ПОВЫШЕНИЕ УРОВНЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ПОМОЩИ ПРОТОКОЛА SSL

INCREASING THE LEVEL OF INFORMATION SYSTEM SECURITY USING THE SSL PROTOCOL

Alexander Penkov

Master's degree, Department of Information Security, Reshetnev Siberian State University of Science and Technology,

Russia, Krasnoyarsk

Bogdan Zaviryukha

Master's degree, Department of Information Security, Reshetnev Siberian State University of Science and Technology,

Russia, Krasnoyarsk

АННОТАЦИЯ

Важную роль в организации производственных площадок играет безопасность информации в процессе планирования управления производственной площадкой. Безопасность информации является крайне важным компонентом любой информационной системы, используемой на производственной площадке. Для улучшения качества безопасности информационной системы необходим набор мер по защите данных. Результаты внедрения таких мер должны предоставлять четкое представление об используемой информационной системе, пользователях, разделении полномочий и т.д., что позволит принимать правильные управленческие решения в случае вторжения в систему. Улучшение безопасности информационных систем с учетом современных требований политик информационной безопасности предполагает разработку концепций защиты данных и внедрение новейших методов шифрования в информационную систему. В данной статье представлена концепция создания информационной системы с использованием шифрования данных на основе SSL-шифрования (Secure Socket Layer, уровень безопасных сокетов). SSL-шифрование характеризуется созданием шифра с открытым ключом, что позволяет аутентифицировать пользователя и сервер с помощью технологии цифровой подписи. Кроме того, таким образом генерируется ключ сеанса для разработки быстрого симметричного алгоритма шифрования, который позволяет зашифровать большой объем информации.

ABSTRACT

Information security plays an important role in the organization of production sites during the planning of production management. Information security is an extremely important component of any information system used in a production site. To improve the quality of information system security, a set of measures to protect data is necessary. The results of implementing such measures should provide a clear understanding of the information system being used, users, authorization separation, etc., which will enable correct management decisions to be made in case of system intrusion. Improving information system security in accordance with modern information security policy requirements involves developing data protection concepts and implementing the latest encryption methods into the information system. This article presents a concept for creating an information system that uses SSL (Secure Socket Layer) encryption for data encryption. SSL encryption is characterized by the creation of a public key cipher, which allows for user and server authentication using digital signature technology. In addition, this generates a session key for developing a fast-symmetric encryption algorithm that can encrypt large amounts of information.

Ключевые слова: информация, данные, информационная безопасность, шифрование, протокол SSL, ключ безопасности, аутентификация, информационная система.

Keywords: SSL, information, data, information security, encryption, protocol SSL, security key, authentication, information system.

Введение

Безопасность информации в производственном процессе играет важную роль в организации. Улучшение качества безопасности информационной системы может быть достигнуто только набором мер по защите данных. Результатом работы информационной системы должно быть ясное представление о производстве, которое позволяет принимать управленческие решения, а также обеспечивать безопасность передаваемой информации [1].

Протокол SSL (Secure Sockets Layer) – это протокол в области криптографии, который является самым безопасным уровнем связи. Он используется для проверки подлинности обменного ключа с помощью асимметричной криптографии [2]. Создается также симметричный шифр для обеспечения конфиденциальности информации, а также коды проверки данных для обеспечения целостности сообщений. Этот протокол широко используется в области мгновенного обмена информацией и для передачи голосовых сообщений через VoIP в электронной почте [3].

Этот протокол обеспечивает защиту обмена информацией путем шифрования и аутентификации. Для работы протокола используется асимметричная криптография, с помощью которой проверяется подлинность ключа обмена данных. Создается также симметричное шифрование для обеспечения конфиденциальности данных, и разрабатывается код для проверки подлинности информации для целостности сообщений [4]. Можно сказать, что речь идет о безопасном канале связи, характеризующемся следующими свойствами:

1. Это частный канал. В нем создается шифрование для каждого сообщения в конце диалога, что позволяет определить секретный ключ.
2. Аутентификация канала. Каждый участник диалога подвергается аутентификации.
3. Надежность канала. Данные передаются только после полной проверки целостности.

