JSC "CHUO KIKUU CHA VOLGA KIMEITWA BAADA YA V.N. TATISHCHEV"

KITIVO CHA HABARI SAYANSI NA MAWASILIANO

Idara ya Habari na Mifumo ya Udhibiti

KAZI YA KOZI

katika nidhamu: “Mbinu na njia za ulinzi habari za kompyuta»

mada: " Ulinzi wa njia za mawasiliano»

Mwanafunzi wa kikundi cha IS-506

Utyatnikov A.A.

Mwalimu:

M.V. Samokhvalova

Tolyatti 2007

Utangulizi

Ulinzi wa habari katika njia za mawasiliano na kuunda mifumo salama ya mawasiliano

Ufikiaji wa mbali kwa rasilimali za habari. Ulinzi wa habari zinazopitishwa kupitia njia za mawasiliano

Suluhisho 1 kulingana na lango la crypto lililoidhinishwa

2 Suluhisho kulingana na itifaki ya IPSec

Teknolojia ya usalama wa habari katika mifumo ya habari na mawasiliano ya simu (ITS)

Hitimisho

Utangulizi

Ulinzi (usalama) wa habari ni sehemu muhimu ya shida ya jumla ya usalama wa habari, jukumu na umuhimu wa ambayo katika nyanja zote za maisha na shughuli za jamii na serikali inaongezeka kwa kasi katika hatua ya sasa.

Uzalishaji na usimamizi, ulinzi na mawasiliano, usafiri na nishati, benki, fedha, sayansi na elimu, vyombo vya habari vinazidi kutegemea nguvu. kubadilishana habari, ukamilifu, ufaao, uaminifu na usalama wa habari.

Katika suala hili, tatizo la usalama wa habari limekuwa suala la wasiwasi mkubwa kwa wakuu wa miili ya serikali, makampuni ya biashara, mashirika na taasisi, bila kujali fomu zao za shirika, kisheria na aina za umiliki.

Maendeleo ya haraka ya fedha teknolojia ya kompyuta ilifungua fursa ambazo hazijawahi kufanywa kwa wanadamu kufanya kazi ya kiakili kiotomatiki na kusababisha uumbaji idadi kubwa aina mbalimbali za taarifa za kiotomatiki, mawasiliano ya simu na mifumo ya udhibiti, na hivyo kusababisha kuibuka kwa teknolojia mpya kabisa inayoitwa habari.

Wakati wa kuendeleza mbinu za kutatua tatizo la usalama wa kompyuta na habari, mtu anapaswa kuendelea daima kutokana na ukweli kwamba kulinda habari na mfumo wa kompyuta sio mwisho yenyewe. Lengo kuu la kuunda mfumo wa usalama wa kompyuta ni kulinda aina zote za masomo yanayohusika moja kwa moja au kwa njia isiyo ya moja kwa moja katika michakato mwingiliano wa habari, kutokana na kusababisha uharibifu mkubwa wa nyenzo, kimaadili au mwingine kwao kutokana na athari za kiajali au kimakusudi kwa taarifa na mifumo ya uchakataji na usambazaji wake.

1. Ulinzi wa habari katika njia za mawasiliano na kuunda salama

mifumo ya mawasiliano ya simu

Katika muktadha wa michakato ya ujumuishaji inayokua na uundaji wa nafasi moja ya habari katika mashirika mengi, LANIT inapendekeza kufanya kazi ili kuunda miundombinu salama ya mawasiliano ya simu inayounganisha ofisi za mbali za kampuni kuwa moja, na pia kuhakikisha kiwango cha juu cha usalama. habari inapita kati yao.

Teknolojia inayotumika kwa mitandao ya kibinafsi ya mtandaoni huwezesha kuunganisha mitandao inayosambazwa kijiografia kwa kutumia njia salama zilizojitolea na njia pepe zinazopitia mitandao ya kimataifa ya umma. Njia thabiti na ya utaratibu ya kujenga mitandao salama inahusisha sio tu kulinda njia za mawasiliano ya nje, lakini pia ulinzi wa ufanisi mitandao ya ndani kwa kuangazia mizunguko ya ndani ya VPN iliyofungwa. Kwa hivyo, matumizi ya teknolojia ya VPN inakuwezesha kuandaa upatikanaji salama wa mtumiaji kwenye mtandao, kulinda majukwaa ya seva na kutatua tatizo la mgawanyiko wa mtandao kwa mujibu wa muundo wa shirika.

Ulinzi wa taarifa wakati wa uwasilishaji kati ya subnets pepe hutekelezwa kwa kutumia algoriti za ufunguo usiolinganishwa na sahihi za kielektroniki zinazolinda taarifa dhidi ya kughushi. Kwa kweli, data ya kusambazwa kwa sehemu tofauti inasimbwa kwenye pato la mtandao mmoja na kutatuliwa kwa ingizo la mtandao mwingine, huku kanuni kuu ya usimamizi inahakikisha usambazaji wake salama kati ya vifaa vya mwisho. Udanganyifu wote wa data ni wazi kwa programu zinazoendesha kwenye mtandao.

2. Ufikiaji wa mbali wa rasilimali za habari. Ulinzi

habari zinazopitishwa kupitia njia za mawasiliano

Wakati wa kuunganisha kati ya vitu vya kampuni ya mbali ya kijiografia, kazi inatokea ya kuhakikisha usalama wa kubadilishana habari kati ya wateja na seva za tofauti. huduma za mtandao. Matatizo kama hayo hutokea katika mitandao ya ndani isiyotumia waya ( Wireless Mitaa Mtandao wa Eneo, WLAN), na vile vile wakati watumiaji wa mbali wanapata rasilimali za mfumo wa habari wa shirika. Tishio kuu hapa linachukuliwa kuwa muunganisho usioidhinishwa kwa njia za mawasiliano na kuingilia (kusikiliza) habari na urekebishaji (badala) wa data inayopitishwa kupitia chaneli (ujumbe wa barua, faili, nk).

Ili kulinda data inayopitishwa kupitia njia hizi za mawasiliano, ni muhimu kutumia njia zinazofaa ulinzi wa kriptografia. Mabadiliko ya kriptografia yanaweza kufanywa katika kiwango cha maombi (au katika viwango kati ya itifaki za programu na itifaki ya TCP/IP) na katika kiwango cha mtandao (ubadilishaji wa pakiti za IP).

Katika chaguo la kwanza, usimbuaji wa habari iliyokusudiwa kusafirishwa kupitia chaneli ya mawasiliano kupitia eneo lisilodhibitiwa lazima ufanyike kwenye nodi ya kutuma (kituo cha kazi - mteja au seva), na usimbuaji - kwenye nodi ya mpokeaji. Chaguo hili linahusisha kufanya mabadiliko makubwa kwa usanidi wa kila chama kinachoingiliana (kuunganisha ulinzi wa cryptographic ina maana kwa programu za maombi au sehemu ya mawasiliano ya mfumo wa uendeshaji), ambayo, kama sheria, inahitaji gharama kubwa na ufungaji wa njia sahihi za ulinzi kwenye kila nodi. ya mtandao wa ndani. Suluhu za chaguo hili ni pamoja na itifaki za SSL, S-HTTP, S/MIME, PGP/MIME, ambazo hutoa usimbaji fiche na sahihi ya dijiti ya ujumbe wa barua pepe na ujumbe unaotumwa kwa itifaki ya http.

Chaguo la pili linajumuisha kufunga zana maalum zinazofanya mabadiliko ya crypto kwenye pointi za uunganisho wa mitandao ya ndani na wanachama wa mbali kwa njia za mawasiliano (mitandao ya umma) inayopitia eneo lisilo na udhibiti. Wakati wa kusuluhisha shida hii, inahitajika kuhakikisha kiwango kinachohitajika cha ulinzi wa data ya kriptografia na ucheleweshaji wa chini unaowezekana wakati wa uwasilishaji wao, kwani zana hizi hupitisha trafiki iliyopitishwa (ongeza kichwa kipya cha IP kwenye pakiti iliyowekwa) na utumie algorithms ya usimbuaji. nguvu tofauti. Kwa sababu ya ukweli kwamba zana zinazotoa mabadiliko ya crypto kwenye kiwango cha mtandao zinaendana kikamilifu na mifumo ndogo ya programu inayoendesha katika mfumo wa habari wa shirika (ni "wazi" kwa programu), hutumiwa mara nyingi. Kwa hiyo, katika siku zijazo tutakaa juu ya njia hizi za kulinda habari zinazopitishwa kupitia njia za mawasiliano (ikiwa ni pamoja na mitandao ya umma, kwa mfano, mtandao). Ni muhimu kuzingatia kwamba ikiwa njia za ulinzi wa habari za cryptographic zimepangwa kutumika katika mashirika ya serikali, basi suala la uchaguzi wao linapaswa kuamuliwa kwa niaba ya bidhaa zilizoidhinishwa nchini Urusi.

.1 Suluhisho kulingana na lango la crypto lililoidhinishwa

Ili kutekeleza chaguo la pili na kuhakikisha usiri na uaminifu wa habari zinazopitishwa kati ya vifaa vya kampuni kupitia njia za mawasiliano, unaweza kutumia njia za kuthibitishwa za crypto (lango la VPN). Kwa mfano, Continent-K, VIPNet TUNNEL, ZASTAVA-Ofisi ya makampuni ya NIP Informzaschita, Infotex, Elvis+. Vifaa hivi hutoa usimbuaji wa data iliyopitishwa (pakiti za IP) kulingana na GOST 28147-89, na pia huficha muundo wa mtandao wa ndani, kulinda dhidi ya kupenya kwa nje, trafiki ya njia na kuwa na cheti kutoka kwa Tume ya Ufundi ya Jimbo la Shirikisho la Urusi na FSB (FAPSI).

Njia za Crypto huruhusu wanachama wa mbali kupata rasilimali za mfumo wa habari wa shirika (Mchoro 1). Ufikiaji unafanywa kwa kutumia programu maalum ambayo imewekwa kwenye kompyuta ya mtumiaji (VPN mteja) ili kuhakikisha mwingiliano salama kati ya watumiaji wa mbali na wa simu na lango la crypto. Programu ya lango la crypto (seva ya ufikiaji) hutambua na kuthibitisha mtumiaji na kuwasiliana na rasilimali za mtandao unaolindwa.

Mchoro 1. - “Ufikiaji wa mbali kupitia chaneli salama yenye

kwa kutumia lango la crypto"

Kwa kutumia lango la crypto, unaweza kuunda chaneli salama kwenye mitandao ya umma (kwa mfano, Mtandao), kuhakikisha usiri na uaminifu wa habari, na kuandaa mitandao ya kibinafsi ya mtandaoni (Virtual Private Network - VPN), ambayo ni muungano wa mitandao ya ndani au mtu binafsi. kompyuta zilizounganishwa kwa mtandao wa umma tumia kwenye mtandao mmoja wa mtandaoni salama. Ili kusimamia mtandao kama huo, programu maalum (kituo cha kudhibiti) hutumiwa kawaida, ambayo hutoa usimamizi wa kati wanasiasa wa ndani usalama wa wateja wa VPN na lango la crypto, hutuma habari muhimu na data mpya ya usanidi kwao, na kuhakikisha ukataji wa mfumo. Njia za Crypto zinaweza kutolewa kama suluhu za programu au kama mifumo ya programu ya maunzi. Kwa bahati mbaya, lango nyingi za crypto zilizoidhinishwa haziungi mkono itifaki ya IPSec na, kwa hivyo, haziendani kiutendaji na vifaa na bidhaa za programu kutoka kwa wazalishaji wengine.

.2 Suluhu za msingi za IPSec

Itifaki ya Usalama wa IP (IPSec) ndio msingi wa kujenga mifumo ya usalama safu ya mtandao, ni seti ya viwango vya kimataifa vilivyo wazi na inaungwa mkono na wachuuzi wengi wa suluhisho za usalama wa miundombinu ya mtandao. Itifaki ya IPSec hukuruhusu kupanga mtiririko salama na halisi wa data (pakiti za IP) katika kiwango cha mtandao kati ya kanuni kuu zinazoingiliana, ikijumuisha kompyuta, ngome, vipanga njia, na hutoa:

· uthibitishaji, usimbaji fiche na uadilifu wa data zinazotumwa (pakiti za IP);

· ulinzi dhidi ya uhamisho wa pakiti (mashambulizi ya marudio);

· kuunda, kusasisha kiotomatiki na usambazaji salama wa funguo za kriptografia;

· matumizi ya anuwai ya algoriti za usimbaji (DES, 3DES, AES) na njia za ufuatiliaji wa uadilifu wa data (MD5, SHA-1). Kuna utekelezaji wa programu ya itifaki ya IPSec inayotumia algorithms ya usimbuaji wa Kirusi (GOST 28147-89), hashing (GOST R 34.11-94), saini ya dijiti ya elektroniki (GOST R 34.10-94);

· uthibitishaji wa vitu vya mwingiliano wa mtandao kulingana na vyeti vya dijiti.

Seti ya sasa ya viwango vya IPSec inajumuisha vipimo vya msingi vilivyofafanuliwa katika RFCs (RFC 2401-2412, 2451). Ombi la Maoni (RFC) ni msururu wa hati za Kikosi Kazi cha Uhandisi wa Mtandao (IETF), kilichoanza mnamo 1969, kikiwa na maelezo ya Itifaki za mtandao. Usanifu wa mfumo umefafanuliwa katika RFC 2401 " Usanifu wa Usalama wa Itifaki ya Mtandao ", na maelezo ya itifaki kuu ziko katika RFCs zifuatazo:

· RFC 2402 "Kichwa cha Uthibitishaji wa IP" - maelezo ya itifaki ya AH, ambayo inahakikisha uadilifu na uthibitishaji wa chanzo cha pakiti za IP zinazopitishwa;

· RFC 2406 “IP Encapsulating Security Payload” - Vibainishi vya itifaki ya ESP vinavyohakikisha usiri (usimbaji fiche), uadilifu na uthibitishaji wa chanzo wa pakiti za IP zinazotumwa;

· RFC 2408 " Usalama wa Mtandao Chama na Itifaki ya Usimamizi Muhimu" - vipimo vya itifaki ya ISAKMP, ambayo inahakikisha mazungumzo ya vigezo, uundaji, urekebishaji, uharibifu wa njia salama za mtandao (Chama cha Usalama - SA) na usimamizi wa funguo muhimu;

· RFC 2409 "The Internet Key Exchange" - maelezo ya itifaki ya IKE (pamoja na ISAKMP), ambayo hutoa mazungumzo ya parameta, uundaji, urekebishaji na uharibifu wa SAs, mazungumzo, uzalishaji na usambazaji wa nyenzo muhimu zinazohitajika kuunda SA.

Itifaki za AH na ESP zinaweza kutumika kwa pamoja na kando. Itifaki ya IPSec hutumia algoriti za usimbaji linganifu na funguo zinazolingana ili kuhakikisha mawasiliano salama ya mtandao. Mbinu za kuzalisha na kusambaza funguo hizo hutolewa na itifaki ya IKE.

Secure Virtual Channel (SA) ni dhana muhimu katika teknolojia ya IPSec. SA ni muunganisho wa kimantiki ulioelekezwa kati ya mifumo miwili inayounga mkono itifaki ya IPSec, ambayo inatambuliwa kipekee na vigezo vitatu vifuatavyo:

· Fahirisi ya muunganisho salama (Kielezo cha Vigezo vya Usalama, SPI - 32-bit mara kwa mara inayotumika kutambua SAS tofauti na anwani ya IP ya mpokeaji sawa na itifaki ya usalama);

· Anwani ya IP ya mpokeaji wa pakiti za IP (Anwani ya Lengwa ya IP);

· itifaki ya usalama (Itifaki ya Usalama - mojawapo ya itifaki za AH au ESP).

Kwa mfano, Mchoro wa 2 unaonyesha suluhisho la ufikiaji wa mbali kupitia chaneli salama kutoka kwa Mifumo ya Cisco kulingana na itifaki ya IPSec. Programu maalum ya Mteja wa Cisco VPN imewekwa kwenye kompyuta ya mtumiaji wa mbali. Kuna matoleo ya programu hii kwa mifumo mbalimbali ya uendeshaji - MS Windows, Linux, Solaris.

Mchoro 2. - “Ufikiaji wa mbali kupitia chaneli salama yenye

kutumia kizingatiaji cha VPN"

Mteja wa VPN huwasiliana na Cisco VPN Series 3000 Concentrator na kuunda muunganisho salama, unaoitwa handaki la IPSec, kati ya kompyuta ya mtumiaji na mtandao wa kibinafsi iko nyuma ya kizingatiaji cha VPN. Kiunganishi cha VPN ni kifaa ambacho huzima vichuguu vya IPSec kutoka kwa watumiaji wa mbali na kudhibiti mchakato wa kuanzisha miunganisho salama na wateja wa VPN iliyosakinishwa kwenye kompyuta za watumiaji. Hasara za suluhisho hili ni pamoja na ukosefu wa usaidizi wa Cisco Systems kwa usimbaji fiche wa Kirusi, hashing na algorithms ya saini ya dijiti ya elektroniki.

