Безопасность вычислительных систем

 

 

Большинство проблем современных вычислительных систем связано не с ошибками и просчетами разработчиков, а с людьми пытающимися причинить какой-либо вред или извлечь выгоду из информации, находящейся внутри вычислительной сети или компьютера. Системы безопасности должны успешно противостоять не только хорошо подготовленному противнику извне, но и угрозам исходящим изнутри, от обиженных, недовольных или безалаберных сотрудников.

Цель нарушения системы безопасности может быть различной – это и хулиганская выходка для того, чтобы прочесть чужие электронные послания и целенаправленная атака для кражи военных или технологических секретов.

Все проблемы безопасности можно условно разделить на четыре взаимосвязанные области: секретность, аутентификация, обеспечение строго выполнения обязательств и обеспечение целостности [12].

Секретность – позволяет предотвратить доступ к закрытой информации тех, кому она не предназначена.

Аутентификация – позволяет удостовериться, что информация передается именно тому лицу, для которого она предназначена.

Обеспечение строго выполнения обязательств – это проблема электронной подписи.

Целостность – недопущение искажения информации в результате сбоев или умышленных действий.

ПРИМЕЧАНИЕ

Статистика, имеющаяся в распоряжении правоохранительных органов различных стран свидетельствует о том, что большинство атак на системы безопасности предпринимается изнутри- завистливыми или недовольными сотрудниками.

Для хранения информации и передачи ее по каналам связи используются различные алгоритмы шифрования, для этого применяются методы криптоанализа Наиболее известным и самым применяемым является алгоритм RSA, названный по начальным буквам фамилий его создателей (Rivest, Shamir, Adleman). Система RSA слишком медленная для шифрования больших объемов данных, но она широко применяется для распространения ключей, после чего применяются более быстрые алгоритмы с симметричным ключом, например, AES или тройной DES.

Подлинность бумажных документов подтверждается рукописной подписью. А как быть при переходе на перемещаемые документы с использованием каналов связи? Проблема замены рукописной подписи цифровой очень сложна и многоаспектна. Системы цифровых подписей создаются таким образом, чтобы [12]:

  • получатель мог проверить объявленную личность отправителя;

  • отправитель не мог позднее отрицать содержимое сообщения;

  • получатель не мог позднее изменить подписанное сообщение.

Одним из способов реализации систем цифровой подписи является создание авторитетного центрального органа, которому все доверяют.

Цифровые подписи бывают с симметричным ключом, когда все доверяют центральному органу и общение между отправителем и получателем сообщения происходит через него. А также с открытым ключом.

Для защиты соединений, например, в сети Интернет применяются различные технологии, такие как IPsec (IP security или IP безопасность). IPsec служит основой для множества услуг, алгоритмов и модулей. Услуги предоставляются по мере необходимости, т.к. часть из них являются платными. IPsec не зависит от конкретного алгоритма шифрования, т.к. они со временем устаревают и не обеспечивают требуемую безопасность. Различные модули нужны для того, чтобы можно было защитить и одно TCP-соединение, и весь трафик между парой хостов, и весь трафик между парой защищенных хостов. IPsec защищает данные при пересылке, но не спасает от вредоносных программ (вирусов) и хакерских атак, взламывающих локальную сеть извне.

Наиболее эффективный способ защиты от внешней «опасной» информации – установка брандмауэра. Принцип работы брандмауэра очень прост и напоминает средневековую защиту замков от нападений. Вокруг замка имелся ров, поэтому путь в замок и из него пролегал через подъемный мост, на котором имелся пост безопасности, проверяющий входящих и выходящих. Тот же принцип применяется и в сетях: у компании может иметься несколько локальных сетей, соединенных произвольным образом, но внешний трафик должен проходить через электронный подъемный мост (брандмауэр).

Рассмотрим простейший брандмауэр, который состоит из двух маршрутизаторов (фильтрующих пакеты) и шлюза прикладного уровня. Каждый пакетный фильтр – это маршрутизатор с расширенными функциями, позволяющими анализировать входные и выходные пакеты. Пакеты, не сумевшие пройти проверку, удаляются. Первый фильтр проверяет выходящие из сети пакеты, а второй входящие. Пакетные фильтры управляются таблицами, в которых администратор сети указывает перечень допустимых и блокируемых отправителей и получателей, а также правила, описывающие действия над исходящими и входящими пакетами. Например, можно заблокировать определенный номер порта (порт 79 используется для службы Finger, а значит, его блокировка не позволит злоумышленнику извне получить доступ к списку текущих пользователей локальной сети). Однако брандмауэр не панацея и с успехом обходится злоумышленниками.

Существует еще одна угроза для вычислительных систем – вирусы. Вирус – это своеобразная форма переносимого кода. Основное отличие вирусов от других программ состоит в том, что они воспроизводят сами себя. Основные пути проникновения вирусов в вычислительную систему – съемные носители информации, сомнительные веб-страницы, электронные письма, через сеть с другого компьютера и т.д. Все вирусы действует абсолютно одинаково. После проникновения он заражает исполняемые программы на жестком диске компьютера. И когда пользователь запускает зараженный исполняемый файл, управление передается вирусу и он старается распространить еще больше, например, проникая через сеть на другие компьютеры или на съемные носители, может рассылаться в виде вложения с помощью электронных писем из адресной книги пользователя. Существуют вирусы, заражающие загрузочный сектор жесткого диска и активизирующиеся в момент загрузки. Средств борьбы с вирусами достаточно много, наиболее известные из них в нашей стране – это «Антивирус Касперского» и «Dr.Web».


Лекция добавлена 28.02.2013 в 00:37:24