Проект комплексной системы защиты информации в автоматизированных системах управления предприятия с обоснованием средств защиты информации в беспроводных каналах связи
Анализ источников информации на предприятии. Характеристика способов защиты от утечки конфиденциальной информации. Анализ беспроводных технологий, обоснование средств зашиты информации, передаваемой по ним. Пример проектирования беспроводной сети 802.11.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 22.10.2010 |
Размер файла | 359,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Оборудование стандарта 802.11 делится на различные категории по трем признакам: дальность, метод и скорость передачи.
Каждое приемо-передающее устройство, работающее на радиоволнах, занимает определенный участок радиоспектра. Каждый такой диапазон характеризуется центральной частотой, которая также называется «несущей», и шириной диапазона. Дальность работы напрямую зависит от несущей частоты диапазона. Чем выше частота, тем более прямолинейно распространяется радиоволна. Отсюда ясно, что оборудование, работающее на больших частотах, наиболее эффективно используется в условиях прямой видимости. Для передачи на большие расстояния имеет смысл использовать более низкочастотное оборудование, позволяющее огибать предметы, препятствующие распространению сигнала.
Скорость передачи данных зависит от ширины полосы и не зависит от несущей частоты. Таким образом, неважно, в каком месте радиоспектра располагается канал - скорость будет одинаковой. Использование более высокой несущей частоты позволяет увеличить количество одновременно работающих каналов. Существующее на сегодняшний день оборудование работает в двух диапазонах: 915 МГц и 2,4 ГГц.
2.1.5 Методы передачи данных
Стандарт 802.11 предусматривает использование двух методов передачи данных. Один из них получил название Direct Sequence Spread Spectrum (DSSS) - «метод прямой последовательности», а другой - Frequency Hopping Spread Spectrum (FHSS) - «метод частотных скачков». Оба эти метода используют принцип широкополосной передачи сигнала.
2.1.5.1 Технологии DSSS
При потенциальном кодировании информационные биты -- логические нули и единицы- передаются прямоугольными импульсами напряжений. Прямоугольный импульс длительности T имеет спектр, ширина которого обратно пропорциональна длительности импульса. Поэтому чем меньше длительность информационного бита, тем больший спектр занимает такой сигнал.
Для преднамеренного уширения спектра первоначально узкополосного сигнала в технологии DSSS в каждый передаваемый информационный бит (логический 0 или 1) в буквальном смысле встраивается последовательность так называемых чипов. Если информационные биты - логические нули или единицы - при потенциальном кодировании информации можно представить в виде последовательности прямоугольных импульсов, то каждый отдельный чип - это тоже прямоугольный импульс, но его длительность в несколько раз меньше длительности информационного бита. Последовательность чипов представляет собой последовательность прямоугольных импульсов, то есть нулей и единиц, однако эти нули и единицы не являются информационными.
Поскольку длительность одного чипа в n раз меньше длительности информационного бита, то и ширина спектра преобразованного сигнала будет в n-раз больше ширины спектра первоначального сигнала. При этом и амплитуда передаваемого сигнала уменьшится в n раз.
Чиповые последовательности, встраиваемые в информационные биты, называют шумоподобными кодами (PN-последовательности), что подчеркивает то обстоятельство, что результирующий сигнал становится шумоподобным и его трудно отличить от естественного шума.
Как уширить спектр сигнала и сделать его неотличимым от естественного шума, понятно. Для этого, в принципе, можно воспользоваться произвольной (случайной) чиповой последовательностью. Однако, возникает вопрос: а как такой сигнал принимать? Ведь если он становится шумоподобным, то выделить из него полезный информационный сигнал не так то просто, если вообще возможно. Оказывается, возможно, но для этого нужно соответствующим образом подобрать чиповую последовательность.
Используемые для уширения спектра сигнала чиповые последовательности должны удовлетворять определенным требованиям автокорреляции. Под термином автокорреляции в математике подразумевают степень подобия функции самой себе в различные моменты времени. Если подобрать такую чиповую последовательность, для которой функция автокорреляции будет иметь резко выраженный пик лишь для одного момента времени, то такой информационный сигнал возможно будет выделить на уровне шума. Для этого в приемнике полученный сигнал умножается на ту же чиповую последовательность, то есть вычисляется автокорреляционная функция сигнала. В результате сигнал становится опять узкополосным, поэтому его фильтруют в узкой полосе частот и любая помеха, попадающая в полосу исходного широкополосного сигнала, после умножения на чиповую последовательность, наоборот, становится широкополосной и обрезается фильтрами, а в узкую информационную полосу попадает лишь часть помехи, по мощности значительно меньшая, чем помеха, действующая на входе приемника (рис. 1.1).
Рис. 1.1 Использование технологии уширения спектра позволяет предавать данные на уровне естественного шума.
Метод DSSS использует всю полосу одновременно, разбивая ее на 11 одинаковых полос. Сигнал передатчика кодируется таким образом, что каждый бит передаваемой информации преобразуется в последовательность из 11 бит. После чего эта последовательность передается параллельно и одновременно по всем 11 полосам. Приемник, получивший эту последовательность, производит обратное преобразование сигнала. Каждая пара «передатчик-приемник» использует свой алгоритм кодирования, исключающий перехват сигнала другим приемником.
Первое достоинство данного метода заключается в надежной защите передаваемой информации. Вероятность совпадения схем кодирования двух разных устройств практически исключена. Расшифровать же такой сигнал, не зная алгоритма, невозможно.
Второе достоинство состоит в том, что благодаря одиннадцатикратной избыточности информации для передачи сигнала можно использовать маломощную аппаратуру. При этом нет необходимости использовать дорогостоящие усилители или изменять конструкцию антенн. Кроме того, «размазывание» сигнала приводит к тому, что отношение сигнала к шуму становится близким к единице. С точки зрения узкополосной аппаратуры такой сигнал практически не отличается от шума (отсюда произошло второе название - «метод шумоподобного сигнала»). В свою очередь, узкополосная аппаратура не влияет на DSSS, поскольку частичная потеря информации на одной или нескольких полосах не портит сигнал из-за избыточности передаваемой информации. Это позволяет одновременно использовать в одном диапазоне узкополосную и DSSS-аппаратуру.
