, определяющая рейтинг найденных ссылок.
Принцип работы поисковой машины сводится к тому, что она опрашивает свой внутренний каталог (базу данных) по ключевым словам, которые пользователь указывает в поле запроса, и выдает список ссылок, ранжированный по релевантности.
Следует отметить, что, отрабатывая конкретный запрос пользователя, поисковая система оперирует именно внутренними ресурсами (а не пускается в путешествие по Сети, как часто полагают неискушенные пользователи), а внутренние ресурсы, естественно, ограниченны. Несмотря на то, что база данных поисковой машины постоянно обновляется, поисковая машина не может проиндексировать все Web-документы: их число слишком велико. Поэтому всегда существует вероятность, что искомый ресурс просто неизвестен конкретной поисковой системе.
Эту мысль наглядно иллюстрирует рис. Эллипс 1 ограничивает множество всех Web-документов, существующих на некоторый момент времени, эллипс 2 - все документы, которые проиндексированы данной поисковой машиной, а эллипс 3 - искомые документы. Таким образом, найти с помощью данной поисковой машины можно лишь ту часть искомых документов, которые ею проиндексированы.
Схема, поясняющая возможности поиска
Проблема недостаточности полноты поиска состоит не только в ограниченности внутренних ресурсов поисковика, но и в том, что скорость робота ограниченна, а количество новых Web-документов постоянно растет. Увеличение внутренних ресурсов поисковой машины не может полностью решить проблему, поскольку скорость обхода ресурсов роботом конечна.
При этом считать, что поисковая машина содержит копию исходных ресурсов Интернета, было бы неправильно. Полная информация (исходные документы) хранится отнюдь не всегда, чаще хранится лишь ее часть - так называемый индексированный список, или индекс, который гораздо компактнее текста документов и позволяет быстрее отвечать на поисковые запросы.
Для построения индекса исходные данные преобразуются так, чтобы объем базы был минимальным, а поиск осуществлялся очень быстро и давал максимум полезной информации. Объясняя, что такое индексированный список, можно провести параллель с его бумажным аналогом - так называемым конкордансом, т.е. словарем, в котором в алфавитном порядке перечислены слова, употребляемые конкретным писателем, а также указаны ссылки на них и частота их употребления в его произведениях.
Очевидно, что конкорданс (словарь) гораздо компактнее исходных текстов произведений и найти в нем нужное слово намного проще, нежели перелистывать книгу в надежде наткнуться на нужное слово.
Программы браузеры – Internet Explorer , Opera, Mozilla, Netscape Navigator. Internet Explorer включает два протокола: протокол передачи файлов FTP и протокол передачи гипертекста HTTP.
Почтовые программы: Outlook Express, The Bat, Microsoft Outlook, Mail, Google gmail, Eudora pro.
Протоколы почтовой службы:
SMTP – отправка почтовых сообщений
POP – прием почтовых сообщений
POP3 - прием почтовых сообщений
IMAP – можно использовать этот протокол при приеме почты с других ПК.
Вопросы компьютерной безопасности
Понятие о компьютерной безопасности
В вычислительной технике понятие безопасности подразумевает надежность работы компьютера, сохранность ценных данных, защиту информации от внесения в нее изменений неуполномоченными лицами и сохранение тайны переписки в электронной связи.
Комплексное обеспечение информационной безопасности
Для обеспечения информационной безопасности необходимо обеспечить защиту программ и данных, защиту операционных систем, защиту в сетях, защиту в СУБД. Для этого используются криптография программные и аппаратные способы защиты, другие технические средства.
Комплексное обеспечение информационной безопасности автоматизированных систем – это область науки и техники, охватывающая совокупность криптографических, программно-аппаратных, технических, правовых и организационных методов и средств обеспечения безопасности информации при ее обработке, хранении и передачи с использованием современных информационных технологий.
Методы защиты информации
Широкое использование информационных технологий во всех сферах жизни современного общества делает вполне закономерной и актуальной проблему защиты информации, или иначе, проблему информационной безопасности. В методологии анализа информационной безопасности выделяют следующие основные понятия: объект информационной безопасности; существующие и потенциально возможные угрозы данному объекту; обеспечение информационной безопасности объекта от таких угроз. Если объектом информационной безопасности выступает сама информация, то для нее наиболее важным является сохранение таких свойств, как целостность, конфиденциальность и доступность. Целостность информации – это существование информации в неискаженном виде по сравнению с некоторым фиксированным состоянием. Конфиденциальность – это свойство, которое указывает на необходимость введения ограничений доступа к данной информации определенного круга лиц. Доступность информации – это свойство обеспечивать своевременный и беспрепятственный доступ пользователей к необходимой информации.