Одним из преимуществ данного протокола является его независимость от протоколов прикладного уровня, таких как HTTP, FTP, TELNET, которые могут быть наложены поверх данного протокола [5]. При этом сохраняется прозрачность системы, то есть данный протокол будет координировать алгоритм шифрования и ключ, выполнять аутентификацию сервера перед передачей или принятием первого байта информации. Существуют 2 основных способа создания информационного шифра: симметричный шифр на основе единственного секретного ключа и асимметричный шифр на основе нескольких открытых или закрытых ключей. SSL использует оба варианта. Асимметричный шифр основан на использовании пары ключей. При этом один ключ будет открытым и может быть найден в сертификате владельца. Другой ключ является закрытым и не публикуется в сертификате владельца. В этом случае все ключи используются только парами. Информация шифруется с помощью открытого ключа, а с помощью закрытого ключа данные расшифровываются. В этом отношении можно сделать следующее:

Каждый пользователь имеет право получить открытый ключ и использовать его для создания информационного шифра. При этом только тот, у кого есть доступ к закрытому ключу, сможет расшифровать данные.

Если пользователь, у которого есть пара ключей, создает информационный шифр с помощью своего собственного закрытого ключа, то другие пользователи смогут увидеть, что данная информация была передана с определенным закрытым ключом. При этом сторонние изменения в информации не были произведены. Фактически, это суть создания цифровой подписи.

При шифровании с помощью открытого ключа используются два ключа - открытый и закрытый, и каждый из них может быть использован для шифрования сообщения [6]. Если для шифрования сообщения был использован открытый ключ, то для расшифровки должен быть использован закрытый ключ и наоборот. В такой ситуации существуют два возможных способа использования ключей. Во-первых, сторона, хранящая закрытый ключ в тайне и публикующая открытый ключ, может получать сообщения, зашифрованные с помощью открытого.

Основная часть

SSL протокол был реализован в информационной системе, который поддерживает разработку шифров. Информация, которая передается через протокол HTTPS, преобразуется в криптографические данные протоколов TLS или SSL. Таким образом, возможно обеспечить безопасность и конфиденциальность информации [7]. Благодаря этому методу защиты, сегодня различные интернет-приложения находятся под надежной защитой, а также защищены безопасные соединения в банковских платежных системах. Протокол работает с любым браузером. HTTPS работает с портом TCP 443, в отличие от протокола HTTP. Виртуальные частные сети (VPN), которые используют SSL, были созданы в качестве альтернативы удаленному доступу на основе IPsec VPN. Несмотря на это, благодаря доступности и высокой надежности, эта технология стала наиболее привлекательной для VPN [8]. SSL широко используется в электронной почте при обмене данными.

Безопасность на криптографическом уровне. SSL обеспечивает безопасную связь между участниками процесса обмена данными.

Совместимость. Специалисты в области программирования создают приложения на основе SSL, которые в результате смогут эффективно обмениваться криптографической информацией без особого распознавания шифра других программ.

Расширяемость. SSL позволяет получить рабочую среду для необходимого включения открытых ключей и более трудоемких процессов создания шифров.

Относительная производительность. Для функционирования протокола на основе SSL требуются высокие скорости ЦП. То же самое относится к использованию открытого ключа. В результате SSL входит в этап вспомогательного кэширования для сокращения количества соединений, что требует настройки с нуля. Активность внутри сети также снижается.

Протокол работает с тремя проверками подлинности [9]:

1. Аутентификация сервера с неопознанным пользователем.
2. Полная анонимность.
3. Аутентификация всех участников процесса обмена данными (сервер — пользователь).

