доклад.md 9.0 KB
## доклад Климанского Дениса на тему: 1.6.200 Архитектура механизмов защиты распределенных автоматизированных систем##
Архитектуру механизмов защиты информации рассмотрим на примере особо популярной эталонной модели взаимодействия открытых систем (ВОС).
ключевые концепции использования методов и средств ЗИ на уровне базовой эталонной модели изложены в международном стандарте ISO/IEC 7498-2 «Базовая эталонная модель взаимодействия открытых систем», часть 2 «Архитектура безопасности». В самом названии ВОС термин «открытые» подразумевает, что если вычислительная система соответствует стандартам ВОС, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, естественно, относится и к вопросам ЗИ.
Все функции открытых систем, обеспечивающие взаимосвязь, распределены в эталонной модели по семи уровням. Созданная в данном документе архитектура ЗИ ВОС создает целую базу для создания серии стандартов по ЗИ, установка которых — снизить уровень риска несанкционированного доступа, исполняемого с целью хищения, порчи (в том числе введения вируса), подмены, уничтожения информации. влияние на информацию может произойти по причинам случайного и умышленного характера. Последние могут носить пассивный (прослушивание без нарушения работы системы, копирование информации) и активный (модификация и подмена информации, изменение состояния системы, введение вирусов и т. ) характер. В ВОС различают следующие основные активные способы несанкционированного доступа к информации:
1) маскировка одного логического объекта под другой, который обладает большими полномочиями (ложная аутентификация абонента);
2) переадресация сообщений (преднамеренное искажение адресных реквизитов);
3) модификация сообщений (преднамеренное искажение информационной части сообщения);
4) блокировка логического объекта с целью подавления некоторых типов сообщений (выборочный или сплошной перехват сообщений определенного абонента, нарушение управляющих последовательностей и т.
Выясним, что понимается под распределенными АС. Распределенные АС - АС, которые не располагаются на одной контролируемой территории, на одном объекте.
Коммуникационная подсистема включает в себя: коммуникационные модули (КМ); каналы связи; концентраторы; межсетевые шлюзы (мосты).
Основной функцией коммуникационных модулей является передача полученного пакета к другому КМ или абонентскому пункту в соответствии с маршрутом передачи.
Каналы связи объединяют элементы сети в единую сеть, каналы могут иметь различную скорость передачи данных.
Концентраторы используютсядля уплотнения информацииперед передачей её по высокоскоростным каналам.
Межсетевые шлюзы и мосты используются для связи сети с ЛВС или для связи сегментов глобальных сетей. С помощью мостов связываются сегменты сети с одинаковыми сетевыми протоколами.
С точки зрения защиты информации в РКС важно разделить вычислительные сети на корпоративные и общедоступные.
В корпоративных сетях все элементы принадлежат одному ведомству за исключением, может быть, каналов связи. В таких сетях имеется возможность проводить единую политику обеспечения безопасности информации во всей сети.
Противоположностью таким сетям являются общедоступные коммерческие сети, в которых во главу угла ставится распространение информации, а вопросы защиты собственных информационных ресурсов решаются, в основном, на уровне пользователей.
При построении системы защиты в распределённой АС необходимо учитывать:
сложность системы, которая определяется как количеством подсистем, так и разнообразием их типов и выполняемых функций;
невозможность обеспечения эффективного контроля за доступом к ресурсам, распределённым на больших расстояниях, возможно за пределами границ страны;
возможность принадлежности ресурсов сети различным владельцам.
В РКС все потенциальные преднамеренные угрозы безопасности информации делят на две группы: пассивные и активные.
К пассивным относятся угрозы, целью реализации которых является получение информации о системе путём прослушивания каналов связи. Подключившись к каналам связи или являясь пользователем системы, злоумышленник может:
получить информацию путём перехвата незашифрованных сообщений;
анализировать трафик (поток сообщений), накапливая информацию об интенсивности обмена отдельных абонентов, о структуре сообщений, о маршрутах доставки сообщений и т.
Активные угрозы предусматривают воздействие на передаваемые сообщения в сети и несанкционированную передачу фальсифицированных сообщений с целью воздействия на информационные ресурсы объектов РКС и дестабилизацию функционирования системы.
Все методы и средства, обеспечивающие безопасность информации в защищённой вычислительной сети, могут быть распределены по группам:
обеспечение безопасности информации в пользовательской подсистеме;
защита информации на уровне подсистемы управления сетью;
защита информации в каналах связи;
обеспечение контроля подлинности взаимодействующих процессов.
Источники:https://studref.com