Ключи кодирования могут выполняться в виде программ. Между тем, широкое распространение получают простые устройства, которые содержат интегральные схемы и поэтому осуществляют аппаратную защиту. Эти уст­ройства устанавливаются на входах защищаемых информационных систем. Каждая интегральная схема при изготовлении делается уникальной. Секрет­ные формулы, описывающие защиту, разбиты на две части. Поэтому здесь используется два ключа. Один из них применяется для шифрования, а дру­гой - для расшифрования. В информационной сети должно быть обеспечено управление ключами, заключающееся в их создании, хранении, распростра­нении, учете и использовании.

Существует два способа шифрования - симметричный и асиммет­ричный. В первом для кодирования и декодирования информации применя­ется один и тот же закрытый ключ. Во втором способе используются два взаимодополняющих друг друга ключа: открытый и закрытый. Сущность симметричного способа состоит в том, что два партнера имеют одинаковые закрытые ключи. Один из партнеров этим ключем шифрует данные, а другой - расшифровывает. Метод эффективен. Но, его ахилесовой пятой является необходимость пересылки партнеру закрытого ключа. А при этой пересылке ключ может быть похищен.

Поэтому, позже, был предложен другой, асимметричный способ шифрования. Он осуществляется парой ключей: открытым и закрытым. Первым информация шифруется, а вторым - расшифровывается. В этом случае адресат (организация либо предприятие), который хочет получать зашифрованные документы, рассылает всем своим партнерам открытые ключи, не являющиеся секретными. И последние используют их при шиф­ровании документов, направляемых указанному адресату. Между тем, асимметричное шифрование выполняется в тысячи раз медленнее, чем сим­метричное.

Наиболее популярный симметричный способ шифрования определя­ет стандарт, предложенный корпорацией IBM и утвержденный в США Национальным институтом по стандартам и технологиям. Этот стандарт по­зволил обеспечить безопасность передачи информации по сетям. Он предна­значен для документов общего пользования и основывается на шифровании с помощью 64-разрядного закрытого ключа. В результате, данные становят­ся известны только отправителю и получателю. Стандарт обеспечивает дос­таточно высокую защиту от несанкционированного чтения либо изменения документов.

В соответствии с этим стандартом данные делятся на блоки по 64 би­та. Каждый из них шифруется отдельно, символ за символом. Каждый сим­вол преобразуется 16 раз, причем для каждого преобразования используются различные алгоритмы. Эти алгоритмы и вся методика преобразования опре­деляются ключем. Алгоритмы преобразований предусматривают переста­новку порядка следования битов в блоке. Каждый блок также подвергается более чем десяти преобразованиям. Из 64 битов ключа 56 битов использу­ются для шифрования, а 8 - для обнаружения ошибок. В результате получа­ется поистине неисчислимое число различных шифровок.

Процедуры асимметричного шифрования определяются стандартом Х.509 Международного союза электросвязи. В соответствии с этим стандар­том абонент должен предварительно обратиться с запросом в какой-нибудь известный орган управления криптографией и получить сертификат с от­крытым ключем. При установлении взаимодействия партнеры определяют имена друг друга и наличие полномочий путем обмена сертификатами. Шифрование информации осуществляется различными способами.

В криптографии широко используется так называемое хеширование — способ кодирования, при котором символы текста подвергаются обработке по определенной секретной формуле, называемой хеш-функцией. Особенно широко хеширование используется для защиты баз данных и знаний от по­стороннего вмешательства. Хеширование совместно с закрытым ключем, используемым при шифровании информации, применяется также для созда­ния подписи пользователя. В основе этого процесса лежит смешивание со­держимого ряда частей отправляемого документа.

Идентификация - отождествление анализируемого объекта с одним из известных является важным звеном обеспечения безопасности данных. Она необходима для того, чтобы определить является ли рассматриваемый объект абонентом информационной системы или сети и какие права он име­ет на работу с ресурсами систем или сетей. Объектами идентификации яв­ляются:

- пользователи,

- программы,

- сообщения,

- адреса отправителей и получателей данных.

Идентификация также необходима для учета используемых инфор­мационных ресурсов, составления отчетов о работе систем и подсчета стоимости предоставленных пользователям услуг. При идентификации прихо­дится сталкиваться с двумя видами ситуаций. В первом случае пользователю нужно подтвердить свою личность. Во втором случае наоборот, системе или сети необходимо узнать, с кем она имеет дело.

Первый случай происходит тогда, когда пользователь не заинтересо­ван в том, чтобы кто-то представился вместо него. Например, тогда, когда пользователь дает распоряжение банку оплатить какой-нибудь счет либо пе­речислить указанному им лицу определенную сумму денег. Второй случай имеет место в ситуации, в которой пользователю безразлично либо нежелательно, чтобы он был идентифицирован. Что же касается преступников, то они стремятся к тому, чтобы идентификация была обязательно неверной.