3. Teknolojia za usalama wa habari katika teknolojia ya habari

mifumo ya mawasiliano ya simu (ITS)

mawasiliano ya njia ya habari ya ulinzi wa mawasiliano ya simu

Usaidizi wa ufanisi wa michakato ya utawala wa umma kwa kutumia zana na rasilimali za habari (IIR) inawezekana tu ikiwa mfumo una mali ya "usalama", ambayo inahakikishwa na utekelezaji wa mfumo wa usalama wa habari, ikiwa ni pamoja na vipengele vya msingi vya usalama - mfumo wa udhibiti wa upatikanaji. kwa vifaa vya ITS, ufuatiliaji wa video na mfumo wa usalama wa habari.

Jiwe la msingi la mfumo wa usalama uliojumuishwa ni mfumo wa usalama wa habari, vifungu vya dhana ambavyo hutoka kwa sifa za muundo wa mfumo na mifumo yake ndogo na wazo la mfumo "ulinzi", ambao unaweza kutengenezwa kama ifuatavyo.

ITS salama ni mfumo wa taarifa na mawasiliano ya simu ambao huhakikisha utekelezaji thabiti wa kazi inayolengwa ndani ya mfumo wa orodha fulani ya vitisho vya usalama na mfano wa vitendo vya mvamizi.

Orodha ya vitisho vya usalama na muundo wa vitendo vya mkiukaji imedhamiriwa na anuwai ya sababu, pamoja na mchakato wa kufanya kazi wa ITS, vitendo visivyofaa na visivyoidhinishwa vya wafanyikazi wa huduma na watumiaji, kushindwa kwa vifaa na utendakazi, vitendo vya vitendo na vya kufanya kazi. ya wakiukaji.

Wakati wa kuunda ITS, inashauriwa kwa mamlaka za umma (GBOs) kuzingatia aina tatu za kimsingi za vitisho kwa usalama wa habari ambavyo vinaweza kusababisha usumbufu wa kazi kuu ya mfumo inayolengwa - usaidizi mzuri wa michakato ya usimamizi wa umma:

· kushindwa na utendakazi katika maunzi ya mfumo, hali za dharura, n.k. (matukio bila ushiriki wa binadamu);

· vitendo vibaya na vitendo visivyoidhinishwa bila kukusudia vya wafanyikazi wa huduma na wasajili wa mfumo;

Vitendo visivyoidhinishwa vya mkiukaji vinaweza kuhusishwa na vitendo vya kupita (kuingilia habari kwenye chaneli ya mawasiliano, kutekwa kwa habari katika njia za uvujaji wa kiufundi) na vitendo vya vitendo (kuzuia habari kutoka kwa media ya uhifadhi na ukiukaji wazi wa sheria za ufikiaji wa rasilimali za habari; upotoshaji wa habari katika chaneli ya mawasiliano, upotoshaji, pamoja na uharibifu wa habari kwenye vyombo vya habari vya uhifadhi kwa ukiukaji wazi wa sheria za ufikiaji wa rasilimali za habari, kuanzishwa kwa habari zisizofaa).

Mkiukaji pia anaweza kuchukua hatua zinazolenga kuchanganua na kushinda mfumo wa usalama wa habari. Inashauriwa kutofautisha aina hii ya hatua katika kikundi tofauti, kwa kuwa, baada ya kushinda mfumo wa usalama, mhusika anaweza kufanya vitendo bila kukiuka kwa uwazi sheria za upatikanaji wa rasilimali za habari.

Katika aina ya hapo juu ya vitendo, inashauriwa kuonyesha vitendo vinavyowezekana vinavyolenga kuanzisha vifaa na vipengele vya programu kwenye vifaa vya ITS, ambayo kimsingi imedhamiriwa na matumizi ya vifaa vya kigeni. msingi wa kipengele na programu.

Kulingana na uchambuzi wa usanifu na vitisho vya ITS, usanifu wa jumla wa mfumo wa usalama wa habari unaweza kuunda, pamoja na mifumo kuu ifuatayo:

· mfumo mdogo wa usimamizi wa mfumo wa usalama wa habari;

· mfumo mdogo wa usalama katika mfumo mdogo wa habari;

· mfumo mdogo wa usalama katika mfumo mdogo wa mawasiliano ya simu;

· mfumo mdogo wa usalama wa mwingiliano wa mtandao;

· mfumo mdogo wa kutambua na kukabiliana na vitendo vya ukiukaji;

· mfumo mdogo wa kutambua na kukabiliana na vialamisho vinavyowezekana vya maunzi na programu.

Ikumbukwe kwamba mifumo ndogo tatu za mwisho, kwa ujumla, ni sehemu za mfumo mdogo wa pili na wa tatu, lakini kwa kuzingatia sifa zilizoundwa hapo juu, inashauriwa kuzizingatia kama mifumo ndogo tofauti.

Msingi wa mfumo wa usalama wa habari katika ITS na kila mfumo wake mdogo ni Sera ya Usalama katika ITS na mifumo yake ndogo, masharti muhimu ambayo ni mahitaji ya matumizi ya taratibu za msingi na njia za kuhakikisha usalama wa habari:

· utambulisho na uthibitishaji wa wanachama wa ITS, vifaa vya ITS, habari iliyochakatwa;

· udhibiti wa mtiririko wa habari na mzunguko wa maisha ya habari kulingana na lebo za usalama;

· udhibiti wa ufikiaji wa rasilimali za ITS kwa kuzingatia mchanganyiko wa sera za hiari, za lazima na zenye msingi wa dhima na firewalling;

· ulinzi wa taarifa za kriptografia;

· njia za kiufundi ulinzi;

· hatua za shirika na serikali.

Orodha iliyotolewa ya mifumo ya ulinzi imedhamiriwa na malengo ya mfumo wa usalama wa habari katika ITS, kati ya ambayo tutaangazia zifuatazo kuu tano:

· udhibiti wa ufikiaji wa rasilimali za habari za ITS;

· kuhakikisha usiri wa habari iliyolindwa;

· kufuatilia uadilifu wa taarifa zinazolindwa;

· kutokataliwa kwa ufikiaji wa rasilimali za habari;

· utayari wa rasilimali za habari.

Utekelezaji wa taratibu maalum na njia za ulinzi ni msingi wa ushirikiano wa vifaa na ulinzi wa programu katika vifaa na programu ya ITS na habari iliyochakatwa.

Kumbuka kuwa neno "habari" katika ITS linamaanisha aina zifuatazo za habari:

· taarifa za mtumiaji (taarifa muhimu kwa usimamizi na kufanya maamuzi);

· taarifa za huduma (habari zinazotoa udhibiti wa vifaa vya ITS);

· taarifa maalum (habari zinazohakikisha usimamizi na uendeshaji wa vifaa vya kinga);

· habari za kiteknolojia (habari zinazohakikisha utekelezaji wa teknolojia zote za usindikaji wa habari katika ITS).

Katika kesi hii, aina zote za habari zilizoorodheshwa ziko chini ya ulinzi.

Ni muhimu kutambua kwamba bila kutumia zana za usimamizi wa mfumo wa usalama wa habari otomatiki, haiwezekani kuhakikisha uendeshaji thabiti wa mfumo wa usalama katika mfumo wa usindikaji wa habari uliosambazwa kijiografia ambao unaingiliana na mifumo iliyolindwa na isiyolindwa katika mzunguko wa ITS na. huchakata taarifa za viwango tofauti vya usiri.

Malengo makuu ya mfumo mdogo wa usimamizi wa usalama wa habari ni:

· kuzalisha, usambazaji na uhasibu wa taarifa maalum zinazotumiwa katika mifumo ndogo ya usalama (taarifa muhimu, maelezo ya siri, lebo za usalama, haki za kupata rasilimali za habari, nk);

· usanidi na usimamizi wa zana za usalama wa habari;

· uratibu wa sera za usalama katika mifumo inayoingiliana, ikijumuisha taarifa maalum;

· ufuatiliaji wa mfumo wa usalama;

· kusasisha Sera ya Usalama katika ITS kwa kuzingatia vipindi tofauti vya uendeshaji, kuanzisha teknolojia mpya za usindikaji wa habari katika ITS.

Utekelezaji wa mfumo mdogo wa usimamizi wa usalama wa habari unahitaji uundaji wa kituo kimoja cha udhibiti kinachoingiliana na vituo vya udhibiti wa usalama wa ndani kwa mifumo ndogo ya mawasiliano na habari ya ITS, vituo vya kudhibiti usalama wa habari katika mitandao inayoingiliana na mawakala wa usalama wa habari kwenye vifaa vya mfumo.

Usanifu wa mfumo wa usimamizi wa usalama wa habari unapaswa kuwa sawa na usanifu wa ITS yenyewe, na kutoka kwa mtazamo wa utekelezaji wake, kanuni zifuatazo zinapaswa kufuatwa:

· Kituo cha udhibiti wa usalama wa habari na vituo vya udhibiti wa ndani lazima vitekelezwe kwenye maunzi na programu maalum kwa kutumia njia za nyumbani;

· mawakala wa usimamizi wa usalama lazima waunganishwe kwenye maunzi na programu ya maeneo ya kazi ya mfumo kwa uwezekano wa udhibiti huru kutoka kwao na kituo na vituo vya ndani.

Mfumo mdogo wa usalama wa habari katika mfumo mdogo wa habari wa ITS ni moja wapo ya mifumo ngumu zaidi katika suala la mifumo ya ulinzi na utekelezaji wake.

Ugumu wa mfumo huu mdogo umedhamiriwa na ukweli kwamba ni katika mfumo huu mdogo kwamba usindikaji wa habari unafanywa, wakati rasilimali kuu za kupata habari za waliojiandikisha zimejilimbikizia ndani yake - waliojiandikisha moja kwa moja wana idhini ya ufikiaji wa habari na habari. kazi za usindikaji wake. Ndio maana msingi wa mfumo huu mdogo ni mfumo wa kudhibiti ufikiaji wa habari na kazi zake za usindikaji.

Utaratibu wa kimsingi wa kutekeleza ufikiaji ulioidhinishwa wa habari na kazi zake za usindikaji ni utaratibu wa kulinda rasilimali za habari kutokana na vitendo visivyoidhinishwa, sehemu kuu ambazo ni:

· njia za shirika na kiufundi za kudhibiti ufikiaji wa vitu vya mfumo, habari na kazi kwa usindikaji wake;

· mfumo wa usajili na uhasibu kwa uendeshaji wa mfumo na watumiaji wa mfumo;

· mfumo mdogo wa uhakikisho wa uadilifu;

· mfumo mdogo wa kriptografia.

Msingi wa utekelezaji wa ulinzi uliobainishwa ni ujenzi wa usanifu wa sehemu ya habari ya ITS - uundaji wa vitu vilivyotengwa kimantiki na habari. sehemu ya habari YAKE (benki za data, habari na kumbukumbu za kumbukumbu, vituo vya hali). Hii itafanya iwezekanavyo kutekeleza vitu vilivyotengwa vya siri vya kujitegemea vinavyofanya kazi kwa kutumia teknolojia ya mteja-server na si kutoa upatikanaji wa moja kwa moja kwa uhifadhi wa habari na kazi za usindikaji - usindikaji wote unafanywa kwa ombi lililoidhinishwa la watumiaji kulingana na mamlaka waliyopewa.

Kwa utoaji ulioidhinishwa wa rasilimali za habari kwa wanachama, mbinu zifuatazo na taratibu:

· lebo za usalama wa habari;

· Utambulisho na uthibitishaji wa wanachama na vifaa vya mfumo;

· ulinzi wa siri wa habari wakati wa kuhifadhi;

· Udhibiti wa kriptografia wa uadilifu wa habari wakati wa kuhifadhi.

Wakati wa kutekeleza mfumo mdogo wa usalama katika sehemu ya mawasiliano ya simu ya ITS, ni muhimu kuzingatia upatikanaji wa njia za mawasiliano katika maeneo yaliyodhibitiwa na yasiyodhibitiwa.

Njia ya haki ya kulinda habari katika njia za mawasiliano ni ulinzi wa kriptografia wa habari katika njia za mawasiliano katika eneo lisilodhibitiwa pamoja na njia za shirika na kiufundi za kulinda habari katika njia za mawasiliano katika eneo linalodhibitiwa, kwa matarajio ya mpito kwa ulinzi wa habari wa siri katika yote. ITS njia za mawasiliano, ikiwa ni pamoja na kutumia mbinu za teknolojia ya VPN. Rasilimali kwa ajili ya kulinda taarifa katika mfumo mdogo wa mawasiliano ya simu (kwa kuzingatia uwepo wa wakiukaji na upatikanaji wa kisheria wa rasilimali za mawasiliano ya simu) ni kuweka mipaka ya upatikanaji wa rasilimali za mawasiliano na usajili wa mtiririko wa habari na kanuni za uendeshaji wa mteja.

Suluhisho la kawaida la kulinda habari katika chaneli za mawasiliano ni matumizi ya mizunguko ya ulinzi ya mteja na laini pamoja na njia za ulinzi za algoriti na kiufundi, kutoa (moja kwa moja na kwa njia isiyo ya moja kwa moja) njia zifuatazo za ulinzi:

· ulinzi dhidi ya uvujaji wa habari katika njia za mawasiliano na njia za kiufundi;

· udhibiti wa usalama wa habari wakati wa uwasilishaji kupitia njia za mawasiliano;

· ulinzi dhidi ya mashambulizi yanayoweza kutokea na mvamizi kupitia njia za mawasiliano;

· utambulisho na uthibitishaji wa watumiaji;

· kudhibiti ufikiaji wa rasilimali za mfumo.

Mfumo mdogo wa usalama wa kubadilishana kazi ya mtandao katika ITS unategemea mbinu zifuatazo za usalama:

· udhibiti wa upatikanaji wa rasilimali za mtandao (firewalling);

· utambulisho na uthibitishaji wa waliojisajili (pamoja na mbinu za uthibitishaji wa kriptografia);

· Utambulisho na uthibitishaji wa habari;

· ulinzi wa siri wa habari katika njia za mawasiliano katika eneo lisilodhibitiwa, na katika siku zijazo - katika njia zote za mawasiliano;

· kutengwa kwa kriptografia kwa mifumo inayoingiliana.

Ya umuhimu mkubwa katika mfumo mdogo unaozingatiwa ni utekelezaji wa teknolojia ya mtandao wa kibinafsi (VPN), mali ambayo kwa kiasi kikubwa kutatua masuala ya kulinda habari katika njia za mawasiliano na kukabiliana na mashambulizi ya wavamizi kutoka kwa njia za mawasiliano.

· Moja ya majukumu ya ITS ni kufanya maamuzi juu ya usimamizi wa idara na biashara binafsi, na serikali kwa ujumla, kwa kuzingatia usindikaji wa habari;

· kuwepo kwa wakiukaji kati ya wateja wanaoingiliana na mifumo ya ITS haiwezi kutengwa.

Mfumo mdogo wa kutambua na kukabiliana na vitendo amilifu vya mvamizi hutekelezwa kwa vipengele viwili kuu: maunzi na programu kwa ajili ya kutambua na kukabiliana na mashambulizi yanayoweza kufanywa na wavamizi kupitia njia za mawasiliano na usanifu wa mtandao salama.

Sehemu ya kwanza - sehemu ya kutambua mashambulio yanayowezekana, imekusudiwa kwa ulinzi katika mifumo ndogo ya ITS ambayo vitendo vya mvamizi katika suala la shambulio la rasilimali za habari na vifaa vyake vinawezekana kimsingi, sehemu ya pili imekusudiwa kuondoa vitendo kama hivyo au ngumu sana. yao.

Njia kuu za sehemu ya pili ni vifaa na programu ambayo inahakikisha utekelezaji wa njia za ulinzi kulingana na teknolojia ya mitandao ya kibinafsi ya kibinafsi (VPN) kama ilivyo katika mwingiliano. vitu mbalimbali YAKE kwa mujibu wa muundo wao, ndani ya vitu binafsi na subnets kulingana na ngome au ngome zilizo na ulinzi wa siri wa kujengwa.

Tunasisitiza kwamba ukabilianaji bora zaidi wa mashambulizi yanayoweza kutolewa hutolewa kwa njia za siri za kitanzi cha ulinzi cha mstari na lango la siri la kazi ya mtandaoni kwa wavamizi wa nje na njia za kudhibiti ufikiaji wa rasilimali za habari kwa watumiaji wa kisheria walio katika aina ya wavamizi.

Mfumo mdogo wa kutambua na kukabiliana na kasoro zinazowezekana za vifaa na programu hutekelezwa na seti ya hatua za shirika na kiufundi wakati wa utengenezaji na uendeshaji wa vifaa vya ITS, pamoja na shughuli kuu zifuatazo:

· ukaguzi maalum wa vifaa vya kigeni na vipengele;

· kusanifisha programu;

· kuangalia sifa za msingi wa kipengele zinazoathiri ufanisi wa mfumo wa ulinzi;

· kuangalia uadilifu wa programu kwa kutumia algoriti za kriptografia.

Pamoja na kazi zingine, suala la kukabiliana na vifaa vinavyowezekana na vialamisho vya programu pia hutolewa na njia zingine za ulinzi:

· mzunguko wa ulinzi wa kriptografia wa mstari, kutoa ulinzi dhidi ya uanzishaji wa vialamisho vinavyowezekana vya programu kupitia njia za mawasiliano;

· kuhifadhi habari;

· upungufu (rudufu vya vifaa).

