С точки зрения защиты информации в РКС важно разделить вычислительные сети на корпоративные и общедоступные. В корпоративныхсетях все элементы принадлежат одному ведомству за исключением, может быть, каналов связи. В таких сетях имеется возможность проводить единую политику обеспечения безопасности информации во всей сети. Примерами таких корпоративных сетей могут служить сети государственного и военного управления, сети авиационных и железнодорожных компаний и др. Противоположностью таким сетям являются общедоступные коммерческие сети, в которых во главу угла ставится распространение информации, а вопросы защиты собственных информационных ресурсов решаются, в основном, на уровне пользователей. В качестве примера такой сети можно привести сеть Internet. Корпоративные сети могут быть связаны с общедоступными сетями. В этом случае администрации (владельцам) корпоративных сетей необходимо предпринимать дополнительные меры предосторожности для блокирования возможных угроз со стороны общедоступных сетей.
При построении системы защиты информации в любой распределенной КС необходимо учитывать:
- сложность системы, которая определяется как количеством подсистем, так и разнообразием их типов и выполняемых функций;
- невозможность обеспечения эффективного контроля за доступом к ресурсам, распределенным на больших расстояниях, возможно за пределами границ страны;
- возможность принадлежности ресурсов сети различным владельцам.
Особенностью защиты информации от непреднамеренных угроз в РКС по сравнению с сосредоточенными сетями является необходимость обеспечения гарантированной передачи информации по коммуникационной подсети. Для этого в РКС должны быть предусмотрены дублирующие маршруты доставки сообщений, предприняты меры против искажения и потери информации в каналах связи. Такие сложные системы должны строиться как адаптивные, в которых обеспечивается постоянный контроль работоспособности элементов системы и возможность продолжения функционирования даже в условиях отказов отдельных подсистем. Искажения информации в каналах связи фиксируются и частично исправляются с помощью помехоустойчивого кодирования. Потери информации исключаются за счет использования контроля и учета принятых сообщений, а также за счет применения протоколов обмена с подтверждением о приеме информации.
В РКС все потенциальные преднамеренные угрозы безопасности информации делят на две группы: пассивные и активные.
К пассивнымотносятся угрозы, целью реализации которых является получение информации о системе путем прослушивания каналов связи. Подключившись к каналам связи или являясь пользователем системы, злоумышленник может:
- получить информацию путем перехвата незашифрованных сообщений;
- анализировать трафик (поток сообщений), накапливая информацию об интенсивности обмена отдельных абонентов, о структуре сообщений, о маршрутах доставки сообщений и т. п.
Активныеугрозы предусматривают воздействие на передаваемые сообщения в сети и несанкционированную передачу фальсифицированных сообщений с целью воздействия на информационные ресурсы объектов РКС и дестабилизацию функционирования системы. Возможно также непосредственное воздействие на коммуникационную подсистему с целью повреждения аппаратных средств передачи информации.
Передаваемые в РКС сообщения могут несанкционированно модифицироваться или уничтожаться. Злоумышленник может размножать перехваченные сообщения, нарушать их очередность следования, изменять маршрут доставки, подменять сообщения. Злоумышленник может предпринять попытки несанкционированного доступа к информационным ресурсам удаленного объекта КС, осуществления несанкционированного изменения программной структуры КС путем внедрения вредительских программ.
Анализируя приведенные особенности потенциальных угроз безопасности информации в РКС, можно сделать вывод, что все они связаны с передачей информации по каналам связи, с территориальной разобщенностью объектов системы. Таким образом, в РКС наряду с мерами, предпринимаемыми для обеспечения безопасности информации в сосредоточенных КС, реализуется ряд механизмов для защиты информации при передаче ее по каналам связи, а также для защиты от несанкционированного воздействия на информацию КС с использованием каналов связи.
Все методы и средства, обеспечивающие безопасность информации в защищенной вычислительной сети, могут быть распределены по группам:
-обеспечение безопасности информации в пользовательской подсистеме и специализированных коммуникационных КС;
- защита информации на уровне подсистемы управления сетью;
- защита информации в каналах связи;
- обеспечение контроля подлинности взаимодействующих процессов.