Опишите механизмы безопасности информации, определенные МОС

Для реализации служб безопасности используются механизмы безопасности, наиболее распространенным из которых является шифрование. Шифрование обеспечивает реализацию служб засекречивания и используется в ряде других служб. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования - другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ.

Следует отметить, что для использования механизмов шифрования в ИВС необходима организация специальной службы генерации ключей и их распределения между абонентами ИВС. Наряду с шифрованием, документами МОС предусматриваются следующие механизмы безопасности:

цифровая (электронная) подпись;

контроль доступа;

обеспечение целостности данных;

обеспечение аутентификации;

подстановка трафика;

управления маршрутизацией;

арбитража, или освидетельствования.

Механизмы цифровой подписи используются для реализации служб аутентификации и защиты от отказов. Эти механизмы основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание получателем. Первая процедура использует секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.

Механизмы контроля доступа осуществляют проверку полномочий объектов (программ и пользователей) на доступ к ресурсам сети. Многообразие конкретных механизмов контроля доступа принято делить на две основные группы. Механизмы первой группы основаны на аутентификации объектов, требующих ресурса, и последующей проверке допустимости доступа, для которой используется специальная информационная база контроля доступа. Механизмы второй группы основываются на использовании меток (мандатов) безопасности, связываемых с объектами. "Предъявление" объектом соответствующего мандата дает право на доступ к ресурсу.

Механизмы обеспечения целостности данных направлены на реализацию к отдельному блоку данных, так и к потоку данных. Естественно, целостность блока является необходимым, но не достаточным условием целостности потока. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования, и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока данных, который может быть реализован, например, посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.

Механизмы обеспечения аутентификации Различают одностороннюю и взаимную аутентификацию. В первом случае один из взаимодействующих одноуровневых объектов проверяет подлинность другого, тогда как во втором - проверка является взаимной. На практике механизмы аутентификации, как правило, совмещаются с шифрованием, цифровой подписью и арбитражем.

Механизмы управления маршрутизацией используются для реализации служб засекречивания. Эти механизмы обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по небезопасным физически ненадежным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами ИВС, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.