2.1.5.2 Технологии FHSS
Метод частотных скачков использует полосу по-иному. Весь диапазон, отведенный для передачи, согласно стандарту 802.11 делится на 79 каналов. Передатчик использует в единицу времени только один из этих каналов, переключаясь между ними согласно заложенному в него алгоритму.
Частота таких «скачков» стандартом не определена и варьируется в зависимости от того, в какой стране используется данное оборудование. В свою очередь, приемник синхронно совершает такие же «скачки», используя ту же «случайную» последовательность, что и передатчик. Случайная последовательность является уникальной для каждой пары передатчик-приемник.
В отличие от метода прямой последовательности метод FHSS имеет два существенных недостатка. Первый из них заключается в том, что при достаточно большом числе одновременных сеансов работы резко увеличивается вероятность коллизии. Это обусловлено конечным числом каналов и узкополосностью передаваемого в единицу времени сигнала. Два различных сигнала, столкнувшись на одной частоте, заглушат друг друга и инициируют повторную передачу на следующем скачке. Поэтому помехозащищенность реализуется за счет уменьшения пропускной способности. Второй недостаток - создание помех для узкополосной аппаратуры, что в ряде случаев делает невозможным их совместное использование. Это обстоятельство резко сужает круг возможных применений.
Аппаратура FHSS, как правило, используется в закрытых помещениях либо на небольшой территории (исключение составляет случай, когда необходимо организовать соединение «точка-точка»).
2.1.6 Анализ существующих стандартов технологии IEEE 802.11
На сегодняшний день существуют следующие разновидности данного стандарта построения беспроводных локальных сетей IEEE 802.11 a/b/gСтандарт IEEE 802.11, принятый в1997 г., стал первым стандартом данного семейства.
Он предусматривает использование диапазона частот 2,4 ГГц, а также технологии расширения спектра скачкообразной сменой частоты (Frequency Hopping Spread Spectrum или технологии расширения спектра по методу прямой последовательности. [Direct Sequence Spread Spectrum DSSS. Стандарт IEEE 802.11 обеспечивает пропускную способность до 2 Мбит/с в расчете на одну точку доступа.
2.1.6.1 Стандарт IEEE 802.11А
Стандарт IEEE 802.11 а предусматривает использование нового, не требующего лицензирования частотного диапазона 5 ГГц и модуляции по методу ортогонального мультиплексирования с разделением частот [Orthogonal Frequency Domain Multiplexing [OFDM]). Применение этого стандарта позволяет увеличить скорость передачи в каждом канале с 11 Мбит/с до 54 Мбит/с.
При этом одновременно может быть организовано до восьми непересекающихся каналов (или точек присутствия), а не три, как в диапазоне 2,4 ГГц.
Продукты стандарта IEEE 802.11 а (сетевые адаптеры NIC и точки доступа) не имеют обратной совместимости с продуктами стандартов 802.11 и 802.11 Ь, так как они работают на разных частотах.
2.1.6.2 Стандарт IEEE 802.11b
Стандарт IEEE 802.11Ь был принят в 1999 г. в развитие принятого ранее стандарта IEEE 802.11. Он также предусматривает использование диапазона частот 2,4 ГГц, но только с модуляцией DSSS. Данный стандарт обеспечивает пропускную способность до 11 Мбит/с в расчете на одну точку доступа.
Продукты стандарта IEEE 802.11b, поставляемые разными изготовителями, тестируются на совместимость и сертифицируются организацией Wireless Ethernet Compatibility Alliance (WECA), которая в настоящее время больше известна под названием Wi-Fi Alliance. Совместимые беспроводные продукты, прошедшие испытания по программе "Альянса WH могут быть маркированы знаком Wi-Fi.
В настоящее время ЕЕЕ 802.11b это самый распространенный стандарт, на базе которого построено большинство беспроводных локальны
2.1.6.3 Стандарт IEEE 802.11g
Проект стандарта IEEE 802.11g был утвержден в октябре 2002 г. Этот стандарт предусматривает использование диапазона частот 2,4 ГГц, обеспечивая скорость передачи 54 Мбит/с и превосходя, таким образом, ныне действующий стандарт 802.11b.
Кроме того, он гарантирует обратную совместимость со стандартом 802.11b. Обратная совместимость стандарта IEEE 802.11g может быть реализована в режиме модуляции DSSS, и тогда скорость передачи будет ограничена одиннадцатью мегабитами в секунду либо в режиме модуляции OFDM, при котором скорость составляет 54 Мбит/с.
Таким образом, данный стандарт является наиболее приемлемым при построении беспроводных сетей.
2.1.6.4 Физический уровень протокола 802.11g
Стандарт IEEE 802.11g является логическим развитием стандарта 802.11b/b+ и предполагает передачу данных в том же частотном диапазоне, но с более высокими скоростями. Кроме того, стандарт 802.11g полностью совместим с 802.11b, то есть любое устройство 802.11g должно поддерживать работу с устройствами 802.11b. Максимальная скорость передачи в стандарте 802.11g составляет 54 Мбит/с.
При разработке стандарта 802.11g рассматривались несколько конкурирующих технологий: метод ортогонального частотного разделения OFDM и метод двоичного пакетного сверточного кодирования PBCC.
В протоколе 802.11g предусмотрена передача на скоростях 1, 2, 5,5, 6, 9, 11, 12, 18, 22, 24, 33, 36, 48 и 54 Мбит/с. Некоторые из данных скоростей являются обязательными, а некоторые - опциональными. Кроме того, одна и та же скорость может реализовываться при различной технологии кодирования. Ну и как уже отмечалось, протокол 802.11g включает в себя как подмножество протоколы 802.11b/b+.
Технология кодирования PBCC опционально может использоваться на скоростях 5,5; 11; 22 и 33 Мбит/с. Вообще же в самом стандарте обязательными являются скорости передачи 1; 2; 5,5; 6; 11; 12 и 24 Мбит/с, а более высокие скорости передачи (33, 36, 48 и 54 Мбит/с) -- опциональными.
Отметим, что для обязательных скоростей в стандарте 802.11g используется только кодирование CCK и OFDM, а гибридное кодирование и кодирование PBCC является опциональным.
