Установим множество операций и функций, которые могут быть выполнены над объектами и ресурсами.

Первая группа операций - это операции инициализации объектов при входе в ИВС. К ним относятся: идентификация, подтверждение подлинности и установление сферы действия объекта. После этого объекту разрешается выполнение других операций с включением других объектов. Функции и средства защиты, относящиеся к активным элементам ИВС, целесообразно определить как функции и средства защиты объектов.

Вторая группа операций - операции управления процессами, выполняемыми в ИВС. Средства защиты осуществляют координацию, синхронизацию, обеспечивают целостность и защиту процессов в ИВС. Они могут быть объединены в подсистему управления ИВС.

Третья группа операций - это операции передачи данных и управляющих сообщений по линиям связи. Они также требуют защиты, поскольку линии связи - уязвимый компонент ИВС. Соответствующие функции и средства защиты целесообразно определить как функции и средства защиты каналов передачи данных.

Таким образом, все операции: требования к защите, функции, средства и механизмы защиты - могут быть отнесены к одной из следующих трех групп:

- защита объектов ИВС;

- защита подсистем управления ИВС;

- защита линий связи.

1.8.1 Защита объектов ИВС

С каждым объектом ИВС связана некоторая информация, однозначно идентифицирующая его. Это могут быть число, строка символов, алгоритм, подтверждающий подлинность объекта. Определим такую информацию как идентификатор объекта. Процесс верификации этого идентификатора назовем идентификацией объекта. Если объект имеет некоторый идентификатор, зарегистрированный в сети, он называется легальным объектом; остальные объекты относятся к нелегальным.

Идентификация защищенного объекта - одна из функций подсистем защиты, которая выполняется в первую очередь, когда объект делает попытку войти в сеть. Если процедура завершается успешно, объект является легальным для данной сети. Следующий шаг - верификация идентификатора объекта. Соответствующая процедура называется подтверждением подлинности объекта и устанавливает, что предполагаемый легальный объект действительно является таким, каким он себя объявляет.

После того, как объект идентифицирован и верифицирован, должны быть установлены сфера его действия и доступные ресурсы ИВС. Такая процедура называется предоставлением полномочий. Перечисленные три процедуры инициализации относятся к единственному объекту ИВС, и поэтому их следует отнести к средствам защиты самого объекта.

В контексте защиты каналов передачи данных (линий связи) подтверждение подлинности означает установление подлинности объектов, связывающихся между собой по линиям связи, реализуемых с помощью сетевых механизмов защиты. Таким образом, следующая совокупность функций защиты - подтверждение подлинности соединения абонентов по линиям связи. Эти функции называются взаимоподтверждением подлинности соединений объектов. Термин соединение используется для того, чтобы определить двустороннюю логическую связь между двумя взаимосвязанными объектами сети. Процедура подтверждения подлинности выполняется обычно в самом начале сеанса в процессе установления соединения. Цель - обеспечить высокую степень уверенности, что соединение установлено с равноправным объектом и вся информация, предназначенная для объекта, верифицирована и подтверждена.

После того как соединение установлено, необходимы следующие четыре процедуры, чтобы обеспечить защиту при обмене сообщениями:

а) получатель должен быть уверен в истинности источника данных;

б) получатель должен быть уверен в истинности передаваемых данных (подтверждение подлинности идентификатора и самого отправителя);

в) отправитель должен быть уверен в доставке данных получателю;

г) отправитель должен быть уверен в истинности доставляемых данных (расписка в получении).

Основными средствами защиты для подтверждения подлинности отправителя и передаваемых им данных являются электронные цифровые подписи, реализованные в криптографических протоколах.

1.8.2 Защита подсистем управления ИВС

Вторая группа средств защиты - защита процессов, циркулирующих в ИВС. Здесь используется два понятия - объект и среда. Объект - любой активный компонент ИВС (как это определено выше), а среда - операционное окружение этого объекта в тот интервал времени, когда объект активен.

Некоторые функции управления процессами уже упоминались при описании функций, процедур и средств защиты объектов ИВС. Поскольку пользователи являются активными объектами ИВС, то их идентификация и подтверждение подлинности ничем не отличаются от соответствующих процедур для любых других компонентов сети. Среди большого числа реализуемых процедур управления процессами следует выделить следующие пять:

- обеспечение защиты ресурсов сети от воздействия неразрешенных процессов и несанкционированных запросов от разрешенных процессов;

- обеспечение целостности ресурсов при нарушении расписания и синхронизации процессов в сети, ошибочных операциях;

- обеспечение защиты ресурсов сети от несанкционированного контроля, копирования или использования (защита программного обеспечения);

- обеспечение защиты при взаимодействии недружественных программных систем (процессов);

- защита распределенных вычислений.

