Обеспечение безопасности сетей

Страница 4

В случае канального шифрования защищается вся передаваемая по каналу связи информация, включая служебную. Этот способ имеет следующие особенности:

- вскрытие ключа шифрования для одного канала не приводит к компрометации информации в других каналах;

- вся передаваемая информация, включая служебные сообщения, служебные поля сообщений с данными, надежно защищена;

- вся информация оказывается открытой на промежуточных узлах -ретрансляторах, шлюзах и т.д.;

- пользователь не принимает участия в выполняемых операциях;

- для каждой пары узлов требуется свой ключ;

- алгоритм шифрования должен быть достаточно стоек и обеспечивать скорость шифрования на уровне пропускной способности канала (иначе возникнет задержка сообщений, которая может привести к блокировке системы или существенному снижению ее производительности);

- предыдущая особенность приводит к необходимости реализации алгоритма шифрования аппаратными средствами, что увеличивает расходы на создание и обслуживание системы.

Оконечное (абонентское) шифрование позволяет обеспечивать конфиденциальность данных, передаваемых между двумя прикладными объектами. Другими словами, отправитель зашифровывает данные, получатель - расшифровывает. Такой способ имеет следующие особенности (сравните с канальным шифрованием):

- защищенным оказывается только содержание сообщения; вся служебная информация остается открытой;

- никто кроме отправителя и получателя восстановить информацию не может (если используемый алгоритм шифрования достаточно стоек);

- маршрут передачи несущественен — в любом канале информация останется защищенной;

- для каждой пары пользователей требуется уникальный ключ;

- пользователь должен знать процедуры шифрования и распределения ключей.

Выбор того или иного способа шифрования или их комбинации зависит от результатов анализа риска. Вопрос стоит следующим образом: что более уязвимо — непосредственно отдельный канал связи или содержание сообщения, передаваемое по различным каналам. Канальное шифрование быстрее (применяются другие, более быстрые, алгоритмы), прозрачно для пользователя, требует меньше ключей. Оконечное шифрование более гибко, может использоваться выборочно, однако требует участия пользователя. В каждом конкретном случае вопрос должен решаться индивидуально.

- Механизмы цифровой подписи, которые включают процедуры закрытия блоков данных и проверки закрытого блока данных. Первый процесс использует секретную ключевую информацию, второй — открытую, не позволяющую восстановить секретные данные. С помощью секретной информации отправитель формирует служебный блок данных (например, на основе односторонней функции), получатель на основе общедоступной информации проверяет принятый блок и определяет подлинность отправителя. Сформировать подлинный блок может только пользователь, имеющий соответствующий ключ.

* Механизмы контроля доступа.

Осуществляют проверку полномочий сетевого объекта на доступ к ресурсам. Проверка полномочий производится в соответствии с правилами разработанной политики безопасности (избирательной, полномочной или любой другой) и реализующих ее механизмов.

* Механизмы обеспечения целостности передаваемых данных.

Страницы: 1 2 3 4 5 6

Больше по теме:

Структура кредитного блока
В кредитный блок Банка входят следующие кредитные подразделения: a. Управление кредитования крупного бизнеса Центрального Офиса Банка; b. Управление кредитования регионального бизнеса Центрального Офиса Банка; c. Управление торгового и ...

Требования Центрального Банка к вновь создаваемым кредитным организациям по формированию уставного капитала
Для осуществления контроля Банк России имеет право запрашивать все документы и всю необходимую информацию. Жесткий контроль за формированием уставного капитала вновь создаваемого банка обусловлен особым положением банковского общества на ...

Платеж по векселю и его гарантия
При исчислении срока погашения векселя не учитывается день, в который он выписан, и, если дата платежа приходится на нерабочий день, то он оплачивается в следующий рабочий день. Векселя предъявляются к оплате, если не оговорено иное, в м ...