Таким образом, технология должна учитывать то обстоятельство, что пользователь может как помогать, так и мешать его идентификации. Идентификация требует, чтобы каждый пользователь и программа получила свой идентификатор - набор символов, используемый как имя. Им может быть:

- пароль,

- реквизиты магнитной карточки либо компьютерной карточки,

- специфические особенности голоса человека,

- отпечатки пальцев,

- радужная оболочка глаза,

- ключ секретности,

- электронная подпись,

- цифровая подпись.

ОТПРАВИТЕЛЬ ПОЛУЧАТЕЛЬ

Документ
 

Документ
 
Первичная часть сообщения

 

Хеширование

Блок проверки
 

Блок проверки А

Блок проверки В
 

Шифрование с помощью закрытого ключа

Цифровая подпись
 

Цифровая подпись
 
 

Вторая часть сообщения

 

Передача сообщений через сеть

Рис.4. Схема создания и использования цифровой подписи.

Электронная подпись создается компьютерной технологией путем представления группы кодов, идентифицирующих пользователя. Для этого подпись, сделанная на листе бумаги, с помощью светового пера либо скане­ра вводится в информационную систему. При этом, иногда, фиксируется не только форма подписи, но также давление пера при письме. Далее осущест­вляется её динамический анализ, в результате чего создается специальный электронный шаблон (набор кодов). Он формируется по группе подписей одного и того же человека. Коды шаблона помещаются в базу данных и ис­пользуются по мере надобности. Через принятые интервалы времени шаб­лоны обновляются за счет вновь введенных подписей пользователя.

Все большую популярность получает цифровая подпись - набор дан­ных, эквивалентный традиционной подписи. Создается указанная подпись с помощью хеширования и использования закрытого ключа. Происходит это следующим образом. Отправитель (рис.4) передаваемого документа обраба­тывает его с помощью хеширования. Получаемый в результате этого блок проверки является своеобразным "отпечатком пальцев" рассматриваемого документа. Шифрование блока проверки с помощью закрытого ключа поль­зователя позволяет получить цифровую подпись. Документ вместе с цифро­вой подписью образуют сообщение, которое направляется от отправителя к получателю через сеть передачи данных. Получатель выделяет из пришедшего сообщения документ и цифро­вую подпись. Обработав полученный таким образом документ с помощью того же хеширования, получатель формирует блок проверки А. Дешифруя с помощью закрытого ключа отправителя его цифровую подпись, получатель создает блок проверки В. Если оба блока совпали, то сообщение пришло от определенного отправителя, причем, без ошибок и искажений посторонними лицами. Указанная технология в одинаковой степени относится также к слу­чаю, когда документ передается через сеть без шифрования.

В результате проведения идентификации происходит аутентифика­ция - установление подлинности обращающегося к информационному ре­сурсу пользователя либо программы. Выполняются два вида аутентифика­ции: источника и потребителя данных. При этом необходимо убедиться в том, что информация не была изменена при передаче данных. Пользователи, процессы, информационные системы, базы данных, передающие и прини­мающие данные, именуются администраторами доступа. Аутентификация этих администраторов необходима для установления подлинности отправи­теля и получателя данных.

Аутентификация может быть однонаправленной либо взаимной. Од­нонаправленная гарантирует подлинность только одного администратора доступа. Взаимная - обоих администраторов. При этом используются не­сколько принципов аутентификации. Они включают:

- нечто известное, например, пароль;

- нечто имеющееся, например, магнитную либо компьютерную карточку;

- какую-нибудь неизменную характеристику, например, отпечатки пальцев;

- относительно законченную в смысловом выражении часть текста, напри­мер, адрес администратора.

Если представленные сведения совпадают с имеющимися, то объект получа­ет право работы, но только в том объеме, который ему разрешен списком, предоставленных ему полномочий.

Подлинность имени сообщения определяется данными, заложенными в соответствующих частях, добавляемых к передаваемой информации. Ана­логичным образом определяются адреса отправления и получения данных. Проводимый анализ обеспечивает защиту от случайных либо намеренных искажений содержимого блоков данных или посылки фиктивных блоков. Процедура проведения анализа с целью определения подлинности имени объекта называется верификацией.

