- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
- •1. Основные понятия и определения
- •2. Основные угрозы безопасности асои
- •2. Программные средства воздействия на асои
- •3. Основные подходы и меры обеспечения безопасности асои.
- •Меры обеспечения безопасности.
- •Глава 28 ук рф:
- •4. Этапы построения и принципы проектирования систем защиты
- •Принципы проектирования системы защиты.
- •Идентификация и аутентификация. Организация парольной защиты.
- •Длина пароля
- •Правила выбора паролей что не надо делать:
- •Что надо делать:
- •Меры повышения парольной защиты
- •Действия вс, выполняемые при отказе в доступе
- •Методы управления доступом. Протоколирование и аудит.
- •Произвольное управление доступом
- •Принудительное управление доступом
- •Протоколирование и аудит
- •Криптографическое преобразование информации. Требования, предъявляемые к алгоритмам шифрования.
- •Криптографическое закрытие информации
- •1. Шифрование
- •2. Кодирование
- •3. Другие виды
- •Шифрование подстановкой и перестановкой. Частотный анализ. Шифрование подстановкой (заменой)
- •Абвгдеёжзийклмнопрстуфхцчшщъыьэюя превращается в гдеёжзийклмнопрстуфхцчшщъыьэюяабв
- •Сегодня прекрасная погода
- •Многоалфавитные подстановки
- •Сегодня прекрасная погода
- •Бвгдеёжзийклмнопрстуфхцчшщъыьэюяа
- •Ж##д#дмпы#иоо###рг##уяо##
- •Частотный анализ
- •9. Методы шифрования ориентированные на эвм.
- •4)Методы побитовой шифрации
- •10.Симметричное шифрование.Блочные шифры.
- •Центр генерации ключей
- •Работа с ключами
- •11.Ассиметричное шифрование. Совместное использование симметричных и асимметричных методов.
- •Эффективное шифрование сообщения
- •Расшифровка эффективно зашифрованного сообщения
- •12.Цифровая подпись.
- •4. Использование однонаправленных хэш-функций для подписания документов.
- •Аппаратные шифровальные устройства
- •13.CriptoApi: архитектура, провайдеры криптографических услуг.
- •14.CryptoApi: ключи, хэши, сертификаты
- •15. CryptoApi работа с сообщениями
- •16. Распределенные вс. Стек протоколов tcp/ip. Угрозы, характерные для распределенных систем.
- •17. Распределенные вс. Протоколы управления сетями.
- •19. Протокол http и средства разработки серверных Интернет приложений.
- •20. Типовые ошибки при написании серверных приложений.
- •21. Средства сетевой защиты. Межсетевые экраны.
- •Основные схемы сетевой защиты на базе межсетевых экранов
- •1. Межсетевой экран - Фильтрующий маршрутизатор
- •Межсетевой экран на основе экранированного шлюза
- •Межсетевой экран – экранированная подсеть
- •Системы обнаружения атак в процессе их реализации.
- •4. Обманные системы.
- •23.Системы анализа защищенности, обманные системы, системы обнаружения совершенных атак.
- •24. Построение защищенных виртуальных систем. Понятие туннелирования.
- •25. Протоколы аутентификации. Централизованный контроль доступа к сетевым ресурсам.
- •26. Этапы развития систем защиты информации. Стандарты информационной безопасности.
- •27. Практические подходы к созданию и поддержанию систем безопасности. Управленческие и организационные мероприятия.
- •II.1. Управление персоналом
- •II.2. Физическая защита
- •II.3. Поддержание работоспособности.
- •II.4. Реакция на нарушение режима безопасности
- •II.5. Планирование восстановительных работ
- •18. Безопасность клиентских прилож. Анонимность в Internet.
- •Информационная безопасность компьютерных систем, основные понятия и определения. Основные угрозы безопасности.
18. Безопасность клиентских прилож. Анонимность в Internet.
Угрозы безопасности: уязвимость клиент. прилож., уязв-ть ОС, тесная интеграция прилож. с ОС (хар-на для Microsoft), разделенные ресурсы (хар-но для ЛВС), вирусы и троянские кони (деструктивные, откр-щие доступ к системе, предн. для кражи инф-ции, предн. для орг-ции распред. атак, мифические).
Инф-ция, кот. оставляет о себе браузер: IP-адрес, тип браузера, версия ОС, адрес предыд. стр-цы, cookie. Кроме IP-адреса всю инф-цию о браузере можно изменить.
Средства обесп-ния анонимности:
- Исп-ние proxy-серверов.
- Анонимные службы.
- Распр-ные системы Freedom.
- Зоны безоп-ти IE, напр., блокировка cookies.
- Многочисл. программные фильтры (работают либо как лок. proxy, либо перехватывают весь вх/исх трафик).