Для передачи на более высоких скоростях используется квадратурная амплитудная модуляция QAM (Quadrature Amplitude Modulation), при которой информация кодируется за счет изменения фазы и амплитуды сигнала. В протоколе 802.11g используется модуляция 16-QAM и 64-QAM. В первом случае имеется 16 различных состояний сигнала, что позволяет закодировать 4 бита в одном символе. Во втором случае имеется уже 64 возможных состояний сигнала, что позволяет закодировать последовательность 6 бит в одном символе. Модуляция 16-QAM применяется на скоростях 24 и 36 Мбит/с, а модуляция 64-QAM -- на скоростях 48 и 54 Мбит/с.
2.1.7 Метод доступа
Для доступа к среде используется метод CSMA/CA (Carrier Sense Multiple Acsses Collision Avoidance) - множественный доступ с контролем несущей и предотвращением коллизий. Перед началом передачи устройство слушает эфир и дожидается, когда канал освободится. Канал считается свободным при условии, что не обнаружено активности в течении определенного промежутка времени - межкадрового интервала определенного типа. Если в течении этого промежутка канал оставался свободным, устройство ожидает еще в течении случайного промежутка времени и если еще канал не занят начинает передавать пакет.
2.1.8 Выводы
1. Существующие стандарты радиодоступа достаточно хорошо проработаны и существует множество фактических реализаций.
2. Наиболее перспективным является стандарт IEEE 802.11, который обладает целым рядом достоинств:
высокая скорость развертывания,
возможность поэтапного развития сети, начиная с минимальной конфигурации,
низкие затраты на эксплуатацию,
высокая пропускная способность,
высокая помехозащищенность
широкой инфраструктуре, возможности масштабирования.
Поэтому в нашей организации и будет использоваться стандарт IEEE 802.11
2.2 АНАЛИЗ И ОБОСНОВАНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ПО БЕСПРОВОДНЫМ КАНАЛАМ СВЯЗИ
2.2.1 Безопасность в беспроводных сетях стандарта 802.11.Х
Большая зона покрытия сетей на базе стандартов 802.11 это одна из основных причин возникновения проблем с обеспечением безопасности, поскольку атакующий может находиться там, где его никто не ждет, на значительном удалении от места физического развертывания сети. Другая причина широкое распространение таких сетей: к 2009 году число аппаратных устройств с поддержкой стандарта 802.11 по оценкам превысит 40 млн а цены на них продолжают падать. После выхода на рынок стандарта 802.Ид цена на многие платы с поддержкой 802.11b, предназначенные для клиентских компьютеров, упала до уровня карт 100BaseT Ethernet. Разумеется, быстродействие существенно различается (5 7 Мбит/с (Mbps megabits per second) для 802.11b против 100 Мбит/с для быстрого Ethernet), но не для каждой сети необходимо очень высокое быстродействие, а во многих случаях развертывание беспроводной сети оказывается более предпочтительным. В частности, так обстоит дело со старинными зданиями в Европе, которые защищены законом об историческом наследии. В таких домах запрещено пробивать стены для прокладки кабелей. Другой пример офисы, расположенные по обе стороны оживленной улицы, шоссе или в разных концах комплекса офисных зданий. Наконец, организация «последней мили» на базе беспроводной сети может служить заменой кабельному или xDSL каналу, и в таких случаях низкая пропускная способность вряд ли окажется узким местом, если принять во внимание характеристики альтернативных технологий.
Сети 802.11 есть везде, их легко обнаружить и, как станет видно из дальнейшего, к ним нетрудно подключиться. Даже если сеть защищена протоколом WEP (который по сию пору остается наиболее распространенным средством обеспечения безопасности в таких сетях), его уязвимости опубликованы и известны практически всем, кто проявляет минимальный интерес к беспроводным сетям. Напротив, другие беспроводные сети с коммутацией пакетов распространены далеко не так широко, их слабые места не так хорошо известны и«разрекламированы», а для их выявления зачастую необходимо сложное и дорогое оборудование, отсутствующее в продаже. Что же касается взломщиков сетей 802.11, то они обычно создают собственные беспроводные локальные сети и используют имеющееся оборудование как для эксплуатации своей сети, так и для взлома чужих.
2.2.2 Анализ технических средств защиты в беспроводных каналах связи
К техническим средствам, которые используется для защиты беспроводных сетей, относятся сетевой адаптер, точка доступа, мост, маршрутизатор, и многое другое. Кроме того, сюда же можно отнести антенны, служащие для усиления или узкой направленности сигнала.
2.2.2.1 Адаптер
Сетевой адаптер служит для подключения компьютера (или другого устройства) к имеющейся сети. Существует достаточно много видов сетевых адаптеров. Они отличаются друг от друга производителем, техническими особенностями и типом интерфейса. Наибольшее распространение получили адаптеры с интерфейсом PCI и USB производства компаний D-Link, ASUSTek, 3Com SureCom, Trednet и др. Кроме того, часто можно встретить адаптеры с дополнительными устройствами, например flash- или HDD-накопителем.
3Com 11 a/b/g Wireless PCI Adapter (3CRDAG675)
Представленный на рис. 4.4 сетевой адаптер беспроводной связи 3Com lla/b/g Wireless PCI Adapter (3CRDAG675) предназначен для установки в PCI-слот персонального компьютера. Рис. 2.1. 3Com 11a/b/g Wireless PCI Adapter (3CRDAG675)
Особенностью этого адаптера является способность работать в сетях стандартов IEEE 802.1 la, IEEE 802.1 lb и IEEE 802.1 lg, что делает его абсолютно универсальным в применении. При этом при работе в сетях стандарта IEEE 802.11a и IEEE802.llgдостигается скорость передачи данных 54 Мбит/с (108 Мбит/с -- втурбо режиме). Данный адаптер снабжен множеством дополнительных средств для безопасности и аутентификации, что делает его одним из самых надежных беспроводных адаптеров на рынке. В частности, он поддерживает протоколы шифрования WPA, AES (128-битный ключ) и WEP(40/64-, 128- и 152-битный ключ), механизмы аутентификации MD5, 802.1х и ЕАР.
Отдельно можно отметить факт наличия в адаптере механизмов автономной балансировки нагрузки (Autonomous Load Balancing), что позволяет добиться максимальной скорости передачи данных и механизма динамического изменения скорости передачи информации (Dynamic Rate Shifting), позволяющего подобрать скорость соединения в зависимости от текущего трафика в сети и условий окружающей среды.
