Уровни защиты информации в эталонной модели ВОС и в реальных ИВС

Могут быть реализованы специальные уровни, расположенные между основными уровнями эталонной модели и обеспечивающие защиту информации. Под специальным уровнем программной структуры компьютерной сети понимается уровень, обеспечивающий защиту (специальные свойства) информации, передаваемой в компьютерной сети, и обеспечивающий реализацию соответствующих протоколов управления передачей и обработкой информации.

Под специальными свойствами понимается крипто и имитостойкость передаваемой информации.

Защита передачи данных включает:

• аутентификация;
• управление доступом;
• физическая защита;
• подавление электромагнитного излучения;
• процедурный и персональный контроль.

Методы защиты передачи данных. Методы защиты передачи данных составляют две основные группы: канально-ориентированные (линейные) и межконцевые (абонентские). Эти группы методов различаются своими внешними особенностями применениями, а так же природой обеспечиваемой защиты и типом внутреннего интерфейса, предоставляемого пользователям сети передачи данных.

Канально-ориентированные методы защиты. Недостаток в том, что раскрытие одного из узлов подсети передачи данных может привести к раскрытию значительной части потока сообщений. Канально-ориентированные методы нельзя применять в пакетных широковещательных сетях, поскольку внутри подсети передачи данных нет явно опознаваемых каналов. Приимущество в том, что они могут обеспечить прозрачную форму защиты передачи данных для вычислительных машин, подсоединенных к сети. Наиболее рационально использование этих методов в сетях общего пользования с одинаковыми требованиями к защите со стороны пользователей.

Межконцевые методы защиты. Точки применения межконцевых методов защиты: (ЭВМ-ЭВМ), (терминал-терминал), (терминал-ЭВМ). С их помощью может быть защищен путь передачи между пользователем и его вычислительным процессом или между парами пользователей.

Эти методы иногда требуют большей степени стандартизации интерфейсов и протоколов для абонентов сети. Достоинством этих методов является то, что вопрос об их применении может решаться отдельными пользователями, расходы на реализацию таких методов могут быть распределены более точно. Кроме того, эти методы можно применять не только в сетях с коммуникацией пакетов, но и в широковещательных пакетных сетях, где часто канально-ориентированные методы защиты не применимы.

Методы, ориентированные на соединение. В ряде случаев сеть передачи данных (коммуникационная сеть) рассматривается как среда, предоставляемая пользователем для установления соединения или виртуальных каналов от источника до адресата. При таком рассмотрении предполагается, что услуги по защите будут ориентированы на соединение, то есть на то, что каждое соединение или виртуальный канал будут защищаться отдельно. Таким образом, эти методы, являются разновидностью межконцевых методов. Они не только защищают часть пути, который лежит между защищенными концами соединения, но также значительно снижается вероятность необнаруженной утечки информации из соединения в соединение, обусловленной неправильным функционированием технических и программных средств.

Во многих отношениях методы защиты, ориентированные на соединение, обеспечивают большую степень защиты передачи данных и применимы при разнообразных условиях. Они обеспечивают большую степень общей защиты в разнообразных условиях и более органично соответствуют пользовательскому восприятию своих собственных требований к защите. Эти методы рассчитаны на защиту оборудования только в источнике и адресате, в то время как канально-ориентированные методы защиты требуют, чтобы каждый узел в подсети передачи данных был защищен.

Классификация воздействий нарушителя при передаче данных. Возможны два вида перехвата информации:

а) пассивный перехват (слежение за сообщениями без вмешательства в их поток), включающий:

• раскрытие содержания сообщения;
• слежение за заголовками сообщений (определение места размещения и

идентификаторов процессов, участвующих в передаче;

• определение длин сообщений, частоты их передачи (анализ потока или нарушения неприкосновенности передачи):

б) активный перехват (действие над сообщениями), включающий два варианта воздействия на сообщения;

• изменение потока сообщений (выборочное изменение, уничтожение, задержка, переупорядочение, дублирование, введение в соединение в более поздний момент времени, создание поддельных сообщений и введение в соединение);
• прерывание передачи (сбрасывание всех сообщений, задержка всех сообщений, проходящим по одному или обоим направлениям соединения).