Процедури захисту

Архітектура захисту інформації в мережах телекомуні­кації — концепція захисту інформації в мережах телекомунікації що використовують міжнародні стандарти, яка розроблена і розвиває­ться Міжнародною організацією зі стандартизації (ISO) (див. реко­мендації МСЕ) у відповідності до ідеології моделі взаємодії відкри­тих систем.

Рекомендації МСЕ для захисту інформації у телекомунікаціях [ITU-T Recommendations] — це процедури, рекомендовані Міжнаро­дною організацією зі стандартизації (ISO) для створення сервісних служб захисту інформації у мережах телекомунікації [84].

Процедура шифрування даних у телекомунікаційних систе­мах призначена для "закриття" всіх даних абонента або декількох по­лів повідомлення. Може мати два рівні: шифрування в каналі зв'язку (лінійне) і міжкінцеве (абонентське) шифрування.

Процедура цифрового підпису в телекомунікаційних систе­мах служить для підтвердження правильності змісту повідомлен-

Частина, II Основи безпеки інформаційних технологій

ня. Вона засвідчує факт його відправлення власне тим абонентом, який вказаний у заголовкові як джерело даних. Цифровий підпис є функцією від змісту таємної інформації, відомої тільки абоненту-джерелу, і загальної інформації, відомої всім абонентам системи.

Процедура керування доступом до ресурсів телекомунікацій­ної системи виконується на основі множини правил і формальних моделей, що використовуються як аргумент доступу до інформації інформацію про ресурси (класифікацію) та ідентифікатори абонен­тів. Службова інформація для керування доступом (паролі абонен­тів, списки дозволених операцій, персональні ідентифікатори, часові обмежувачі і т. ін.) містяться в локальних базах даних забезпечення безпеки мереж;!.

Процедура забезпечення цілісності даних у телекомуніка­ційних системах передбачає введення в кожне повідомлення деякої додаткової інформації, яка є функцією від змісту повідомлення. В рекомендаціях МОС розглядаються методи забезпечення цілісності двох типів: перші забезпечують цілісність поодинокого блока даних, інші — цілісність потоку блоків даних або окремих полів цих бло­ків. При цьому забезпечення цілісності потоку блоків даних не має сенсу без забезпечення цілісності окремих блоків. Ці методи застосо­вуються у двох режимах — при передаванні даних по віртуальному з'єднанню і при використанні дейтаграмного передавання. В першо­му випадку виявляються невпорядкованість, утрати, повтори, встав­ки даних за допомогою спеціальної нумерації блоків або введенням міток часу. У дейтаграмному режимі мітки часу можуть забезпечи­ти тільки обмежений захист цілісності послідовності блоків даних і запобігти переадресації окремих блоків.

Процедура автентифікації у телекомунікаційних системах призначена для захисту при передаванні в мереж;! паролів, автен-тифікаторів логічних об'єктів і т. ін. Для цього використовуються криптографічні методи і протоколи, засновані, наприклад, на про­цедурі "трикратного рукостискання". Метою таких протоколів є за­хист від установлення з'єднання з логічним об'єктом, утвореним по­рушником або діючим під його керуванням із метою імітації роботи справжнього об'єкта.

Процедура заповнення потоку в телекомунікаційних систе­мах призначена для запобігання аналізу трафіка. Ефективність за­стосування цієї процедури підвищується, якщо одночасно з нею пе­редбачене лінійне шифрування всього потоку даних, тобто потоки інформації й заповнення стають нерозбірливими.

Розділ 7 Основи безпеки інформаційних ресурсів

Процедура керування маршрутом у телекомунікаційній си­стемі призначена для організації передавання тільки маршрутами, утвореними за допомогою надійних і безпечних технічних засобів і систем. При цьому може бути організований контроль із боку одер­жувача, який у випадку виникнення підозри про компрометацію ви­користовуваної системи захисту може вимагати зміну маршруту.

Процедура підтвердження характеристик даних у телеко­мунікаційних системах передбачає наявність арбітра, який є довіре­ною особою взаємодіючих абонентів і може підтвердити цілісність, час передавання документів, а також; запобігти можливості відмови джерела від видавання будь-якого повідомлення, а споживача — від його приймання, тобто підтвердження причетності.

Спільне використання процедур захисту дозволяє організувати 14 сервісних служб захисту інформації у мережах телекомунікації (див. рис. 7.14).