Триада обеспечения безопасности компьютерных и информационных технологий

Основой безопасной ИТ-ифраструктуры информационной системы является триада сервисов CIA: конфиденциальность (Confidentiality), целостность (Integrity) и доступность (Availability CIA).

Цель информационной безопасности – обеспечение перечисленных сервисов безопасности CIA согласно политики безопасности. Под политикой безопасности понимаются правила, директивы и практические навыки или механизмы, определяющие обработку, защиту и распространение в организации и между информационными системами или центрами информационных активов, составлющих их главную ценность.

Под сервисом безопасности понимается множество мероприятий для обеспечения обслуживания – сервиса, согласно задаваемой политики безопасности систем, организации и (или) передаваемых данных либо определяет осуществление атаки. Как правило, сервис использует один или более механизмов безопасности.

Для создания надежной и безопасной ИТ-инфраструктуры необходимо разработать так называемую оборону в глубину или многоуровневую или иерархическую организацию, при этом создание обороны в глубину означает целостный подход к решению проблемы, а не простое использование отдельных технологических решений.

Таким образом, для обеспечения безопасности необходимо определить механизмы, защищающие информацию, информационные системы и передаваемых данных, гарантируя конфиденциальность, целостность и доступность.

Под конфиденциальностью понимается гарантия возможности чтения и интерпретации определенной информации только теми людьми и процессами, которые авторизированы это делать. При этом считается, что авторизация – права и разрешения, предоставляемые индивидууму или процессу, которые обеспечивают возможность доступа к определенному ресурсу.

Таким образом, обеспечение конфиденциальности включает процедуры и меры, предотвращающие раскрытие информации неавторизованными пользователями информация, считающаяся конфиденциальной, также называется чувствительной. Например, почтовое сообщение защищенное от прочтения кем бы то ни было, кроме адресата.

Под целостностью понимается гарантирование общности, неизменности, корректности и аутентичности принимаемой или передаваемой информации. При этом считается, что аутентичность – это доказательство уникальных атрибутов пользователей, позволяющих различать пользователей друг от друга с помощью специальной идентификации в действующей информационной системе.

Таким образом, обеспечение целостности предполагает предотвращение и определение неавторизованного создания, модификации или удаления информации. Примером могут быть меры, гарантирующие своевременную доставку почтового неизмененного сообщения при пересылке.

Под доступностью понимается гарантирование авторизованным пользователям доступ и работу с необходимыми информационными активами, ресурсами и системами при обеспечении требуемой производительности для своевременной передачи информации.

Обеспечение доступности включает меры для поддержания информации, несмотря на возможность создания помех, включая отказ системы и преднамеренные попытки нарушения доступности. Примером может служить защита доступа и обеспечение пропускной способности почтового сервиса. Три основных сервиса CIA служат фундаментом информационной безопасности любой организации и предприятия.

Защита частной информации подразумевает уровень конфиденциальности, предоставляемый пользователю системой. Это часто является важным компонентом безопасности.

При этом защита частной информации не только необходима для обеспечения конфиденциальности данных организации, но и необходима для защиты частной информации, которая будет использоваться оператором. Существует правило по которому если хотя бы один из сервисов не функционирует, то говорят о нарушении всей исходной триады CIA.

Разные требования к безопасности требуют разных методов идентификации и аутентификации. Во многих случаях бывает достаточно обеспечивать безопасность с помощью имени пользователя и пароля. в некоторых случаях необходимо использовать более сильные методы аутентификации.

Однако использование паролей имеет определенные проблемы. Любой пароль в виде слова из некоторого словаря может быть сравнительно быстро найден с помощью программ, перебирают пароли. Пароль в виде случайного набора символов трудно запомнить. В большинстве современных приложений пароль не хранится и не передается в явном виде. Другим средством аутентификации является понятие токена. В основе этого понятия лежит нечто, и его можно использовать.

Под токенами понимаются некоторые аппаратные средства, которые предъявляет пользователь в качестве аутентификации. Такие устройства позволяют пользователям не запоминать пароли. Например, смарт-карты, одноразовые пароли, устройства, работающие по принципу запросответ или биометрические параметры, использующие физические характеристики пользователя.

Практически основным средством являются криптографические ключи, предоставляемые наукой криптографией способы, с помощью которых предъявитель идентификации может доказать свою аутентификацию. Для этого используется ключ в виде строки битов, который подается в алгоритм, выполняющий шифрование данных. На самом деле ключ аналогичен паролю это нечто, что сущность знает.

Существует два типа алгоритмов и два типа ключей – симметричные и асимметричные. В случае использования асимметричных ключей необходимо развертывание инфраструктуры открытых ключей. Во многих протоколах для взаимной аутентификации сторон могут использоваться ключи разных типов, то есть одна из сторон аутентифицирует себя с помощью цифровой подписи – ассиметричные ключи. Противоположная сторона с помощью симметричного ключа или пароля.

Для решения перечисленных проблем в современных компьютерных сетях используется виртуальная локальная сеть – Virtual Local Area Network Vlan. Под Vlan понимается логическая группа хостов сети, трафик которой, в тои числе и широко вещательный, на канальном уровне полностью изолирован от хостов из других виртуальных локальных сетей. В результате нет необходимости использовать маршрутизаторы сетевого уровня для уменьшения широко вещательного трафика.

Использование технологии Vlan позволяет на межсетевом экране создавать политики, управляющими доступом друг к другу хостов из разных Vlan. Кроме того, технология Vlan позволяет исключить передачу кадров между разными виртуальными сетями независимо от типа IPадреса – уникального, группового или широко вещательного.

Таким образом, с помощью виртуальных сетей решается проблема распространения вещательных пакетов и вызываемых ими последствий, таких как широко вещательные штормы, в результате которых может существенно снизиться пропускная способность сети.