Рис. 2.1. 3Com 11a/b/g Wireless PCI Adapter (3CRDAG675)
2.2.2.2 Точка доступа
Точка доступа обеспечивает высокую пропускную способность, безопасность и функциональные возможности устройств корпоративного класса, требуемые для работы в условиях сложной радиочастотной среды.
D-Link DWL-2100AP
Точка доступа D-Link DWL-2100AP (рис. 2.2) -- распространенное устройство, сочетающее в себе не только свойства точки доступа, но и беспроводные мост, клиент и повторитель. Данный факт делает это устройство универсальным для организации работы беспроводной сети. Рассматриваемая точка доступа умеет работать с беспроводными сетями стандартов IEEE 802.11b и IEEE 802.1 lg, обеспечивая при этом максимальную скорость передачи данных: 54 Мбит/с (108 Мбит/с -- в турборежиме). При этом существует возможность подключения сегмента сети стандарта Fast Ethernet 802.3 со скоростью передачи данных 10/100 Мбит/с.
Данное устройство поддерживает протоколы безопасности WPE и WPA. В последнем случае используется протокол целостности временного ключа TKIP. Аутентификация пользователей происходит с помощью сервера RADIUS. Кроме того, если у некоторых клиентов сети отсутствует поддержка аутентификации с помощью сервера RADIUS, то D-Link DWL-2100AP готова предоставить механизм WPA Pre-Shared Key, позволяющий получать таким пользователям временный ключ шифрования каждый раз при подключении к точке доступа.
Следует отметить наличие встроенного механизма DHCP, который позволяет назначать IP-адреса компьютерам, подключенным к беспроводной сети.
Рис 2.2. Точка доступа D-Link DWL-2100AP
2.2.2.3 Мост
Предназначение моста -- создание связи между двумя отдельными сетями, чтоб при их соединении получилась комбинированная сеть. Беспроводной мост организует такое соединение с помощью радиоволн. Из особенностей беспроводного моста можно отметить возможность связи с любой точкой доступа или другим беспроводным мостом, находящимся в радиусе действия сети, а также возможность подключения к беспроводной сети проводных клиентов. Для этих целей на беспроводном мосте устанавливают хотя бы одно гнездо для подключения Ethernet-кабеля. Как правило, это разъем RJ-45, позволяющий подключаться к сетям стандарта Ethernet 802.3 10/100Base-TX и подобным. Кроме того, беспроводные мосты можно использовать для увеличения радиуса действия сети, поскольку они представляют собой приемопередатчики с достаточно большой мощностью TRENDnet TEW-413APBO High Power Wireless Outdoor AP Bridge
Беспроводной мост TRENDnet TEW-413APBO High Power Wireless Outdoor AP Bridge (рис. 2.3) предназначен для использования в сетях стандартов IEEE 802. lib и IEEE 802.1 lg. Рис. Беспроводной мост TRENDnet TEW-413APBO High Power Wireless Outdoor AP Bridge Данное устройство может выполнять функции как беспроводного моста, так и точки доступа. При этом очень впечатляет радиус действия этого устройства, достигающий показателя 17 км в режиме беспроводного моста и стандарта IEEE 802.1 lb. Безопасность WEP (64/128 бит), WPA, TK.IP, AES, аутентификация 802.Их, возможность запрета рассылок по SSID (Service Set Ш, идентификатор сервисного набора), фильтрация по МАС-адресу (40 разрешающих или запрещающих записей)
2.2.2.4 Маршрутизатор
Данное устройство предназначено для маршрутизации пакетов между сетевыми устройствами, которые могут находиться в разных сегментах сети. Главной особенностью маршрутизации является фильтрация пакетов с отсылкой только тех, которые предназначены данному сегменту сети или конкретному устройству. Кроме маршрутизации, беспроводной адаптер, как правило, содержит несколько разъемов RJ-45, к которым можно подключать проводные клиенты сети стандарта Ethernet 802.3. 3Com Off iceConnect Wireless 11 g Cable/DSL Router (3CRWE554G72)
Представленный на рис. 2.4 маршрутизатор 3Com OfficeConnect Wireless llg Cable/DSL Router (3CRWE554G72) рассчитан на функционирование в беспроводных сетях стандартов IEEE 802.11b и IEEE 802.llg. Он обеспечивает работу 253 пользователей, из которых 128 подключены к беспроводной сети. Данный маршрутизатор позволяет осуществлять статическую маршрутизацию, фильтрацию по URL-адресам или ключевым словам, а также создавать списки контроля доступа и др.
Особенностью этого устройства является наличие механизма управления пакетами Packet bursting (пакетная передача данных), позволяющего повышать скорость передачи путем работы с большим количеством пакетов. Безопасность WEP (40/64/128 бит), WPA (256 бит), фильтрация по URL или ключевому слову, списки контроля доступа, запрещение рассылок по SSID, фильтрация по МАС-адресу
2.2.2.5 Антенна
Значение антенны в беспроводной сети трудно переоценить. Известно, что главный бич беспроводной сети -- помехи и малый радиус действия. Так вот, используя антенны с усилителями разной мощности, можно добиться уверенного приема сигнала на достаточно больших расстояниях, что играет очень важную роль во многих ситуациях. D-Link DWL-50AT
Антенна D-Link DWL-50AT (рис. 4.18) является всенаправленной и используется в помещении. Она позволяет расширить площадь покрытия беспроводной сети стандартов IEEE 802.1 lb и IEEE 802.1 lg.
Данная антенна используется для подключения к любым беспроводным устройствам, снабженным разъемом Reverse SMA
2.2.3 Угрозы и риски безопасности беспроводных сетей
Главное отличие между проводными и беспроводными сетями связано с абсолютно неконтролируемой областью между конечными точками сети. В достаточно широком пространстве сетей беспроводная среда никак не контролируется. Современные беспроводные технологии предлагают ограниченный набор средств управления всей областью развертывания сети. Это позволяет атакующим, находящимся в непосредственной близости от беспроводных структур, производить целый ряд нападений, которые были невозможны в проводном мире. Обсудим характерные только для беспроводного окружения угрозы безопасности, оборудование, которое используется при атаках, проблемы, возникающие при роуминге от одной точки доступа к другой укрытия для беспроводных каналов и криптографическую защиту открытых коммуникаций.