Защитить информацию означает: обеспечить ее физическую целостность, не допустить подмены элементов информации при сохранении ее целостности, не допустить несанкционированного получения информации лицами или процессами, не имеющими для этого полномочий, иметь уверенность в том, что передаваемые владельцем информации ресурсы будут использоваться только в соответствии с договоренностями. Защита информации – это процесс создания условий, которые обеспечивают необходимую защищенность информации. Информационная безопасность – это достигнутое состояние такой защищенности.
Угрозы информационной безопасности в компьютерных системах
Угроза информационной безопасности КС – это потенциально возможное событие, действие, процесс или явление, которое может оказать нежелательное воздействие на систему и информацию, которая хранится и обрабатывается в системе. Компьютерная система как объект защиты представляет собой совокупность следующих компонент: информационных массивов на машинных носителях, технических средств обработки и передачи данных, программных средств, обслуживающего персонала и пользователей системы.
Методы защиты информации
Применительно к КС выделяют следующие уровни защиты: охрана по периметру территории объекта, охрана по периметру здания, охрана помещения, защита аппаратных средств, защита программных средств, непосредственная защита информации.
Средства обеспечения защиты информации
Организационные средства защиты сводятся к правилам доступа к информационным и вычислительным ресурсам. Организационные мероприятия создают надежный механизм защиты против злоумышленных или халатных действий пользователей и персонала. Инженерно-технические средства защиты включают в себя физико-технические, аппаратные, технологические, программные, криптографические средства. Данные средства обеспечивают следующие рубежи защиты: контролируемая территория, здание, отдельные устройства вместе с носителями информации. Программно-аппаратные средства защиты применяются непосредственно в КС. Специальные пакеты программ реализуют такие функции защиты, как разграничение и контроль доступа к ресурсам, регистрация и анализ протекающих процессов, предотвращение возможных разрушительных воздействий на ресурсы. Идентификация и аутентификация пользователей и процессов. Существенное повышение информационной безопасности, особенно при передаче данных в компьютерных сетях, достигается применением средств криптографической защиты.
Защита КС от несанкционированного вмешательства
Политика безопасности – это совокупность норм и правил, выполнение которых обеспечивает защиту от определенного множества угроз и оставляет необходимое условие безопасности системы. Принято считать, что информационная безопасность компьютерных систем обеспечена, если для любых информационных ресурсов в системе поддерживается определенный уровень конфиденциальности, целостности и доступности. Для защиты информации от несанкционированного доступа (НСД) создается система разграничения доступа. В системе разграничения доступа по отношению к любому субъекту доступа (пользователю, программе, техническому средству) существуют такие этапы доступа: идентификация субъектов и объектов доступа, установление подлинности (аутентификация), определение полномочий для последующего контроля и разграничения доступа к компьютерным системам.
Идентификация необходима для закрепления за каждым субъектом доступа уникального имени в виде номера, шифра, кода и т.п. Основными и наиболее часто применяемыми методами установления подлинности пользователей являются методы, основанные на использовании паролей. Эффективность парольных методов может быть существенно повышена путем записи в зашифрованном виде длинных и нетривиальных паролей. Представление паролей в зашифрованном виде ведется с использованием криптографии. Разграничение доступа заключается в том, чтобы каждому зарегистрированному пользователю предоставлялась возможность доступа к информации в пределах доступа его полномочий и не более. Для каждого пользователя устанавливаются его полномочия в отношении доступных файлов, каталогов логических дисков и др. Разграничение доступа происходит по уровням секретности, по специальным спискам, по матрицам полномочий, по специальным мандатам.
Очень эффективным методом защиты от несанкционированного доступа является создание функционально-замкнутых сред пользователей. Суть его состоит в следующем. Для каждого пользователя создается меню, в которое он попадает после загрузки операционной системы. В нем указываются программы, к выполнению которых допущен пользователь. После выполнения любой программы из меню пользователь снова попадает в меню. Если эти программы не имеют возможности инициировать выполнение других программ, а также предусмотрена корректная обработка ошибок, сбоев и отказов, то пользователь не может выйти за рамки установленной замкнутой функциональной среды.
Защита программных средств от несанкционированного копирования
Угроза несанкционированного копирования информации блокируется двумя группами методов:
- методы, затрудняющие считывание скопированной информации
-методы, препятствующие использованию информации
Методы первой группы основаны на создании в процессе записи информации на носители таких особенностей, которые не позволяют считывать полученную копию на других носителях, не входящих в состав защищаемой КС.