Первые три процедуры связаны с защитой и обеспечением целостности ресурсов ИВС (включая процессы), в то время как последние две относятся к организации вычислительных процессов в сети и реализации сетевого окружения.

Механизмы защиты ресурсов ИВС должны контролировать доступ к объектам ИВС, особенно информационным. Диапазон требований к этим механизмам защиты включает, с одной стороны, полную изоляцию выполняемой программы от других программ, а с другой - разрешение их взаимодействия и совместного использования.

1.8.3 Защита линий связи ИВС

Линии связи - один из наиболее уязвимых компонентов ИВС. В их составе можно указать большое число потенциально опасных мест, через которые злоумышленники могут проникнуть в ИВС. Действия злоумышленников квалифицируются как активные и пассивные вторжения.

В случае пассивного вторжения злоумышленник только наблюдает за сообщениями, передаваемыми по линии связи, не нарушая их передачу. Такое вторжение называют наблюдением за сообщениями. Даже если непонятны сами данные, злоумышленник может наблюдать за управляющей информацией, которая сопровождает сообщения, и таким образом выявить размещение и идентификаторы объектов ИВС. Наконец, он может определить длину сообщения, время отправления, частоту сеансов связи. Последние два вида пассивных вторжений связывают либо с анализом трафика, либо с нарушением защиты сеансов связи.

Специальной формой защиты каналов передачи является двухуровневая защита линий связи , при которой реализуются следующие уровни защиты: защита процесса передачи сообщения и шифрование текста самого сообщения.

Другое, более жесткое требование, используемое для защиты передаваемых сообщений, состоит в том, что истинные идентификаторы сети (зарегистрированные и используемые в процессе верификации защищенных объектов) должны быть скрыты не только от пассивных вторжений со стороны незарегистрированных пользователей, но также и друг от друга. Такое средство защиты называется цифровым псевдонимом. В этом случае пользователь получает разные идентификаторы для разных соединений, тем самым, скрывая истинные идентификаторы не только от злоумышленников, но также и от равноправных партнеров.

Соответствующие средства защиты ИВС, необходимые для противодействия пассивным вторжениям в подсистемах связи, состоят в следующем:

- защита содержания сообщения;

- предотвращение возможности анализа трафика;

- цифровой псевдоним.

Злоумышленник может организовать активные вторжения, осуществляя различные манипуляции над сообщениями во время соединения. Сообщения могут быть неявно модифицированы, уничтожены, задержаны, скопированы, изменен порядок их следования, введены в сеть через линию связи в более позднее время. Могут быть также синтезированы ложные сообщения и введены в сеть через канал передачи данных.

Целесообразно выделить следующие категории активных вторжений:

- воздействие на поток сообщений: модификация, удаление, задержка, переупорядочение дублирование регулярных и посылка ложных сообщений;

- воспрепятствование передаче сообщений;

- осуществление ложных соединений.

Воздействие на поток сообщений включает угрозы процедурам подтверждения подлинности, целостности и порядку следования сообщений во время соединения. В контексте коммуникационных функций ИВС подтверждение подлинности сообщения означает, что источник сообщения можно надежно определить, то есть указать, что полученное сообщение передано данному объекту некоторым другим объектом в течение времени соединения. Целостность сообщения означает, что сообщение не модифицировалось в процессе передачи, а понятие «порядок следования» означает, что местоположение сообщение в потоке сообщений может быть проверено.

Вторжение в процедуры установления подлинности может быть осуществлено путем модификации управляющей информации, сопровождающей сообщения, и таким образом сообщения будут отосланы в неправильном направлении или включать фиктивные сообщения (специально сформированные или сохраненные из предыдущих соединений). Нарушение целостности может быть вызвано модификацией части данных в сообщении, а нарушение порядка следования - удалением сообщения или изменением информации, управляющей передачей сообщения. Хотя защита от воздействий на поток сообщений поддерживается коммуникационными протоколами, в данном контексте защита направлена на то, чтобы пресечь умышленные вторжения, а не просто защититься от случайных непреднамеренных ошибок элементов сети.

Поэтому процедура защиты, обеспечивающая противодействие угрозам целостности, порядку следования и подлинности отдельных сообщений, может быть определена как обеспечение целостности потока сообщений.