2.2.3.1 Подслушивание
Наиболее распространенная проблема в таких открытых и неуправляемых средах как беспроводные сети, - возможность анонимных атак. Анонимные вредители могут перехватывать радиосигнал и расшифровывать передаваемые данные. Оборудование, используемое для подслушивания в сети, может быть не сложнее того, которое используется для обычного доступа к этой сети. Чтобы перехватить передачу, злоумышленник должен находиться вблизи от передатчика. Перехваты такого типа практически невозможно зарегистрировать, и еще труднее им помешать. Использование антенн и усилителей дает злоумышленнику возможность находиться на значительном удалении от цели в процессе перехвата. Подслушивание ведут для сбора информации в сети, которую впоследствии предполагается атаковать. Первичная цель злоумышленника - понять, кто использует сеть, какая информация в ней доступна, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно и какова территория развертывания сети.
Все это пригодится для того, чтобы организовать атаку на сеть.
Многие общедоступные сетевые протоколы передают такую важную информацию, как имя пользователя и пароль, открытым текстом. Перехватчик может использовать добытые данные для того, чтобы получить доступ к сетевым ресурсам. Даже если передаваемая информация зашифрована, в руках злоумышленника оказывается текст, который можно запомнить, а потом уже раскодировать.
Другой способ подслушивания - подключиться к беспроводной сети. Активное подслушивание в локальной беспроводной сети обычно основано на неправильном использовании протокола Address Resolution Protocol (ARP). Изначально эта технология была создана для «прослушивания» сети. В действительности мы имеем дело с атакой типа MITM (man in the middle, «человек посередине») на уровне связи данных. Они могут принимать различные формы и используются для разрушения конфиденциальности и целостности сеанса связи. Атаки MITM более сложны, чем большинство других атак: для их проведения требуется подробная информация о сети. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов. Когда жертва атаки инициирует соединение, мошенник перехватывает его и затем завершает соединение с требуемым ресурсом, а потом пропускает все соединения с этим ресурсом через свою станцию. При этом, атакующий может посылать информацию, изменять посланную или подслушивать все переговоры и потом расшифровывать их. Атакующий посылает ARP-ответы, на которые не было запроса, к целевой станции локальной сети, которая отправляет ему весь проходящий через нее трафик. Затем злоумышленник будет отсылать пакеты указанным адресатам. Таким образом, беспроводная станция может перехватывать трафик другого беспроводного клиента (или проводного клиента в локальной сети).
2.2.3.2 Отказ в обслуживании
Полную парализацию сети может вызвать атака типа DOS. Во всей сети, включая базовые станции и клиентские терминалы, возникает такая сильная интерференция, что станции не могут связываться друг с другом Эта атака выключает все коммуникации в определенном районе. Если она проводится в достаточно широкой области, то может потребовать значительных мощностей. Атаку DOS на беспроводные сети трудно предотвратить или остановить. Большинство беспроводных сетевых технологий использует нелицензированные частоты - следовательно, допустима интерференция от целого ряда электронных устройств.
2.2.3.3 Глушение клиентской станции
Глушение в сетях происходит тогда, когда преднамеренная или непреднамеренная интерференция превышает возможности отправителя или получателя в канале связи, таким образом, выводя этот канал из строя. Атакующий может использовать различные способы глушения. Глушение клиентской станции дает возможность мошеннику подставить себя на место заглушенного клиента. Также глушение могут использовать для отказа в обслуживании клиента, чтобы ему не удавалось реализовать соединение. Более изощренные атаки прерывают соединение с базовой станцией, чтобы затем она была присоединена к станции злоумышленника.
2.2.3.4 Глушение базовой станции
Глушение базовой станции предоставляет возможность подменить ее атакующей станцией. Такое глушение лишает пользователей доступа к услугам. Как отмечалось выше, большинство беспроводных сетевых технологий использует нелицензированные частоты. Поэтому многие устройства, такие как радиотелефоны, системы слежения и микроволновые печи, могут влиять на работу беспроводных сетей и глушить беспроводное соединение. Чтобы предотвратить такие случаи непреднамеренного глушения, прежде чем покупать дорогостоящее беспроводное оборудование, надо тщательно проанализировать место его установки. Такой анализ поможет убедиться в том, что другие устройства никак не помешают коммуникациям.
2.2.3.5 Угрозы криптозащиты
В беспроводных сетях применяются криптографические средства для обеспечения целостности и конфиденциальности информации. Однако оплошности приводят к нарушению коммуникаций и злонамеренному использованию информации.
WEP - это криптографический механизм, созданный для обеспечения безопасности сетей стандарта 802.11. Этот механизм разработан с единственным статическим ключом, который применяется всеми пользователями. Управляющий доступ к ключам, частое их изменение и обнаружение нарушений практически невозможны. Исследование WEP-шифрования выявило уязвимые места, из-за которых атакующий может полностью восстановить ключ после захвата минимального сетевого трафика.
В Интернет есть средства, которые позволяют злоумышленнику восстановить ключ в течение нескольких часов. Поэтому на WEP нельзя полагаться как на средство аутентификации и конфиденциальности в беспроводной сети.
Использовать описанные криптографические механизмы лучше, чем не использовать их вовсе, но благодаря известной уязвимости нужны другие методы защиты от перечисленных выше атак.
Все беспроводные коммуникационные сети подвержены атакам прослушивания в период контакта (установки соединения, сессии связи и прекращения соединения). Сама природа беспроводного соединения устраняет возможность его контроля, и потому оно требует защиты.
Управление ключом, как правило, вызывает дополнительные проблемы, когда применяется при роуминге и в случае общего пользования открытой средой.
2.2.3.6 Физическая атака
Устройства беспроводного доступа к сети, сами по своей природе должны быть маленькими, и переносимыми (КПК, Ноутбуки), а также точки доступа также имеют небольшой размер и компактность. Кража таких устройств во многом приводит к тому, что злоумышленник может попасть в сеть, не используя сложных атак, т. к. основные механизмы аутентификации в стандарте 802.11 рассчитаны на регистрацию именно физического аппаратного устройства, а не учетной записи пользователя.
