Услуги и механизмы информационной безопасности

Международный Союз Электросвязи разработал стандарты некоторых служб безопасности и некоторые механизмы для осуществления этих услуг. Службы информационной безопасности и механизмы близко связаны. Механизм может использоваться в одной или нескольких услугах.

Услуги информационной безопасности

ITU-T (X.800) определил пять услуг, связанных с целями информационной безопасности и атаками, типы которых мы определили ранее.

• Конфиденциальность данных разработана, чтобы защитить данные от попытки их раскрытия. Эта широкая услуга, определенная в рекомендации ITU-T X.800. Она может охватывать конфиденциальность целого сообщения или его части, а также защищает от наблюдения за трафиком и его анализа, она разработана для предотвращения вмешательства и наблюдения за трафиком.
• Целостность данных разработана для защиты данных от модификации, вставки, удаления и повторной передачи информации противником. Она может защищать целое сообщение или часть сообщения.
•  Установление подлинности (аутентификация). При соединении, ориентированном на подключение, она обеспечивает установление подлинности передатчика или приемника в течение установления соединения. При соединении без установления подключения она подтверждает подлинность источника данных (установление подлинности происхождения данных).
• Услуга исключение отказа от сообщений защищает от отказа от сообщения передатчиком или приемником данных. При исключении отказа от сообщения передатчиком, приемник данных может потом доказать происхождение сообщения, используя опознавательный код (идентификатор) передатчика. При исключении отказа от сообщений приемником, передатчик, используя подтверждение доставки, может потом доказать, что данные доставлены предназначенному получателю.
• Управление доступом обеспечивает защиту против неправомочного доступа к данным. Доступ в этом определении — термин очень широкий и может включать чтение, запись, изменение данных, запуск выполнения программы и так далее.

Механизмы информационной безопасности

• Шифрование. Засекречивая или рассекречивая данные, можно обеспечить конфиденциальность. Шифрование также дополняет другие механизмы, которые обеспечивают другие услуги. Сегодня для шифрования используются два метода: криптография и стеганография — тайнопись.
• Механизм целостности данных добавляет в конце данных короткий контрольный признак (check value), который создается определенным процессом отдельно от данных. Приемник получает данные и контрольный признак. На основании полученных данных он создает новый контрольный признак и сравнивает только что созданный с полученным. Если эти два контрольных признака совпадают, целостность данных была сохранена.
• Цифровая подпись — средство, которым отправитель может с помощью электроники подписать данные, а приемник может с помощью компьютера проверить подпись. Отправитель использует процесс, который может указать, что эта подпись имеет частный ключ, выбранный из общедоступных ключей, которые были объявлены публично для общего пользования. Приемник использует общедоступный ключ отправителя, чтобы доказать, что сообщение действительно подписано отправителем, который утверждает, что послал сообщение.
• При обмене сообщениями для опознавания два объекта обмениваются некоторыми сообщениями, чтобы доказать, что эти объекты известны друг другу. Например, одно юридическое лицо может доказать, что оно знает тайный признак, который только оно может знать (к примеру, последнее место встречи с партнером).
• Заполнение трафика означает возможность вставлять в трафик данных некоторые фиктивные данные, чтобы сорвать попытки злоумышленников использовать его для анализа.
• Управление маршрутизацией означает выбор и непрерывное изменение различных доступных маршрутов между отправителем и приемником для того, чтобы препятствовать противнику в перехвате информации на определенном маршруте.
• Доверенность означает выбор третьей стороны, с целью доверить ей контроль обменом между двумя объектами. Это может быть сделано, например, для того, чтобы предотвратить отказ от сообщения. Приемник может вовлечь третью сторону, которой можно доверить хранение запросов отправителя, и тем самым предотвратить последующее отрицание отправителем факта передачи сообщения.
• Контроль доступа использует методы доказательства, что пользователь имеет право доступа к данным или ресурсам, принадлежащим системе. Примеры такого доказательства — пароли и PIN-коды.