Kwa njia ya ITS katika vitu mbalimbali vya mfumo, watumiaji wa OGV wanaweza kupewa huduma mbalimbali kwa ajili ya uhamisho wa habari na huduma za habari, ikiwa ni pamoja na:

· mfumo mdogo wa mtiririko wa hati;

· vituo vya uthibitisho;

· mfumo mdogo salama wa kusambaza taarifa za simu, data na kuandaa mikutano ya video;

· mfumo mdogo salama wa taarifa rasmi, ikijumuisha uundaji na matengenezo ya tovuti rasmi za viongozi katika ngazi ya shirikisho na kikanda.

Kumbuka kuwa mfumo salama wa mtiririko wa hati umeunganishwa kwa uthabiti na vituo vya uthibitishaji ambavyo vinahakikisha utekelezaji wa utaratibu wa sahihi wa dijitali.

Hebu tuchunguze kwa undani ujumuishaji wa zana za usalama wa habari kwenye mfumo usimamizi wa hati za kielektroniki, kwa mfumo mdogo wa usambazaji wa taarifa za simu, mfumo mdogo wa taarifa na tovuti rasmi ya wasimamizi katika ngazi mbalimbali.

Utaratibu wa msingi wa kulinda habari katika mfumo wa usimamizi wa hati za elektroniki ni saini ya elektroniki ya dijiti, ambayo inahakikisha utambulisho na uthibitishaji wa hati na wasajili, pamoja na udhibiti wa uadilifu wao.

Kwa kuwa vipengele vya mfumo wa mtiririko wa hati ya ITS imedhamiriwa na uwepo wa kubadilishana habari kati ya vitu na idara mbalimbali (ikiwa ni pamoja na kubadilishana habari iwezekanavyo kati ya mifumo salama na isiyolindwa), pamoja na matumizi ya teknolojia mbalimbali za usindikaji wa hati katika idara mbalimbali, utekelezaji. ya mtiririko salama wa hati, kwa kuzingatia mambo yaliyotajwa, inahitaji shughuli zifuatazo:

· kuunganishwa kwa muundo wa hati katika idara mbalimbali;

· uratibu wa sera za usalama katika idara mbalimbali.

Bila shaka, mahitaji yaliyotajwa yanaweza kutatuliwa kwa kutumia lango kati ya mifumo inayoingiliana.

Vituo vya uthibitishaji kimsingi ni hifadhidata iliyosambazwa ambayo inahakikisha utekelezaji wa sahihi ya dijiti katika mfumo wa mtiririko wa hati. Ufikiaji usioidhinishwa wa rasilimali za habari za hifadhidata hii huharibu kabisa mali ya usalama ya usimamizi wa hati za elektroniki. Hii inasababisha sifa kuu za mfumo wa usalama wa habari katika vituo vya udhibitisho:

· usimamizi wa upatikanaji wa rasilimali za hifadhidata za vituo vya uthibitisho (ulinzi dhidi ya ufikiaji usioidhinishwa wa rasilimali);

· kuhakikisha uendeshaji thabiti wa vituo vya uthibitisho katika hali ya kushindwa na kushindwa iwezekanavyo, hali ya dharura (ulinzi dhidi ya uharibifu wa taarifa za database).

Utekelezaji wa taratibu hizi unaweza kufanywa katika hatua mbili: katika hatua ya kwanza, taratibu za ulinzi zinatekelezwa kwa kutumia hatua za ulinzi wa shirika na kiufundi na hatua za usalama, ikiwa ni pamoja na matumizi ya mfumo wa uendeshaji wa kuthibitishwa wa ndani, na katika hatua ya pili, ulinzi wa cryptographic. njia zimeunganishwa katika vifaa na programu wakati wa kuhifadhi na usindikaji wa habari katika vituo vya vyeti.

Vipengele vya kulinda aina mbalimbali za trafiki zinazopitishwa kwa ITS (trafiki ya simu, data na trafiki ya mkutano wa video) inaweza kugawanywa katika madarasa mawili:

· Vipengele vya ulinzi wa vifaa vya msajili, ambavyo vimedhamiriwa na hitaji la kulinda habari za aina anuwai, pamoja na wakati huo huo (habari ya video na hotuba, na, ikiwezekana, data), na pia hitaji la kulinda habari za aina anuwai kutokana na kuvuja. katika njia za kiufundi.

· Vipengele vya ulinzi wa vifaa vya aina fulani ya mfumo wa usambazaji wa habari, ambayo imedhamiriwa na hitaji la kulinda dhidi ya ufikiaji usioidhinishwa wa huduma. mawasiliano ya simu, usambazaji wa data, mikutano na rasilimali zake.

Kwa madarasa maalum taratibu za msingi ulinzi ni:

· njia za kiufundi za kulinda habari kutokana na kuvuja katika njia za kiufundi, kutekelezwa njia za kawaida;

· udhibiti wa upatikanaji wa rasilimali zinazotoa shirika la mawasiliano aina mbalimbali, ambayo inategemea kitambulisho na uthibitishaji wa uhusiano unaowezekana wa watumiaji mbalimbali na vifaa kwa vifaa vya mawasiliano.

Kipengele cha mfumo mdogo wa habari rasmi ni uwepo wa mtiririko wa habari katika pande mbili - kutoka kwa ITS hadi mifumo ya nje, pamoja na raia binafsi wa nchi, na pia kutoka kwa mifumo ya nje hadi YAKE (kubadilishana habari na vitu visivyolindwa).

Kulingana na habari iliyopokelewa kutoka kwa mifumo ya nje, maamuzi yanatengenezwa kwa maslahi ya mashirika binafsi, idara na mikoa, na serikali kwa ujumla, na utekelezaji wa maamuzi yaliyotolewa pia katika ngazi zote za serikali inategemea habari iliyopokelewa na mashirika ya nje. mifumo.

Kwa hivyo, katika kesi ya kwanza, mahitaji kuu ya utendaji wa mfumo kutoka kwa mtazamo wa usalama wake ni uadilifu wa habari iliyotolewa, ufanisi wa kutoa habari, pamoja na uppdatering wake, kuegemea kwa chanzo cha habari. na udhibiti wa utoaji wa taarifa kwa mpokeaji.

Katika kesi ya pili - kuegemea kwa habari iliyotolewa, kuegemea kwa chanzo cha habari, ufanisi wa utoaji wa habari, pamoja na udhibiti wa utoaji wa habari kwa mpokeaji. Kimsingi, mahitaji yaliyoorodheshwa hutolewa na mifumo ya kawaida ya usalama (njia za kriptografia za ufuatiliaji wa uadilifu wa habari, kitambulisho na uthibitishaji wa waliojiandikisha na habari).

Sifa bainifu ya mfumo huu mdogo ni hitaji la kudhibiti uaminifu wa habari kutoka kwa mifumo ya nje na ambayo ni nyenzo ya kufanya maamuzi, pamoja na masilahi ya serikali. Tatizo hili linatatuliwa kwa kutumia mbinu za uchambuzi kwa ajili ya ufuatiliaji wa kuaminika wa habari, kuhakikisha utulivu wa ufumbuzi uliotengenezwa mbele ya kupokea taarifa zisizoaminika, na hatua za shirika na kiufundi zinazohakikisha uthibitisho wa habari zinazoingia.

Malengo makuu ya mfumo wa usalama wa habari kwenye tovuti ya viongozi wa shirikisho na kikanda ni kuzuia habari kutoka kwa tovuti ambayo haikusudiwa kwa madhumuni haya, na pia kuhakikisha uadilifu wa habari iliyotolewa kwenye tovuti.

Utaratibu wa kimsingi wa usalama unaotekelezwa kwenye tovuti unapaswa kutoa udhibiti wa ufikiaji wa tovuti kutoka nje mfumo wa ndani, ambayo inahakikisha utoaji wa habari kwenye tovuti, pamoja na udhibiti wa upatikanaji kutoka kwa mifumo ya nje hadi kwenye rasilimali za tovuti.

Utekelezaji wa ulinzi unategemea uundaji wa eneo "lisilo na jeshi" kulingana na ukuta wa moto (lango), kutoa:

Kuchuja habari katika mwelekeo kutoka kwa mfumo wa ndani hadi kwa tovuti na udhibiti wa ufikiaji wa tovuti kutoka kwa mfumo wa ndani (kitambulisho na uthibitishaji wa chanzo cha habari) na kuchuja habari kwa kutumia lebo za usalama;

Kufuatilia uadilifu wa rasilimali za habari kwenye tovuti na kuhakikisha uendeshaji thabiti wa tovuti katika uso wa uharibifu wa habari unaowezekana;

udhibiti wa upatikanaji kutoka kwa mifumo ya nje hadi rasilimali za tovuti;

maombi ya kuchuja yanayokuja kwenye tovuti kutoka kwa mifumo ya nje.

Moja ya masuala muhimu Wakati wa kutatua matatizo ya kuhakikisha usalama wa habari, ni muhimu kuboresha mfumo wa udhibiti kuhusu usalama wa habari.

Uhitaji wa kuboresha mfumo wa udhibiti unatambuliwa na mambo mawili kuu - kuwepo kwa kubadilishana habari kati ya idara mbalimbali, kuwepo kwa idadi kubwa ya aina na aina za habari zinazozunguka katika ITS.

Kwa upande wa kuhakikisha usalama wa habari katika ITS, mfumo wa udhibiti lazima uboreshwe katika maeneo yafuatayo:

· Uundaji wa mahitaji sawa ya kuhakikisha usalama wa habari na, kwa msingi wao, dhana ya usalama ya umoja, kuhakikisha uwezekano wa kuoanisha sera za usalama katika idara mbalimbali na ITS kwa ujumla, ikiwa ni pamoja na vipindi tofauti vya uendeshaji;

· Uumbaji kiwango sare juu ya taarifa ya hali halisi, kuhakikisha utekelezaji wa lebo za usalama zilizounganishwa na kupunguza gharama za tafsiri ya hati wakati wa mwingiliano wa idara;

· uundaji wa masharti ya mwingiliano kati ya idara ambayo huhakikisha ufuatiliaji wa mara kwa mara wa usalama wa habari wakati wa mwingiliano wa idara.

Hitimisho

Katika kazi hii ya kozi kanuni zifuatazo zilizingatiwa:

· Usanifu wake na teknolojia za msingi za usindikaji wa habari katika ITS zinapaswa kuundwa kwa kuzingatia mabadiliko ya mabadiliko kwa njia zilizoendelezwa nchini;

· vituo vya kazi vya kiotomatiki vya mifumo ya usalama wa taarifa ya ITS lazima viundwe kwenye jukwaa la maunzi na programu zinazozalishwa nchini (kompyuta iliyounganishwa ya ndani, mfumo wa uendeshaji wa ndani, programu ya ndani);

· Usanifu wake na teknolojia za msingi za usindikaji wa habari katika ITS zinapaswa kuundwa kwa kuzingatia uwezekano wa kutumia zana zilizopo za usalama na programu katika hatua ya kwanza na uingizwaji wao wa baadaye na zana za usalama wa habari zinazoahidi.

Utimilifu wa mahitaji haya utahakikisha mwendelezo na ufanisi maalum wa ulinzi wa habari wakati wa kipindi cha mpito kutoka kwa matumizi ya teknolojia ya usindikaji wa habari katika ITS pamoja na teknolojia za usalama wa habari hadi matumizi ya teknolojia salama za usindikaji wa habari katika ITS.

Bibliografia

1. Konstantin Kuzovkin. Ufikiaji wa mbali wa rasilimali za habari. Uthibitisho. // Mkurugenzi huduma ya habari - 2003 - №9.

2. Konstantin Kuzovkin. Salama jukwaa la programu za Wavuti. // Mifumo ya wazi - 2001 - No. 4.

Alexey Lukatsky. VPN isiyojulikana. // Kompyuta-Press - 2001 - No. 10.

Rasilimali za mtandao: http://www.niia.ru/document/Buk_1, www.i-teco.ru/article37.html.

Kazi ya kutekeleza mtandao wa ushirika wa kampuni ndani ya jengo moja inaweza kutatuliwa kwa urahisi. Walakini, leo miundombinu ya kampuni ina idara zilizosambazwa kijiografia za kampuni yenyewe. Utekelezaji wa mtandao salama wa ushirika katika kesi hii ni kazi ngumu zaidi. Katika hali kama hizi, seva salama za VPN hutumiwa mara nyingi.

Wazo la kujenga mitandao salama ya VPN

Wazo la kuunda mitandao ya mtandaoni ya VPN ni wazo rahisi- ikiwa kuna nodi 2 katika mtandao wa kimataifa zinazohitaji kubadilishana data, basi lazima iundwe handaki salama ya mtandaoni kati yao ili kuhakikisha uadilifu na usiri wa data inayotumwa kupitia mitandao iliyo wazi.

Dhana ya msingi na kazi za mtandao wa VPN

Wakati kuna uhusiano kati ya mtandao wa ndani wa shirika na mtandao, aina mbili hutokea:

• ufikiaji usioidhinishwa wa rasilimali za mtandao wa ndani kupitia kuingia
• ufikiaji usioidhinishwa wa habari wakati unapitishwa kwenye Mtandao wazi

Kulinda data wakati wa kusambaza njia wazi inategemea utekelezaji wa mitandao salama ya VPN. Mtandao salama wa VPN ni muunganisho kati ya mitandao ya ndani na Kompyuta binafsi kupitia mtandao wazi hadi mtandao mmoja wa kampuni pepe. Mtandao wa VPN unaruhusu kutumia vichuguu vya VPN kuunda miunganisho kati ya ofisi, matawi na watumiaji wa mbali, wakati wa kusafirisha data kwa usalama (Mchoro 1).

Picha 1

Njia ya VPN ni muunganisho unaopitia mtandao wazi ambapo pakiti za data zilizolindwa kwa njia fiche husafirishwa. Ulinzi wa data wakati wa uwasilishaji kupitia handaki ya VPN inatekelezwa kulingana na kazi zifuatazo:

• usimbaji fiche wa data iliyosafirishwa
• uthibitishaji wa mtumiaji mtandao pepe
• kuangalia uadilifu na uhalisi wa data zinazopitishwa

Mteja wa VPN ni programu au changamano ya maunzi inayoendeshwa kwenye kompyuta ya kibinafsi. Programu yake ya mtandao inarekebishwa ili kutekeleza usimbaji fiche na uthibitishaji wa trafiki.

Seva ya VPN- inaweza pia kuwa programu au vifaa tata vinavyotekelezea kazi za seva. Inalinda seva kutoka kwa ufikiaji usioidhinishwa kutoka kwa mitandao mingine, na pia kupanga mtandao wa kawaida kati ya wateja, seva na lango.

Lango la Usalama la VPN- kifaa cha mtandao kinachounganisha kwenye mitandao 2 na kutekeleza kazi za uthibitishaji na usimbaji fiche kwa wapangishi wengi nyuma yake.

Kiini cha tunnel ni kujumuisha (pakiti) data ndani kifurushi kipya. Pakiti ya itifaki ya kiwango cha chini imewekwa kwenye uwanja wa data wa pakiti ya itifaki ya kiwango cha juu au sawa (Mchoro 2). Mchakato wa usimbaji yenyewe haulinde dhidi ya kuchezewa au ufikiaji usioidhinishwa; hulinda usiri wa data iliyoambatanishwa.

Kielelezo - 2

Wakati pakiti inafika mwisho chaneli pepe pakiti ya chanzo cha ndani hutolewa kutoka humo, imechapishwa na kutumika zaidi kwenye mtandao wa ndani (Mchoro 3).

Kielelezo - 3

Ufungaji pia hutatua tatizo la mgogoro kati ya anwani mbili kati ya mitandao ya ndani.

Chaguzi za kuunda vituo salama vya mtandaoni

Wakati wa kuunda VPN, kuna njia mbili maarufu (Mchoro 4):

• njia salama kati ya mitandao ya ndani (LAN-LAN channel)
• chaneli salama kati ya mtandao wa ndani na mwenyeji (kituo cha mteja-LAN)

Kielelezo - 4

Njia ya kwanza ya uunganisho inakuwezesha kuchukua nafasi ya njia za gharama kubwa za kujitolea kati ya nodi za kibinafsi na kuunda njia salama za kila wakati kati yao. Hapa, lango la usalama hutumika kama kiolesura kati ya mtandao wa ndani na handaki. Biashara nyingi hutekeleza aina hii ya VPN ili kubadilisha au kukamilisha .

Mzunguko wa pili unahitajika kuunganisha kwa watumiaji wa simu au wa mbali. Uundaji wa tunnel huanzishwa na mteja.

Kutoka kwa mtazamo wa usalama wa habari, chaguo bora ni handaki salama kati ya ncha za uunganisho. Hata hivyo, chaguo hili husababisha ugatuaji wa usimamizi na upungufu wa rasilimali, kwa sababu unahitaji kufunga VPN kwenye kila kompyuta kwenye mtandao. Ikiwa mtandao wa ndani ambao ni sehemu ya mtandao wa kawaida hauhitaji ulinzi wa trafiki, basi hatua ya mwisho kwenye upande wa mtandao wa ndani inaweza kuwa router ya mtandao huo.

Mbinu za Utekelezaji wa Usalama wa VPN

Wakati wa kuunda mtandao salama wa mtandaoni, VPN inamaanisha kuwa habari iliyopitishwa itakuwa na vigezo habari iliyolindwa, yaani: usiri, uadilifu, upatikanaji. Usiri hupatikana kwa kutumia mbinu za usimbaji fiche zisizolinganishwa na linganifu. Uadilifu wa data iliyosafirishwa hupatikana kwa kutumia . Uthibitishaji unapatikana kwa kutumia manenosiri ya mara moja/yanayoweza kutumika tena, vyeti, kadi mahiri, itifaki.

