Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Необходимо отметить, что при защите информации на прикладном уровне процедуры передачи, разборки на пакеты, маршрутизации и обратной сборки не могут нанести ущерба конфиденциальности информации. Кроме механизмов обеспечения целостности и конфиденциальности на данном уровне, существует возможность обеспечения аутентификации
180 Компьютерная безопасность и практическое применение криптографии
пользователя, породившего информацию, - таким образом осуществляется жесткая связь информации с породившим ее пользователем. Из основных угроз, возникающих на прикладном уровне, следует отметить:
• НСД к данным;
• разведку имен и паролей пользователей;
• атаки на систему разграничения прав доступа пользователей;
• маскировку под легитимного пользователя;
• атаки на систему управления, атаки через стандартные прикладные протоколы;
• фальсификацию информации;
• имитоатаки.
Традиционно применяемыми решениями по защите информации и информационных ресурсов прикладного уровня являются встроенная защита приложений, межсетевые экраны с фильтрацией прикладных протоколов, proxy-системы и т.д. Достоинством размещения средств защиты на прикладном уровне является полнота и высокая функциональность в рамках конкретного приложения и контроль на уровне действий конкретного пользователя (процесса). Недостатками размещения средств защиты на прикладном уровне считаются: отсутствие универсальности, ограниченность рамками заданного набора приложений, неподконтрольность событий в нижележащих уровнях управления.
Криптографическая защита информации на прикладном уровне является наиболее предпочтительным вариантом защиты информации с точки зрения ее гибкости, однако эти меры могут оказаться наиболее сложными в части программно-технической реализации.
Особое место в современных информационно-телекоммуникационных системах занимают вопросы стандартизации методов и средств защиты информации и информационных ресурсов.
На сегодняшний день существует большое количество международных и зарубежных стандартов и рекомендаций, которые, кроме конкретных программно-технических решений, представляют общие подходы к обеспечению информационной безопасности.
3.1.5. Обзор стандартов в области защиты информации Международные стандарты
Эти документы представлены серией ISO и ISO/IEC и выпущены в свет Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).
Общие сведения
181
ISO 7498-2 (Х.800). Стандарт посвящен описанию архитектуры безопасности по отношению к модели взаимодействия открытых систем (OSI), включая описание расположения механизмов и служб безопасности на уровнях OSL
ISO 8372. Этот стандарт описывает режимы блочного шифрования: а) режим электронной книги (ECB); б) режим сцепления блоков (СВС); в) режим с обратной связью по шифртексту (СРВ) и г) режим с обратной связью по выходу (OFB). Данные режимы изначально были представлены в стандарте на DES FIPS 81 (1980) и ANSI Х.З 106 (1983), в то время как ISO 8372 впервые был опубликован в 1987 г.
ISO 8730. Данный стандарт совместно со стандартом ISO 8731 описывает процедуру использования алгоритмов генерации MAC в банковских системах и является международным аналогом стандарта ANSI Х9.9. В нем вводятся независимые от алгоритмов методы и требования использования MAC, включая форматы представления данных, а также способ, при помощи которого данный стандарт молсет быть применен к выбранному алгоритму.
ISO 8731. В этом стандарте описываются непосредственно алгоритмы генерации MAC. В части 8731-1 описано использование DES в режиме СВС, а часть 8731.-1 посвящена алгоритму МАА.
ISO 8732. Стандарт посвящен управлению ключами в банковских системах и является аналогом стандарта ANSI Х9.17.
ISO 9564. Стандарт посвящен методам управления и обеспечения безопасности персонального идентификационного номера (PIN). В части 9564-1 раскрываются принципы и средства защиты PIN в течение его жизненного цикла, позволяющие сохрагшть его в тайне от злоумышленников, а часть 9564-2 посвящена использованию алгоритмов шифрования для защиты PIN.
ISO/IEC 9594-8 (Х.509). Данный стандарт посвящен двум типам аутентификации - простой и строгой. Представленная строгая аутентификация состоит из двух и трех передаваемых сообщений и основана на использование ЭЦП и параметров, зависящих от времени. В стандарте также описывается процедура аутентичного распределения открытых ключей на основе сертификатов в формате Х.509.
ISO 9807. Стандарт описывает процедуры аутентификации сообщений применительно к банковским системам и является аналогом стандарта ANSI Х9.19.
ISO/IEC 9796. Стандарт определяет унифицированный механизм, реализующий ЭЦП с восстановлением сообщения. Основная часть стандарта посвящена избыточным схемам, предназначенным в общем случае для использования совместно с большим классом схем ЭЦП.
182 Компьютерная безопасность и практическое применение криптографии
ISO/IEC 9797. Этот стандарт описывает алгоритм генерации кодов аутентификации сообщений (MAC), основанный на использовании алгоритма блочного шифрования.