Так что потеря одного сетевого интерфейса и не своевременное извещение администратора может привести к тому, что злоумышленник получит доступ к сети без особых хлопот.
2.2.4 Механизмы защиты информации в беспроводных каналах связи
Устройства стандарта 802.11 связываются друг с другом, используя в качестве переносчика данных сигналы, передаваемые в диапазоне радиочастот. Данные передаются по радио отправителем, полагающим, что приемник также работает в выбранном радиодиапазоне. Недостатком такого механизма является то, что любая другая станция, использующая этот диапазон, тоже способна принять эти данные.
Если не использовать какой-либо механизм защиты, любая станция стандарта 802.11 сможет обработать данные, посланные по беспроводной локальной сети, если только ее приемник работает в том же радиодиапазоне. Для обеспечения хотя бы минимального уровня безопасности необходимы следующие компоненты.
· Средства для принятия решения относительно того, кто или что может использовать беспроводную LAN. Это требование удовлетворяется за счет механизма аутентификации, обеспечивающего контроль доступа к LAN.
· Средства защиты информации, передаваемой через беспроводную среду. Это требование удовлетворяется за счет использования алгоритмов шифрования.
На рис.1 показано, что защита в беспроводных сетях обеспечивается как за счет аутентификации, так и благодаря шифрованию. Ни один из названных механизмов в отдельности не способен обеспечить защиту беспроводной сети.
В спецификации стандарта 802.11 регламентировано применение механизма аутентификации устройств с открытым и с совместно используемым ключом и механизма WEP, обеспечивающего защищенность данных на уровне проводных сетей. Оба алгоритма аутентификации, с открытым и с совместно используемым ключом, основаны на WEP-шифровании и применении WEP-ключей для контроля доступа. Поскольку алгоритм WEP играет важную роль в обеспечении безопасности сетей стандарта 802.11, в следующем разделе будут рассмотрены основы шифрования и шифры.
2.2.4.1 Механизмы шифрования
Механизмы шифрования основаны на алгоритмах, которые рандомизируют данные. Используются два вида шифров.
· Поточный (групповой) шифр.
· Блочный шифр.
Шифры обоих типов работают, генерируя ключевой поток (key stream), получаемый на основе значения секретного ключа. Ключевой поток смешивается с данными, или открытым текстом, в результате чего получается закодированный выходной сигнал, или зашифрованный текст. Названные два вида шифров отличаются по объему данных, с которыми они могут работать одновременно.
Поточный шифр генерирует непрерывный ключевой поток, основываясь на значении ключа. Например, поточный шифр может генерировать 15-разрядный ключевой поток для шифрования одного фрейма и 200-разрядный ключевой поток для шифрования другого. На рис. 2 проиллюстрирована работа поточного шифра. Поточные шифры -- это небольшие и эффективные алгоритмы шифрования, благодаря которым нагрузка на центральный процессор оказывается небольшой. Наиболее распространенным является поточный шифр RC4, который и лежит в основе алгоритма WEP.
Блочный шифр, наоборот, генерирует единственный ключевой поток шифрования фиксированного размера. Открытый текст делится на блоки, и каждый блок смешивается с ключевым потоком независимо. Если блок открытого текста меньше, чем блок ключевого потока, первый дополняется с целью получения блока нужного размера. На рис. 3 проиллюстрирована работа блочного шифра. Процесс фрагментации, а также другие особенности шифрования с использованием блочного шифра вызывают повышенную, по сравнению с поточным шифрованием, нагрузку на центральный процессор. В результате производительность устройств, применяющих блочное шифрование, снижается.
Процесс шифрования, описанный нами для поточных и блочных шифров, называется режим шифрования с помощью книги электронных кодов (Electronic Code Book, ЕСВ). Режим шифрования ЕСВ характеризуется тем, что один и тот же открытый текст после шифрования преобразуется в один и тот же зашифрованный текст. Этот фактор потенциально представляет собой угрозу для безопасности, поскольку злоумышленники могут получать образцы зашифрованного текста и выдвигать какие-то предположения об исходном тексте.
Некоторые методы шифрования позволяют решить эту проблему
· Векторы инициализации (initialization vectors, IV).
· Режимы с обратной связью (feedback modes).
Векторы инициализации
Вектор инициализации -- это номер, добавляемый к ключу, конечным результатом этого является изменение информации ключевого потока. Вектор инициализации связывается с ключом до того, как начнется генерация ключевого потока. Вектор инициализации все время изменяется, то же самое происходит с ключевым потоком. На рис. 4 показаны два сценария.
Первый относится к шифрованию с использованием поточного шифра без применения вектора инициализации. В этом случае открытый текст DATA после смешения с ключевым потоком 12345 всегда преобразуется в зашифрованный текст AHGHE. Второй сценарий показывает, как тот же открытый текст смешивается с ключевым потоком, дополненным вектором инициализации для получения другого зашифрованного текста. Обратите внимание на то, что зашифрованный текст во втором случае отличается от такового в первом. Стандарт 802.11 рекомендует изменять вектор инициализации пофреймово (on a per-frame basis).
Это означает, что если один и тот же фрейм будет передан дважды, весьма высокой окажется вероятность того, что зашифрованный текст будет разным.
1. Шифрование с использованием поточного шифра без применения вектора инициализации
2. Шифрование с использованием поточного шифра и вектора инициализации
Режимы с обратной связью представляют собой модификации процесса шифрования, выполненные во избежание того, чтобы один и тот же открытый текст преобразовывался в ходе шифрования в одинаковый зашифрованный текст.
Кодирование по стандарту 802.11
Спецификация стандарта 802.11 предусматривает обеспечение защиты данных с использованием алгоритма WEP. Этот алгоритм основан на применении симметричного поточного шифра RC4. Симметричность RC4 означает, что согласованные WEP-ключи размером 40 или 104 бит статично конфигурируются на клиентских устройствах и в точках доступа. Алгоритм WEP был выбран главным образом потому, что он не требует объемных вычислений. Хотя персональные компьютеры с беспроводными сетевыми картами стандарта 802.11 сейчас широко распространены, в 1997 году ситуация была иной. Большинство из устройств, включаемых в беспроводные LAN, составляли специализированные устройства (application-specific devices, ASD). Примерами таких устройств могут служить считыватели штрих-кодов, планшетные ПК (tablet PC) и телефоны стандарта 802.11.
Приложения, которые выполнялись этими специализированными устройствами, обычно не требовали большой вычислительной мощности, поэтому ASD оснащались слабенькими процессорами. WEP - простой в применении алгоритм, для записи которого в некоторых случаях достаточно 30 строк кода. Малые непроизводительные расходы, возникающие при применении этого алгоритма, делают его идеальным алгоритмом шифрования для специализированных устройств.
Чтобы избежать шифрования в режиме ЕСВ, WEP использует 24-разрядный вектор инициализации, который добавляется к ключу перед выполнением обработки по алгоритму RC4. На рис. 5 показан фрейм, зашифрованный по алгоритму WEP с использованием вектора инициализации.
Вектор инициализации должен изменяться пофреймово во избежание IV-коллизий. Коллизии такого рода происходят, когда используются один и тот же вектор инициализации и один и тот же WEP-ключ, в результате чего для шифрования фрейма используется один и тот же ключевой поток. Такая коллизия предоставляет злоумышленникам большие возможности по разгадыванию данных открытого текста путем сопоставления подобных элементов. При использовании вектора инициализации важно предотвратить подобный сценарий, поэтому вектор инициализации часто меняют. Большинство производителей предлагают пофреимовые векторы инициализации в своих устройствах для беспроводных LAN.
Спецификация стандарта 802.11 требует, чтобы одинаковые WEP-ключи были сконфигурированы как на клиентах, так и на устройствах, образующих инфраструктуру сети. Можно определять до четырех ключей на одно устройство, но одновременно для шифрования отправляемых фреймов используется только один из них.
WEP-шифрование используется только по отношению к фреймам данных и во время процедуры аутентификации с совместно используемым ключом. По алгоритму WEP шифруются следующие поля фрейма данных стандарта 802.11.
· Данные или полезная нагрузка (payload).
· Контрольный признак целостности (integrity check value, ICV).
Значения всех остальных полей передаются без шифрования. Вектор инициализации должен быть послан незашифрованным внутри фрейма, чтобы приемная станция могла получить его и использовать для корректной расшифровки полезной нагрузки и ICV. На рис. 6 схематично представлен процесс шифрования, передачи, приема и расшифровки фрейма данных в соответствии с алгоритмом WEP.
В дополнение к шифрованию данных спецификация стандарта 802.11 предлагает использовать 32-разрядное значение, функция которого осуществлять контроль целостности. Этот контрольный признак целостности говорит приемнику о том, что фрейм был получен без повреждения в процессе передачи.
Контрольный признак целостности вычисляется по всем полям фрейма с использованием 32-разрядной полиномиальной функции контроля и с помощью циклического избыточного кода (CRC-32). Станция-отправитель вычисляет это значение и помещает результат в поле ICV. Значение поля ICV включается в часть фрейма, шифруемую по алгоритму WEP, так что его не могут просто так "увидеть" злоумышленники.
Получатель фрейма дешифрует его, вычисляет значение ICV и сравнивает результат со значением поля ICV полученного фрейма. Если эти значения совпадают, фрейм считается подлинным, неподдельным.
Если они не совпадают, такой фрейм отбрасывается. На рис. 7 представлена диаграмма функционирования механизма ICV.
2.2.4.2 механизмы аутентификации
Спецификация стандарта 802.11 оговаривает два механизма, которые могут применяться для аутентификации клиентов WLAN.
· Открытая аутентификация (open authentication).
· Аутентификация с совместно используемым ключом (shared key authentication).
Открытая аутентификация по сути представляет собой алгоритм с нулевой аутентификацией (null authentication algorithm). Точка доступа принимает любой запрос на аутентификацию. Это может быть просто бессмысленный сигнал, используемый для указания на применение именно этого алгоритма аутентификации, тем не менее, открытая аутентификация играет определенную роль в сетях стандарта 802.11. Столь простые требования к аутентификации позволяют устройствам быстро получить доступ к сети.
Контроль доступа при открытой аутентификации осуществляется с использованием заранее сконфигурированного WEP-ключа в точке доступа и на клиентской станции. Эта станция и точка доступа должны иметь одинаковые ключи, тогда они могут связываться между собой. Если станция и точка доступа не поддерживают алгоритм WEP, в BSS невозможно обеспечить защиту. Любое устройство может подключиться к такому BSS, и все фреймы данных передаются незашифрованными.
После выполнения открытой аутентификации и завершения процесса ассоциирования клиент может начать передачу и прием данных. Если клиент сконфигурирован так, что его ключ отличается от ключа точки доступа, он не сможет правильно зашифровывать и расшифровывать фреймы, и такие фреймы будут отброшены как точкой доступа, так и клиентской станцией. Этот процесс предоставляет собой довольно-таки эффективное средство контроля доступа к BSS (рис. 8).
В отличие от открытой аутентификации, при аутентификации с совместно используемым ключом требуется, чтобы клиентская станция и точка доступа были способны поддерживать WEP и имели одинаковые WEP-ключи. Процесс аутентификации с совместно используемым ключом осуществляется следующим образом.
1. Клиент посылает точке доступа запрос на аутентификацию с совместно используемым ключом.
2. Точка доступа отвечает фреймом вызова (challenge frame), содержащим открытый текст.
3. Клиент шифрует вызов и посылает его обратно точке доступа.
4. Если точка доступа может правильно расшифровать этот фрейм и получить свой исходный вызов, клиенту посылается сообщение об успешной аутентификации. Клиент получает доступ к WLAN
Предпосылки, на которых основана аутентификация с совместно используемым ключом, точно такие же, как и те, которые предполагались при открытой аутентификации, использующей WEP-ключи в качестве средства контроля доступа. Разница между этими двумя схемами состоит в том, что клиент не может ассоциировать себя с точкой доступа при использовании механизма аутентификации с совместно используемым ключом, если его ключ не сконфигурирован должным образом. На рис. 9 схематично представлен процесс аутентификации с совместно используемым ключом.
Аутентификация с использованием МАС-адресов
Аутентификация с использованием МАС-адресов не специфицирована стандартом 802.11. но обеспечивается многими производителями. В ходе аутентификации с использованием МАС-адресов проверяется соответствие МАС-адреса клиента локально сконфигурированному списку разрешенных адресов или списку, хранящемуся на внешнем аутентификационном сервере (рис. 10).
Аутентификация с использованием МАС-адресов усиливает действие открытой аутентификации и аутентификации с совместно используемым ключом, обеспечиваемыми стандартом 802.11, потенциально снижая тем самым вероятность того, что неавторизованные устройства получат доступ к сети. Например, администратор сети может пожелать ограничить доступ к определенной точке доступа для трех конкретных устройств. Если все станции и все точки доступа BSS используют одинаковые WEP-ключи, при использовании открытой аутентификации и аутентификации с совместно используемым ключом такой сценарий реализовать трудно. Чтобы усилить действие механизма аутентификации стандарта 802.11, он может применить аутентификацию с использованием МАС-адресов.
Уязвимость системы защиты стандарта 802.11
В предыдущем разделе рассказывалось о том, как осуществляются аутентификация и шифрование при использовании устройств стандарта 802.11. Не секрет, что система зашиты, специфицированная в стандарте 802.11, несовершенна. Вскоре после утверждения стандарта 802.11 появились статьи, в которых указывались слабые места механизма аутентификации стандарта 802.11 и шифрования по алгоритму WEP.
Уязвимость открытой аутентификации
При использовании механизма открытой аутентификации точка доступа не имеет возможности проверить правомочность клиента. Отсутствие такой возможности является недостатком системы защиты, если в беспроводной локальной сети не используется WEP-шифрование. Даже при использовании и клиентом, и точкой доступа статичного WEP механизм открытой аутентификации не предоставляет средств для определения того, кто использует устройство WLAN. Авторизованное устройство в руках неавторизованного пользователя -- это угроза безопасности, равносильная полному отсутствию какой-либо защиты сети!
Уязвимость аутентификации с совместно используемым ключом
В случае аутентификации с совместно используемым ключом необходимо, чтобы клиент использовал заранее выделенный для совместного использования ключ и шифровал текст вызова, полученного от точки доступа. Точка доступа аутентифицирует клиента путем расшифровки зашифрованного с помощью совместно используемого ключа ответа и проверки того, что полученный текст вызова полностью соответствует отправленному.
Процесс обмена текстом вызова осуществляется по беспроводному каналу связи и является уязвимым для атаки, возможной при знании открытого текста. Эта уязвимость в случае аутентификации с совместно используемым ключом обусловлена математическими методами, лежащими в основе шифрования. Ранее в этой главе говорилось о том, что процесс кодирования состоит в перемешивании открытого текста с ключевым потоком и получении в результате зашифрованного текста. Процесс перемешивания представляет собой выполнение двоичной математической операции, которая называется "исключающее ИЛИ" (XOR). Если открытый текст перемешать с соответствующим зашифрованным текстом, в результате выполнения этой операции будет получена следующая пара: ключевой поток, используемый для WEP-ключа, и вектор инициализации (рис. 11).
Злоумышленник может захватить как открытый, так и зашифрованный текст ответа. Выполнив над этими значениями операцию "исключающее ИЛИ", он может получить действующий ключевой поток. Затем злоумышленник может использовать этот ключевой поток для расшифровки фреймов, имеющих такой же размер, как и ключевой поток, поскольку вектор инициализации, используемый для получения ключевого потока, такой же, как и у расшифрованного фрейма. На рис. 12 показано, как атакующий сеть злоумышленник может проследить процесс аутентификации с совместно используемым ключом и заполучить ключевой поток.
Уязвимость аутентификации с использованием МАС-адресов
МАС-адреса пересылаются с помощью незашифрованных фреймов стандарта 802.11, как и оговорено в спецификации этого стандарта. В результате беспроводные LAN. в которых применяется аутентификация с использованием МАС-адресов, уязвимы для атак, в ходе которых злоумышленник "подкапывается" под аутентификацию с использованием МАС-адресов путем имитации "законного" МАС-адреса.
Имитация МАС-адреса возможна для сетевых карт стандарта 802.11, которые позволяют заменять универсально-назначаемый адрес (universally administered address, UAA) локально-назначаемым (locally administered address, LAA). Универсальный адрес -- это МАС-адрес, жестко закодированный для сетевой карты производителем. Атакующий может использовать анализатор протокола для определения разрешенного в BSS МАС-адреса и сетевую карту, допускающую локальное назначение адреса, для имитации разрешенного МАС-адреса.
Подобные документы
Разработка технологии защиты информации беспроводных сетей, которая может применяться для повышения защиты компьютера пользователя, корпоративных сетей, малых офисов. Анализ угроз и обеспечения безопасности беспроводной сети. Настройка программы WPA.
дипломная работа [2,9 M], добавлен 19.06.2014Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
курсовая работа [2,6 M], добавлен 16.04.2008Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Методы защиты речевой информации. Технические средства и системы защиты. Проведение оценки защищенности защищаемого помещения. Установка средств защиты информации, предотвращающих утечку информации по акустическому и виброакустическому каналу связи.
дипломная работа [3,4 M], добавлен 01.08.2015Основные положения теории защиты информации. Сущность основных методов и средств защиты информации в сетях. Общая характеристика деятельности и корпоративной сети предприятия "Вестел", анализ его методик защиты информации в телекоммуникационных сетях.
дипломная работа [1,1 M], добавлен 30.08.2010Анализ нормативно-правовой базы, обоснование направлений создания обеспечения комплексной защиты информации в автоматизированных системах. Разработка методики оценки, выбор путей повышения эффективности защитных мероприятий в автоматизированных системах.
дипломная работа [368,5 K], добавлен 17.09.2009Анализ подходов по защите от утечки конфиденциальной информации. Разработать программный модуль обнаружения текстовых областей в графических файлах для решения задач предотвращения утечки конфиденциальной информации. Иллюстрация штрихового фильтра.
дипломная работа [12,8 M], добавлен 28.08.2014Обоснование актуальности проблемы защиты информации. Концепция защиты информации в адвокатской фирме "Юстина". Каналы и методы несанкционированного доступа к защищаемой информации. Организация комплексной системы защиты информации в адвокатской конторе.
курсовая работа [92,4 K], добавлен 21.10.2008Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013