Воспрепятствование передачи сообщения - вторая категория активных вторжений в подсистемах связи. Она объединяет вторжения, в которых злоумышленник либо удаляет все сообщения во время соединения, либо просто задерживает все сообщения, идущие в одном или обоих направлениях. Такое вторжение может быть организовано нелегальным пользователем, который, генерируя интенсивный трафик фиктивных и подставных сообщений, не дает возможности регулярным сообщениям циркулировать по линиям связи.

Трудноуловимое различие между атаками на поток сообщений и воспрепятствованием их передачи зависит от интенсивности атак и состояния соединения. Например, механизмы защиты, обеспечивающие целостность потока сообщений, могут выявить некоторые вторжения, препятствующие передаче сообщений. Но если соединение пассивно, то есть все сообщения разрешаются в любом направлении, то протокол функционирования объекта на одном из концов соединения может оказаться не в состоянии определить, когда следующее сообщение должно поступить от соответствующего объекта. В такой ситуации невозможно определить угрозу с целью воспрепятствовать передаче сообщения, которая полностью прервала бы поток поступающих сообщений. Чтобы защититься от таких вторжений, необходимы другие механизмы защиты.

Соответствующая процедура защиты сети могла бы быть названа процедурой поддержки непрерывности процесса передачи. Она гарантирует взаимодействующим в ИВС объектам невозможность нелегального удаления всех сообщений в процессе соединения без разрушения самого соединения.

Осуществление ложных соединений - третья категория активных вторжений в линии связи. Она объединяет вторжения, в которых злоумышленник либо повторяет записи предшествующих законных соединений, либо делает попытки установить соединение под неправильным идентификатором. Чтобы предупредить такие вторжения, процедура инициализации соединения должна включать некоторые защищенные механизмы, которые верифицируют целостность соединения (то есть определяют, что попытка соединения была выполнена в разрешенное время).

1.8.4 Логическая модель архитектуры защищенной ИВС

Основными логическими компонентами любой ИВС являются сетевые ресурсы, а также объекты, использующие их и называемыми пользователями. Концепция сетевого ресурса фактически относится к любому компоненту сети. Объектами сети являются все ее активные компоненты. Введем понятия легальных и нелегальных объектов.

Легальный объект - такой объект сети, который, будучи зарегистрирован, может использовать ресурсы сети. Это означает следующее:

1. Каждый легальный объект характеризуется уникальной информацией, которая позволяет подтвердить его подлинность. Определим эту информацию как идентификатор объекта.

2. Каждый пользователь ИВС получает статус легального объекта. Эту функцию выполняет вне ИВС специальное лицо, называемое администратором системы защиты.

3. Идентификаторы легальных объектов должны быть определены с помощью системы назначения полномочий и записаны в специализированной защищенной базе данных, называемой информационной базой системы защиты.

На практике ИВС включает группы объектов, совместно использующие ресурсы рабочих ЭВМ, узлов сети или других сетей. Каждая группа должна иметь собственную защищенную среду для организации объектов сети и их защиты. Для сети с группами взаимосвязанных объектов следует уточнить понятие управляющего блока подсистемы защиты, который представляет собой специальный процессор защиты, реализованный в виде модулей программного обеспечения, специальных технических средств, программных подсистем и их комбинаций.

Управляющий блок должен иметь доступ к информационной базе подсистемы защиты. Такой доступ реализуется на основе протокола, называемого протоколом доступа к информационной базе подсистемы защиты, который строго контролируется, постоянно тестируется и верифицируется.

При использовании криптографии большинство проблем, связанных с защитой объекта и линии связи, могут быть решены. Но эти методы , когда речь заходит о программах и базах данных, эффективны только для защиты содержания информации. Тем не менее, не все требования защиты могут быть в полной мере решены только с помощью криптографии. Так, например, чтобы обеспечить управление взаимосвязанными объектами и совместное использование данных, требуются более совершенные механизмы.

Одним из таких механизмов является механизм контроля доступа. Главными компонентами этого механизма являются субъекты (активные компоненты сети), объекты (сетевые ресурсы), права доступа (привилегии объекта), а также условия использования ресурсов и кооперации объектов. Структура этого механизма может быть описана в форме матрицы, бинарного дерева или более общей иерархической структуры с криптографическими свойствами. В любом случае механизм контроля доступа должен иметь собственную защищенную базу данных, называемую базой данных подсистемы контроля доступа и содержащую всю необходимую информацию для обеспечения контролируемого доступа к сетевым ресурсам.

В итоге, можно сгруппировать все компоненты логической модели архитектуры сетевой защиты в соответствии с информацией по контролю защиты, которую они содержат и используют, функциями защиты, которую они выполняют, и их взаимодействиями с другими компонентами механизма сетевой защиты.

1.9 Защита данных при передаче по каналам связи ИВС