Ili kutekeleza usalama wa habari iliyosafirishwa katika mitandao salama ya mtandao, ni muhimu kutatua matatizo yafuatayo ya usalama wa mtandao:

• uthibitishaji wa pande zote wa watumiaji wakati wa kuunganishwa
• utekelezaji wa usiri, uhalisi na uadilifu wa data iliyosafirishwa
• udhibiti wa ufikiaji
• usalama wa mzunguko wa mtandao na
• usimamizi wa usalama wa mtandao

Suluhisho za VPN za kuunda mitandao salama

Uainishaji wa mitandao ya VPN

Takriban aina zote za trafiki zinaweza kutekelezwa kwa misingi ya mtandao wa kimataifa. Kula mipango mbalimbali Uainishaji wa VPN. Mpango wa kawaida una vigezo 3 vya uainishaji:

• safu ya uendeshaji ya mfano wa OSI
• usanifu ufumbuzi wa kiufundi VPN
• Mbinu ya utekelezaji wa kiufundi wa VPN

Salama chaneli- kituo kati ya nodi mbili za mtandao, kando ya njia maalum ya kawaida. Kituo kama hicho kinaweza kuunda kwa kutumia njia za mfumo kulingana na viwango tofauti Mfano wa OSI (Mchoro 5).

Kielelezo - 5

Unaweza kugundua kuwa VPN zinaundwa kwa viwango vya chini kabisa. Sababu ni kwamba chini chini katika safu njia salama za kituo zinatekelezwa, ni rahisi zaidi kuzitekeleza kwa uwazi kwa programu. Katika kiungo cha data na tabaka za mtandao, programu hazitegemei tena itifaki za usalama. Ikiwa itifaki kutoka viwango vya juu, basi njia ya ulinzi haitegemei teknolojia ya mtandao, ambayo inaweza kuchukuliwa kuwa pamoja. Walakini, programu inakuwa tegemezi kwa itifaki maalum ya usalama.

Kiungo cha Tabaka la VPN. Mbinu katika kiwango hiki hukuruhusu kujumuisha trafiki ya kiwango cha tatu (na juu zaidi) na kuunda vichuguu pepe vya kumweka-kwa-uhakika. Hizi ni pamoja na bidhaa za VPN kulingana na .

Safu ya mtandao ya VPN. Bidhaa za VPN za kiwango hiki hutekeleza usimbaji wa IP-to-IP. Kwa mfano, wanatumia itifaki.

VPN ya safu ya kikao. Baadhi ya VPN hutekeleza mbinu ya "akala wa kituo", ambayo hufanya kazi juu ya safu ya usafiri na kusambaza trafiki kutoka kwa mtandao salama hadi kwenye mtandao wa umma kwa misingi ya soketi kwa tundu.

Uainishaji wa VPN kulingana na usanifu wa suluhisho la kiufundi

Imegawanywa katika:

• VPN za ndani ya kampuni - zinahitajika kutekeleza kazi salama kati ya idara ndani ya kampuni
• VPN yenye ufikiaji wa mbali - inahitajika kutekeleza ufikiaji salama wa mbali kwa rasilimali za habari za shirika
• VPN za mashirika - zinahitajika kati ya sehemu tofauti za biashara ambazo zimetenganishwa kijiografia

Uainishaji wa VPN kwa mbinu ya utekelezaji wa kiufundi

Imegawanywa katika:

• VPN inayotegemea kisambaza data - kazi za ulinzi huanguka kwenye kifaa cha kipanga njia
• VPN inayotokana na firewall - kazi za ulinzi huanguka kwenye kifaa cha ngome
• Msingi wa VPN ufumbuzi wa programu- programu hutumiwa ambayo inanufaika katika kubadilika na kubinafsisha, lakini inapoteza matokeo
• VPN kulingana na vifaa maalum vya vifaa - vifaa ambapo usimbaji fiche unatekelezwa na chips maalum tofauti hutoa utendaji wa juu kwa pesa nyingi

14.09.2006 Mark Joseph Edwards

Ni njia gani inayofaa kwa hali yako? Kuhamisha faili kwenye Mtandao ni operesheni ya kawaida sana, na kulinda faili zilizohamishwa ni muhimu sana kwa biashara nyingi. Kuna njia kadhaa za kuhamisha faili na mbinu nyingi za kulinda faili hizo wakati wa mchakato wa kuhamisha.

Ni njia gani inayofaa kwa hali yako?

Kuhamisha faili kwenye Mtandao ni operesheni ya kawaida sana, na kulinda faili zilizohamishwa ni muhimu sana kwa biashara nyingi. Kuna njia kadhaa za kuhamisha faili na mbinu nyingi za kulinda faili hizo wakati wa mchakato wa kuhamisha. Uchaguzi wa njia za maambukizi na usimbaji fiche hutegemea mahitaji ya jumla ya mtumaji. Katika baadhi ya matukio, inatosha tu kuhakikisha usalama wa faili wakati wa mchakato wa uhamisho. Katika zingine, ni muhimu zaidi kusimba faili kwa njia ambayo zinaendelea kulindwa hata baada ya kuwasilishwa kwa mpokeaji. Hebu tuangalie kwa karibu njia za kuhamisha faili kwa usalama.

Njiani na kuwasili

Ikiwa nia yako ni ya kulinda faili tu jinsi zinavyotumwa kwenye Mtandao, unahitaji teknolojia salama ya usafiri. Chaguo mojawapo ni kutumia Tovuti ambayo inaweza kukubali faili zilizotumwa kwake na hukuruhusu kupakua faili hizo kwa usalama. Ili kusafirisha faili kwa Tovuti kwa usalama, unaweza kuunda ukurasa wa Wavuti ambao umewekwa na Tabaka la Soketi Salama (SSL) na kupangisha kidhibiti cha ActiveX au hati ya Javascript. Kwa mfano, unaweza kutumia udhibiti wa AspUpload kutoka Programu ya Persitis; watengenezaji wanadai kuwa ni "usimamizi wa hali ya juu zaidi wa usafirishaji wa faili hadi nodi kuu zinazopatikana kwenye soko." Chaguo jingine ni kutumia hati ya Upakiaji Bila Malipo ya ASP, ambayo haihitaji kipengele cha binary. Ili kutoa usalama wa ziada, unaweza hata kulinda nenosiri la ukurasa wa Wavuti na saraka inayohusika ya kuchapisha nyenzo zilizopokelewa kwenye tovuti. Linapokuja suala la kupakua faili kutoka kwa Wavuti, unahitaji tu kuhakikisha kuwa seva ya Wavuti inayohusika inatoa muunganisho wa SSL, angalau kwa URL inayotumika kupakua faili.

Chaguo mbadala ni kutumia seva ya FTP ambayo hutoa uhamishaji wa data kwa kutumia itifaki ya FTP Secure. Kimsingi, FTPS ni itifaki ya FTP inayoendesha muunganisho salama wa SSL. Uwezekano wa matumizi Itifaki ya FTPS zinazotolewa katika wengi maarufu Wateja wa FTP, lakini, kwa bahati mbaya, haijatekelezwa katika Huduma ya FTP ya Microsoft. Kwa hivyo, itabidi utumie programu ya seva ya FTP ambayo hutoa uwezo huu (kwa mfano, bidhaa maarufu ya WFTPD). Usichanganye FTPS na Itifaki ya SSH Itifaki ya Kuhamisha Faili. SFTP ni itifaki ya kuhamisha faili inayoendesha juu ya Secure Shell (SSH); kwa kuongeza, inaweza kutumika kuhamisha faili. Hata hivyo, unahitaji kukumbuka kuwa SFTP haiendani na jadi Itifaki ya FTP, kwa hivyo pamoja na seva salama ya ganda (sema, moja iliyotolewa na Usalama wa Mawasiliano ya SSH), utahitaji mteja aliyejitolea wa SFTP (huyu anaweza kuwa mteja aliyejumuishwa kwenye kifurushi cha PuTTY Telnet/Secure Shell au WinSCP GUI).

Kwa kuongeza, uhamisho wa faili salama unaweza kupangwa kwa kutumia mitandao ya kibinafsi ya VPN. Majukwaa ya Seva ya Windows hutoa upatanifu na teknolojia ya VPN kupitia RRAS. Hata hivyo, hii haihakikishi utangamano na suluhu za VPN za washirika wako. Ikiwa uoanifu huu haupatikani, unaweza kutumia mojawapo ya suluhu zinazotumiwa sana, kama vile zana huria ya Open-VPN. Inasambazwa bila malipo na huendeshwa kwenye majukwaa mbalimbali, ikiwa ni pamoja na Windows, Linux, BSD na Macintosh OS X. Taarifa za ziada kuhusu ushirikiano wa OpenVPN inaweza kupatikana katika makala "Kufanya kazi na OpenVPN" ( ).

Kwa kuanzisha muunganisho wa VPN, unaweza kutenga saraka na kuhamisha faili katika pande zote mbili. Kwa vyovyote vile kwa kutumia VPN Trafiki imesimbwa, kwa hivyo hakuna haja ya usimbuaji wa faili ya ziada - isipokuwa unataka faili zibaki salama kwenye mfumo ambao zinahamishiwa. Kanuni hii inatumika kwa njia zote za maambukizi nilizotaja hadi sasa.

Ikiwa umeridhika na awamu ya uhamishaji na jambo lako kuu ni kuzuia watumiaji wasioidhinishwa kufikia yaliyomo kwenye faili zako, inaweza kushauriwa kusimba faili zako kwa njia fiche kabla ya kuzisafirisha. Katika hali hii, barua pepe inaweza kuwa njia bora ya kuhamisha faili. Programu za barua pepe zimesakinishwa kwenye karibu kila mfumo wa kompyuta ya mezani, kwa hivyo ukituma faili kupitia barua pepe, huhitaji kutumia teknolojia yoyote ya ziada zaidi ya usimbaji fiche wa data. Mbinu ya kuhamisha faili za barua pepe ni nzuri kwa sababu barua pepe na viambatisho kwa kawaida hufika moja kwa moja kwenye kisanduku cha barua cha mpokeaji, ingawa ujumbe unaweza kupita kwenye seva nyingi wakati wa mchakato wa kuhamisha.

Ikiwa bado unahitaji usalama wa ziada kwa data yako inaposafiri kupitia barua pepe, zingatia kutumia SMTP Secure (SMTPS) na POP3 Secure (POP3S). Kwa asili, SMTPS na POP3S ni za kawaida Itifaki za SMTP na POP3, iliyotekelezwa kupitia muunganisho salama wa SSL. Seva ya Microsoft Exchange, kama wateja wengi wa barua pepe, ikiwa ni pamoja na Microsoft Outlook, hutoa uwezo wa kutumia itifaki za SMTPS na POP3S. Kumbuka kwamba hata wakati itifaki ya SMTPS inatumiwa kubadilishana faili kati ya mteja wa barua na seva ya barua, bado kuna uwezekano kwamba seva ya barua itawasilisha barua kwa mpokeaji wa mwisho kupitia muunganisho wa kawaida, usio na usalama wa SMTP.

Kwa kuwa zana za kuchakata barua pepe zimeenea sana, sehemu iliyobaki ya makala hii itajadili kimsingi masuala ya uhamishaji salama wa faili kupitia njia za barua pepe. Kwa kufanya hivyo, tutafikiri kwamba mtumaji anahitaji kusimba data kwa njia fiche ili kuilinda wakati wa kutuma na baada ya kujifungua. Kwa hivyo, hebu tuangalie teknolojia maarufu zaidi za usimbaji barua pepe leo.

Zana za kukandamiza faili

Kuna njia nyingi za kubana faili kuwa faili moja ya kumbukumbu, na suluhisho nyingi zilizopendekezwa zinahusisha matumizi ya aina fulani ya usimbaji fiche ili kulinda yaliyomo kwenye kumbukumbu. Kwa kawaida, nenosiri huwekwa wakati wa mchakato wa ukandamizaji, na mtu yeyote ambaye anataka kufungua kumbukumbu anaweza tu kufanya hivyo kwa kutumia nenosiri lililotolewa.

Mojawapo ya njia maarufu zaidi za kuunda kumbukumbu za faili zilizoshinikwa ni njia ya ukandamizaji wa zip; Takriban wahifadhi wote wa kumbukumbu wanaiunga mkono. Na moja ya zana za kawaida za ukandamizaji wa zip leo ni programu ya WinZip. Inaweza kutumika kama programu inayojitegemea, iliyojengwa ndani ya Windows Explorer kwa ufikiaji rahisi, au kuunganishwa na mteja wa Outlook kwa kutumia moduli ya WinZip Companion kwa Outlook. WinZip, kama wengine wengi walio na zana kumbukumbu za zip, hutoa uwezo wa kusimba kwa kutumia mbinu ya Usimbaji wa Zip 2.0. Lakini ni lazima kusema kwamba kulinda faili kwa kutumia njia hii sio kuaminika kwa kutosha. Chaguo la usimbaji linalokubalika zaidi linatekelezwa katika WinZip 9.0. Kama Mchoro wa 1 unavyoonyesha, WinZip sasa inaauni ubainifu wa Hali ya Juu wa Usimbaji Fiche (AES), ambao hutumia vitufe vya usimbaji 128-bit au 256-bit. AES ni teknolojia mpya, lakini tayari inachukuliwa kuwa kiwango cha tasnia.

Kielelezo cha 1: WinZip inasaidia maelezo ya AES

Siwezi kusema haswa ni kumbukumbu ngapi zinazotumia algoriti zenye nguvu za usimbaji fiche kwa kutumia AES, na nitajizuia kutaja programu moja kama hiyo; Hii ni bxAutoZip ya bidhaa iliyotengenezwa na BAxBEx Software. Inaweza kuingiliana na programu ya usimbaji wa CryptoMite kutoka BAxBEx na inaweza kupachikwa katika Outlook. Ingawa WinZip hukuruhusu tu kusimba data kwa kutumia Zip 2.0 na AES, CryptoMite hutoa uwezo wa kutumia zana zingine za usimbaji fiche, zikiwemo algoriti maarufu za Twofish na Blowfish, Cast 256, Gost, Mars na SCOP.

Takriban mifumo yote ya kompyuta tayari ina zana za kufungua faili za zip, lakini sio programu zote za zip hutoa uoanifu na algoriti mbalimbali za usimbaji. Kwa hivyo, kabla ya kutuma faili zilizosimbwa, unahitaji kuhakikisha kuwa programu ya zip ya mpokeaji "inaelewa" algorithm iliyochaguliwa.

Unaposimba faili kwa kutumia programu za zip, tumia nywila za usalama. Kwa usimbuaji faili ya kumbukumbu mpokeaji wake lazima pia atumie nenosiri linalofaa. Uangalifu lazima uchukuliwe wakati wa kuchagua njia ya uwasilishaji wa nenosiri. Pengine njia salama zaidi za kutoa nenosiri ni kwa simu, faksi au barua pepe. Unaweza kuchagua yoyote kati yao, lakini chini ya hali yoyote unapaswa kutuma nenosiri kupitia barua pepe katika fomu maandishi wazi; katika kesi hii, hatari kwamba mtumiaji ambaye hajaidhinishwa atapata ufikiaji wa faili iliyosimbwa huongezeka sana.

Usisahau kwamba kumbukumbu zilizo na zana za usimbuaji hutoa uhamishaji wa faili sio tu kupitia njia za barua pepe. Wanaweza kutumika kwa ufanisi kusafirisha data kwa kutumia mbinu nyingine zilizotajwa hapo juu.

Faragha Nzuri Sana

Mbinu nyingine maarufu sana ya usimbaji fiche inaweza kutekelezwa kwa kutumia Faragha Nzuri Sana. PGP ilifanya vyema wakati Phil Zimmerman alipoichapisha kwa mara ya kwanza bila malipo kwenye Mtandao mnamo 1991. PGP ikawa bidhaa ya kibiashara mnamo 1996, na kisha haki zake zikanunuliwa na Network Associates (NAI) mnamo 1997. Mnamo 2002, teknolojia hii ilinunuliwa kutoka kwa NAI na kampuni changa iitwayo PGP Corporation.

Shirika la PGP tangu wakati huo limeuza toleo la kibiashara la PGP, ambalo linafanya kazi katika Mazingira ya Windows na Mac OS X. Toleo la sasa la PGP 9.0, ambalo hutoa usimbaji fiche wa faili binafsi na usimbaji fiche kamili wa diski, linaweza kujengwa katika AOL Instant Messenger (AIM). Kwa kuongezea, PGP 9.0 inaunganishwa na bidhaa kama vile Outlook, Microsoft Entourage, Lotus Notes, Qualcomm Eudora, Mozilla Thunderbird na Apple Mail.

PGP hutumia mfumo wa usimbaji wa ufunguo wa umma ambao hutoa jozi ya funguo za usimbaji - ufunguo wa umma na ufunguo wa faragha. Vifunguo hivi viwili vinahusiana kihisabati kwa njia ambayo data iliyosimbwa kwa ufunguo wa umma inaweza tu kusimbwa kwa ufunguo wa faragha. Mtumiaji wa PGP hutengeneza jozi ya vitufe vya ufunguo-faragha ya umma na kisha kuchapisha ufunguo wa umma kwa saraka ya vitufe vya umma au Tovuti. Ufunguo wa siri, bila shaka, haujachapishwa popote na umewekwa siri; inatumiwa tu na mmiliki wake. Kusimbua data kwa kutumia ufunguo wa faragha kunahitaji nenosiri, lakini kusimba data kwa kutumia ufunguo wa umma si kwa sababu funguo za umma Mtu yeyote anaweza kuitumia.