Вторая группа методов противодействия копированию затрудняет использование полученных копированием программ и данных. Наиболее эффективным в этом отношении средством защиты является хранение информации в преобразованном криптографическими методами виде.
Защита от несанкционированного изменения структуры КС в процессе эксплуатации
При эксплуатации КС неизменность аппаратной и программной структуры требует предотвращения несанкционированного доступа к аппаратной и программной частям КС. Организация доступа обслуживающего персонала отличается от организации доступа пользователей. По возможности устройство освобождается от конфиденциальной информации и отключаются все информационные связи. Техническое обслуживание выполняется под контролем должностного лица. Одним из возможных путей несанкционированного изменения технической структуры КС является подключение незарегистрированных устройств или замена ими штатных устройств КС. Для предотвращения этих угроз используются методы: регулярная проверка конфигурации системы, использование идентификаторов для установления подлинности устройства.
Контроль целостности программ и данных
Под контролем целостности программ и данных, хранимых в КС, понимается обнаружении их любых модификаций. В общем случае контроль информационной целостности достигается путем определения характеристики целостной (эталонной) информации, называемой эталонной характеристикой, или эталонным кодом обнаружения модификаций. Эта эталонная характеристика по своему объему значительно меньше контролируемой информации, а ее значение отражает содержимое защищаемых от изменения данных. В процессе непосредственного контроля информационной целостности выполняются следующие действия:
-для контролируемой информации определяется текущая характеристика обнаружения изменений по тому алгоритму, по которому формировалась эталонная характеристика;
-текущая и эталонная характеристика сравниваются. Если они совпадают, то считается, что контролируемая информация не изменялась.
Наиболее простым алгоритмом является контрольное суммирование. В этом случае эталонная характеристика создается путем поразрядного суммирования с накоплением по модулю два всех двоичных слов, образующих контролируемый файл. При этом разрядность контрольной суммы равна разрядности двоичного слова.
Регистрация и контроль действий пользователя
Для своевременного пресечения несанкционированных действий, для контроля за соблюдением правил доступа необходимо обеспечить регулярный сбор, фиксацию и выдачу по запросам сведений о всех обращениях к защищаемым компьютерным ресурсам, о входе и выходе из системы. Основной формой регистрации является программное ведение специальных регистрационных журналов в виде файлов на внешних носителях информации. Доступ к ним имеет только администратор системы защиты. При регистрации сведений по обращению к КС рекомендуется фиксировать: время поступления запроса, идентификатор пользователя, идентификатор компьютера, с которого поступил запрос, содержание сообщения в составе запроса, полномочия пользователей, пароли, ключи, время окончания использования ресурса. При обработке секретной информации необходимо ведение «ручного» журнала. Имея в журналах необходимые сведения, можно в любой момент получить статистические данные относительно компьютера, пользователей и программ, сведения о результатах выполнения запросов и использовании запрашиваемых ресурсов. При обнаружении несанкционированных действий пользователей и программ, нарушении работоспособности программно-аппаратных средств для службы безопасности КС должна быть предусмотрена сигнализация, содержащая информацию о самом факте НСД, сообщение о месте, времени и характере события, информацию о пользователях, программах или устройствах, связанных с возникновением НСД. Для пресечения злоумышленных действий важное значение имеет преимущество во времени. Для этого создаются специальные программы, имитирующие нормальную работу с нарушителем.
Криптографические методы защиты информации
Суть криптографической защиты заключается в преобразовании информации к неявному виду с помощью специальных алгоритмов либо аппаратных средств и соответствующих кодовых ключей. Именно так устанавливается подлинность документов с помощью электронной цифровой подписи.
Криптографические преобразования связаны с шифрованием и дешифрованием информации. При шифровании с помощью правил, содержащихся в шифре, происходит преобразование защищаемой информации к неявному виду. Дешифрование – обратный процесс, т.е. преобразование шифрованного сообщения в исходную информацию. Кроме этого существуют другие методы криптографического преобразования: шифрование, стенография, кодирование, рассечение/разнесение, сжатие.
