Компьютерные сети. Принципы, технологии, протоколы - [403]

Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.

Информационная безопасность обеспечивается техническими средствами — системами шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевыми экранами и др., а также юридическими и морально-этическими нормами, просветительной работой и административными мерами.

Существует два класса алгоритмов шифрования — симметричные (например, DES) и асимметричные (например, AFS). Дайджест —■ это результат односторонней функции шифрования. Знание дайджеста не позволяет и даже не предполагает восстановления исходных данных. Дайджест используется для контроля целостности и аутентичности документа (цифровая подпись).

Аутентификация пользователя — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает. Процедуры аутентификации могут основываться на знании разделяемого секрета (многоразовые и одноразовые пароли), владения неким уникальным предметом (физическим ключом, документом, сертификатом), на биохарактеристиках (рисунок радужной оболочки глаза).

Авторизация — это процедура контроля доступа легальных пользователей к ресурсам системы и предоставление каждому из них именно тех прав, которые определены ему администратором.

Антивирусная защита служит для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. В ней используются методы, основанные на анализе содержимого файлов (сканирование сигнатур) и поведения программ (протоколирование и предупреждение подозрительных действий).

Сетевой экран осуществляет информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика. Сетевые экраны делятся на экраны с фильтрацией пакетов на основе IP-адресов, сетевые экраны сеансового уровня, способные фильтровать пакеты с учетом контекста, и наиболее интеллектуальные сетевые экраны прикладного уровня.

Прокси-сервер — это особый тип приложения, которое выполняет функции посредника между клиентскими и серверными частями распределенных сетевых приложений, причем предполагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней (потенциально опасной)сети.

Технология защищенного канала обеспечивает защиту трафика между двумя точками в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает выполнение трех основных функций:

□ взаимная аутентификация абонентов при установлении соединения;

□ шифрование передаваемых по каналу сообщений;

О подтверждение целостности поступающих по каналу сообщений, например, путем передачи одновременно с сообщением его дайджеста.

К числу наиболее популярных протоколов защищенного канала относятся IPsec и SSL. IPSec — это согласованный набор открытых стандартов, ядро которого составляют три протокола:

□ АН гарантирует целостность и аутентичность данных;

□ ESP, кроме того, обеспечивает конфиденциальность данных;

□ IKE решает задачу автоматического распределения секретных ключей, необходимых для работы протоколов аутентификации.

Более масштабным средством защиты трафика по сравнению с защищенными каналами являются виртуальные мастные сети (VPN). VPN на основе шифрования включают шифрование, которое гарантирует конфиденциальность корпоративных данных при передаче через открытую сеть, аутентификацию взаимодействующих систем на обоих концах VPN и туннелирование, позволяющее передавать зашифрованные пакеты по открытой публичной сети.

1. В каких средствах обеспечения безопасности используется шифрование? Варианты ответов:

а) аутентификация и авторизация;

б) антивирусные системы;

в) защищенный канал;

г) сетевой экран прикладного уровня;

д) фильтрующий маршрутизатор;

е) цифровая подпись.

2. Какие из антивирусных методов способны обнаружить еще неизвестный вирус? Варианты ответов:

а) сканирование сигнатур;

б) метод контроля целостности;

в) отслеживание поведения команд;

г) эмуляция тестируемых программ.

3. К числу базовых функций сетевого экрана относятся:

а) аудит;

б) шифрование трафика;

в) фильтрация трафика;

г) антивирусная защита;

д) функция прокси-сервера;

е) авторизация;

ж) повышение пропускной способности канала.

4. Существует ли угроза похищения пароля при использовании аппаратного ключа?

5. Справедливо ли утверждение «Поскольку открытый ключ не является секретным, то его не нужно защищать»?

6. Что содержится в электронном сертификате? Варианты ответов:

а) секретный ключ владельца данного сертификата;

б) данные о владельце сертификата;

в) информация о сертифицирующем центре, выпустившем данный сертификат;

г) зашифрованные открытым ключом сертифицирующего центра данные, содержащиеся в сертификате.

7. Правила доступа узлов сети периметра к ресурсам внутренней сети часто бывают

более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних пользователей. Как вы думаете, почему? '

8. Какие из следующих утверждений верны: