Шифрование
847
следовало бы признать устройство, которое при отказе просто отключается, начиная про пускать в сеть весь внешний трафик.
Следующим является принцип баланса возможногоущерба отреализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100 %, поскольку является результатом компромисса между возможными риска ми и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной затрат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стандартных средств фильтрации обычного маршрутизатора, в других же приходится идти на беспрецедентные затраты. Главное, чтобы принятое решение было обосновано экономически.
НЕМНОГО СТАТИСТИКИ ----------------------------------------------------------------------------------
По данным отчета1о состоянии информационной безопасности на предприятиях и компаниях Велико британии в 2008 году подавляющее большинство предприятий использует средства защиты, а именно:
99 % регулярно выполняют резервное копирование своих наиболее важных данных;
98 %имеют средства обнаружения шпионских программ;
97 %фильтруют трафик электронной почты на наличие спама;
97 % используют сетевые экраны для защиты своих веб-сайтов;
95 % сканируют входящие сообщения электронной почты на предмет содержания в них вирусов;
94 %шифруют трафик своих беспроводных сетей.
Шифрование
Шифрование—этосредствообеспеченияконфиденциальностиданных,хранящихся в памяти компьютера или передаваемых по проводной или беспроводной сети.
Шифрование является краеугольным камнем всех служб информационной безопасно сти, будь то система аутентификации или авторизации, защищенный канал или средства безопасного хранения данных.
Любая процедура шифрования, превращающая информацию из обычного «понятного» вида в «нечитабельный» зашифрованный, естественно должна быть дополнена процедурой дешифрирования, которая, будучи примененной к зашифрованному тексту2, снова при водит его в понятный вид.
Пара процедур —шифрование и дешифрирование ^называетсякриптосистемой. Обычно криптосистема предусматриваетналичие специального параметра—секретного ключа. Криптосистема считаетсяраскрытой, если найдена процедура, позволяющая подобрать ключ зареальное время. Сложность алгоритма раскрытия является одной изважныххарактеристик криптосистемы и называется криптостойкостью.
1 См. отчет «О нарушениях информационной безопасности 2008» («The Information Security Breaches Survey 2008»), представленный компанией PricewaterhouseCoopers по поручению Министерства предпринимательства, промышленности и управленческих реформ Великобритании.
2 Информацию, над которой выполняются функции шифрования и дешифрирования, будем условно
- От авторов
- Основы сетей передачи данных
- ГЛАВА 1 Эволюция компьютерных сетей
- Первые компьютерные сети
- Конвергенция сетей
- ГЛАВА 2 Общие принципы построения сетей
- Сетевое программное обеспечение
- Физическая передача данных по линиям связи
- Обобщенная задача коммутации
- Выводы
- ГЛАВА 3 Коммутация каналов и пакетов
- Коммутация пакетов
- Выводы
- ГЛАВА 4 Архитектура и стандартизация сетей
- Модель OSI
- Стандартизация сетей
- Информационные и транспортные услуги
- Выводы
- Вопросы и задания
- ГЛАВА 5 Примеры сетей
- Обобщенная структура телекоммуникационной сети
- Корпоративные сети
- Интернет
- Выводы
- Вопросы и задания
- ГЛАВА 6 Сетевые характеристики
- Надежность
- Вопросы и задания
- ГЛАВА 7 Методы обеспечения качества обслуживания
- Анализ очередей
- Техника управления очередями
- Механизмы кондиционирования трафика
- Резервирование ресурсов
- Инжиниринг трафика
- Работа в недогруженном режиме
- Технологии физического уровня
- ГЛАВА 8 Линии связи
- Типы кабелей
- Выводы
- ГЛАВА 9 Кодирование и мультиплексирование данных
- Дискретизация аналоговых сигналов
- Мультиплексирование и коммутация
- Выводы
- ГЛАВА 10 Беспроводная передача данных
- Беспроводные системы
- Технология широкополосного сигнала
- Выводы
- Вопросы и задания
- ГЛАВА 11 Первичные сети
- Сети SONET/SDH
- Сети DWDM
- Сети OTN
- Выводы
- Локальные вычислительные сети
- Ethernet со скоростью 10 Мбит/с на разделяемой среде
- Технологии Token Ring и FDDI
- Выводы
- ГЛАВА 13 Коммутируемые сети Ethernet
- Коммутаторы
- Скоростные версии Ethernet
- Архитектура коммутаторов
- Выводы
- ГЛАВА 14 Интеллектуальные функции коммутаторов
- Агрегирование линий связи в локальных сетях
- Фильтрация трафика
- Ограничения коммутаторов
- Сети TCP/IP
- ГЛАВА 15 Адресация в стеке протоколов TCP/IP
- Формат IP-адреса
- Система DNS
- Протокол DHCP
- Выводы
- Вопросы и задания
- ГЛАВА 16 Протокол межсетевого взаимодействия
- Маршрутизация с использованием масок
- Фрагментация IP-пакетов
- Вопросы и задания
- ГЛАВА 17 Базовые протоколы TCP/IP
- Общие свойства и классификация протоколов маршрутизации
- Протокол OSPF
- Протокол BGP
- Выводы
- Стандарты QoS в IP-сетях
- Трансляция сетевых адресов
- Групповое вещание
- IPv6 как развитие стека TCP/IP
- Маршрутизаторы
- Выводы
- Вопросы и задания
- Технологии глобальных сетей
- ГЛАВА 19 Транспортные услуги и технологии глобальных сетей
- Технология Frame Relay
- Технология ATM
- Виртуальные частные сети
- IP в глобальных сетях
- Выводы
- ГЛАВА 20 Технология MPLS
- Протокол LDP
- Мониторинг состояния путей LSP
- Отказоустойчивость путей MPLS
- ГЛАВА 21 Ethernet операторского класса
- Технология EoMPLS
- Ethernet поверх Ethernet
- Выводы
- ГЛАВА 22 Удаленный доступ
- Коммутируемый аналоговый доступ
- Коммутируемый доступ через сеть ISDN
- Технология ADSL
- Беспроводной доступ
- ГЛАВА 23 Сетевые службы
- Веб-служба
- IP-телефония
- Протокол передачи файлов
- Выводы
- ГЛАВА 24 Сетевая безопасность
- Шифрование
- Антивирусная защита
- Сетевые экраны
- Прокси-серверы
- Протоколы защищенного канала. IPsec
- Сети VPN на основе шифрования
- Ответы на вопросы
- Алфавитный указатель