t; # justify gt; Необхідно відзначити, що сама по собі наявність навіть найдосконаліших планів забезпечення інформаційної безпеки не може служити гарантією безпеки даних і надійності роботи інформаційної інфраструктури.
Система (служба) забезпечення безпеки інформації - це сукупність різних заходів (правових, організаційних, технічних), що дозволяють не допустити або істотно ускладнити нанесення збитку інтересам постачальників і споживачів інформації. Реалізація цих заходів повинна сприяти:
· забезпеченню цілісності інформації (повноти, точності, достовірності);
· збереження конфіденційності інформації (конфіденційної називається інформація, яка не є загальнодоступною), попередження несанкціонованого отримання інформації;
· забезпечення доступності, тобто доступу до інформації з боку користувачів, які мають на те належні повноваження.
Відповідно до рекомендацій МСЕ-Т конфіденційність, цілісність і доступність є характеристиками безпеки переданих даних.
Перелічимо найбільш характерні загрози безпеки інформації при її передачі:
· перехоплення даних - огляд даних несанкціонованим користувачем; ця загроза проявляється в можливостях зловмисника безпосередньо підключатися до лінії зв'язку для знімання переданої інформації або одержувати інформацію на дистанції raquo ;, внаслідок побічного електромагнітного випромінювання засобів передачі інформації по каналах зв'язку;
· аналіз трафіку - огляд інформації, що стосується зв'язку між користувачами (наприклад, наявність/відсутність, частота, напрямок, послідовність, тип, об'єм і т.д.). Навіть якщо Подслушивающий не може визначити фактичного змісту повідомлення, він може отримати певний обсяг інформації, виходячи з характеру потоку трафіку (наприклад, безперервний, пакетний, періодичний або відсутність інформації);
· зміна потоку повідомлень (або одного повідомлення) - внесення до нього необнаружіваемих спотворень, видалення повідомлення порушення загального порядку проходження повідомлень;
· повтор процесу встановлення з'єднання і передачі повідомлення - записування несанкціонованим користувачем з подальшим повтором ним процесу встановлення з'єднання з передачею раніше вже переданого і прийнятого користувачем повідомлення;
· відмова користувача від повідомлення - заперечення передавальним користувачем свого авторства в пред'явленому йому приймаючим користувачем повідомленні або заперечення приймаючим користувачем факту отримання ним від передавального користувача повідомлення;
· маскарад - прагнення користувача видати себе за деякого іншого користувача з метою отримання доступу до додаткової інформації, отримання додаткових привілеїв чи нав'язування іншому користувачеві системи помилкової інформації, що виходить нібито від користувача, що має санкції на передачу такого роду інформації ;
· порушення зв'язку - недопущення зв'язку або затримка термінових повідомлень.
Рекомендаціями МОС і МСЕ-Т передбачаються наступні основні механізми захисту:
· шифрування даних;
· забезпечення аутентифікації;
· забезпечення цілісності даних;
· цифровий підпис;
· контроль доступу.
2. Базові технології безпеки
У різних програмних і апаратних продуктах, призначених для захисту даних, часто використовуються однакові підходи, прийоми та технічні рішення. До таких базовим технологіям безпеки відносяться аутентифікація, авторизація, аудит і технологія захищеного каналу.
. 1 Аутентифікація
Аутентифікація (authentication) запобігає доступ до мережі небажаних осіб і дозволяє вхід для легальних користувачів. Термін «аутентифікація» в перекладі з латинської означає «встановлення автентичності». Аутентифікацію слід відрізняти від ідентифікації. Ідентифікатори користувачів використовуються в системі з тими ж цілями, що і ідентифікатори будь-яких інших об'єктів, файлів, процесів, структур даних, але вони не пов'язані безпосередньо із забезпеченням безпеки. Ідентифікація полягає в повідомленні користувачем системі свого ідентифікатора, в той час як аутентифікація - це процедура докази користувачем того, що він є той, за кого себе видає, зокрема, доказ того, що саме йому належить введений нею ідентифікатор.
У процедурі аутентифікації участь дві сторони: одна сторона доводить свою автентичність, пред'являючи деякі докази, а інша сторона - аутентифікатор - перевіряє ці докази і приймає рішення. Як доказ автентичності викори...