Даже если послание, безопасность которого мы хотим обеспечить, должным образом зашифровано, все равно остается возможность модификации исходного сообщения или подмены этого сообщения другим. Одним из путей решения этой проблемы является передача пользователем получателю краткого представления передаваемого сообщения. Подобное краткое представление называют контрольной суммой, илидайджестом сообщения.
Контрольные суммы используются при создании резюме фиксированной длины для представления длинных сообщений. Алгоритмы расчета контрольных сумм разработаны так, чтобы они были по возможности уникальны для каждого сообщения. Таким образом, устраняется возможность подмены одного сообщения другим с сохранением того же самого значения контрольной суммы.
Однако при использовании контрольных сумм возникает проблема передачи их получателю. Одним из возможных путей ее решения является включение контрольной суммы в так называемую электронную подпись.
При помощи электронной подписи получатель может убедиться в том, что полученное им сообщение послано не сторонним лицом, а имеющим определенные права отправителем. Электронные цифровые подписи создаются шифрованием контрольной суммы и дополнительной информации при помощи личного ключа отправителя. Таким образом, кто угодно может расшифровать подпись, используя открытый ключ, но корректно создать подпись может только владелец личного ключа. Для защиты от перехвата и повторного использования подпись включает в себя уникальное число — порядковый номер. олее подробно о электронной цифровой подписи (ЭЦП) читайте в разделе курса ОСВМ Аутентификация информации
С 2012 года в Казахстане функционирует свой Национальный удостоверяющий центр, в котором граждане и организации Казахстана могут получить свои закрытые ключи и программные пакеты для формирования своей цифровой подписи для ведения электронных юридических операций с ее использованием. Необходимо, однако, заметить, что данная система еще очень сырая и позволяет злоумышленникам легко воспользоваться чужой электронной подписью для совершения подложных сделок. Это происходит по следующим причинам: выдача файлов электронных подписей совершается вручную, то есть оператор, выдающий подпись всегда может иметь ее копию на своем USB-носителе, пароль выдается на всех один (!!!) — 123456. При попытке смены пароля файл электронной подписи записанный на стираемом носителе, фатально повреждается, и, если владелец подписи не сделал предварительно копию, то он лишается возможности подписывать документы до получения новой подписи из НУЦ, ЦОН или у программистов районного налогового комитета.
На сегодня уже известно множество фиктивных сделок с недвижимостью и иным имуществом, а также незаконным получением документов с помощью чужой электронной подписи. Поэтому, единственно разумным действием, предохраняющим человека от лишения его собственности, является безусловный отказ от получения ЭЦП, а если таковая уже получена, то подача заявления о ее утере (отказе от оной).
Аутентификация
Аутентификация является одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдает.
При получении запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передает управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс.
При аутентификации используется, как правило, принцип, получивший название что он знает, — пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Эта схема является наиболее уязвимой с точки зрения безопасности — пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Одной из наиболее простых систем, не требующих дополнительных затрат на оборудование, но в то же время обеспечивающих хороший уровень защиты, является S/Key, на примере которой можно продемонстрировать порядок представления одноразовых паролей.
В процессе аутентификации с использованием S/Key участвуют две стороны — клиент и сервер. При регистрации в системе, использующей схему аутентификации S/Key, сервер присылает на клиентскую машину приглашение, содержащее зерно, передаваемое по сети в открытом виде, текущее значение счетчика итераций и запрос на ввод одноразового пароля, который должен соответствовать текущему значению счетчика итерации. Получив ответ, сервер проверяет его и передает управление серверу требуемого пользователем сервиса. Подробнее о технологии аутентификации
Защита сетей
В последнее время корпоративные сети все чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэр — это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и Интернетом, хотя ее можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть.
Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение — пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.
Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.
Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых — повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр — только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.
Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика. Все брандмауэры можно разделить на два типа:
пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;
серверы прикладного уровня, которые блокируют доступ к определенным сервисам в сети. Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:
— весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;
— только трафик, определенный локальной стратегией защиты, может пройти через эту систему;
В таком случае система надежно защищена от проникновения.
Кардинальным решением защиты локальной сети является ее полная (физическая) изоляция от иных сетей.