В обеспечение безопасности данных важную роль играет процесс учета абонентов информационных ресурсов и предоставленных им прав. Этот процесс именуется регистрацией абонентов. Важность процесса реги­страции связана с тем, что преступники стремятся узнать фирменные секре­ты, исказить или стереть определенные сведения. Более того, появились ли­ца, именуемые хакерами (от английского hack - рубить, кромсать, разби­вать), которые вторгаются в программное обеспечение с целью кражи либо искажения программ и данных. С этой же целью хакеры внедряют в про­граммы компьютерные вирусы. Вначале регистрация осуществлялась неза­висимо на всех объектах, предоставляющих ресурсы системы и сети, кото­рые должен использовать абонент: в службах сети, на серверах, базах дан­ных и т. д. И на каждом объекте абонент получал отдельный пароль. Между тем, регистрация на множестве объектов, запоминание многочисленных па­ролей затрудняет работу абонентов.

В этой связи предложены такие методы защиты данных, которые обеспечивают одноразовую регистрацию абонента в сети, дающую возмож­ность использования программ и данных во всех разрешенных ему объектах. Такой подход упрощает абонентам процедуру доступа к информации, управление безопасностью данных. В этом случае управление становится централизованным, а обработка данных остается распределенной. Качество защиты возрастает, а ее стоимость - падает.

Сохранение информации в том виде, в котором она была подготовле­на авторами, называют целостностью данных. Выделяют четыре типа нару­шения целостности: несанкционированные изменения, создание, удаление, вставка данных. Среда, в которой предотвращаются либо обнаруживаются несанкционированные изменения данных, включая создание и удаление, на­зывается средой с защитой целостности. Преобразование данных, обеспечи­вающее защиту целостности, называется их экранированием. Для обеспече­ния целостности в сетях создаются службы, которые осуществляют экрани­рование перед передачей данных и отмену экранирования после их приема. Целостность может быть обеспечена при помощи криптографии. Кроме это­го существуют и другие методы. Например, добавление к данным печати, подписи, дублирование данных, добавление контрольного значения. Дубли­рование осуществляется в пространстве (при записи в несколько областей памяти) или во времени. Так, искажение целостности может быть обнару­жено многократным повторением сообщения.

Для обеспечения целостности данных используются три метода:

- создание закрытых для посторонних каналов;

- наблюдение за маршрутизацией блоков данных;

- управление доступом к данным.

Управление доступом является процедурой проверки разрешений на обращения пользователей либо программ к данным или программам. Эта процедура связана с двумя целями. Первая из них заключается в выполне­нии требований, определяемых принятым интерфейсом. Эта процедура обеспечивает физическую и логическую возможность взаимодействия с нужными информационными ресурсами. Вторая цель связана с безопасно­стью данных и обеспечивает работу с ресурсами только тех пользователей и программ, которые имеют на это разрешение.

Во втором случае управление доступом осуществляет противодейст­вие следующим видам угроз:

- несанкционирование использование;

- раскрытие либо разрушение данных или программ;

- их незаконная модификация;

- прекращение функционирования службы доступа.

Абонентами службы доступа могут быть пользователи и программы. Служба проверяет полномочие инициатора и в нужных случаях, когда он является абонентом, дает разрешение на доступ к ресурсам. В своей работе служба руководствуется имеющейся у нее инструкцией. Компоненты объек­та, доступ к которому находится в ведении службы управления доступа, мо­гут быть разбиты на зоны. Например, база данных. В этом случае разные абоненты могут получать разрешения на доступ к различным зонам.

1.1.4. Архитектура систем и служб

В соответствии с базовой эталонной моделью Международной орга­низации стандартизации информационные системы, работающие в сети, со­стоят (рис.5) из трех основных логических частей: прикладные процессы, область взаимодействия открытых систем и физические средства, соединения. Указанные части представляются функциональными профилями (ком­плексами программ). Чаще всего выделяют профили, показанные на рис.6:

• профили R, T — транспортная платформа, представляющая средства передачи данных (R) и определяющая взаимодействие сетей (Т);

• профиль А - прикладная платформа, характеризующая средства взаимодействия прикладных процессов;

• профили C, F,S - описывающие параметры и характеристики данных, с которыми работают прикладные процессы.

Прикладные процессы

1

2

-------

N

 

Область взаимодействия

Открытых систем

Физические средства соединения

Рис.5. Область взаимодействия.

Профиль С

Набор символов

 

Профиль F

Профиль F

Профиль S

 

Форматы документов

Форматы данных

Безопасность, маршрутизация, адресация

 

Уровни

Профиль А

 

7

6

5

Прикладная платформа

 

Профили R, T

 

4

3

2

1

Транспортная платформа

 

 

Физические средства соединения

 

Рис. 6. Комплексы программ.

Прикладные процессы характеризуются (рис.7) большим набором функциональных блоков. Последние обеспечивают совместную работу при­кладных процессов, выполняемых в различных абонентских системах.

