Защита подлинности документов на основе электронной подписи

Таким образом, электронная подпись удовлетворяет следующим условиям функции подтверждения передачи:

получатель удостоверяется в истинности источника данных (подтверждение подлинности идентификатора и самого отправителя);

получатель удостоверяется в истинности передаваемых данных;

отправитель удостоверяется в доставке данных получателю;

отправитель удостоверяется в истинности доставленных данных (расписка в получении).

В России алгоритм электронной подписи разработан и сертифицирован ФАПСИ и может быть использован в ИТКС для подтверждения подлинности, целостности сообщений, документов и реализации функций подтвержденной передачи в целом.

Технология защиты сетей и каналов

По информационному обмену система обеспечения информационной безопасности ИТКС должна обеспечивать защиту информации от НСД как внутри ИАЦ и ИКЦ, так и при передаче по транспортной сети. Это достигается технологиями передачи информации по каналам, защищенным физически от несанкционированного доступа, а также криптографической защитой передачи информации.

Последняя процедура производится либо до, либо непосредственно в процессе передачи информации.

В СПД "Атлас" криптографическими методами обеспечиваются: защита информации в каналах связи и банках данных, подтверждение подлинности информации, живучесть сети шифросвязи при компрометации части ключевой информации в системе, защита от несанкционированных действий по каналу связи или лицами, не допущенными к средствам шифрования.

В общей проблеме использования в программно-технических комплексах ИТКС доверенной общесистемной программной среды с защитой информационного обмена связаны операционные системы, программы поддержки сетевых протоколов и обмена информацией по локальным и телекоммуникационным сетям. Актуальны проблемы создания и внедрения защищенных версий ОС Unix и Windows NT, реализация сетевого протокола ТСРДР, новых версий сетевой ОС Novell NetWare, сертификация и адаптация средств разграничения сетей типа Fire Wall к программно- техническим комплексам ИТКС.

На современном этапе развития ИТКС необходима защита обмена по высокоскоростным (до 600 Мбит/с) каналам связи.

Контроль позволяет ограничить доступ к сети только теми пользователями, которым это разрешено. Такой контроль прост, если сеть управляется и контролируется одной организацией. Однако все равно данная сеть не может быть доверенной, так как не исключены попытки прослушивания и мониторинга коммуникационных линий. Доверие к сети повышается, когда начинают привлекаться дополнительные механизмы, такие как шифрование.

Средства обеспечения безопасности сетей

Построение ИТКС невозможно без связи ее с внешними сетями. Между тем выход ее в другие сети существенно увеличивает риск несанкционированного доступа к ценной информации, а также ее уничтожения и разрушения всей информационной структуры сети.

Средства обеспечения безопасности сетей распределяются по всем уровням семиуровневой модели, однако на каждом уровне они имеют присущую только им специфику.

устройства шифрования для защиты канала в стандарте 802.3; шифрование на уровне IP (многопротокольный криптомарш- рутизатор и защищенные сокеты ТСРДР для DOC и Windows);

шлюз для разграничения разноуровневых сетей и создания виртуальных корпоративных сетей (шлюз, использующий концепцию Firewall).

Устройства шифрования на канальном (физическом) уровне обеспечивают конфиденциальность трафика потока сообщений для каналов "точка-точка". Их можно использовать в выделенных и коммутируемых линиях, а также в магистральных каналах.

Устройства, обеспечивающие шифрование на уровне IP, в состоянии защитить трафик на всем пути от отправителя к получателю независимо от промежуточных коммутаторов.

Реализация средств секретности на IP-уровне делает возможной разработку устройств секретности, внешних по отношению к компьютерам, которые можно использовать для большого числа имеющихся компьютеров.

Полезным свойством такого устройства секретности является то, что они могут использоваться как для отдельных компьютеров, так и для маршрутизаторов. Во втором случае защита обычно обеспечивается для всех станций в ЛВС.

В качестве методов шифрования системы защиты в ИТКС могут быть использованы:

симметричное шифрование в соответствии с ГОСТом, выступающее основным инструментом защиты данных,

несимметричное шифрование, применяемое в процедурах взаимной аутентификации, а также распределения ключей симметричного шифрования.

Для подключения ИТКС к открытым сетям и развязки разноуровневых сетей используется концепция Firewall. Она разработана для снижения риска нелегального доступа к закрытой информации при подключении частных сетей (в том числе ЛВС) к сетям общего пользования. Система защиты типа Firewall представляет собой программно-аппаратный комплекс, разме- щенный на стыке двух сетей и реализующий следующие три функции:

обеспечение обмена данными между сетями только через систему Firewall;

фильтрация трафика обмена, управляемая администратором ЛВС;

предотвращение возможности проникновения в саму систему Firewall.

Основная задача, стоящая перед такими системами, — фильтрация пакетов, приходящих как из внешней, так и из внутренней сети, запрещение доступа к ресурсам сети извне и на передачу пакетов с указанных узлов внутренней сети наружу.

Правильно построенная система фильтрации является аппаратно-программным комплексом. Аппаратный маршрутизатор отвечает за фильтрацию пакетов, проходящих через него, обеспечивает доступ только к разрешенным адресам внутренней сети, а также выход во внешний мир только с разрешенных адресов. Программная часть обеспечивает фильтрацию на уровне приложений, в частности фильтрацию писем электронной почты, трансляцию адресов с помощью DNS для сокрытия внутренней топологии сети, ограничение доступа к заданным узлам Web.

В этом случае достигается эффективная блокировка внешнего трафика частной сети и жесткий контроль за ним. Принципы получения разрешений могут быть различными и выбираются администрацией частной сети.

Технология Firewall представляет собой пример непосредственной реализации политики сетевого доступа к службам. Обычно такая политика (запрещено все, что не разрешено) более безопасна и, следовательно, более предпочтительна. Системы, требующие таких служб, которые не пропускает Firewall, можно разместить в экранированных подсетях отдельно от других систем сети. Из этого следует, что до начала реализации системы Firewall должна быть выработана политика безопасности в рамках ИТКС.

Недостаток этой системы — в ограничении производительности сети, так как им требуется время на дешифрацию и распознавание приходящих пакетов.

Для успешной работы сети рекомендуется предусмотреть средства управления:

составом и конфигурацией сетей; структурно-адресными таблицами (и их контролем); функциональным контролем сети; функционированием сети.

Защита операционных систем

Функционирование программно-аппаратного комплекса узла системы ИТКС немыслимо без современных операционных систем, которые между тем всегда содержат небольшое число ошибок и дыр, способных повлиять на безопасность обработки и хранения информации под управлением таких систем. Чтобы обеспечить безопасность операционных систем, используемых в ИТКС, необходимо:

проведение анализа операционных систем; своевременное выявление и устранение уже известных дыр в их безопасности;

проведение специальных исследований и анализа взлома защиты операционных систем;

отключение неиспользуемых процессов операционной системы;

запрещение загрузки компьютерного оборудования, минуя стандартную операционную систему узла.