Ili kurahisisha kutumia mfumo wa PGP, wasanidi programu wake wametekeleza kazi ya kupigia kura saraka muhimu za umma kiotomatiki. Kitendaji hiki hukuruhusu kuingiza anwani ya barua pepe ya mtumiaji kwenye upau wa utaftaji na kupata ufunguo wake wa umma. PGP hutoa uwezo wa kusoma kiotomatiki funguo za umma, ambazo zinaweza kuhifadhiwa ndani ya mfumo wako katika "keyring" maalum ya msingi wa faili kwa urahisi wa kufikia. Kwa kuuliza saraka ya vitufe vya umma, PGP hukuruhusu kuweka matoleo ya hivi majuzi kila wakati katika "bundle." Mtumiaji akibadilisha ufunguo wake wa umma, unaweza kufikia ufunguo uliosasishwa wakati wowote unapouhitaji.

Ili kutoa hakikisho thabiti zaidi za uhalisi wa funguo za umma, sahihi za dijiti zinaweza kutumika kwa kutumia funguo za watumiaji wengine. Kutia sahihi kwa ufunguo na mtumiaji mwingine hutumika kama uthibitisho wa ziada kwamba ufunguo hakika ni wa mtu anayedai kuwa mmiliki wake. Ili kuthibitisha ufunguo kwa kutumia sahihi ya dijiti, PGP hufanya operesheni ya hisabati na kuongeza matokeo yake ya kipekee kwa ufunguo. Sahihi basi inaweza kuthibitishwa kwa kuilinganisha na ufunguo wa kusaini ambao ulitumiwa kuunda sahihi. Utaratibu huu unafanana na mchakato wa mtu mmoja kuthibitisha utambulisho wa mwingine.

PGP inaaminiwa na wengi kwa sababu imeanzisha sifa kwa muda mrefu katika sekta kama teknolojia ya kuaminika ya kulinda habari. Hata hivyo, ukiamua kutumia PGP au mbinu nyingine ya usimbaji ufunguo wa umma, kumbuka kwamba wapokeaji wa faili zako lazima pia wawe na mifumo inayooana ya usimbaji fiche. Mojawapo ya faida za PGP wakati wa kutumia barua pepe kama chaneli ya kusambaza data ni kwamba inatumia muundo wake wa usimbaji fiche, pamoja na teknolojia za X.509 na S/MIME, ambazo nitazijadili baadaye.

Kwa kuongeza, hatua moja zaidi inapaswa kuzingatiwa. Bila kujali kama unapanga kutumia PGP, WinZip, au mfumo mwingine wa usimbaji fiche, ikiwa unataka kusimba yaliyomo kwenye ujumbe wenyewe pamoja na kusimba faili zilizoambatishwa, utahitaji kuandika ujumbe huo kwa faili tofauti na kuisimba kwa njia fiche pia. Ikiwa inataka, faili hii ya ujumbe inaweza kuwekwa kwenye kumbukumbu pamoja na faili zingine au kuambatishwa kama faili ya kiambatisho.

PKI

Miundombinu muhimu ya Umma (PKI) ni ya kipekee, lakini kanuni ya utendakazi wake inakumbusha kwa kiasi fulani kanuni ya PGP. PKI inahusisha matumizi ya jozi ya funguo - ya umma na ya siri. Ili kusimba data iliyotumwa kwa mpokeaji kwa njia fiche, watumaji hutumia ufunguo wa umma wa mpokeaji; Baada ya data kuwasilishwa kwa mpokeaji, anaiondoa kwa njia fiche kwa kutumia ufunguo wake wa faragha.

Skrini ya 2: Kuangalia Yaliyomo kwenye Cheti

Tofauti moja kuu ni kwamba katika PKI, ufunguo wa umma kwa kawaida huhifadhiwa katika umbizo la data linalojulikana kama cheti. Vyeti vinaweza kuwa na habari nyingi zaidi kuliko funguo za kawaida. Kwa mfano, vyeti kwa kawaida huwa na tarehe ya mwisho wa matumizi, kwa hivyo tunajua ni lini cheti na ufunguo wake unaohusishwa hautakuwa halali tena. Kwa kuongezea, cheti kinaweza kujumuisha jina la mmiliki, anwani, nambari ya simu na habari zingine. Mchoro wa 2 unaonyesha yaliyomo kwenye cheti jinsi yanavyoonekana kwenye dirisha Programu za Microsoft Internet Explorer (IE) au Outlook. Kwa kiasi fulani, maudhui ya cheti hutegemea data ambayo mmiliki anataka kuweka ndani yake.

Kama PGP, PKI inaruhusu uundaji wa "misururu ya uaminifu" ambapo vyeti vinaweza kusainiwa kwa kutumia vyeti vya watumiaji wengine. Aidha, Mamlaka za Cheti (CA) zimejitokeza. Hizi ni mashirika ya kujitegemea yanayoaminika ambayo sio tu hutoa vyeti vyao wenyewe, lakini pia husaini vyeti vingine, na hivyo kuhakikisha uhalisi wao. Kama ilivyo kwa PGP na seva zake muhimu zinazohusiana, vyeti vinaweza kuchapishwa kwa seva za vyeti vya umma au vya kibinafsi au seva za LDAP, kutumwa kupitia barua pepe, na hata kupangishwa kwenye Tovuti au seva ya faili.

Ili kutoa uthibitishaji wa cheti kiotomatiki, watengenezaji wa wateja wa barua pepe na Vivinjari vya Wavuti kwa kawaida huandaa programu zao zana za kuingiliana na seva za mamlaka ya cheti. Wakati wa mchakato huu, utaweza pia kupata habari kuhusu kufutwa kwa cheti kwa sababu moja au nyingine na, ipasavyo, kufanya hitimisho kwamba cheti hiki hakiwezi kuaminiwa tena. Bila shaka, wakati mwingine unapaswa kulipa huduma za mamlaka ya vyeti ili kutoa na kuthibitisha vyeti; bei zinaweza kutofautiana kulingana na mamlaka iliyochaguliwa ya uthibitishaji. Mashirika mengine huwapa wateja vyeti vya kibinafsi bila malipo kupitia barua pepe, huku wengine hutoza ada kubwa kwa hili.

PKI inatokana na vipimo vya X.509 (inayotokana na vipimo vya LDAP X). Kwa hivyo, vyeti vinavyotolewa na mamlaka moja (ikiwa ni pamoja na vyeti unavyojitengenezea) vinaweza kutumika katika aina mbalimbali za mifumo. Ni muhimu tu kwamba majukwaa haya yalingane na kiwango cha X.509. Unaweza kujitengenezea vyeti kwa kutumia chochote kinachopatikana zana, kama vile OpenSSL.

Ikiwa shirika lako linatumia Huduma za Cheti cha Microsoft, unaweza kuomba cheti kupitia huduma hiyo. Katika mazingira ya Windows Server 2003 na Windows 2000 Server, mchakato huu unapaswa kuendelea takriban sawa. Unapaswa kufungua ukurasa wa wavuti wa seva ya cheti (kawaida iko katika http://servername/CertSrv), kisha uchague Omba Cheti. Washa ukurasa unaofuata unahitaji kuchagua kipengele cha ombi la cheti cha Mtumiaji na ufuate maagizo ya Msimamizi wa Tovuti hadi mchakato ukamilike. Ikiwa huduma ya cheti imeundwa kwa namna ambayo idhini ya msimamizi inahitajika kutoa cheti, mfumo utakujulisha kuhusu hili kwa ujumbe maalum, na utalazimika kusubiri uamuzi wa msimamizi. Katika hali nyingine, hatimaye utaona hyperlink ambayo itawawezesha kufunga cheti.

Baadhi ya mamlaka huru ya cheti, kama vile Thwate ya Kikundi cha Comodo na InstantSSL, hutoa vyeti vya barua pepe vya kibinafsi bila malipo kwa watumiaji; hii ni njia rahisi ya kupata vyeti. Aidha, vyeti hivyo tayari vitasainiwa na mamlaka iliyotoa, ambayo itarahisisha uhakiki wa uhalisi wao.

Inapokuja suala la kutumia PKI kutuma data iliyosimbwa kwa njia fiche kwa kutumia programu ya barua pepe, vipimo vya Secure MIME (S/MIME) vitatumika. Outlook, Mozilla Thunderbird, na Apple Mail ni mifano michache tu ya programu za barua pepe zinazoweza kutumia itifaki hii. Ili kutuma ujumbe wa barua pepe uliosimbwa kwa njia fiche (ulio na au bila faili zilizoambatishwa) kwa mpokeaji, lazima upate ufikiaji wa ufunguo wa umma wa mpokeaji.

Ili kupata ufunguo wa umma wa mtumiaji mwingine, unaweza kuona taarifa muhimu kwenye seva ya LDAP (isipokuwa ufunguo utachapishwa kwa kutumia itifaki ya LDAP). Chaguo jingine: unaweza kumwomba mtu huyu akutumie ujumbe na saini ya dijiti; Kama sheria, wakati wa kuwasilisha ujumbe uliotiwa saini kwa mpokeaji, wateja wa barua pepe walio na uwezo wa S/MIME huambatisha nakala ya ufunguo wa umma. Au unaweza kumwomba tu mtu unayevutiwa naye akutumie ujumbe wenye ufunguo wa umma ulioambatishwa kwake. Baadaye unaweza kuhifadhi ufunguo huu wa umma katika kiolesura muhimu cha usimamizi ambacho huja na kiteja chako cha barua pepe. Outlook inaunganishwa na Hifadhi ya Cheti iliyojengwa ndani ya Windows. Ikiwa unahitaji kutumia ufunguo wa umma, utakuwa karibu kila wakati.

Usimbaji fiche unaotegemea mtumaji

Usalama wa Voltage umeunda teknolojia mpya - usimbaji fiche kulingana na kitambulisho (IBE). Kwa ujumla, ni sawa na teknolojia ya PKI, lakini ina kipengele cha kuvutia. IBE hutumia ufunguo wa faragha kusimbua ujumbe, lakini haitumii ufunguo wa kawaida wa umma wakati wa mchakato wa usimbaji fiche. Kama ufunguo kama huo, IBE hutoa kwa matumizi anuani ya posta mtumaji. Kwa hivyo, wakati wa kutuma ujumbe uliosimbwa kwa mpokeaji, shida ya kupata ufunguo wake wa umma haitoke. Unachohitaji ni anwani ya barua pepe ya mtu huyo.

Teknolojia ya IBE inahusisha kuhifadhi ufunguo wa siri wa mpokeaji kwenye seva muhimu. Mpokeaji anathibitisha haki zake za ufikiaji kwa seva muhimu na anapokea ufunguo wa siri, ambao yeye huondoa yaliyomo kwenye ujumbe. Teknolojia ya IBE inaweza kutumika Watumiaji wa Outlook, Outlook Express, Lotus Notes, Pocket PC, na Research in Motion (RIM) BlackBerry. Kulingana na wawakilishi wa Usalama wa Voltage, IBE pia inaendesha mifumo yoyote ya barua pepe inayotegemea kivinjari inayoendesha karibu mfumo wowote wa kufanya kazi. Kuna uwezekano kwamba vile suluhisho zima Usalama wa Voltage ndio unahitaji.

Ni vyema kutambua kwamba teknolojia ya IBE inatumika katika bidhaa za FrontBridge Technologies kama njia ya kuwezesha ubadilishanaji salama wa barua pepe zilizosimbwa kwa njia fiche. Labda tayari unajua kwamba mnamo Julai 2005, FrontBridge ilinunuliwa na Microsoft, ambayo inapanga kuunganisha suluhu za FrontBridge na Exchange; Huenda si muda mrefu kabla ya mchanganyiko wa teknolojia hizi kutolewa kwa watumiaji kama huduma inayodhibitiwa. Ikiwa shirika lako na mifumo ya barua pepe ya washirika wako inategemea Exchange, fuatilia maendeleo katika eneo hili.

Mambo yote yanazingatiwa

Kuna njia nyingi za kuhamisha faili kwa usalama kwenye Mtandao, na bila shaka rahisi na bora zaidi kati yao hutolewa kwa barua pepe. Bila shaka, wale ambao wanapaswa kubadilishana idadi kubwa ya faili zinazounda kiasi kikubwa cha data wanaweza kutaka kuzingatia kutumia mbinu nyingine.

Kuzingatia kwa uangalifu kunapaswa kuzingatiwa ni faili ngapi utakazohamisha, ni kubwa kiasi gani, ni mara ngapi utahitaji kuhamisha faili, ni nani anayepaswa kuzifikia, na jinsi zitahifadhiwa mahali zinapopokelewa. Kuzingatia mambo haya, unaweza kuchagua njia bora ya kuhamisha faili.

Ukifika kwenye hitimisho hilo chaguo bora kwa ajili yako - barua pepe, kumbuka kwamba wakati wa kuwasili kwa barua kwenye seva nyingi za barua na wateja wa barua unaweza kuendesha hati au kufanya vitendo maalum kulingana na sheria. Kwa kutumia vitendakazi hivi, unaweza kubadilisha uhamishaji wa faili kiotomatiki kwenye njia kwenye seva za barua na faili zinapofika kwenye kisanduku chako cha barua.

Mark Joseph Edwards ni mhariri mkuu katika Windows IT Pro na mwandishi wa jarida la barua pepe la kila wiki la Usalama UPDATE ( http://www.windowsitpro.com/email). [barua pepe imelindwa]

Teknolojia salama ya kituo imeundwa ili kuhakikisha usalama wa utumaji data kupitia mtandao wazi wa usafiri, kama vile Mtandao. Kituo salama kinajumuisha kutekeleza majukumu makuu matatu:

· uthibitishaji wa pande zote wa waliojiandikisha wakati wa kuanzisha muunganisho, ambao unaweza kufanywa, kwa mfano, kwa kubadilishana nywila;

· ulinzi wa ujumbe unaopitishwa kwenye chaneli kutoka kwa ufikiaji usioidhinishwa, kwa mfano, kwa usimbaji fiche;

· uthibitisho wa uadilifu wa ujumbe unaofika kupitia chaneli, kwa mfano, kwa kusambaza wakati huo huo na ujumbe wa muhtasari wake.

Seti ya njia salama zilizoundwa na biashara kwenye mtandao wa umma ili kuunganisha matawi yake mara nyingi huitwa mtandao wa kibinafsi wa kawaida(Mtandao wa Kibinafsi wa Virtual, VPN).

Kuna utekelezaji tofauti wa teknolojia ya njia salama, ambayo, hasa, inaweza kufanya kazi katika viwango tofauti vya mfano wa OSI. Kwa hivyo, kazi za itifaki maarufu ya SSL zinalingana na mwakilishi Kiwango cha mfano wa OSI. Toleo jipya mtandao Itifaki ya IP hutoa vipengele vyote—uthibitishaji wa pande zote, usimbaji fiche, na uadilifu—ambavyo ni asili ya kituo salama, huku itifaki ya utenaji wa PPTP inalinda data juu ya. mfereji kiwango.

Kulingana na eneo la programu salama ya kituo, kuna miradi miwili ya uundaji wake:

· mchoro na nodes za mwisho zinazoingiliana kupitia mtandao wa umma (Mchoro 1.2, a);

· mchoro na vifaa vya mtoa huduma wa mtandao wa umma iko kwenye mpaka kati ya mitandao ya kibinafsi na ya umma (Mchoro 1.2, b).

Katika kesi ya kwanza, kituo cha salama kinaundwa na programu iliyowekwa kwenye mbili kompyuta za mbali, inayomilikiwa na mitandao miwili tofauti ya ndani ya biashara moja na iliyounganishwa kupitia mtandao wa umma. Faida ya njia hii ni usalama kamili wa chaneli kando ya njia nzima, na pia uwezo wa kutumia itifaki yoyote kuunda chaneli salama, mradi itifaki hiyo hiyo inaungwa mkono kwenye sehemu za mwisho za kituo. Hasara ni upungufu na ugatuaji wa suluhisho. Upungufu ni kwamba haifai kuunda chaneli salama kwenye njia nzima ya data: mitandao inayobadilishwa kwa pakiti kawaida huwa katika hatari ya kushambuliwa, sio chaneli za mtandao wa simu au chaneli maalum ambazo hupitia. mitandao ya ndani imeunganishwa kwenye mtandao wa ndani. Kwa hivyo, kulinda njia za ufikiaji wa mtandao wa umma kunaweza kuzingatiwa kuwa sio lazima. Ugatuaji unamaanisha kuwa kwa kila kompyuta inayohitaji kutoa huduma salama za kituo, ni muhimu kusakinisha, kusanidi na kusimamia programu ya ulinzi wa data kivyake. Kuunganisha kila kompyuta mpya kwenye chaneli salama kunahitaji kufanya kazi hii inayotumia muda tena.