Управление системами данных
 

Управление сетью и ее системами
 

Управление данными и хранение
 
 

Безопас-ность
 

Ввод заданий
 

Интер-активные процессы
 

Монитор представления и договора
 
Важную роль в работе прикладных процессов имеет адресация — способ указания адресов этих процессов и работающих с ними партнеров. Адресация определяет пункты отправки и назначения посылаемых писем, сообщений, блоков данных, сигналов. В адресах указывается, где располо­жены процессы или как их достичь, но не что они собой представляют. Ад­реса могут присваиваться один независимо от другого. Но чаще использует­ся иерархическая адресация, при которой адреса объединяются в группы, отражая ту или иную их взаимосвязь (например, страну, регион, город, предприятие...). Эта взаимосвязь также может отражать топологию сети, ад­министративные либо функциональные связи. Использование ассоциатив­ной адресации позволяет присваивать адреса в соответствии с взаимозави­симостью процессов, а не их месторасположением.

В соответствии с базовой моделью иерархия систем и служб, связан­ных с использованием информационных технологий в экономике может быть представлена в виде, показанном на рис.8. Здесь все подчинено цели создания нужных автоматизированных экономических систем - совокупностей информационных объектов и отношений между ними, предназначен­ных для решения задач экономики. Например, автоматизации работы бан­ков, бирж.

Для создания экономических систем необходимы базовые системы, выполняющие используемые многоцелевые технологии. Такие, как создание интерфейсов, визуализация информации, организация баз данных и т. д. Ба­зовые системы подпирают (рис.8) автоматизированные экономические сис­темы предоставляя им свои услуги.

Автоматизированные экономические системы

Прикладные

Базовые системы

Системы обработки документов

Процессы

Уровни:

Сетевые службы

Прикладная

Прикладной (7)

Протокол управления службами

Представительный (8)

Представительный уровень

Сеансовый (5)

Сеансовый уровень

платформа

Рис. 8. Иерархия систем и служб.

В свою очередь, для функционирования базовых систем необходимы системы обработки документов. Например, системы редактирования тек­стов, создания изображений, подготовки стандартных документов и т. д. Рас­сматриваемые системы подпирают базовые, предоставляя им свои услуги.

Все рассмотренные выше системы расположены (рис.8) над прикладным уровнем и благодаря этому получают услуги сетевых служб - компью­терных технологий, обеспечивающих разнообразные формы и способы пе­редачи информации между прикладными процессами, выполняемыми в раз­личных абонентских системах сети.

В итоге, автоматизированные экономические системы получают все виды услуг, предоставляемых функциональными блоками других систем и служб, всей областью взаимодействия открытых систем. При этом следует иметь в виду, что чем выше располагаются функциональные блоки, тем в большей степени они определяются создаваемыми автоматизированными экономическими системами. Так, область взаимодействия, за исключением верхнего подуровня прикладного уровня, не зависит от выбираемых эконо­мических систем. Однако уже на верхнем подуровне прикладного уровня выбираются те сетевые службы, которые нужны для рассматриваемых сис­тем. То же самое происходит с системами обработки документов и базовы­ми системами.

Информационную систему, оборудованную всеми средствами, необ­ходимыми для выполнения в организации либо на предприятии определен­ных задач, называют автоматизированным рабочим местом либо APMом. Такое место имеет один либо группу компьютеров, набор необходимых внешних устройств и комплекс программ. Используя АРМ, сотрудник вы­полняет закрепленные за ним профессиональные обязанности.

1.2. Сетевые службы

Сетевые службы являются компьютерными технологиями, перед ко­торыми поставлена общая цель - обеспечение взаимодействия прикладных процессов, работающих в различных абонентских системах, включенных в сеть. В результате, происходит интеграция средств обработки и передачи данных, называемая телеобработкой информации. Сетевые службы распола­гаются (рис.8) на верхнем подуровне прикладного уровня и обеспечивают передачу данных для нужд автоматизированных экономических систем.

1.2.1. Службы передачи информации

Через сеть передаются сигналы, файлы, сообщения, письма, изобра­жения, видеофильмы и т. д. Все это требует использования различных под­ходов и процедур. Что приводит к многообразию используемых служб пере­дачи информации.

Пять из этих служб показаны на рис.9. Все они опираются (рис.8) на протокол управления службами, именуемый (рис.9) сервисным элементом управления ассоциацией (ACSE). Этот элемент использует услуги предста­вительного уровня, работающего с различными языками и кодами. Еще ни­же находится (рис.8) сеансовый уровень, занимающийся организацией и проведением сеансов взаимодействия прикладных процессов.

К прикладным процессам

FTAM

MHS

(MOTIS

ODA

EDI

(ELS)

DS

Сервисный элемент управления ассоциацией

(ACSE)

К представительному уровню

Рис.9. Структура прикладного уровня.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13