ВУЗ:
Составители:
ся различными механизмами, хотя контролировать целостность потока, не проверяя от-
дельные сообщения, едва ли имеет смысл.
Процедура контроля целостности отдельного сообщения (поля) включает в себя два
процесса – один на передающей стороне, другой на приемной. На передающей стороне к
сообщению добавляется избыточная информация, которая является функцией от сооб-
щения (разновидности контрольных сумм). На приемной стороне независимо генериру-
ется контрольная сумма полученного сообщения с последующим сравнением результа-
тов. Данный механизм сам по себе не защищает от дублирования сообщений.
Для проверки целостности потока сообщений (защита от кражи, переупорядочива-
ния, дублирования и вставки сообщений) используются порядковые номера, временные
штампы, криптографическое связывание (результат шифрования очередного сообщения
зависит от предыдущего) или иные приемы.
Механизмы аутентификации. Аутентификация может достигаться за счет исполь-
зования паролей, личных карточек или иных устройств аналогичного назначения, крип-
тографических методов (когда демонстрируется знание секретного ключа), устройств
измерения и анализа биометрических характеристик.
Аутентификация бывает односторонней (клиент доказывает свою подлинность сер-
веру) и двусторонней (взаимной). Пример односторонней аутентификации – процедура
входа пользователя в систему.
Для защиты от дублирования аутентификационной информации могут использо-
ваться временные штампы и синхронизация часов в узлах сети.
Механизмы дополнения трафика, разумеется, эффективны только в сочетании со
средствами обеспечения конфиденциальности, поскольку в противном случае злоумыш-
леннику будет очевиден фиктивный характер дополнительных сообщений.
Механизмы управления маршрутизацией. Маршруты могут выбираться статически
или динамически. Оконечная система, зафиксировав неоднократные атаки на определен-
ном маршруте, может отказаться от его использования. На выбор маршрута способна
повлиять метка безопасности, ассоциированная с передаваемыми данными.
Механизмы нотаризации – служит для заверения таких коммуникационных харак-
теристик, как целостность, время, личности отправителя и получателей. Заверение обес-
печивается надежной третьей стороной, которая обладает достаточной информацией,
чтобы ее заверениям можно было доверять. Обычно нотаризация опирается на механизм
электронной подписи.
Администрирование средств безопасности – безопасности включает в себя распро-
странение информации, необходимой для работы функций и механизмов безопасности, а
также сбор и анализ информации об их функционировании. Примерами могут служить
распространение криптографических ключей, установка значений параметров защиты,
ведение регистрационного журнала и т.п.
Концептуальной основой администрирования является информационная база управ-
ления безопасностью. Эта база может не существовать как единое (распределенное) хра-
нилище, но каждая из оконечных систем должна располагать информацией, необходимой
для проведения в жизнь избранной политики безопасности.
Усилия администратора средств безопасности должны распределяться по трем на-
правлениям: администрирование системы в целом; администрирование функций безо-
пасности; администрирование механизмов безопасности.
Среди действий, относящихся к системе в целом, отметим поддержание актуально-
сти политики безопасности, взаимодействие с другими административными службами,
реагирование на происходящие события, аудит и безопасное восстановление.
Администрирование функций безопасности включает в себя определение защищае-
мых объектов, выработку правил подбора механизмов безопасности (при наличии аль-
тернатив), комбинирование механизмов для реализации функции безопасности, взаимо-
действие с другими администраторами для обеспечения согласованной работы.
Обязанности администратора механизмов безопасности определяются перечнем задей-
ствованных механизмов. Типичный список таков:
• управление ключами (генерация и распределение). Многие аспекты управления
ключами (например, их доставка) выходят за пределы среды OSI;
• управление шифрованием (установка и синхронизация криптографических парамет-
ров). К управлению шифрованием можно отнести и администрирование механизмов элек-
тронной подписи и управление целостностью, если оно обеспечивается криптографическими
средствами;
Страницы
- « первая
- ‹ предыдущая
- …
- 38
- 39
- 40
- 41
- 42
- …
- следующая ›
- последняя »