Этот протокол просто обрабатывает все ошибки. При их обнаружении соответствующая информация отправляется другому владельцу системы. Ошибка, которую нельзя устранить, требует прекращения связи пользователем или сервером.

SSL подвержен различным криптографическим значениям. Для шифрования можно использовать различные алгоритмы криптографии. Так, при успешной атаке на такой алгоритм протокол не сможет обеспечить безопасное соединение. Атака на конкретную коммуникационную сеть осуществляется путем записи сессии. Необходимо отличать атаки, которые совершаются против SSL. Следует учитывать, что SSL-протокол способен выдержать такие атаки, если клиент использует только проверенный сервер для обработки данных [10].

Самая распространенная атака MitM. В ней участвуют три стороны: злоумышленник находится между пользователем и сервером. В таких обстоятельствах преступник перехватывает данные, которые отправляются в обе стороны, и осуществляет их замену [11]. Для пользователя злоумышленник представляет себя от имени сервера, и наоборот. В случае с обменом ключами Diffie-Hellman такие атаки наиболее успешны из-за целостности данных и невозможности их аутентификации. Такие атаки не проводятся внутри SSL благодаря обязательной аутентификации источника информации.

С помощью этого типа атак некоторые крупные компании получают необходимые данные, используя Forefront TMG. В этой ситуации злоумышленник изменяет оригинальный сертификат на свой собственный. Такая атака проходит успешно при указании Forefront TMG как доверенного удостоверяющего центра. Как правило, клиент не замечает такой операции из-за действий корпоративных пользователей в рамках Active Directory. Этот инструмент управления может быть использован для получения данных, кражи персональной информации, которая передается по защищенному соединению HTTPS.

Проблема недостаточной осведомленности клиентов о возможном перехвате информации остается актуальной. Фактом является то, что при замене оригинального сертификата соответствующие сообщения о безопасности не отображаются. Поэтому клиент считает, что передача данных защищена. Используя Forefront TMG, возможно провести вторую атаку MitM в Интернете. В этом случае сертификат не получает клиент. Чтобы защитить данные от такой атаки, необходимо прекратить работу с веб-ресурсами, сертификаты которых содержат определенные ошибки.

Атака ответа. Злоумышленник записывает связь между пользователем и сервером. Затем атакующий подключается к серверу, чтобы воспроизвести записанные данные клиента. Однако SSL предотвращает эту атаку путем идентификации соединения. Конечно, невозможно предупредить идентификатор соединения только теоретически, так как он включает случайные события. Если у злоумышленника есть значительные средства, то он может записать множество сессий, чтобы выбрать оптимальную на основе шифра nonce. Однако такие коды отличаются 128-битной длиной. Это означает, что для того, чтобы иметь возможность предсказать 50%, злоумышленнику необходимо сохранять запись кодов nonce.

Алгоритмы, используемые в SSL:

1. PSK, SRP, ECDH, RSA для обмена ключами и реализации аутентификации.
2. Для аутентификации: ECDSA, DSA, RSA.
3. Для создания симметричного шифра: Camellia, AES, DAS, IDEA, RC4, RC2, Triple DES.
4. Для хэш-функций: MD2, MD4, MD5, SHA.

Концепция защиты информационной системы. На основе анализа политики безопасности информации компании, алгоритма шифрования SSL и используемого в организации программного обеспечения, были внесены изменения для достижения необходимого уровня безопасности информационной системы производственных сайтов. Эти меры позволят достичь желаемого уровня безопасности информационной системы для производственных сайтов.