Mchoro 1.2 - Njia mbili za kuunda njia salama

Katika kesi ya pili, wateja na seva hazishiriki katika kuunda kituo salama - kinawekwa tu ndani ya mtandao wa kubadili pakiti ya umma, kwa mfano, ndani ya mtandao. Chaneli inaweza kuwekwa, kwa mfano, kati ya seva ya ufikiaji wa mbali ya mtoa huduma wa mtandao wa umma na kipanga njia cha mtandao wa ushirika. Ni suluhu inayoweza kupanuka sana, inayosimamiwa na serikali kuu na msimamizi wa mtandao wa shirika na msimamizi wa mtandao wa mtoa huduma. Kwa kompyuta za mtandao wa kampuni, chaneli ni wazi - programu ya nodi hizi za mwisho bado hazibadilika. Mbinu hii inayonyumbulika hurahisisha kuunda chaneli mpya za mwingiliano salama kati ya kompyuta, bila kujali mahali zilipo. Utekelezaji wa njia hii ni ngumu zaidi - itifaki ya kawaida ya kuunda kituo salama inahitajika, programu inayounga mkono itifaki kama hiyo inahitajika kusanikishwa kwa watoa huduma wote, na usaidizi wa itifaki ya watengenezaji wa vifaa vya mawasiliano ya makali ni. inahitajika. Walakini, chaguo wakati mtoa huduma wa mtandao wa umma anachukua wasiwasi wote juu ya kudumisha chaneli salama huacha mashaka juu ya kuegemea kwa ulinzi: kwanza, njia za ufikiaji kwenye mtandao wa umma hazijalindwa, na pili, mtumiaji wa huduma anahisi kutegemea kabisa. uaminifu wa huduma za mtoa huduma. Na, hata hivyo, wataalam wanatabiri kuwa ni mpango wa pili ambao utakuwa kuu katika ujenzi wa njia salama katika siku za usoni.

2. Kanuni za ulinzi wa habari za siri

Crystalgraphy ni seti ya mbinu za kubadilisha data zinazolenga kufanya data hii isiweze kufikiwa na adui. Mabadiliko kama haya huturuhusu kutatua shida kuu mbili za ulinzi wa data: suala la faragha(kwa kumnyima adui fursa ya kutoa habari kutoka kwa njia ya mawasiliano) na tatizo la uadilifu(kwa kumnyima adui fursa ya kubadilisha ujumbe ili maana yake ibadilike, au kuingiza habari za uwongo kwenye njia ya mawasiliano).

Shida za usiri na uadilifu wa habari zinahusiana kwa karibu, kwa hivyo njia za kutatua moja yao mara nyingi hutumika katika kutatua nyingine.

2.1. Mchoro wa mfumo wa kriptografia linganifu

Mchoro wa jumla wa mfumo wa kriptografia ambao hutoa usimbaji fiche wa habari zinazopitishwa umeonyeshwa kwenye Mchoro 2.1.

Mchoro 2.1 - Mchoro wa jumla wa mfumo wa crypto

Mtumaji inazalisha maandishi wazi ujumbe asili M, ambao lazima usambazwe kwa halali mpokeaji kupitia chaneli isiyolindwa. Inatazama chaneli kiingilia ili kukatiza na kufichua ujumbe uliotumwa. Ili kuzuia kiingiliaji kujifunza yaliyomo kwenye ujumbe M, mtumaji huisimba kwa njia fiche kwa kutumia badiliko linaloweza kutenduliwa E K na kupokea. maandishi ya siri(au kriptografia) C = E K (M), ambayo hutuma kwa mpokeaji.

Mpokeaji halali, akiwa amepokea matini C, huiondoa kwa kutumia ubadilishaji kinyume D = E K -1 na kupokea ujumbe asili katika mfumo wa maandishi wazi M:

D K (C) = E K –1 (E K (M)) = M.

Mabadiliko ya E K yamechaguliwa kutoka kwa familia ya mabadiliko ya kriptografia inayoitwa cryptoalgorithms. Kigezo ambacho mabadiliko ya mtu binafsi huchaguliwa huitwa ufunguo wa kriptografia K. Mfumo wa crypto una chaguo tofauti za utekelezaji: seti ya maagizo, vifaa, seti ya programu za kompyuta zinazokuwezesha kusimba maandishi wazi na kufuta maandishi ya siri. njia tofauti, moja ambayo imechaguliwa kwa kutumia kitufe maalum K.

Mfumo wa kriptografia ni familia ya parameta moja ya mabadiliko yasiyobadilika

kutoka kwa nafasi ya ujumbe wa maandishi wazi hadi nafasi ya maandishi ya siri. Kigezo K (ufunguo) huchaguliwa kutoka kwa seti ya mwisho inayoitwa nafasi muhimu.

Ubadilishaji wa usimbaji fiche unaweza kuwa linganifu au ulinganifu kuhusiana na ugeuzaji wa usimbuaji. Sifa hii muhimu ya kitendakazi cha ubadilishaji inafafanua aina mbili za mifumo ya siri:

· mifumo ya siri ya ulinganifu (ufunguo mmoja);

· mifumo ya siri isiyolinganishwa (ya vitufe viwili) (iliyo na ufunguo wa umma).

Mchoro wa mfumo wa siri wa ulinganifu na ufunguo mmoja wa siri umeonyeshwa kwenye Mchoro 2.1. Inatumia funguo sawa za siri kwenye kizuizi cha usimbaji fiche na kizuizi cha usimbuaji.

2.2. Mchoro wa mfumo wa asymmetric cryptosystem

Mchoro wa jumla wa mfumo wa siri wa asymmetric na funguo mbili tofauti K 1 na K 2 umeonyeshwa kwenye Mtini. 2.2. Katika mfumo huu wa siri, moja ya funguo ni ya umma na nyingine ni siri.

Mchoro 2.2 - Mchoro wa jumla wa mfumo wa cryptosystem asymmetric

na ufunguo wa umma

Katika mfumo wa siri uliolinganishwa, ufunguo wa siri lazima usambazwe kwa mtumaji na mpokeaji kupitia njia salama ya usambazaji ya ufunguo, kama vile huduma ya mpokeaji. Katika Mtini. 2.1 chaneli hii inaonyeshwa kama laini "iliyolindwa". Kuna njia nyingine za kusambaza funguo za siri, hizi zitajadiliwa baadaye. Katika mfumo wa siri wa asymmetric, ufunguo wa umma pekee hupitishwa kwenye chaneli isiyo salama, na ufunguo wa siri huhifadhiwa mahali ulipotolewa.

Katika Mtini. Mchoro 2.3 unaonyesha mtiririko wa habari katika mfumo wa crypto katika tukio la vitendo vya kazi na kiingilizi. Msikilizaji amilifu hasomi tu maandishi yote ya siri yanayopitishwa kwenye chaneli, lakini pia anaweza kujaribu kuyabadilisha apendavyo.

Jaribio lolote la msikilizaji wa kusimbua maandishi ya siri C ili kupata maandishi wazi M, au kusimba maandishi yake mwenyewe M' ili kupata maandishi yanayokubalika C', bila kuwa na ufunguo wa kweli huitwa. mashambulizi ya cryptanalytic.

Mchoro 2.3 - Mtiririko wa habari katika mfumo wa crypto wakati unafanya kazi

kukatiza ujumbe

Ikiwa mashambulizi ya cryptanalytic yaliyofanywa hayafikii lengo lao na cryptanalyst hawezi, bila ya kuwa na ufunguo halisi, kupata M kutoka kwa C au C' kutoka kwa M', basi inachukuliwa kuwa mfumo huo wa siri ni. sugu ya crypto.

Uchambuzi wa siri ni sayansi ya kufichua maandishi asilia ya ujumbe uliosimbwa bila ufikiaji wa ufunguo. Uchambuzi uliofanikiwa unaweza kufichua maandishi asilia au ufunguo. Pia hukuruhusu kugundua matangazo dhaifu katika mfumo wa crypto, ambayo hatimaye husababisha matokeo sawa.

Kanuni ya msingi ya cryptanalysis, iliyoandaliwa kwanza na Mholanzi A. Kerkhoff nyuma katika karne ya 19, ni kwamba nguvu ya cipher (cryptosystem) inapaswa kuamua tu na usiri wa ufunguo. Kwa maneno mengine, sheria ya Kerkhoff ni kwamba algorithm nzima ya usimbuaji, isipokuwa kwa thamani ya ufunguo wa siri, inajulikana kwa cryptanalyst ya adui. Hii ni kutokana na ukweli kwamba mfumo wa siri unaotekeleza familia ya mabadiliko ya kriptografia kawaida huchukuliwa kuwa mfumo wazi.

2.3. Vifaa na programu kwa ajili ya kulinda taarifa za kompyuta

Vifaa na programu ambayo hutoa kiwango cha kuongezeka kwa ulinzi inaweza kugawanywa katika vikundi vitano kuu (Mchoro 2.4).

Kundi la kwanza linaundwa kitambulisho cha mtumiaji na mifumo ya uthibitishaji. Mifumo kama hiyo hutumiwa kuzuia ufikiaji wa watumiaji wa nasibu na haramu kwa rasilimali za mfumo wa kompyuta. Algorithm ya jumla ya uendeshaji wa mifumo hii ni kupata taarifa za kitambulisho kutoka kwa mtumiaji, kuthibitisha uhalisi wake, na kisha kutoa (au kutompa) mtumiaji huyu uwezo wa kufanya kazi na mfumo.

Wakati wa kujenga mifumo hiyo, tatizo la kuchagua habari kwa misingi ambayo kitambulisho cha mtumiaji na taratibu za uthibitishaji hufanyika. Aina zifuatazo zinaweza kutofautishwa:

(1) maelezo ya siri ambayo mtumiaji anayo (nenosiri, kitambulisho cha kibinafsi, ufunguo wa siri, nk); mtumiaji lazima akumbuke habari hii au njia maalum za kuhifadhi habari hii zinaweza kutumika);

(2) vigezo vya kisaikolojia ya mtu (alama za vidole, mifumo ya iris, nk) au sifa za tabia ya binadamu (sifa za kufanya kazi kwenye kibodi, nk).

Mifumo ya kitambulisho kulingana na aina ya kwanza ya habari inazingatiwa kwa ujumla jadi. Mifumo ya kitambulisho inayotumia aina ya pili ya habari inaitwa kibayometriki.

Kundi la pili la njia zinazotoa kiwango cha ulinzi kilichoongezeka ni mifumo ya usimbuaji wa diski. Tatizo kuu linalotatuliwa na mifumo hiyo ni kulinda dhidi ya matumizi yasiyoidhinishwa ya data iko kwenye vyombo vya habari vya magnetic.

Kuhakikisha usiri wa data iliyo kwenye midia ya sumaku unafanywa kwa kuisimba kwa kutumia algoriti za usimbaji linganifu. Kipengele kikuu cha uainishaji wa magumu ya usimbuaji ni kiwango cha ujumuishaji wao kwenye mfumo wa kompyuta.

Uendeshaji wa programu za maombi na anatoa disk lina hatua mbili - "mantiki" na "kimwili".

Hatua ya kimantiki inalingana na kiwango cha mwingiliano programu ya maombi na mfumo wa uendeshaji (kwa mfano, kazi za huduma za kupiga simu kwa data ya kusoma / kuandika). Katika kiwango hiki, kitu kuu ni faili.

Hatua ya kimwili inalingana na kiwango cha mwingiliano kati ya mfumo wa uendeshaji na vifaa. Vitu vya kiwango hiki ni miundo ya shirika la kimwili la data - sekta za disk.

Kwa hivyo, mifumo ya usimbaji data inaweza kufanya mabadiliko ya kriptografia ya data katika kiwango cha faili (kilicholindwa faili tofauti) na kwa kiwango cha diski (diski zote zinalindwa).

Kipengele kingine cha uainishaji wa mifumo ya usimbuaji wa data ya diski ni jinsi inavyofanya kazi.

Kulingana na njia ya kufanya kazi, mifumo ya usimbuaji wa data ya diski imegawanywa katika madarasa mawili:

(1) mifumo ya usimbaji fiche "ya uwazi";

(2) mifumo inayoitwa haswa kutekeleza usimbaji fiche.

Mchoro 2.4 - Vifaa na programu kwa ajili ya kulinda taarifa za kompyuta

Katika mifumo usimbaji fiche wa uwazi (usimbaji fiche wa on-the-fly) mabadiliko ya kriptografia hufanywa kwa wakati halisi, bila kutambuliwa na mtumiaji. Kwa mfano, mtumiaji anaandika tayari katika mhariri wa maandishi hati kwa diski iliyolindwa, na mfumo wa usalama huisimba kwa njia fiche wakati wa mchakato wa kurekodi.

Mifumo ya daraja la pili kwa kawaida ni huduma ambazo lazima ziitwe mahususi kutekeleza usimbaji fiche. Hizi ni pamoja na, kwa mfano, kumbukumbu zilizo na ulinzi wa nenosiri uliojengwa.

Kundi la tatu la fedha linajumuisha mifumo ya usimbaji fiche kwa data inayotumwa kupitia mitandao ya kompyuta. Kuna njia mbili kuu za usimbaji fiche: usimbaji fiche wa kituo na usimbaji wa terminal (mteja).

Lini usimbaji fiche wa kituo Taarifa zote zinazopitishwa kupitia njia ya mawasiliano, ikiwa ni pamoja na taarifa za huduma, zinalindwa. Taratibu zinazolingana za usimbaji fiche zinatekelezwa kwa kutumia itifaki ya safu ya kiungo cha safu saba mfano wa kumbukumbu mwingiliano mifumo wazi OSI.

Mbinu hii ya usimbaji fiche ina faida ifuatayo - taratibu za usimbaji fiche kwenye safu ya kiungo cha data huruhusu matumizi ya maunzi, ambayo husaidia kuboresha utendaji wa mfumo.

Hata hivyo, mbinu hii kuna hasara kubwa:

Taarifa zote zinakabiliwa na usimbaji fiche katika ngazi hii, ikiwa ni pamoja na data ya huduma ya itifaki za usafiri; hii inachanganya utaratibu wa kuelekeza pakiti za mtandao na inahitaji usimbuaji wa data katika vifaa vya kubadili kati (lango, virudia, nk);

Usimbaji fiche wa taarifa za huduma, ambao hauepukiki katika kiwango hiki, unaweza kusababisha kuibuka kwa mifumo ya takwimu katika data iliyosimbwa; hii inathiri uaminifu wa ulinzi na inaweka vikwazo juu ya matumizi ya algoriti za kriptografia.

Usimbaji fiche wa kituo (mteja). hukuruhusu kuhakikisha usiri wa data inayotumwa kati ya vitu viwili vya programu (wasajili). Usimbaji fiche kutoka mwanzo hadi mwisho unatekelezwa kwa kutumia programu au itifaki ya safu wakilishi ya muundo wa marejeleo wa OSI. Katika kesi hii, tu maudhui ya ujumbe yanalindwa, taarifa zote za huduma zinabaki wazi. Njia hii huepuka matatizo yanayohusiana na usimbaji habari wa huduma, lakini matatizo mengine hutokea. Hasa, mshambuliaji na upatikanaji wa njia za mawasiliano mtandao wa kompyuta, ina uwezo wa kuchambua habari kuhusu muundo wa kubadilishana ujumbe, kwa mfano, kuhusu mtumaji na mpokeaji, wakati na masharti ya uhamisho wa data, pamoja na kiasi cha data iliyohamishwa.

Kundi la nne la vifaa vya kinga linajumuisha mifumo ya uthibitishaji wa data ya kielektroniki.

Wakati wa kubadilishana data ya elektroniki juu ya mitandao ya mawasiliano, tatizo la kuthibitisha mwandishi wa waraka na hati yenyewe hutokea, i.e. kuanzisha uhalisi wa mwandishi na kuangalia kuwa hakuna mabadiliko katika hati iliyopokelewa.

Ili kuthibitisha data ya elektroniki, msimbo wa uthibitishaji wa ujumbe (kuiga kuingizwa) au sahihi ya dijiti ya elektroniki hutumiwa. Wakati wa kuzalisha msimbo wa uthibitishaji wa ujumbe na sahihi ya dijiti ya elektroniki, aina tofauti za mifumo ya usimbaji fiche hutumiwa.

Msimbo wa uthibitishaji wa ujumbe MAC (Msimbo wa Uthibitishaji wa Ujumbe) huundwa kwa kutumia mifumo ya usimbaji data linganifu. Uadilifu wa ujumbe uliopokelewa unathibitishwa kwa kuangalia msimbo wa MAC na mpokeaji ujumbe.

Kiwango cha ndani cha usimbaji data linganifu (GOST 28147-89) hutoa hali ya kutoa uingizaji wa kuiga, ambao unahakikisha kuiga ulinzi, i.e. ulinzi wa mfumo wa mawasiliano uliosimbwa kutokana na uwekaji wa data za uwongo.

Imitovstak yanayotokana na data ya wazi kwa njia ya mabadiliko maalum ya usimbaji fiche kwa kutumia ufunguo wa siri na kupitishwa kwenye kituo cha mawasiliano mwishoni mwa data iliyosimbwa. Uingizaji wa uigaji unathibitishwa na mpokeaji wa ujumbe, ambaye ana ufunguo wa siri, kwa kurudia utaratibu uliofanywa hapo awali na mtumaji kwenye data iliyopokelewa ya umma.

Saini ya kielektroniki ya dijiti(EDS) ni kiasi kidogo cha maelezo ya ziada ya kidijitali ya uthibitishaji yanayotumwa pamoja na maandishi yaliyotiwa sahihi.