Основные клиентские технологии и их характеристики:
|
безопасность |
Функциональность |
Переносимость |
1 Netscape Navigator – технология подключаемых модулей |
Нет |
Очень высокая |
Плохая |
2 Java-скрипт, VB-скрипт |
достаточная |
низкая |
Высокая |
3 Java |
Высокая |
Высокая |
Высокая |
4 модуль расширения ActiveX |
средняя |
хорошая |
Хорошая |
5 объектно-ориент. язык Flash |
средняя |
Скромная |
Высокая |
3)Java (джава, ява, жарг. жаба) — объектно-ориентированный язык программирования, разрабатываемый компанией Sun Microsystems с 1991 года и официально выпущенный 23 мая 1995 года. Изначально новый язык программирования назывался Oak (James Gosling) и разрабатывался для бытовой электроники, но впоследствии был переименован в Java и стал использоваться для написания апплетов, приложений и серверного программного обеспечения.
Программы на Java могут быть транслированы в байт-код, выполняемый на виртуальной джава-машине (JVM) — программе, обрабатывающей байтовый код и передающей инструкции оборудованию, как интерпретатор, но с тем отличием, что байтовый код в отличие от текста обрабатывается значительно быстрее.
Достоинство подобного способа выполнения программ — в полной независимости байт-кода от ОС и оборудования, что позволяет выполнять Java приложения на любом устройстве, которое поддерживает виртуальную машину. Другой важной особенностью технологии Java является гибкая система безопасности, благодаря тому, что исполнение программы полностью контролируется виртуальной машиной. Любые операции, которые превышают установленные полномочия программы (например, попытка несанкционированного доступа к данным или соединения с другим компьютером) вызывают немедленное прерывание. Это позволяет пользователям загружать программы, написанные на Java, на их компьютеры (или другие устройства, например, мобильные телефоны) из неизвестных источников, при этом не опасаясь заражения вирусами, пропажи ценной информации, и т. п.
Часто к недостаткам этого подхода относят то, что исполнение байт-кода виртуальной машиной может снижать производительность программ и алгоритмов, реализованных на языке Java. Данное утверждение справедливо для первых версий виртуальной машины Java, однако в последнее время оно практически потеряло актуальность. Этому способствовал ряд усовершенствований: применение технологии JITs (Just-In-Time compiler), позволяющей переводить байт-код в машинный код во время исполнения программы с возможностью сохранения версий класса в машинном коде, широкое использование native-кода в стандартных библиотеках, а также аппаратные средства, обеспечивающие ускоренную обработку байт-кода (например, технология Jazelle, поддерживаемая некоторыми процессорами фирмы ARM).
За безопасность отвечают неск-ко компонентов:
- class-loader – откуда загружен класс
- верификатор кода – проверяет байт-код на корректность
- security manager – проверяет последовательность выполнения.
Изначально язык Java – потомок С++, но направлен на большую безопасность и защищенность. Нет множественной наследственности и перегрузки операций. Для освобождения памяти – автоматический сборщик мусора (Sand box). появились интерфейсы – классы без реализации и шаблоны
4) ActiveX. Microsoft переименовал технологию OLE 2.0 в ActiveX. Были представлены элементы управления ActiveX, ActiveX документы и технология Active Scripting. Эта версия OLE в основном используется веб-дизайнерами для вставки в страницы мультимедийных данных.
OLE— технология связывания и внедрения объектов и протоколов. OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Например, установленная на персональном компьютере издательская система может послать некий текст на обработку в текстовой редактор, либо некоторое изображение в редактор изображений с помощью OLE технологии. Основное преимущество использования OLE (кроме уменьшения размера файла) в том, что она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ. OLE используется при обработке составных документов (англ. compound documents), может быть использована при передаче данных между различными несвязанными между собой системами посредством интерфейса переноса (англ. drag-and-drop), а также при выполнении операций с буфером обмена. Идея внедрения широко используется при работе с мульмедийным содержанием на веб-страницах (пример — Веб-ТВ), где используется передача изображение звука, видео, анимации в страницах HTML (язык гипертекстовой разметки) либо в других файлах, также использующих текстовую разметку (например, XML и SGML). Однако, технология OLE использует архитектуру «толстого клиента», то есть сетевой ПК с избыточными вычислительными ресурсами. Это означает, что тип файла либо программа, которую пытаются внедрить, должна присутсвовать на машине клиента. Например, если OLE оперирует таблицами Excel, то программа Excel должна быть инсталлирована на машине пользователя.
5)Flash - используется в качестве языка программирования ActionScript, по синтаксису схожий с JavaScript. С выходом последних версий языка, его можно по праву назвать объектно-ориентированным.