1. Полная централизация приложения предполагает отказ от локальных баз данных, расположенных на серверах в филиалах, написание инструкций для функций поддержки, передачу поддержки приложения в службу поддержки и функций инфраструктуры.
2. Публикация приложения в интранете компании позволит учет и фильтрацию пользователей. Также реализуется дополнительные групповые права доступа для открытия данного приложения.
3. Размещение базы данных в центре обработки данных повысит общее время доступности приложения. Это обеспечит правильное распределение ресурсов оборудования, быстрое и качественное применение обновлений для всей программы сразу. И, что самое важное, надежное резервное копирование, поскольку резервная копия будет сделана со всего сервера и в случае отказа оборудования или критической сбой приложения, всегда можно развернуть полностью работающую версию приложения на другом оборудовании, которое можно установить, как в центре обработки данных компании.
4. Защита клиентских станций является обязательным пунктом концепции, потому что именно с них исходит основная угроза. Антивирус должен контролироваться сетью для быстрого локализации возникших угроз. Также пользователь не должен иметь возможности отключить антивирус или ослабить его защиту.
5. Самая основная угроза информационной безопасности исходит от пользователей, потому что информационная система может быть идеально защищена, но пользователь может запустить вирус на своей станции, что приведет не только к потере информации на его станции, но и возможной потере информации на сервере и распространению этого вируса по сети.
6. Для доступа к системе допускаются только пользователи, входящие в доменную структуру. Уволенные сотрудники или заблокированные по другим причинам не должны иметь доступа к более чем одной информационной системе: файлам на локальных станциях, электронной почте и другим информационным системам компании. Также следует изменять пароль после истечения срока действия его ограничения и установить требования к сложности пароля.
7. Шифрование передаваемых данных между сервером и клиентом.

Вывод

Разработанная концепция информационной системы имеет уровень безопасности, отвечающий современным требованиям компаний. Согласно этой концепции, была создана информационная система для отслеживания транспорта на производственном участке с использованием SSL-шифрования. В системе есть возможность реализации дополнительных точек мониторинга и единообразия.

Список литературы:

1. Общий порядок действий по созданию систем защиты информации [Электронный ресурс]. URL: https://trinosoft.com/pages/is/omop.php (дата обращения: 11.03.2023).
2. "Как это работает": знакомство с SSL/TLS [Электронный ресурс]. URL: https://habr.com/ru/company/1cloud/blog/326292/ (дата обращения: 11.03.2023).
3. Протоколы SSL/TLS [Электронный ресурс]. URL: https://www.starlink.ru/articles/ssl-tls/ (дата обращения: 11.03.2023).
4. Асимметричная криптография (с открытым ключом) [Электронный ресурс]. URL: https://studfile.net/preview/911693/page:14/ (дата обращения: 11.03.2023).
5. OSI и ее протоколы. Часть 3 [Электронный ресурс]. URL: https://nestor.minsk.by/kg/2007/08/kg70811.html (дата обращения: 11.03.2023).
6. Криптосистема с открытым ключом [Электронный ресурс]. URL: https://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом (дата обращения: 11.03.2023).
7. Где происходит SSL-шифрование? [Электронный ресурс]. URL: https://translated.turbopages.org/proxy_u/en-ru.ru.0beabf9c-640db381-8c95cd88-74722d776562/https/security.stackexchange.com/questions/19681/where-does-ssl-encryption-take-place) (дата обращения: 11.03.2023).
8. Особенности использования технологий VPN и SSL/TLS [Электронный ресурс]. URL: https://iitrust.ru/articles/expert/osobennosti-ispolzovaniya-tehnologiy-vpn-i-ssltls/ (дата обращения: 11.03.2023).
9. Аутентификация пользователей при локальном и удаленном доступе к компьютерным системам [Электронный ресурс]. URL: https://studref.com/363008/informatika/autentifikatsiya_polzovateley_lokalnom_udalennom_dostupe_kompyuternym_sistemam (дата обращения: 11.03.2023).
10. Защита на прикладном уровне [Электронный ресурс]. URL: https://studfile.net/preview/16436149/page:4/ (дата обращения: 11.03.2023).
11. Что такое атака Man-in-the-Middle (MITM)? Определение и предотвращение [Электронный ресурс]. URL: https://www.securitylab.ru/blog/company/PandaSecurityR (дата обращения: 11.03.2023)