Ili kutekeleza saini za dijiti, kanuni za usimbuaji wa asymmetric hutumiwa. Mfumo wa sahihi wa dijitali unajumuisha utaratibu wa kutengeneza saini ya dijiti na mtumaji kwa kutumia ufunguo wa siri wa mtumaji na utaratibu wa kuthibitisha sahihi na mpokeaji kwa kutumia ufunguo wa umma wa mtumaji.

Kundi la tano la njia zinazotoa kiwango cha ulinzi kilichoongezeka ni vidhibiti vya fomu habari muhimu . Taarifa muhimu inaeleweka kama jumla ya yote yaliyotumika katika mfumo wa kompyuta au mitandao muhimu ya kriptografia.

Usalama wa algoriti yoyote ya kriptografia huamuliwa na vitufe vya kriptografia vinavyotumiwa. Ikiwa usimamizi mkuu si salama, mshambulizi anaweza kupata taarifa muhimu na kupata ufikiaji kamili kwa taarifa zote kwenye mfumo wa kompyuta au mtandao.

Kipengele kikuu cha uainishaji wa zana muhimu za usimamizi wa habari ni aina ya kazi kuu ya usimamizi. Aina kuu za kazi kuu za usimamizi ni: uzalishaji wa ufunguo, uhifadhi wa ufunguo, na usambazaji muhimu.

Njia kuu za uzalishaji hutofautiana kwa ulinganifu na a mifumo ya kriptografia linganifu. Ili kuzalisha funguo za mifumo ya siri ya ulinganifu, maunzi na programu hutumiwa kuzalisha nambari za nasibu, hasa, mipango kwa kutumia algorithm ya usimbaji fiche ya ulinganifu. Kuzalisha funguo za mifumo ya siri isiyolinganishwa ni kazi ngumu zaidi kwa sababu ya hitaji la kupata funguo zilizo na sifa fulani za hisabati.

Kitendaji muhimu cha kuhifadhi inahusisha kupanga hifadhi salama, uhasibu na utupaji wa funguo. Ili kuhakikisha hifadhi salama na uwasilishaji wa funguo, husimbwa kwa njia fiche kwa kutumia funguo zingine. Mbinu hii inaongoza kwa dhana muhimu za uongozi. Daraja la ufunguo kwa kawaida hujumuisha ufunguo mkuu, ufunguo wa usimbaji fiche, na ufunguo wa usimbaji data. Ikumbukwe kwamba kizazi na uhifadhi wa funguo kuu ni masuala muhimu katika usalama wa siri.

Usambazaji muhimu ni mchakato muhimu zaidi katika usimamizi muhimu. Utaratibu huu lazima uhakikishe usiri wa funguo zilizosambazwa, pamoja na ufanisi na usahihi wa usambazaji wao. Kuna njia mbili kuu za kusambaza funguo kati ya watumiaji wa mtandao wa kompyuta:

1) matumizi ya vituo vya usambazaji muhimu moja au zaidi;

2) kubadilishana moja kwa moja ya funguo za kikao kati ya watumiaji.

Kuunda chaneli salama ya upitishaji data kati ya rasilimali za habari za biashara zilizosambazwa

A. A. Terenin, Ph.D.,

Mtaalamu wa uhakikisho wa ubora wa IT na programu

Deutsche Bank Moscow

Hivi sasa, biashara kubwa iliyo na mtandao wa matawi nchini au ulimwengu inahitaji kuunda moja nafasi ya habari na kuhakikisha uratibu wa wazi wa shughuli kati ya matawi yake.

Ili kuratibu michakato ya biashara inayotokea katika matawi mbalimbali, ni muhimu kubadilishana habari kati yao. Data kutoka ofisi mbalimbali hukusanywa kwa ajili ya usindikaji zaidi, uchambuzi na kuhifadhi katika baadhi ya ofisi kuu. Taarifa iliyokusanywa hutumiwa kutatua matatizo ya biashara na matawi yote ya biashara.

Data inayobadilishwa kati ya matawi inategemea mahitaji madhubuti kwa uaminifu na uadilifu wake. Kwa kuongezea hii, data inayounda siri ya biashara lazima iwekwe asili ya siri. Kwa kamili kazi sambamba Ofisi zote lazima zibadilishane habari mtandaoni (katika muda halisi). Kwa maneno mengine, chaneli ya kudumu ya upitishaji data lazima ianzishwe kati ya matawi ya biashara na ofisi kuu. Kutoa operesheni isiyokatizwa Kituo kama hicho kinaweka sharti la kudumisha ufikiaji wa kila chanzo cha habari.

Tunatoa muhtasari wa mahitaji ambayo njia za kusambaza data kati ya matawi ya biashara lazima zitimize ili kutekeleza jukumu la kuhakikisha mawasiliano ya mara kwa mara yenye ubora wa juu:

chaneli ya upitishaji data lazima iwe thabiti,

data inayotumwa kwenye chaneli kama hiyo lazima idumishe uadilifu, kutegemewa na usiri.

Kwa kuongeza, utendakazi wa kuaminika wa njia ya mawasiliano ya kudumu ina maana kwamba watumiaji wa kisheria wa mfumo watapata vyanzo vya habari wakati wowote.

Mbali na mifumo iliyosambazwa ya kampuni inayofanya kazi kwa wakati halisi, kuna mifumo inayofanya kazi nje ya mtandao. Ubadilishanaji wa data katika mifumo kama hii haufanyiki kila mara, lakini kwa muda maalum: mara moja kwa siku, mara moja kwa saa, nk. Data katika mifumo kama hiyo hukusanywa katika hifadhidata tofauti za matawi (DBs), na pia katika hifadhidata kuu, na tu. data kutoka kwa hifadhidata hizi inachukuliwa kuwa ya kuaminika.

Lakini hata ikiwa ubadilishanaji wa habari hutokea mara moja tu kwa siku, ni muhimu kuanzisha kituo salama cha maambukizi ya data, ambacho kinakabiliwa na mahitaji sawa ya kuhakikisha uaminifu, uadilifu na usiri, pamoja na upatikanaji kwa muda wa uendeshaji wa kituo.

Mahitaji ya kuegemea inamaanisha kuhakikisha ufikiaji ulioidhinishwa, uthibitishaji wa wahusika kwa mwingiliano na kuhakikisha kutokubalika kwa kukataa uandishi na ukweli wa uhamishaji wa data.

Mahitaji makali zaidi yanawekwa kwa mifumo ya kuhakikisha usalama wa shughuli za habari katika mazingira ya habari iliyosambazwa, lakini hii ni mada ya nakala tofauti.

Jinsi ya kuhakikisha ulinzi kama huo wa kituo cha upitishaji data?

Unaweza kuunganisha kila tawi kwa kila tawi kwa njia ya upokezaji wa data halisi (au matawi yote tu katikati) na uhakikishe kuwa haiwezekani kufikia njia halisi ya upitishaji data. ishara za habari. Ndio, suluhisho kama hilo linaweza kukubalika kwa utekelezaji ndani ya kituo kimoja kilicholindwa, lakini tunazungumza juu ya mifumo ya ushirika iliyosambazwa, ambapo umbali kati ya vitu vya mwingiliano unaweza kupimwa kwa maelfu ya kilomita. Gharama ya kutekeleza mpango huo ni ya juu sana kwamba haitakuwa na gharama nafuu.

Chaguo jingine: kukodisha zilizopo, njia za mawasiliano zilizowekwa tayari au njia za satelaiti kutoka kwa waendeshaji simu. Suluhisho kama hilo pia ni ghali, na kulinda njia hizi itahitaji utekelezaji au usakinishaji wa programu maalum kwa kila pande zinazoingiliana.

Suluhisho la kawaida sana, la gharama nafuu na la ufanisi ni kuandaa njia salama za mawasiliano kwenye mtandao.

Siku hizi ni vigumu kufikiria shirika ambalo halina mtandao na halitumii Mtandao Wote wa Ulimwenguni kuandaa michakato yake ya biashara. Kwa kuongezea, soko la teknolojia ya habari limejaa vifaa vya mtandao na programu wazalishaji tofauti na usaidizi wa usalama wa habari uliojengwa ndani. Kuna viwango, itifaki za mtandao zilizo salama ambazo zinaunda msingi wa vifaa vilivyoundwa na bidhaa za programu ambazo hutumiwa kuandaa mwingiliano salama katika mtandao wa habari wazi.

Hebu tuangalie kwa karibu jinsi unavyoweza kuunda njia salama za upitishaji data kwenye Mtandao.

Shida za uwasilishaji salama wa data kwenye mitandao wazi hujadiliwa sana katika fasihi maarufu na nyingi:

Mtandao Wote wa Ulimwenguni Mtandao unapanuka kila wakati, njia za kusambaza na kusindika data zinaendelea, vifaa vya kunasa data inayopitishwa na kupata. habari za siri. Hivi sasa, tatizo la kuhakikisha ulinzi wa habari kutoka kwa kunakili, uharibifu au urekebishaji usioidhinishwa wakati wa kuhifadhi, usindikaji na usambazaji kupitia njia za mawasiliano unazidi kuwa wa dharura.

Ulinzi wa habari inapopitishwa kwa njia wazi za mawasiliano kwa kutumia usimbaji fiche usiolinganishwa hujadiliwa ndani, na matatizo na njia za kuyatatua wakati wa kutumia saini ya dijiti ya kielektroniki hujadiliwa ndani.

Nakala hii inajadili kwa undani mbinu za kuhakikisha usalama wa habari wakati wa kusambaza data ya siri kwenye njia wazi za mawasiliano.

Ili kulinda habari zinazopitishwa kwenye njia za mawasiliano ya umma, hatua nyingi za usalama hutumiwa: data imesimbwa, pakiti hutolewa na habari ya ziada ya udhibiti, na itifaki ya kubadilishana data yenye kiwango cha juu cha usalama hutumiwa.

Kabla ya kuamua jinsi ya kulinda data inayosambazwa, ni muhimu kueleza kwa uwazi aina mbalimbali za udhaifu unaowezekana, kuorodhesha mbinu za kukatiza, kupotosha au kuharibu data, na mbinu za kuunganisha kwa njia za mawasiliano. Jibu maswali kuhusu washambuliaji wa malengo gani wanafuatilia na jinsi wanaweza kutumia udhaifu uliopo kutekeleza mipango yao.

Mahitaji ya ziada ya chaneli ya uhamishaji data iliyotekelezwa ni pamoja na:

kitambulisho na uthibitishaji wa vyama vinavyoingiliana;

utaratibu wa kulinda dhidi ya uingizwaji wa moja ya wahusika (matumizi ya algoriti za ufunguo wa siri za umma);

udhibiti wa uadilifu wa data iliyopitishwa, njia ya upitishaji habari na kiwango cha ulinzi wa njia ya mawasiliano;

kusanidi na kuangalia ubora wa njia ya mawasiliano;

ukandamizaji wa habari iliyopitishwa;

kugundua na kurekebisha makosa wakati wa kusambaza data kwenye njia za mawasiliano;

ukaguzi na usajili wa matukio;

kurejesha moja kwa moja utendaji.

Hebu tujenge mfano wa intruder na mfano wa kitu kilichohifadhiwa (Mchoro 1).

Algorithm ya kuanzisha muunganisho

Ili kutekeleza njia salama ya maambukizi ya data, mfano wa mwingiliano wa seva ya mteja hutumiwa.

Pande mbili zinazingatiwa: seva na mteja - kituo cha kazi ambacho kinataka kuanzisha uhusiano na seva kwa kazi zaidi nayo.

Hapo awali, kuna funguo mbili tu: funguo za umma na za kibinafsi za seva ( SAWA Na ZKS), na ufunguo wa umma wa seva unajulikana kwa kila mtu na hupitishwa kwa mteja anapofikia seva. Ufunguo wa faragha wa seva huhifadhiwa kwa usiri mkali zaidi kwenye seva.

Mwanzilishi wa unganisho ni mteja; anapata ufikiaji wa seva kupitia mtandao wowote wa kimataifa ambao seva hii inafanya kazi nao, mara nyingi kupitia mtandao.

Kazi kuu wakati wa kuanzisha muunganisho ni kuanzisha kituo cha kubadilishana data kati ya pande mbili zinazoingiliana, kuzuia uwezekano wa kughushi na kuzuia hali ya uingizwaji wa mtumiaji, wakati unganisho umeanzishwa na mtumiaji mmoja, na kisha mshiriki mwingine katika mfumo anaunganisha. moja ya pande za kituo na huanza kufaa ujumbe unaokusudiwa kwa mtumiaji halali, au kusambaza ujumbe kwa niaba ya mtu mwingine.

Inahitajika kutoa uwezekano wa mshambuliaji kuunganisha wakati wowote na kurudia utaratibu wa "kushikana mikono" kwa vipindi fulani vya wakati, muda ambao lazima uweke kiwango cha chini kinachoruhusiwa.

Kulingana na dhana hiyo ZKS Na SAWA tayari zimeundwa, na SAWA kila mtu anajua na ZKS- kwa seva tu, tunapokea algorithm inayofuata:

1. Mteja hutuma ombi la uunganisho kwa seva.

2. Seva huwasha programu, ikituma kwa kituo cha maombi ujumbe maalum kwa programu ya mteja iliyosakinishwa awali, ambamo ufunguo wa umma wa seva umewekwa ngumu.

3. Mteja hutoa funguo zake (za umma na za kibinafsi) ili kufanya kazi na seva ( OKC Na ZKK).

4. Mteja hutoa kitufe cha kikao ( KS) (ufunguo wa usimbaji wa ujumbe linganifu).

5. Mteja hutuma vipengele vifuatavyo kwa seva:

ufunguo wa umma wa mteja ( OKC);

ufunguo wa kikao;

ujumbe wa nasibu(wacha tuite X), iliyosimbwa kwa ufunguo wa umma wa seva kwa kutumia algoriti RSA.

6. Seva huchakata ujumbe uliopokelewa na kutuma ujumbe kujibu X, iliyosimbwa kwa ufunguo wa kipindi (usimbaji fiche linganifu) + iliyosimbwa kwa ufunguo wa umma wa mteja (usimbaji fiche usiolinganishwa, kwa mfano algoriti RSA) + iliyosainiwa na ufunguo wa kibinafsi wa seva ( RSA, DSA, GOST) (Hiyo ni, ikiwa kwa upande wa mteja baada ya kusifiwa tunapokea X tena, basi hii inamaanisha kuwa:

ujumbe ulitoka kwa seva (saini - ZKS);

seva ilikubali yetu OKC(na kusimbwa kwa ufunguo wetu);

seva imekubaliwa KS(umesimba ujumbe kwa ufunguo huu).

7. Mteja anapokea ujumbe huu, anathibitisha saini na kufuta maandishi yaliyopokelewa. Ikiwa, kama matokeo ya kufanya vitendo vyote vya nyuma, tunapokea ujumbe unaofanana kabisa na ujumbe uliotumwa kwa seva. X, basi inachukuliwa kuwa kituo cha kubadilishana data salama kimewekwa kwa usahihi na iko tayari kikamilifu kufanya kazi na kufanya kazi zake.

8. Baadaye, wahusika wote wawili wanaanza kubadilishana ujumbe, ambao umetiwa saini kwa funguo za faragha za mtumaji na kusimbwa kwa njia fiche kwa ufunguo wa kipindi.

Mchoro wa algorithm ya uanzishaji wa uunganisho unaonyeshwa kwenye Mtini. 2.

Algorithm ya kuandaa ujumbe wa kutumwa kwa kituo salama

Uundaji wa shida ni kama ifuatavyo: ingizo la algorithm ni maandishi ya asili (wazi), na kwa matokeo, kupitia mabadiliko ya kriptografia, tunapata faili iliyofungwa na iliyosainiwa. Kazi kuu iliyopewa algorithm hii ni kuhakikisha usambazaji wa maandishi salama na kutoa ulinzi katika kituo kisicholindwa.

Ni muhimu pia kutambulisha uwezo wa kuzuia ufichuzi wa habari wakati ujumbe umeingiliwa na mshambulizi. Mtandao umefunguliwa; mtumiaji yeyote kwenye mtandao huu anaweza kuingilia ujumbe wowote unaotumwa kupitia kiungo cha data. Lakini kutokana na ulinzi wa asili katika algorithm hii, data iliyopatikana na mshambuliaji itakuwa bure kabisa kwake.

Kwa kawaida, ni muhimu kutoa fursa ya kufungua kwa utafutaji kamili, lakini basi ni muhimu kuzingatia muda uliotumika kwenye ufunguzi, ambao umehesabiwa. kwa njia inayojulikana, na utumie urefu unaofaa ambao unahakikisha kutofichua maelezo wanayoshughulikia ndani ya muda fulani.

Pia kuna uwezekano kwamba katika mwisho mwingine wa kituo (upande wa kupokea) kulikuwa na mshambuliaji ambaye alichukua nafasi ya mwakilishi wa kisheria. Shukrani kwa algorithm hii, ujumbe ambao huanguka kwa urahisi mikononi mwa mshambuliaji kama huyo pia "hauwezi kusoma", kwani spoofer hajui funguo za umma na za kibinafsi za chama ambacho amekiharibu, pamoja na ufunguo wa kikao.