При шифровании каждый символ защищаемого сообщения подвергается обратимым математическим, логическим или другим преобразованиям, в результате которых исходная информация представляется в виде хаотического набора букв, цифр и других символов. Стенография, в отличие от других методов преобразования информации, позволяет скрыть не только смысл информации, но и сам факт хранения или передачи закрытой информации. В КС практическое использование стенографии только начинается, но этот метод защиты информации считается перспективным. В основе всех методов стенографии лежит маскирование закрытой информации среди открытых файлов. Кодирование широко используется для защиты информации от искажений в каналах связи. Обычно кодирование связано с заменой смысловых конструкций исходной информации алфавитно-цифровыми кодами. В этом случае для кодирования и обратного преобразования используются специальные таблицы или словари, хранящиеся в секрете, при этом кодировочные таблицы необходимо часто менять. Рассечение/разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях. Целью сжатия является сокращение объема информации, но в то же время сжатая информация не может быть использована без обратного преобразования, но этот метод нельзя считать надежным.
Шифрование данных широко используется в Интернете для защиты информации, хотя исключить доступ к информации посторонних лиц невозможно даже теоретически.
Симметричное и несимметричное шифрование информации
К документу применяется некий метод шифрования (ключ), после этого документ становится недоступен для чтения обычными средствами. Его может прочитать только тот, кто знает ключ. Аналогично происходит шифрование и ответного сообщения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс называется симметричным. Основной недостаток симметричного процесса заключается в том, что, прежде чем начать процесс обмена информацией, надо выполнить передачу ключа, а для этого нужна защищенная связь, т.е. проблема повторяется, хотя и на другом уровне.
В настоящее время в Интернете чаще используют несимметричные криптографические системы. Они основаны на использовании двух ключей. Компания создает для работы с клиентами два ключа: открытый и закрытый. На самом деле это две половинки одного целого ключа, связанные друг с другом. Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой, не той, которой было зашифровано. Создав пару ключей, компания широко распространяет публичный ключ и надежно сохраняет закрытый ключ. Публичный ключ может быть опубликован на сервере и всем доступен. С его помощью можно зашифровать и послать в компанию сообщение, но расшифровать его может только тот, у кого есть закрытый ключ. Естественно существует реальная угроза реконструирования закрытого ключа, важно, чтобы этого нельзя было сделать в приемлемые сроки. В этом состоит принцип достаточной защиты: он предполагает, что защита не абсолютна и приемы ее снятия известны, но она все же достаточна для того, чтобы сделать это мероприятие нецелесообразным.
Электронная цифровая подпись
Электронная цифровая подпись – это метод удостоверения подлинности сообщения. Он основан на применении шифрования открытым ключом.
Суть метода:
Отправитель сообщения кодирует сообщение S своим закрытым ключом и отправляет получателю подписанное сообщение, т.е. само сообщение S и его код C. Получатель сообщения еще раз кодирует код C с помощью открытого ключа отправителя. При этом он получает сообщение S/. Если S и S/ совпали , это значит, что нешифрованное сообщение S не было искажено злоумышленником при передаче и действительно было отправлено отправителем, который опубликовал свой открытый ключ. Подделать ЭЦП практически невозможно.
Защита операционной системы
от несанкционированного доступа и разрушений
Основные функции защиты операционной системы
1. Разграничение доступа. Каждый пользователь имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.
2. Идентификация и аутентификация. Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентификационную информацию, подтверждающую, что пользователь тот, за кого себя выдает. Для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль - текстовую строку, известную только ему. Имя пользователя назначается администратором системы.
3.Аудит.
Общие сведения
Процедура аудита применительно к операционным системам заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для операционной системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами.
Необходимость включения в защищенную операционную систему функций аудита диктуется следующими обстоятельствами.
1. Подсистема защиты операционной системы, не обладая интеллектом, не способна отличить случайные ошибки пользователей от злонамеренных действий. Например, то, что пользователь в процессе входа в систему ввел неправильный пароль, может означать как случайную ошибку при вводе пароля, так и попытку подбора пароля. Но, если сообщение о подобном событии записано в журнал аудита, администратор, просматривая этот журнал, легко сможет установить, что же имело место на самом деле - ошибка легального пользователя или атака злоумышленника. Если пользователь ввел неправильный пароль всего один раз - это явная ошибка. Если же пользователь пытался угадать собственный пароль 20—30 раз - это явная попытка подбора пароля.
2. Администраторы операционной системы должны иметь возможность получать информацию не только о текущем состоянии системы, но и о том, как она функционировала в недавнем прошлом. Журнал аудита дает такую возможность, накапливая информацию о важных событиях, связанных с безопасностью системы.
3. Если администратор операционной системы обнаружил, что против системы проведена успешная атака, ему важно выяснить, когда была начата атака и каким образом она осуществлялась. При наличии в системе подсистемы аудита не исключено, что вся необходимая информация содержится в журнале аудита.