Algorithm inaweza kutekelezwa kama ifuatavyo (Mchoro 3):

maandishi ya chanzo yanasisitizwa kwa kutumia algorithm ya ZIP;

sambamba na mchakato huu, maandishi chanzo yametiwa saini na ufunguo wa umma wa mpokeaji;

maandishi yaliyoshinikizwa yamesimbwa kwa ufunguo wa kikao cha ulinganifu, ufunguo huu pia uko kwenye upande wa kupokea;

sahihi ya dijiti huongezwa kwa maandishi yaliyosimbwa na kubanwa, yakimtambulisha mtumaji kwa njia ya kipekee;

ujumbe uko tayari kutumwa na unaweza kupitishwa kupitia chaneli ya mawasiliano.

Algorithm ya kuchakata ujumbe unapopokelewa kutoka kwa kituo salama

Ingizo la algorithm limesimbwa, limebanwa na kusainiwa maandishi, ambayo tunapokea kupitia njia ya mawasiliano. Kazi ya algorithm ni kupata, kwa kutumia mabadiliko ya kriptografia ya kinyume, maandishi ya awali, kuthibitisha ukweli wa ujumbe na uandishi wake.

Kwa kuwa kazi kuu ya mfumo ni kuunda chaneli salama kwenye laini za mawasiliano zisizo salama, kila ujumbe hupitia mabadiliko makubwa na hubeba udhibiti unaofuatana nao. kudhibiti habari. Mchakato wa kubadilisha maandishi asilia pia unahitaji muda mrefu wa ubadilishaji na hutumia algoriti za kisasa za kriptografia zinazohusisha utendakazi kwa idadi kubwa sana.

Ikiwa inataka, toa ulinzi wa juu Ili ujumbe upite kwenye chaneli salama, mtu anapaswa kuamua kutumia wakati mwingi na kutumia rasilimali nyingi. Ingawa tunapata usalama, tunapoteza kasi ya kuchakata ujumbe unaotumwa.

Kwa kuongeza, ni muhimu kuzingatia muda na gharama za mashine kwa ajili ya kudumisha uaminifu wa mawasiliano (uthibitisho na vyama vya kila mmoja) na kwa kubadilishana habari za udhibiti na usimamizi.

Algorithm ya kuchakata ujumbe unapopokea kutoka kwa kituo salama (Mchoro 4):

sahihi ya dijiti inatolewa kutoka kwa ujumbe uliopokelewa uliosimbwa, uliobanwa na kutiwa saini;

maandishi bila saini ya dijiti yanasimbwa kwa ufunguo wa kipindi;

maandishi yaliyotengwa hupitia utaratibu wa kufungua kwa kutumia, kwa mfano, algorithm ya ZIP;

maandishi yaliyopatikana kutokana na shughuli mbili zilizopita hutumiwa kuthibitisha saini ya digital ya ujumbe;

katika matokeo ya algorithm tunayo ya awali ujumbe wazi na matokeo ya uthibitishaji wa saini.

Algorithm ya saini ya ujumbe

Hebu tuangalie kwa karibu kanuni ya kusaini ujumbe. Tutaendelea kutoka kwa dhana kwamba funguo zote za umma na za kibinafsi za pande zote mbili zinazobadilishana data tayari zimetolewa na funguo za kibinafsi zimehifadhiwa na wamiliki wao wa karibu, na funguo za umma zinatumwa kwa kila mmoja.

Kwa kuwa maandishi chanzo yanaweza kuwa na saizi isiyo na kikomo na kila wakati isiyo ya mara kwa mara, na algoriti ya saini ya dijiti inahitaji kizuizi cha data cha urefu fulani usiobadilika kwa uendeshaji wake, thamani ya utendakazi wa heshi kutoka kwa maandishi haya itatumika kubadilisha maandishi yote. kwenye onyesho lake la urefu ulioamuliwa mapema. Matokeo yake, tunapata maonyesho ya maandishi kutokana na mali kuu ya kazi ya hashi: ni njia moja, na haitawezekana kurejesha maandishi ya awali kutoka kwa maonyesho yaliyotokana. Haiwezekani kimaadili kuchagua maandishi yoyote ambayo thamani ya utendaji wa heshi ingeambatana na ile iliyopatikana hapo awali. Hii hairuhusu mshambuliaji kuchukua nafasi ya ujumbe kwa urahisi, kwa kuwa thamani ya kazi yake ya heshi itabadilika mara moja, na sahihi iliyothibitishwa haitalingana na kiwango.

Ili kupata thamani ya kazi ya hashi, unaweza kutumia algoriti za hashi zinazojulikana ( SHA, MD4, MD5, GOST nk), ambayo hukuruhusu kupata kizuizi cha data cha urefu uliowekwa kwenye pato. Ni kwa kizuizi hiki ambapo algorithm ya saini ya dijiti itafanya kazi. Algorithms inaweza kutumika kama algoriti ya saini ya kielektroniki ya dijiti DSA, RSA, El Gamal na nk.

Hebu tueleze algorithm ya saini ya ujumbe hatua kwa hatua (Mchoro 5):

pembejeo ya algorithm ya jumla ni maandishi ya chanzo ya urefu wowote;

thamani ya kazi ya heshi kwa maandishi yaliyotolewa imehesabiwa;

EDS;

kwa kutumia data iliyopokelewa, thamani imehesabiwa EDS maandishi yote;

Katika matokeo ya algorithm, tuna saini ya dijiti ya ujumbe, ambayo hutumwa kuunganishwa kwenye pakiti ya habari iliyotumwa kwa kituo cha kubadilishana data.

Algorithm ya uthibitishaji wa saini

Kanuni hupokea vipengele viwili kama ingizo: maandishi asilia ya ujumbe na saini yake ya dijiti. Zaidi ya hayo, maandishi chanzo yanaweza kuwa na saizi isiyo na kikomo na kila wakati tofauti, lakini saini ya dijiti huwa na urefu uliowekwa. Kanuni hii hupata utendaji wa heshi wa maandishi, hukokotoa saini ya dijiti na kuilinganisha na taarifa iliyopokelewa kama ingizo.

Katika matokeo ya algorithm tunayo matokeo ya kuangalia saini ya dijiti, ambayo inaweza kuwa na maadili mawili tu: "saini inalingana na asili, maandishi ni halisi" au "saini ya maandishi si sahihi, uadilifu, uhalisi au uandishi wa ujumbe ni wa kutiliwa shaka." Thamani ya pato ya algoriti hii inaweza kutumika zaidi katika mfumo salama wa usaidizi wa kituo.

Hebu tueleze kanuni ya kuangalia saini ya ujumbe kwa nukta (Mchoro 6):

pembejeo ya algorithm ya jumla ni maandishi ya chanzo ya urefu wowote na saini ya dijiti ya maandishi haya ya urefu uliowekwa;

thamani ya kazi ya heshi kutoka kwa maandishi yaliyotolewa imehesabiwa;

maonyesho ya maandishi yanayotokana ya urefu uliowekwa huingia kizuizi cha usindikaji cha algorithmic kinachofuata;

saini ya dijiti iliyokuja kama pembejeo ya algorithm ya jumla inatumwa kwa kizuizi sawa;

pia pembejeo ya kizuizi hiki (hesabu ya saini ya dijiti) inapokea ufunguo wa siri (wa kibinafsi), ambao hutumiwa kupata EDS;

kwa kutumia data iliyopokelewa, thamani ya saini ya digital ya elektroniki ya maandishi yote imehesabiwa;

tulipokea saini ya dijiti ya ujumbe, tukilinganisha na EDS, iliyopokelewa kama ingizo la algorithm ya jumla, tunaweza kupata hitimisho juu ya kuegemea kwa maandishi;

Katika matokeo ya algorithm tuna matokeo ya kuangalia saini ya dijiti.

Mashambulizi yanayowezekana kwenye mpango uliopendekezwa wa kutekeleza njia salama ya mawasiliano

Hebu tuangalie mifano ya kawaida ya mashambulizi iwezekanavyo kwenye njia salama ya maambukizi ya data.

Kwanza, unahitaji kuamua ni nini na nani unaweza kumwamini, kwa sababu ikiwa haumwamini mtu yeyote au kitu chochote, basi hakuna maana katika kuandika. programu zinazofanana usaidizi wa kubadilishana data kwenye mtandao wa kimataifa.

Tunajiamini wenyewe, pamoja na programu iliyowekwa kwenye kituo cha kazi.

Tunapotumia kivinjari (Internet Explorer au Netscape Navigator) kuwasiliana na seva, tunaamini kivinjari hicho na tunakiamini kuwa kitathibitisha vyeti vya tovuti tunazotembelea.

Baada ya kuangalia saini kwenye applet unaweza kuamini SAWA, ambayo imepachikwa kwenye data au programu (applets) zilizopakuliwa kutoka kwa seva.

Kumiliki SAWA, ambayo tunaamini, tunaweza kuanza kazi zaidi na seva.

Ikiwa mfumo umejengwa kwa kutumia programu za mteja, basi lazima uamini programu ya mteja iliyowekwa. Kisha, kwa kutumia mlolongo sawa na hapo juu, tunaweza kuamini seva ambayo uunganisho umeanzishwa.

Mashambulizi yanayowezekana.

1. Baada ya uhamisho SAWA. Kimsingi, inapatikana kwa kila mtu, kwa hivyo haitakuwa ngumu kwa mshambuliaji kuizuia. Kumiliki SAWA, kinadharia inawezekana kuhesabu ZKS. Ni muhimu kutumia funguo za siri za urefu wa kutosha ili kudumisha usiri kwa muda fulani.

2. Baada ya uhamisho kutoka kwa seva SAWA na kabla ya mteja kutuma yake OKC Na KS. Ikiwa katika kizazi chao ( OKC, ZKK Na KS) jenereta dhaifu ya nambari isiyo ya kawaida hutumiwa, unaweza kujaribu kutabiri vigezo vyote vitatu vilivyoainishwa au yoyote kati yao.

Ili kurudisha shambulio hili, inahitajika kutoa nambari za nasibu ambazo zinakidhi mahitaji kadhaa. Haiwezekani, kwa mfano, kutumia kipima muda kutengeneza nambari za nasibu, kwani mshambuliaji, baada ya kukamata ujumbe wa kwanza ( SAWA kutoka kwa seva), inaweza kuweka wakati wa kutuma pakiti kwa usahihi wa sekunde. Ikiwa kipima muda kitawaka kila millisecond, basi utafutaji kamili wa thamani 60,000 pekee (60 s _ 1000 ms) unahitajika ili kuifungua.

Ili kutengeneza nambari nasibu, ni muhimu kutumia vigezo ambavyo havipatikani kwa mshambulizi (kompyuta yake), kama vile nambari ya mchakato au vigezo vingine vya mfumo (kama vile nambari ya kitambulisho cha kielezi).

3. Wakati wa kusambaza pakiti iliyo na OKC, KS, X, iliyosimbwa SAWA. Ili kufichua habari iliyozuiliwa, lazima uwe nayo ZKS. Shambulio hili linatokana na shambulio lililojadiliwa hapo juu (uteuzi ZKS) Taarifa ya faragha yenyewe inayotumwa kwa seva haina maana kwa mshambulizi.

4. Wakati wa kuhamisha kutoka kwa seva hadi kwa mteja baadhi ujumbe wa mtihani X, iliyosimbwa KS Na OKC na kusainiwa ZKS. Ili kusimbua ujumbe ulioingiliwa, unahitaji kujua na OKC, Na KS, ambayo itajulikana ikiwa moja ya mashambulizi hapo juu yatatekelezwa baada ya adui kufahamu ZKS.

Lakini kusimbua ujumbe wa jaribio hakuogopi sana; hatari kubwa zaidi ni uwezekano wa kughushi ujumbe unaotumwa, wakati mshambulizi anaweza kuiga seva. Kwa hili anahitaji kujua ZKS kusaini kwa usahihi kifurushi na funguo zote KS Na OKC, kama ujumbe wenyewe X ili kutunga kwa usahihi kifurushi cha kughushi.

Ikiwa mojawapo ya pointi hizi imekiukwa, mfumo unachukuliwa kuwa umeathirika na hauwezi kutoa zaidi kazi salama mteja.

Kwa hiyo, tuliangalia mashambulizi ambayo yanawezekana katika hatua ya kutekeleza utaratibu wa "handshake" (HandShake). Hebu tueleze mashambulizi ambayo yanaweza kutekelezwa wakati wa uwasilishaji wa data kwenye kituo chetu.

Wakati wa kukatiza habari, mshambuliaji anaweza kusoma maandishi wazi ikiwa tu anajua KS. Mshambulizi anaweza kutabiri au kukisia kwa kujaribu kabisa maadili yake yote yanayowezekana. Hata kama adui anajua ujumbe huo (yaani, anajua wazi jinsi maandishi wazi yanavyofanana na nambari aliyoikamata), hataweza kubaini ufunguo wa usimbuaji bila shaka kwa sababu maandishi yamewekwa chini ya kanuni ya ukandamizaji.

Pia haiwezekani kutumia shambulio la "kuvuta neno linalowezekana", kwani neno lolote litaonekana tofauti katika kila ujumbe. Kwa sababu uwekaji kumbukumbu unahusisha kuchanganya taarifa, sawa na kile kinachotokea wakati wa kukokotoa thamani ya heshi, maelezo ya awali huathiri jinsi safu inayofuata ya data itakavyokuwa.

Kutoka kwa kile kilichoelezwa kinafuata kwamba kwa hali yoyote, mshambuliaji anaweza tu kutumia mashambulizi kulingana na utafutaji wa kina wa maadili yote muhimu iwezekanavyo. Ili kuongeza upinzani kwa aina hii mashambulizi yanahitaji kupanua anuwai ya maadili KS. Unapotumia kitufe cha 1024-bit, anuwai ya maadili yanayowezekana huongezeka hadi 2 1024 .

Ili kuandika au kubadilisha ujumbe unaotumwa kupitia chaneli ya mawasiliano, mshambulizi anahitaji kujua funguo za faragha za pande zote mbili zinazoshiriki katika kubadilishana au kujua moja kati ya mbili. funguo za kibinafsi (ZK) Lakini katika kesi hii, ataweza kuunda ujumbe kwa mwelekeo mmoja tu, kulingana na nani ZK anajua. Anaweza kutenda kama mtumaji.

Wakati wa kujaribu kudanganya wahusika wowote, ambayo ni, wakati wa kujaribu kuiga mshiriki wa kisheria katika ubadilishanaji baada ya kuanzisha kikao cha mawasiliano, anahitaji kujua. KS Na ZK(angalia kesi zilizojadiliwa hapo awali). Ikiwa sivyo KS, wala ZK mtu ambaye mahali pake anataka kuunganisha kwenye kituo cha mawasiliano haijulikani kwa mshambuliaji, basi mfumo utajua mara moja kuhusu hilo, na kazi zaidi na chanzo kilichoathirika kitaacha.

Mwanzoni mwa kazi, wakati wa kuunganisha kwenye seva, shambulio lisilo na maana linawezekana: kuharibu seva ya DNS. Haiwezekani kujikinga nayo. Suluhisho la tatizo hili ni wajibu wa wasimamizi wa seva za DNS zinazosimamiwa na watoa huduma za mtandao. Kitu pekee kinachoweza kukuokoa ni utaratibu ulioelezwa hapo juu wa kuangalia cheti cha tovuti na kivinjari, kuthibitisha kwamba muunganisho ulifanywa kwa seva inayotaka.

Hitimisho

Nakala hiyo ilijadili mbinu za kuunda chaneli salama ya upitishaji data ili kuhakikisha mwingiliano kati ya mifumo iliyosambazwa ya kompyuta ya shirika.

Itifaki imeundwa kwa ajili ya kuanzisha na kudumisha muunganisho salama. Kanuni za kuhakikisha ulinzi wa utumaji data zinapendekezwa. Udhaifu unaowezekana wa mpango wa mwingiliano uliotengenezwa unachambuliwa.

Teknolojia sawa ya kuandaa miunganisho salama imepangwa na itifaki ya mawasiliano ya mtandao wa SSL. Kwa kuongeza, mitandao ya kibinafsi ya kibinafsi (VPN) imejengwa kulingana na kanuni zilizopendekezwa.

FASIHI

1. Medvedovsky I. D., Semyanov P. V., Platonov V. V. Mashambulizi kwenye mtandao. - St. Petersburg: Nyumba ya kuchapisha "DMK" 1999. - 336 p.

2. Karve A. Miundombinu muhimu ya umma. LAN/Jarida suluhisho za mtandao(toleo la Kirusi), 8, 1997.

3. Melnikov Yu. N. Sahihi ya digital ya umeme. Uwezo wa ulinzi. Siri namba 4 (6), 1995, p. 35–47.

4. Terenin A. A., Melnikov Yu. N. Uundaji wa kituo salama kwenye mtandao. Nyenzo za semina "Usalama wa Habari - Kusini mwa Urusi", Taganrog, Juni 28-30, 2000.

5. Terenin A. A. Ukuzaji wa kanuni za kuunda kituo salama katika mtandao wazi. Automation na teknolojia za kisasa. - Nyumba ya uchapishaji "Jengo la Mashine", No. 6, 2001, p. 5–12.

6. Terenin A. A. Uchambuzi wa uwezekano wa mashambulizi kwenye chaneli salama katika mtandao wazi ulioundwa na programu. Nyenzo za Mkutano wa XXII wa Wanasayansi Vijana wa Kitivo cha Mechanics na Hisabati cha Chuo Kikuu cha Jimbo la Moscow, Moscow,Aprili 17–22, 2000.